1 / 136

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 20 12 -201 3 Εξάμηνο: Δ ’

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 20 12 -201 3 Εξάμηνο: Δ ’. Ασφάλεια Υπολογιστών και Προστασία Δεδομένων Ενότητα Δ: Μοντέλα Εξουσιοδότησης ( Authorization ). Εμμανουήλ Μάγκος. Syllabus. Μοντέλα και Πολιτικές Ελέγχου Πρόσβασης (Εξουσιοδότησης)

aricin
Download Presentation

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 20 12 -201 3 Εξάμηνο: Δ ’

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Ιόνιο ΠανεπιστήμιοΤμήμα ΠληροφορικήςΑκαδημαϊκό Έτος 2012-2013Εξάμηνο: Δ’ Ασφάλεια Υπολογιστών και Προστασία Δεδομένων Ενότητα Δ: Μοντέλα Εξουσιοδότησης (Authorization) Εμμανουήλ Μάγκος

  2. Syllabus • Μοντέλα και Πολιτικές Ελέγχου Πρόσβασης (Εξουσιοδότησης) • Έλεγχος ροής κυκλοφορίας (information flow control) • Πολιτικές MAC, DAC, RBA • Έλεγχος Πρόσβασης Συστήματος και Ασφάλεια Λ.Σ • Το μοντέλο Ασφάλειας των Windows • Άλλα Θέματα στον Έλεγχο Πρόσβασης • Επίπεδα Προστασίας • Κριτήρια για την Πρόσβαση • Διαχείριση Ελέγχου Πρόσβασης • Άλλα θέματα • Καταγραφή & Παρακολούθηση, Ανίχνευση • Logging and Monitoring • Intrusion Detection & Intrusion Prevention

  3. 1. Authorization & Information Flow Control

  4. Έλεγχος Λογικής Πρόσβασης & Εξουσιοδότηση (Authorization)

  5. Έλεγχος Λογικής Πρόσβασης & Εξουσιοδότηση (Authorization) π.χ. πόροι που χρειάζονται προστασία (μνήμη, αρχεία, φάκελοι, υπηρεσίες, συσκευές,.) Αντικείμενα (objects) Υποκείμενα (Subjects) Τύπος Πρόσβασης π.χ. Εφαρμογές που ζητούν πρόσβαση σε πόρους, εν’ ονόματι μιας οντότητας (χρήστες, Ομάδες, Η/Υ..) π.χ. Ανάγνωση, Εγγραφή, Εκτέλεση.. Πολιτική Εξουσιοδότησης: Κανόνες που καθορίζουν ποια υποκείμενα έχουν τι είδους πρόσβαση σε ποια αντικείμενα

  6. Έλεγχος Λογικής ΠρόσβασηςΣυστατικά Στοιχεία op op on o s Referencemonitor o s Ταυτοποίηση Καταγραφή Εξουσιοδότηση Ποιος είναι οs; Τιopμπορεί να κάνει ο sστο o; Τι έκανε (ή προσπάθησε να κάνει ο s;)

  7. Έλεγχος Λογικής ΠρόσβασηςΣυστατικά Στοιχεία • Τεχνολογίες Αυθεντικοποίησης • Αυθεντικοποίηση Οντότητας (π.χ. Passwords, Challenge-Response,…) • Πολιτική Εξουσιοδότησης • Ένα μοντέλο καθορισμού των εξουσιοδοτημένων προσβάσεων • Πολιτικές DAC, MAC, RBAC,… • Σύνολο κανόνων που καθορίζει τι είδους πρόσβαση έχουν τα υποκείμενα σε άλλα υποκείμενα/αντικείμενα • Reference monitor • Επιβλέπει την υλοποίηση των πολιτικών εξουσιοδότησης • Αποτελεί κομμάτι του πυρήνα (kernel) του Λ.Σ • Καταγραφή και Παρακολούθηση • Ασφάλεια Αρχείων Καταγραφής και Πολιτικές Παρακολούθησης • Ανίχνευση και Αποτροπή Εισβολών (IDS, IPS)

  8. execute append read write observe X X alter X X Βασικές ΈννοιεςΔικαιώματα Πρόσβασης (Permissions) Δικαιώματα Πρόσβασης στο μοντέλο ασφάλειας των Bell-LaPadula

  9. Δικαιώματα ΠρόσβασηςΠερίπτωση: Unix 1 : Τύπος αρχείου. 2 – 4 : Τα δικαιώματα του ιδιοκτήτη (owner). 5 – 7 : Τα δικαιώματα της ομάδας (group). 8 – 10 : Ta δικαιώματα των υπολοίπων (world).

  10. Δικαιώματα ΠρόσβασηςΠερίπτωση: Unix • Σε φάκελο: • read:λίστα περιεχομένων • write:δημιουργία, διαγραφή ή μετονομασία αρχείων του φακέλου • execute:Πρόσβαση στον φάκελο (enter, open files,..) • Σε αρχείο: • read: Ανάγνωση του αρχείου • write: Εγγραφή στο αρχείο • execute: Εκτέλεση του αρχείου

  11. Για μεγαλύτερη ευελιξία, ο καθορισμός των δικαιωμάτων μπορεί να είναι προσανατολισμένος: Στα Αντικείμενα Λίστες Ελέγχου Πρόσβασης Στa υποκείμενα (principals) Λίστες Δυνατοτήτων Βασικές ΈννοιεςΠίνακας Ελέγχου Πρόσβασης (Access Control Matrix) * • Αφηρημένη έννοια: Ένας πίνακας με υποκείμενα, αντικείμενα, & τις ενέργειες (δικαιώματα) των υποκειμένων στα αντικείμενα • Ζητήματα • Πλήθος υποκειμένων/ αντικειμένων (scalability) • Ένα υποκείμενο μπορεί να γίνει αντικείμενο σε κάποιο context

  12. Ποια δικαιώματα έχουν ποια υποκείμενα επάνω σεένα αντικείμενο; Ουσιαστικά αποτελεί θεώρηση ενός Πίνακα Ελέγχου Πρόσβασης ανά στήλες Χρησιμοποιούνται ευρέως σε: Λ.Σ., Β.Δ.,… Εφαρμογές Πολιτικές πρόσβασης σε δικτυακές συσκευές … Βασικές Έννοιες Λίστες Ελέγχου Πρόσβασης

  13. Βασικές Έννοιες Λίστες Ελέγχου Πρόσβασης (Access Control Lists) *

  14. Βασικές Έννοιες Λίστες Ελέγχου Πρόσβασης (Access Control Lists) (Tanenbaum & Van Steen, 2007).

  15. Βασικές ΈννοιεςΛίστες Ικανοτήτων (Capability Lists) *

  16. Ποια δικαιώματα έχει ένα υποκείμενο επάνω σε ποια αντικείμενα; Ουσιαστικά αποτελεί θεώρηση ενός Πίνακα Ελέγχου Πρόσβασης ανά γραμμές Παραδείγματα ~Προνόμια χρηστών (Windows) ~Πιστοποιητικά ιδιοτήτων (attribute certificates),… Βασικές ΈννοιεςΛίστες Ικανοτήτων (Capability Lists) • Το σύστημα επιτρέπει στο υποκείμενο την πρόσβαση σε ένα αντικείμενο, σύμφωνα με τη λίστα δυνατοτήτων

  17. Βασικές ΈννοιεςΛίστες Ικανοτήτων (Capability Lists) (Tanenbaum & Van Steen, 2007).

  18. Λίστες ΙκανοτήτωνCase: Attribute Certificates http://www.vf.utwente.nl/~summer/security.html

  19. Μοντέλα Εξουσιοδότησης TCSEC (DOD, 1985) (NIST Standard, 2001) «Κατά Διάκριση» (DAC – Discretionary Access Control): Προσανατολισμένο στην ταυτότητα του υποκειμένου • Διακριτικό: Ένα υποκείμενο μεταβιβάζει (ανακαλεί) δικαιώματα σε (από) άλλα υποκείμενα για αντικείμενα που «κατέχει» «Κατ’ απαίτηση» (MAC-Mandatory Access Control): Προσανατολισμένο στη διαβάθμιση αντικειμένων & υποκειμένων • Ετικέτες ασφαλείας (classification labels) στα υποκείμενα και τα αντικείμενα του συστήματος • Υποχρεωτικό: Ένα υποκείμενο δεν μπορεί να μεταβιβάσει δικαιώματα «Βασισμένη σε Ρόλους» (RBAC – Role based Access Control): Προσανατολισμένο στον ρόλο (ή ρόλους) που έχει ένα υποκείμενο • Ρόλος: σύνολο από ενέργειες-ευθύνες

  20. Εξουσιοδότηση «Κατά Διάκριση» Discretionary Access Control (DAC) • Κάθε αντικείμενο (πόρος) έχει έναν ιδιοκτήτη (υποκείμενο) • Ο ιδιοκτήτης διαχειρίζεται (μεταβίβαση/ανάκληση) δικαιώματα πρόσβασης για • αντικείμενα που του ανήκουν, ή • αντικείμενα που δημιουργεί • …καθορίζει το είδος πρόσβασης • π.χ. ανάγνωση, εγγραφή, εκτέλεση • ...βάσει ταυτότητας υποκειμένουπου αιτείται πρόσβαση: • Όνομα (π.χ. SID), Group Παράδειγμα: O ιδιοκτήτης επιτρέπει την ανάγνωση του αρχείου από τον Bob, και από μέλη της ομάδας Λογιστικής (Accounting)

  21. Windows: Ενδιάμεσοι ΈλεγχοιΟμάδες (Groups) • ACL: Διαχείριση δικαιωμάτων ανά υποκείμενο: δύσκολη • Λύση: Ομάδες (Groups) – Απλοποιούν την εξουσιοδότηση • Χρήστες με «παρεμφερή» δικαιώματα πρόσβασης, θα καταχωρηθούν σε μια ομάδα • Στη συνέχεια, εφαρμόζεται η πολιτική εξουσιοδότησης στην ομάδα

  22. Υποκείμενα S1 S2 S3 S4 S5 Ομάδες G1 G2 G3 Αντικείμενα O1 O2 O3 O4 O5 O6 Ομάδες χρηστών (Groups)

  23. Windows: Ενδιάμεσοι ΈλεγχοιΠρονόμια (Privileges) • Μια πολιτική ελέγχου πρόσβασης μπορεί να αναφέρεται στις λειτουργίες (operations)που μπορεί να αποτελέσει ένας χρήστης • π.χ. Backup, shutdown,change time.. • Ta προνόμια μπορούν να θεωρηθούν ως ενδιάμεσο στρώμα (layer) μεταξύ υποκειμένων & λειτουργιών

  24. Ομάδες και Άρνηση Δικαιώματος(Negative permissions - Deny) (Gollmann, 2010) • Άρνηση πρόσβασης στο χρήστη s1για το αντικείμενο ο1 παρότι η πρόσβαση επιτρέπεται στην ομάδα g1. • Policy conflict

  25. Άρνηση Δικαιώματος (Negative permissions-Deny) http://securitytf.cs.kuleuven.ac.be/teaching/ClassicAccessControlTechniques.ppt

  26. Εξουσιοδότηση DACΣυμπεράσματα • Πλεονεκτήματα • Ευέλικτο μοντέλο • Εύκολο στην υλοποίηση • Μειονεκτήματα • Οι χρήστες είναι υπεύθυνοι για την επιβολή της πολιτικής ασφαλείας • Δύσκολη διαχείριση

  27. (Sandhu, 1993) Εξουσιοδότηση DAC - Μελέτη ΠερίπτωσηςΕπίθεση Δούρειου Ίππου (Trojan horse attack) Robert: read, write Classified Robert Ivan: read, write Non Classified REJECTED! Black is not allowed To access Classified Read Classified Ivan http://my.fit.edu/~tgillett/swe5900/week1/Access%20Control%20Concepts.ppt

  28. Εξουσιοδότηση DAC - Μελέτη ΠερίπτωσηςΕπίθεση Δούρειου Ίππου (Trojan horseattack) Robert: read, write TH Reads Classified Address Book Manager Robert’s Classified Robert Uses shared program Ivan, Robert: read, write TH Copies Classified To Ivan’s Directory Robert’s Classified Inserts Trojan Horse Into shared program Ivan http://my.fit.edu/~tgillett/swe5900/week1/Access%20Control%20Concepts.ppt

  29. Έλεγχός ροής Αντιστοίχιση σε υποκείμενα & αντικείμενα, ετικετών ασφάλειας (Security Labels) Κανόνες στη ροή πληροφορίας μεταξύ οντοτήτων με διαφορετικές ετικέτες Ροή πληροφορίας σε ένα σύστημα:Yποκείμενα απoκτούν πρόσβαση σε αντικείμενα, π.χ. : Διεργασίες  αρχεία/κατάλογοι Διεργασίες  Διεργασίες Διεργασίες  Εγγραφές ΒΔ … read Object Higher level Bad subject write read Object Lower level Other subject Έλεγχος Ροής ΠληροφορίαςInformation Flow Control (Sandhu, 1993)

  30. Information Flow Policies (Sandhu, 1993) • Ιnformation flow policy • Α triple<SC, →, ⊕> where • SC is a set of security classes • →⊆ SC x SC is a binary can-flow relation on SC, and • ⊕ : SC x SC →SC is a binary join operator • Examples • A → B (info can flow from A to B) • A ↛ B (info cannot flow from A to B) • A⊕B = C (label objects that contain info from A and B, with sec. label C) (Denning, 1976)

  31. Information Flow Policies (Sandhu, 1993)

  32. Information Flow Policies (Sandhu, 1993) • : An information flow policy forms a finite lattice (Denning, 1976) (Figure 1 (b))

  33. Orders and lattice • partial order of a set: binary relation that is • transitive: a ≥ b and b ≥ c then a ≥ c • reflexive: a ≥ a • anti-symmetric/acyclic: a ≥ b and b ≥ a then a = b • total order: like a chain (either a ≥ b or b ≥ a) • lattice: every pair of elements have a least upper bound, and a greatest lower bound • Hasse diagrams depict a partial order (Sandhu, 1993) (DTM course - Daniel Trivellato, 2008)

  34. Information Flow Policies (Sandhu, 1993) • A totally ordered lattice • TS ≥ S ≥ C ≥ U • There are no incomparable classes • A ⊕ B = max(A,B)

  35. Information Flow Policies (Sandhu, 1993) The two lattices (the totally ordered and the subset lattice) are often combined (military and government)

  36. (DTM course - Daniel Trivellato, 2008) TS, {Nuclear, Chemical} TS, {Nuclear} TS, {Chemical} S, {Nuclear, Chemical} TS, {} S, {Nuclear} S, {Chemical} S, {} The Product Lattice • Levels: TS, S and TS > S • Compartments: Nuclear, Chemical • the partial order dominates: (L1,C1) ≥ (L2,C2) iff L1 ≥ L2 and C2C C1 • lub((TS, {Nuclear}), (S, {Nuclear, Chemical})) = • glb((TS, {Nuclear}), (S, {Nuclear, Chemical})) = (TS, {Nuclear, Chemical}) (S, {Nuclear})

  37. Εξουσιοδότηση «Κατ’ Απαίτηση» Mandatory Access Control (MAC) (Sandhu, 1993) • Eυθύνη πολιτικής εξουσιοδότησης:Aπό το χρήστη στο σύστημα • Η πρόσβαση καθορίζεται, ελέγχοντας ετικέτες ασφάλειας (security labels) • Ετικέτες αποδίδονται σε υποκείμενα (security classifications), • Και σε αντικείμενα (security clearance) • Έμφαση: • Eμπιστευτικότητα (Bell-Lapadula) • Ακεραιοτητα (Biba)

  38. Εξουσιοδότηση MACΤο Μοντέλο Bell-LaPadula

  39. Εξουσιοδότηση «Κατ’ Απαίτηση» Mandatory Access Control (MAC) (Sandhu, 1993) • Το μοντέλο Bell-LaPadula • Έμφαση στην εμπιστευτικότητα(confidentiality) • No read up:Κανένα υποκείμενο δε μπορεί να διαβάσει δεδομένα ενός υψηλότερου επιπέδου (simple security property) • No write down:Κανένα υποκείμενο δε μπορεί να γράψει δεδομένα σε ένα χαμηλότερο επίπεδο (*-property) (Bell and LaPadula, 1973) A flow from object to subject A flow from subject to object

  40. http://isis.poly.edu/courses/cs996-management/Lectures/CS%20995%20ISM%20EVAL-2.ppthttp://isis.poly.edu/courses/cs996-management/Lectures/CS%20995%20ISM%20EVAL-2.ppt

  41. Εξουσιοδότηση MACΤο Μοντέλο Biba Στόχος: Προστασία «καθαρών» υποκειμένων/αντικειμένων από «βρώμικη» πληροφορία

  42. Εξουσιοδότηση «Κατ’ Απαίτηση» Mandatory Access Control (MAC) (Sandhu, 1993) • Το μοντέλο Biba • Έμφαση στην ακεραιότητα (integrity) • No read-down:Κανένα υποκείμενο δε μπορεί να διαβάσει δεδομένα από ένα χαμηλότερο επίπεδο (Single Integrity property) • No write-up:Κανένα υποκείμενο δε μπορεί να γράψει δεδομένα σε ένα υψηλότερο επίπεδο (Integrity *-property) (Biba, 1977) Σημείωση: Ένα μοντέλο MAC μπορεί να συμπληρώνει και όχι απαραίτητα να αντικαθιστά ένα μοντέλο DAC (π.χ., O έλεγχος πρόσβασης MAC εκτελείται μετά από τον έλεγχο πρόσβασης DAC)

  43. Biba Cannot “write up” Cannot “read down”

  44. Μοντέλα ΜACΣενάριο Εφαρμογής (Bell-LaPadula) • O George μπορεί να διαβάσει όλα τα αρχεία/έγγραφα • Η Joan δεν μπορεί να διαβάσει τα αρχεία προσωπικού • O Henry μπορεί να διαβάσει μόνον τα logs & manuals • O Henry δεν μπορεί να γράψει στα manuals

  45. Εξουσιοδότηση «Κατ’ Απαίτηση» Mandatory Access Control (MAC) (Sandhu, 1993)

  46. Αρχή “Lowwatermark” Περίπτωση: LOMAC, 2000 Το σύστημα υποστηρίζει δύο επίπεδα ασφάλειας High Integrity(π.χ. System files) Low Integrity (π.χ. Network) Όταν μια διεργασία High δέχεται input από το δίκτυο, υποβιβάζεται στο επίπεδο Low Μοντέλο Biba - ΕπεκτάσειςΔυναμικές Πολιτικές • http://www.gurulabs.com

  47. Windows Vista Mandatory Integrity Control (MIC)

  48. Μια ετικέτα ασφάλειας (secu-rity label) μπορεί να περιέχει Επίπεδα Ασφάλειας (Classifications, Clearances) Κατηγορίες (Categories) Compartment: Σύνολο από κατηγορίες Επεκτάσεις MACCompartmented security mode * Least privilege: Οι κατηγορίες στις ετικέτες ασφάλειας, υπηρετούν την Αρχή της Αναγκαίας Γνώσης (Need to know)

  49. Έλεγχος Πρόσβασης(164,287,292) Μοντέλα ΜAC * (Anderson, 2008)

  50. * (Gollmann, 2010)

More Related