1 / 31

Описание политики безопасности и конфигурации средств защиты информации в компьютерных сетях:

МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ Проблемы современных информационно-вычислительных систем. Описание политики безопасности и конфигурации средств защиты информации в компьютерных сетях: исполнение политики доступа межсетевыми экранами. асп. Антон Титов.

august
Download Presentation

Описание политики безопасности и конфигурации средств защиты информации в компьютерных сетях:

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ Проблемы современных информационно-вычислительных систем Описание политики безопасности и конфигурации средств защиты информации в компьютерных сетях: исполнение политики доступа межсетевыми экранами асп. Антон Титов Санкт-Петербургский государственный политехнический университет Москва 17 ноября 2009 г.

  2. Содержание • Проблема перехода от описания политики доступа к ее исполнению • Базовые подходы к интеграции межсетевого экрана c моделью управления доступом • Формальный анализ процесса фильтрации • Сигнатура действия субъекта над объектом • Формат инструкции фильтра • Получение инструкции фильтра из правила доступа • Выводы

  3. Проблемаперехода от описания политики доступа к ее исполнению Политика безопасности Низкоуровневые правила доступа: Формальное описание политики доступа Модель управления доступом (MAC,DAC,RBAC,ORBAC,…) ? Субъект 1 Роль Субъект2 Исполнение политики доступа Межсетевойэкран(МЭ): фильтр КонфигурацияМЭ (набор инструкций)

  4. Базовые подходы к интеграции межсетевого экранас моделью управления доступом Интерпретация Компиляция t Правила для ролей Пакет Пакет Пакет Формальные правила доступа: Инструкции для межсетевого экрана: Роли субъекта Автономная работа межсетевого экрана Исполнение решения Компиляция: Интерпретация: • Полная и корректная реализация всех функций модели управления; • Зависимость архитектуры фильтра от конкретной модели управления; • Независимость фильтра от конкретной модели управления доступом; • Сложности при реализация всех функций модели управления доступом;

  5. Задачи Правило доступа Формальные правила доступа Основа процесса компиляции Инструкция фильтра Формальный анализ процесса фильтрации Формальный анализ процесса фильтрации Действия фильтра в процессе его работы Исполнение формальных правил доступа

  6. Правила доступа и модель взаимодействиясистем Действие Субъект Объект

  7. Работа межсетевого экрана t Входная последовательность действий субъектов Действия субъектов {an} Действие 1 Действие 2 Действие 3 T1: {un}→{an} Uc = {un} Виртуальное соединение HTTP-запросов HTTP-запросы (переход) HTTP 2 HTTP 3 F1: {un}→{un} Входная последовательность HTTP-запросов U={un} (выборка) HTTP 1 HTTP 2 HTTP 3 HTTP 4 T2 TCP-соединения Kc={kn} Транспортное соединение TCP-соединение F2 Входная последовательность трансп. соединений K={kn} T3 Виртуальное сетевое соединение IP-пакеты Sc={sn} F3 Входная последовательность сетевых пакетов S={sn} Физический канал 01100101000111101010001100100110010001011000110001001011000100100

  8. Алгоритм выборки F Полнотавыборки – принадлежит ли каждый следующий элемент выборке зависит только от самого элемента и всейпредыстории ранее выбранных элементов abcdefghiklmnop bkn Подпоследовательность: ? С учетом полноты алгоритм выборки из последовательности элементов s S задается языком L на словаре S фильтруемыхэлементов. Язык – множество последовательностей элементов словаря. Язык L = {hdjss, gshaj, ryeuw, ...} Алгоритм выборки соответствует алгоритму определения, принадлежит ли данная последовательность языку. Задается распознающей грамматикой языка. Разрешимостьалгоритмавыборкиопределяется задающей грамматикой языка. Принадлежит языку - выбираем fhjseiodhsdfkf Распознающая грамматика Не принадлежит языку – не выбираем

  9. Смысл выборки F Виртуальное соединение Сигнатура действия субъекта над объектом Например: выборка IP-пакетов, относящихся к одному TCP-соединению Выборка F

  10. Сигнатура действия субъекта над объектом Сигнатура действия (язык LF) – набор тех и только тех последовательностей элементов, которые соответствуют корректно завершенному действию. Сигнатура достаточного действия(язык LS) – набор тех и только тех последовательностей элементов, которые соответствуют совершенному действию. LScодержит те и только те последовательности, являющиеся подпоследовательностями* последовательностей языка LF. Действие * abcd Достаточное действие Сигнатура незавершенного действия (язык LC) – сигнатурадействия, дополненная всеми последовательностями, являющимися подпоследовательностями** сигнатуры действия. a ab abc abcd ** abcd

  11. Пример задания сигнатурдля регулярных языков Сигнатура действия: aa*ba* c acv a a kyya aa*cv s2 b s6 c aa*cya a c s4 v Сигнатура достаточного действия: y k aa*b s7 y s1 a ac ky s3 s5 - конечное состояние

  12. Обобщения понятия сигнатуры на виртуальные соединения Сигнатура виртуального соединения Сигнатура действия Сигнатура соединения Сигнатура достаточного действия Сигнатура достаточного виртуального соединения В тривиальном случае, сигнатура достаточного соединения – перечисление всех начальных символов из сигнатуры соединения. Сигнатура достаточного соединения Сигнатура продолжающегося действия Сигнатура продолжающегося виртуального соединения Сигнатура продолжающегося соединения

  13. Интерпретация требования правила Разрешениесоединения  Пропуск выбранногоэлемента, если полученнаяпоследовательность, относится к сигнатуре незавершенного соединения (последовательность допустима распознающей грамматикой LС). {a, ab,abc} Сигнатура незавершенного действия: fgaertbopjc Входная последовательность: ^ ^ ^ Запретсоединения  Отбрасывание выбранногоэлемента, если полученнаяпоследовательность, относится к сигнатуре достаточного соединения (последовательность допустима распознающей грамматикой LS). ak Сигнатура достаточного действия: hsjahryfuk Входная последовательность: ^

  14. Формат инструкции фильтра Соединение Решение: разрешение или запрет Дополнительные условия Сигнатура незавершенного соединения Сигнатура достаточного соединения Глобальные параметры системы (время, …) Язык, задающий выборку Алгоритм работы Дополнительные условия не влияют на выборку, но влияют в итоге на то, будет ли применено решение.

  15. Описание соединения: идентификаторы соединения ИСA Фильтр ИСS ИСO Соединение ИСC ИС – идентификаторсоединения Соединение C = (ИСS,ИСA, ИСO, ИСC)

  16. Привязка объектов к идентификаторам соединения ИСs ИСo user: vasya file: text.doc Фильтр 1 Субъект 1 Объект 1 Субъект 2 Объект 2 Объект 3 Субъект 3 Субъект 4 Объект 4 Фильтр 2 IP: 1.1.1.1 IP: 2.2.2.2 Фильтры с их идентификаторами соединений составляют инфраструктуру исполнения политики доступа. Привязка объектов к идентификаторам соединений определяется способами хранения, преобразования и передачи данных и требует экспертного анализа.

  17. Получение инструкции фильтра из правила доступа Субъект Действие Объект Решение: разрешать или запрещать Контекст ИСS ИСA ИСO ИСC Соединение Решение: разрешение или запрет Дополнительные условия Сигнатура незавершенного соединения Сигнатура достаточного соединения Глобальные параметры системы (время, …) Язык, задающий выборку Алгоритм работы

  18. Выводы • Описаны подходы к интеграции межсетевого экрана с моделью управления доступом • Формально проанализирован процесс фильтрации, основываясь на том, что действия фильтра должны быть связаны с исполнением правила доступа • Показано, что алгоритм фильтрации основан на выборке элементов из последовательности • Показано, что выборка в частном случае определяется сигнатурой действия субъекта над объектом • Приведен общий формат инструкции фильтра • Полученные результаты являются теоретическим основанием разработки компилятора формально заданной политики доступа в инструкций межсетевого экрана

  19. Интеграция межсетевогоэкранаc моделью управлениядоступом Сервер управления доступом Конфигурация Динамическое взаимодействие Межсетевой экран Интеграция с моделью управления контролем доступа Фильтр

  20. Формальные правила доступа с учетом соединений Действие Субъект 1 Объект 1 Действие Субъект2 Объект 2 Субъект 1 Объект 1 Соединение Субъект2 Объект 2

  21. Организация системы фильтрации Начало (самый нижний уровень взаимодействия) Возможна ли выборка сигнатуры действия ? да нет Выборка элементов, относящихся к соединению Выборка сигнатуры действия Например: выборка IP-пакетов, относящихся к одному TCP-соединению Описание сигнатуры Описание соединения Функция T, переход на другой уровень взаимодействия Конец Язык

  22. Пользователь Служба Файл Объект 1 Субъект 1 Субъект 2 IP: 1.1.1.1 IP: 2.2.2.2 user: vasya file: text.doc Фильтр 1 Фильтр 2 Межсетевой экран Операционная система

  23. Шаги авторизации и устройства Объект 1 Субъект Устройство 1 Устройство 2 Объект Субъект 1 Устройство 3 Объект 1 Субъект 1 Последовательное соединение – каждое из устройств должно открыть канал данных для организации доступа субъекта к объекту Параллельное соединение – одно из устройств должно открыть канал данных для организации доступа субъекта к объекту

  24. TCP: 51 TCP: 50 IP: 1.1.1.1 Устройство MAC: 11-11-11-11-11-11 eth0

  25. Устройство 1 Устройство 2 IP: 1.1.1.1 user: vasya IP: 1.1.1.1 MAC: 11-11-11-11-11-11 eth0 MAC: 11-11-11-11-11-11

  26. Система централизованного управления контролем доступа Центральный сервер управления доступом Динамическое взаимодействие Динамическое взаимодействие Динамическое взаимодействие Конфигурация Конфигурация Конфигурация Средство контроля доступа 1 Средство контроля доступа 2 Средство контроля доступа 3 • Удобство администрирования системы в целом; • Отсутствие конфликтов конфигурации различных средств контроля доступа;

  27. Объект 1 IP: 1.1.1.3 Устройство 3 IP: 1.1.1.2 IP: 1.1.1.1 Устройство 2 MAC: 11-11-11-11-11-11 Устройство 1 eth0

  28. Объект 1 Объект 2

  29. Физический уровень Виртуальный уровень Устройство 1 Устройство2 Устройство 1 Устройство2 У-во 3.3 У-во 3.4 Устройство 3 У-во 3.1 У-во 3.2 Объект Субъект Устройство 4.1 Устройство 4 Устройство 4.2 Устройство 6 Устройство 5 Устройство 5/6/7 Устройство 7

  30. 1 p 1 1 2 2 p 2 c1 c1 d1 d1 c2 c2 d2 d2

  31. Разрешение субъекту совершать действие над объектом  Ненарушение целостности каждого из каналов данных необходимых для совершения действия Запрещение субъекту совершать действие над объектом  Достаточное нарушение целостности одного из каналов данных необходимых для совершения действия Канал доступа – алгоритм выделения подпоследовательности из произвольной последовательности блоков данных, передаваемых на определенном уровне взаимодействия между системами

More Related