Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 2012-2013 Εξάμηνο: Δ’ Ασφάλεια Υπολογιστών και Προστασία Δεδομένων Ενότητα Δ: Μοντέλα Εξουσιοδότησης.

Παρόμοιες παρουσιάσεις


Παρουσίαση με θέμα: "Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 2012-2013 Εξάμηνο: Δ’ Ασφάλεια Υπολογιστών και Προστασία Δεδομένων Ενότητα Δ: Μοντέλα Εξουσιοδότησης."— Μεταγράφημα παρουσίασης:

1 Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος Εξάμηνο: Δ’ Ασφάλεια Υπολογιστών και Προστασία Δεδομένων Ενότητα Δ: Μοντέλα Εξουσιοδότησης (Authorization) Εμμανουήλ Μάγκος

2 Syllabus 1. Μοντέλα και Πολιτικές Ελέγχου Πρόσβασης (Εξουσιοδότησης)  Έλεγχος ροής κυκλοφορίας (information flow control)  Πολιτικές MAC, DAC, RBA 2. Έλεγχος Πρόσβασης Συστήματος και Ασφάλεια Λ.Σ  Το μοντέλο Ασφάλειας των Windows 3. Άλλα Θέματα στον Έλεγχο Πρόσβασης  Επίπεδα Προστασίας  Κριτήρια για την Πρόσβαση  Διαχείριση Ελέγχου Πρόσβασης  Άλλα θέματα 4. Καταγραφή & Παρακολούθηση, Ανίχνευση  Logging and Monitoring  Intrusion Detection & Intrusion Prevention

3 1. Authorization & Information Flow Control

4 Έλεγχος Λογικής Πρόσβασης & Εξουσιοδότηση (Authorization)

5 Αντικείμενα (objects) Υποκείμενα (Subjects) Τύπος Πρόσβασης π.χ. πόροι που χρειάζονται προστασία (μνήμη, αρχεία, φάκελοι, υπηρεσίες, συσκευές,.) π.χ. Εφαρμογές που ζητούν πρόσβαση σε πόρους, εν’ ονόματι μιας οντότητας (χρήστες, Ομάδες, Η/Υ..) π.χ. Ανάγνωση, Εγγραφή, Εκτέλεση.. Πολιτική Εξουσιοδότησης: Κανόνες που καθορίζουν ποια υποκείμενα έχουν τι είδους πρόσβαση σε ποια αντικείμενα

6 Έλεγχος Λογικής Πρόσβασης Συστατικά Στοιχεία Reference monitor op on o s o op s Καταγραφή Εξουσιοδότηση Ταυτοποίηση Ποιος είναι ο s; Τι op μπορεί να κάνει ο s στο o; Τι έκανε (ή προσπάθησε να κάνει ο s;)

7 Έλεγχος Λογικής Πρόσβασης Συστατικά Στοιχεία 1. Τεχνολογίες Αυθεντικοποίησης  Αυθεντικοποίηση Οντότητας (π.χ. Passwords, Challenge-Response,…) 2. Πολιτική Εξουσιοδότησης  Ένα μοντέλο καθορισμού των εξουσιοδοτημένων προσβάσεων  Πολιτικές DAC, MAC, RBAC,…  Σύνολο κανόνων που καθορίζει τι είδους πρόσβαση έχουν τα υποκείμενα σε άλλα υποκείμενα/αντικείμενα 3. Reference monitor  Επιβλέπει την υλοποίηση των πολιτικών εξουσιοδότησης  Αποτελεί κομμάτι του πυρήνα (kernel) του Λ.Σ 4. Καταγραφή και Παρακολούθηση  Ασφάλεια Αρχείων Καταγραφής και Πολιτικές Παρακολούθησης  Ανίχνευση και Αποτροπή Εισβολών (IDS, IPS)

8 Βασικές Έννοιες Δικαιώματα Πρόσβασης (Permissions) writereadappendexecute observeXX alterXX Δικαιώματα Πρόσβασης στο μοντέλο ασφάλειας των Bell-LaPadula

9 Δικαιώματα Πρόσβασης Περίπτωση: Unix  1 : Τύπος αρχείου.  2 – 4 : Τα δικαιώματα του ιδιοκτήτη (owner).  5 – 7 : Τα δικαιώματα της ομάδας (group).  8 – 10 : Ta δικαιώματα των υπολοίπων (world). ΔικαιώματαΣημασία - rwx rwx rwxΑρχείο. Όλοι δικαιούνται Ανάγνωση, Εγγραφή και Εκτέλεση - rwx r-x r-x Αρχείο. Όλοι δικαιούνται Ανάγνωση και Εκτέλεση αλλά μόνο ο ιδιοκτήτης δικαιούται εγγραφή. d rwx Φάκελος. Ο ιδιοκτήτης δικαιούται Ανάγνωση, Εγγραφή, Εκτέλεση

10  Σε φάκελο:  read: λίστα περιεχομένων  write: δημιουργία, διαγραφή ή μετονομασία αρχείων του φακέλου  execute: Πρόσβαση στον φάκελο (enter, open files,..)  Σε αρχείο:  read: Ανάγνωση του αρχείου  write: Εγγραφή στο αρχείο  execute: Εκτέλεση του αρχείου Δικαιώματα Πρόσβασης Περίπτωση: Unix

11 Βασικές Έννοιες Πίνακας Ελέγχου Πρόσβασης (Access Control Matrix)  Αφηρημένη έννοια: Ένας πίνακας με υποκείμενα, αντικείμενα, & τις ενέργειες (δικαιώματα) των υποκειμένων στα αντικείμενα  Ζητήματα  Πλήθος υποκειμένων/ αντικειμένων (scalability)  Ένα υποκείμενο μπορεί να γίνει αντικείμενο σε κάποιο context  Για μεγαλύτερη ευελιξία, ο καθορισμός των δικαιωμάτων μπορεί να είναι προσανατολισμένος: 1. Στα Αντικείμενα  Λίστες Ελέγχου Πρόσβασης 2. Στa υποκείμενα (principals)  Λίστες Δυνατοτήτων *

12 Βασικές Έννοιες Λίστες Ελέγχου Πρόσβασης  Ποια δικαιώματα έχουν ποια υποκείμενα επάνω σε ένα αντικείμενο;  Ουσιαστικά αποτελεί θεώρηση ενός Πίνακα Ελέγχου Πρόσβασης ανά στήλες  Χρησιμοποιούνται ευρέως σε:  Λ.Σ., Β.Δ.,…  Εφαρμογές  Πολιτικές πρόσβασης σε δικτυακές συσκευές  …

13 Βασικές Έννοιες Λίστες Ελέγχου Πρόσβασης (Access Control Lists) *

14 (Tanenbaum & Van Steen, 2007).

15 Βασικές Έννοιες Λίστες Ικανοτήτων (Capability Lists) *

16  Ποια δικαιώματα έχει ένα υποκείμενο επάνω σε ποια αντικείμενα;  Ουσιαστικά αποτελεί θεώρηση ενός Πίνακα Ελέγχου Πρόσβασης ανά γραμμές  Παραδείγματα  ~ Προνόμια χρηστών (Windows)  ~Πιστοποιητικά ιδιοτήτων (attribute certificates),…  Το σύστημα επιτρέπει στο υποκείμενο την πρόσβαση σε ένα αντικείμενο, σύμφωνα με τη λίστα δυνατοτήτων

17 Βασικές Έννοιες Λίστες Ικανοτήτων (Capability Lists) (Tanenbaum & Van Steen, 2007).

18 Λίστες Ικανοτήτων Case: Attribute Certificates

19 Μοντέλα Εξουσιοδότησης 1. «Κατά Διάκριση» (DAC – Discretionary Access Control): Προσανατολισμένο στην ταυτότητα του υποκειμένου  Διακριτικό: Ένα υποκείμενο μεταβιβάζει (ανακαλεί) δικαιώματα σε (από) άλλα υποκείμενα για αντικείμενα που «κατέχει» 2. «Κατ’ απαίτηση» (MAC-Mandatory Access Control): Προσανατολισμένο στη διαβάθμιση αντικειμένων & υποκειμένων  Ετικέτες ασφαλείας (classification labels) στα υποκείμενα και τα αντικείμενα του συστήματος  Υποχρεωτικό: Ένα υποκείμενο δεν μπορεί να μεταβιβάσει δικαιώματα 3. «Βασισμένη σε Ρόλους» (RBAC – Role based Access Control): Προσανατολισμένο στον ρόλο (ή ρόλους) που έχει ένα υποκείμενο  Ρόλος: σύνολο από ενέργειες-ευθύνες TCSEC (DOD, 1985) (NIST Standard, 2001)

20 Εξουσιοδότηση «Κατά Διάκριση» Discretionary Access Control (DAC) 1. Κάθε αντικείμενο (πόρος) έχει έναν ιδιοκτήτη (υποκείμενο) 2. Ο ιδιοκτήτης διαχειρίζεται (μεταβίβαση/ανάκληση) δικαιώματα πρόσβασης για a) αντικείμενα που του ανήκουν, ή b) αντικείμενα που δημιουργεί 3. …καθορίζει το είδος πρόσβασης  π.χ. ανάγνωση, εγγραφή, εκτέλεση 4....βάσει ταυτότητας υποκειμένου που αιτείται πρόσβαση:  Όνομα (π.χ. SID), Group Παράδειγμα: O ιδιοκτήτης επιτρέπει την ανάγνωση του αρχείου από τον Bob, και από μέλη της ομάδας Λογιστικής (Accounting)

21 Windows: Ενδιάμεσοι Έλεγχοι Ομάδες (Groups)  ACL: Διαχείριση δικαιωμάτων ανά υποκείμενο: δύσκολη  Λύση: Ομάδες (Groups) – Απλοποιούν την εξουσιοδότηση 1. Χρήστες με «παρεμφερή» δικαιώματα πρόσβασης, θα καταχωρηθούν σε μια ομάδα 2. Στη συνέχεια, εφαρμόζεται η πολιτική εξουσιοδότησης στην ομάδα

22 Ομάδες χρηστών (Groups) G1G2G3 S1S2S3S4S5 O1O2O3O4O5O6 Υποκείμενα Ομάδες Αντικείμενα

23 Windows: Ενδιάμεσοι Έλεγχοι Προνόμια (Privileges)  Μια πολιτική ελέγχου πρόσβασης μπορεί να αναφέρεται στις λειτουργίες (operations) που μπορεί να αποτελέσει ένας χρήστης  π.χ. Backup, shutdown, change time..  Ta προνόμια μπορούν να θεωρηθούν ως ενδιάμεσο στρώμα (layer) μεταξύ υποκειμένων & λειτουργιών

24  Άρνηση πρόσβασης στο χρήστη s 1 για το αντικείμενο ο 1 παρότι η πρόσβαση επιτρέπεται στην ομάδα g 1.  Policy conflict Ομάδες και Άρνηση Δικαιώματος (Negative permissions - Deny) (Gollmann, 2010)

25 Άρνηση Δικαιώματος (Negative permissions -Deny)

26 Εξουσιοδότηση DAC Συμπεράσματα  Πλεονεκτήματα  Ευέλικτο μοντέλο  Εύκολο στην υλοποίηση  Μειονεκτήματα  Οι χρήστες είναι υπεύθυνοι για την επιβολή της πολιτικής ασφαλείας  Δύσκολη διαχείριση

27 Classified Non Classified Robert: read, write Ivan: read, write Read Classified REJECTED! Black is not allowed To access Classified Ivan Robert Εξουσιοδότηση DAC - Μελέτη Περίπτωσης Επίθεση Δούρειου Ίππου (Trojan horse attack) (Sandhu, 1993)

28 Robert’s Classified Robert: read, write Ivan, Robert: read, write Robert Ivan Address Book Manager Inserts Trojan Horse Into shared program Uses shared program THReadsClassified THCopiesClassified To Ivan’s Directory Εξουσιοδότηση DAC - Μελέτη Περίπτωσης Επίθεση Δούρειου Ίππου (Trojan horse attack)

29 Έλεγχος Ροής Πληροφορίας Information Flow Control Έλεγχός ροής 1. Αντιστοίχιση σε υποκείμενα & αντικείμενα, ετικετών ασφάλειας (Security Labels) 2. Κανόνες στη ροή πληροφορίας μεταξύ οντοτήτων με διαφορετικές ετικέτες  Ροή πληροφορίας σε ένα σύστημα: Yποκείμενα απoκτούν πρόσβαση σε αντικείμενα, π.χ. :  Διεργασίες  αρχεία/κατάλογοι  Διεργασίες  Διεργασίες  Διεργασίες  Εγγραφές ΒΔ  … Bad subject Object Other subject Object read write read Higher level Lower level (Sandhu, 1993)

30 Information Flow Policies (Sandhu, 1993)  Ιnformation flow policy  Α triple where  SC is a set of security classes  → ⊆ SC x SC is a binary can-flow relation on SC, and  ⊕ : SC x SC → SC is a binary join operator  Examples  A → B (info can flow from A to B)  A ↛ B (info cannot flow from A to B)  A ⊕ B = C (label objects that contain info from A and B, with sec. label C) (Denning, 1976)

31 Information Flow Policies (Sandhu, 1993)

32 Information Flow Policies (Sandhu, 1993)  : An information flow policy forms a finite lattice (Denning, 1976) (Figure 1 (b))

33 Orders and lattice  partial order of a set: binary relation that is  transitive: a ≥ b and b ≥ c then a ≥ c  reflexive: a ≥ a  anti-symmetric/acyclic: a ≥ b and b ≥ a then a = b  total order: like a chain (either a ≥ b or b ≥ a)  lattice: every pair of elements have a least upper bound, and a greatest lower bound (DTM course - Daniel Trivellato, 2008)  Hasse diagrams depict a partial order (Sandhu, 1993)

34 Information Flow Policies  A totally ordered lattice  TS ≥ S ≥ C ≥ U  There are no incomparable classes  A ⊕ B = max(A,B) (Sandhu, 1993)

35 Information Flow Policies (Sandhu, 1993) The two lattices (the totally ordered and the subset lattice) are often combined (military and government)

36  Levels: TS, S and TS > S  lub((TS, {Nuclear}), (S, {Nuclear, Chemical})) =  glb((TS, {Nuclear}), (S, {Nuclear, Chemical})) = (TS, {Nuclear, Chemical}) (S, {Nuclear}) TS, {Nuclear, Chemical} TS, {Nuclear}TS, {Chemical} S, {Nuclear, Chemical} TS, {} S, {} S, {Nuclear}S, {Chemical}  the partial order dominates:(L 1,C 1 ) ≥ (L 2,C 2 ) iff L 1 ≥ L 2 and C 2 C C 1  Compartments: Nuclear, Chemical The Product Lattice (DTM course - Daniel Trivellato, 2008)

37 Εξουσιοδότηση «Κατ’ Απαίτηση» Mandatory Access Control (MAC)  Eυθύνη πολιτικής εξουσιοδότησης: Aπό το χρήστη στο σύστημα  Η πρόσβαση καθορίζεται, ελέγχοντας ετικέτες ασφάλειας (security labels)  Ετικέτες αποδίδονται σε υποκείμενα (security classifications),  Και σε αντικείμενα (security clearance)  Έμφαση:  Eμπιστευτικότητα (Bell-Lapadula)  Ακεραιοτητα (Biba) (Sandhu, 1993)

38 Εξουσιοδότηση MAC Το Μοντέλο Bell-LaPadula

39 A. Το μοντέλο Bell-LaPadula  Έμφαση στην εμπιστευτικότητα (confidentiality) 1. No read up: Κανένα υποκείμενο δε μπορεί να διαβάσει δεδομένα ενός υψηλότερου επιπέδου (simple security property) 2. No write down: Κανένα υποκείμενο δε μπορεί να γράψει δεδομένα σε ένα χαμηλότερο επίπεδο (*-property) Εξουσιοδότηση «Κατ’ Απαίτηση» Mandatory Access Control (MAC) (Bell and LaPadula, 1973) A flow from object to subject A flow from subject to object (Sandhu, 1993)

40

41 Εξουσιοδότηση MAC Το Μοντέλο Biba Στόχος: Προστασία «καθαρών» υποκειμένων/αντικειμένων από «βρώμικη» πληροφορία

42 B. Το μοντέλο Biba  Έμφαση στην ακεραιότητα (integrity) 1. No read-down: Κανένα υποκείμενο δε μπορεί να διαβάσει δεδομένα από ένα χαμηλότερο επίπεδο (Single Integrity property) 2. No write-up: Κανένα υποκείμενο δε μπορεί να γράψει δεδομένα σε ένα υψηλότερο επίπεδο (Integrity *-property) Εξουσιοδότηση «Κατ’ Απαίτηση» Mandatory Access Control (MAC) (Biba, 1977) (Sandhu, 1993) Σημείωση: Ένα μοντέλο MAC μπορεί να συμπληρώνει και όχι απαραίτητα να αντικαθιστά ένα μοντέλο DAC (π.χ., O έλεγχος πρόσβασης MAC εκτελείται μετά από τον έλεγχο πρόσβασης DAC)

43 Biba Cannot “write up” Cannot “read down”

44 Μοντέλα ΜAC Σενάριο Εφαρμογής (Bell-LaPadula)  O George μπορεί να διαβάσει όλα τα αρχεία/έγγραφα  Η Joan δεν μπορεί να διαβάσει τα αρχεία προσωπικού  O Henry μπορεί να διαβάσει μόνον τα logs & manuals  O Henry δεν μπορεί να γράψει στα manuals Επίπεδο ΑσφάλειαςSubjectObject Top SecretGeorgePersonnel files SecretJoan ConfidentialHenryApplication logs UnclassifiedMarkSystem manuals

45 Εξουσιοδότηση «Κατ’ Απαίτηση» Mandatory Access Control (MAC) (Sandhu, 1993)

46  Αρχή “Low watermark”  Περίπτωση: LOMAC, 2000 Το σύστημα υποστηρίζει δύο επίπεδα ασφάλειας  High Integrity (π.χ. System files)  Low Integrity (π.χ. Network) Όταν μια διεργασία High δέχεται input από το δίκτυο, υποβιβάζεται στο επίπεδο Low •http://www.gurulabs.com Μοντέλο Biba - Επεκτάσεις Δυναμικές Πολιτικές

47 Windows Vista Mandatory Integrity Control (MIC)

48  Μια ετικέτα ασφάλειας (secu- rity label) μπορεί να περιέχει  Επίπεδα Ασφάλειας (Classifications, Clearances)  Κατηγορίες (Categories)  Compartment: Σύνολο από κατηγορίες Least privilege: Οι κατηγορίες στις ετικέτες ασφάλειας, υπηρετούν την Αρχή της Αναγκαίας Γνώσης (Need to know) Επεκτάσεις MAC Compartmented security mode *

49 Έλεγχος Πρόσβασης(164,287,292) Μοντέλα ΜAC (Anderson, 2008) *

50 (Gollmann, 2010) *

51  Πλεονεκτήματα  Το σύστημα ελέγχει την επιβολή της πολιτικής εξουσιοδότησης και όχι οι χρήστες  Καλύτερος έλεγχος στη ροή της πληροφορίας από ασφαλή προς μη ασφαλή επίπεδα και αντίστροφα  Αντιμετωπίζει με επιτυχία προβλήματα τύπου “επίθεση trojan horse”  Μειονεκτήματα  Έλλειψη ευελιξίας (στατικές πολιτικές) Εξουσιοδότηση «Κατ’ Απαίτηση» Mandatory Access Control (MAC)

52 Protection Rings Protection rings are mainly used for integrity protection.

53 Έλεγχος Πρόσβασης Multilevel & Multirateral Security  Μοντέλα: Chinese Wall, BMA,… Συχνά, ο σκοπός δεν είναι να προστατέψουμε τη ροή της πληροφορίας «καθέτως» (δηλαδή, εντός ενός συστήματος), αλλά «οριζοντίως» (π.χ. μεταξύ διαφορετικών συστημάτων ή τμημάτων του ίδιου συστήματος

54 Multilateral Security  Μοντέλο Σινικού Τείχους (Chinese Wall) Ο John συμβουλεύει την Bank A για επενδυτικά προγράμματα. H Bank B συμβουλεύει τον John για επενδυτικά προγράμματα: Σύγκρουση συμφερόντων (COI-Conflict Of Interest)

55 Έλεγχος Πρόσβασης Μοντέλα ΜAC – To μοντέλο Clark-Wilson (1987)  Το μοντέλο Clark-Wilson επίσης κατηγοριοποιεί τα δεδομένα σε:  Χαμηλής διαβάθμισης – UDI (Unconstrained Data Items)  Υψηλής διαβάθμισης – CDI (Constrained Data Ιtem)  Δίνει έμφαση στην ακεραιότητα  Οι ταυτοποιημένοι χρήστες (Users) επιτρέπεται να τροποποιούν τα UDI  Μια οντότητα (TP) τροποποιεί τα CDI εκ μέρους των χρηστών  (TP–Transformation Procedures) Περίπτωση: ένα Σύστημα e-banking Οι πληροφορίες λογαριασμού της Kathy To profile της Kathy Η Kathy ενημερώνει το profile της Η TP ενημερώνει το λογαριασμό (Α) της Alice, ως συνέπεια της μεταφοράς 50$ από το λογαριασμό (Β) που η Alice διατηρεί στην τράπεζα

56 Έλεγχος Πρόσβασης Μοντέλα ΜAC – To μοντέλο Clark-Wilson

57 To μοντέλο Clark-Wilson  Η οντότητα IVP επαληθεύει  την ορθότητα της συναλλαγής (well-formed transactions)  τη συνέπεια των καταστάσεων (consistent states)  H επαλήθευση γίνεται:  Εσωτερικά  Η νέα τιμή των CDI είναι ορθή  Εξωτερικά  Η αλλαγή στην κατάσταση του συστήματος έγινε ορθώς Η Kathy είχε 2000$ & κατέθεσε 50$, επομένως το νέο υπόλοιπο πρέπει να είναι 2050$ Η πίστωση του λογαριασμού Α της Alice με 50$, αντιστοιχεί στη χρέωση του λογαριασμού Β με 50$

58 To μοντέλο Clark-Wilson  Το μοντέλο επίσης υποστηρίζει: 1. Καταγραφή συμβάντων (auditing) 2. Διάκριση Καθηκόντων (Separation of duties) π.χ. Αν ένας πελάτης μεταφέρει άνω των 10000$, το σύστημα απαιτεί την έγκριση από δύο οντότητες •Όλες οι Συναλλαγές καταγράφονται

59 Towards a new access model…

60  Solution: RBAC  Access is through roles  Cases: Hospital, Bank,…  Advantages  Extends old access model (= users related to permissions)  Roles are relatively stable, while users come and go  Data abstraction: Emphasis to functions & information  Reduce complexity, cost, error in assigning user permissions To Μοντέλο RBAC Role-Based Access Control  Motivation  DAC is too flexible (allows wrong behaviour)  Users do not “own” info for which they have access  Need for centrally controlling and maintaining access rights  MAC is too rigid (extremely high security)  Gives emphasis on sensitivity labels of subjects & objects * ( Ferraiolo and Kuhn, 1992) *,*, Concern: Who reads/writes which info Concern: Who owns which info (NIST Standard, 2001) * *,*, *

61 Role-based Access Control (RBAC) palace weapons uniform Athos Porthos Aramis D'Artagnan Musketeer palace weapons uniform Athos Porthos Aramis D'Artagnan DAC RBAC (Rajput &Cherukuri, 1996)

62 To Μοντέλο RBAC Role-Based Access Control  What is a Role?  A job function or job title, with associated semantics  Stable: activities or functions change less frequently  Motivations for building a role  Competency for specific tasks  Physician, Pharmacist  Authority and responsibility  Project supervisor  Duty assignments rotated through multiple users  Duty physician, shift manager  …  Roles vs Groups  Groups: Collection of users  Role: Collection of users (one side) and of permissions (other)  Groups: Easier to see group members than group permissions  UNIX: Traversal of filesystem tree to see Group permissions  Groups: decentralized assignment of permissions (Sandhu, 1997)

63 The RBAC Model Li et al, 2007) ( Ferraiolo and Kuhn, 2009,

64  Role: Doctor  Functions 1. Enter a diagnosis 2. Prescribe medication (=read/write access to prescription files) 3. Add an entry to a record of treatments performed on a patient 4...  Members: Dr. A. V. Smith, Dr. M. Kein,…  Role: Nurse  Functions 1. Read treatments performed on a patient 2. …  Members: Ms. D. J. Hail, Mr. A. Robins,…  Role: Pharmacist  Functions 1. Dispense (not prescribe) drugs (= read access to prescription files) 2. …  Members: Ms. D. V. Mapel, Mr. A. F. Johnson,…

65 NIST RBAC Model (NIST Standard, 2001)

66 NIST RBAC Model 1. Flat RBAC (also referred to as RBAC 0 )  User: Human Being.Typically, he/she may cor- respond to one or more subjects (active user processes)  Role: Job function or job title  Permission: High-level privilege; always positive. Typically, translated to an operation to one or more system objects. (NIST Standard, 2001) (Sandhu, 1997) (Ferraiolo et al, 1995) *

67 SQL  Database – Update Insert Append  Delete Locks – Open Close  Reports – Create View Print  Applications – Read Write Execute Operations and Objects  Operation. An execution of an a program specific function that’s invocated by a user. (Rajput &Cherukuri, 1996)  Object. An entity that contains or receives information, or has exhaustible system resources.  OS Files or Directories  DB Columns, Rows, Tables, Views  Printer  Disk Space  Lock Mechanisms (Ferraiolo et al, 1995)

68 User Assignment Ένας χρήστης μπορεί να Υποδύεται έναν ή Περισσότερους ρόλους Ανάπτυξη Χρήστες Ρόλοι Τεχνική Υποστήριξη Ένας ρόλος μπορεί να Αντιστοιχεί σε έναν ή Περισσότερους χρήστες  When a new person enters the organization, admin grants him/her membership to an existent role  When a person’s function changes, the user membership to roles can be updated  When a person leaves the organization, all memberships to all roles are deleted (Rajput &Cherukuri, 1996) ( Ferraiolo and Kuhn, 2009)

69 User Assignment (Rajput &Cherukuri, 1996) ♪ User.DB1 View Update Append Users set User.DB1 User.F1 permissions object User.F1 User.F2 User.F3 User.DB1 Admin.DB1 Roles set User.F1 Read Write Execute permissions object Permissions

70 User Assignment aka: Role authorization  Association of a user to a role can be subject to the following  Give user no more privilege than necessary to his/her job  Least Privilege Principle  Role is not mutually exclusive with another role he/she is member of  Not exceed numerical constraints that exist for role membership  … (Ferraiolo et al, 1995) *

71 Permission Assignment A prms can be assigned to one or more roles Admin.DB1 PRMS set ROLES set A role can be assigned to one or more prms User.DB1 View Update Append Create Delete Drop

72 NIST RBAC Model 1. Flat RBAC – User Sessions (Sandhu, 1997) (NIST Standard, 2001) Session  A mapping of one user to many roles  In a session, a user may choose to (simultaneously) activate subset of roles he/she is member of Session  Permissions available: union of permissions from activated roles  A user should be allowed to login to a system with necessary roles  Least Privilege principle (Sandhu, 1997)

73 Sessions (Rajput &Cherukuri, 1996) The set of sessions that each user invokes. USER guest user admin invokes SQL DB1.table1 FIN1.report1 APP1.desktop SESSION

74 Role Activation  A role can be activated if:  User U authorized for the role being proposed for activation  Activation not mutually exclusive with any other active role(s) of U  Proposed op authorized for role that is proposed for activation  Proposed operation is consistent with constraints  … (Ferraiolo et al, 1995)

75 ANSI RBAC Standard 1. Flat RBAC - Getting Formal.. (ANSI INCITS )

76 NIST RBAC Model 2. Hierarchical RBAC (also referred to as RBAC 1 ) (NIST Standard, 2001) (Sandhu, 1997)  Motivation  When operations overlap, hierarchies of roles can be established  Hierarchy  Role-role relationship  Models structure of enterprise  Simplifies administration  Manager role inherits permissions of Clerk role  A user assigned to Manager role can activate the clerk role (Ferraiolo et al, 1995) Manager Administrator Clerk (Rajput &Cherukuri, 1996)

77  Membership to Doctor, implies access to transactions defined by:  Intern, Healer, Doctor  Membership to Healer: access only to resources allowed under Healer (Ferraiolo and Kuhn, 2009) Roles Hierarchy: Example

78 NIST RBAC Model 2. Hierarchical RBAC (also referred to as RBAC 1 ) (NIST Standard, 2001) (Sandhu, 1997) Doctor Cardiologist “contains” Specialist “contains” Employee Dermatologist privilegeprivilege membershipmembership NIST Secretary ITL Secretary MEL Secretary CSD Secretary Comp Security Division a-Limited Hierarchies b-General Hierarchies Jill (Rajput &Cherukuri, 1996)

79 Inverted trees do not allow aggregation of resources from more than one role Issue: there can be no sharing of resources between project 1 and project 2 roles Senior roles (3a, 3b) aggregate too much power (what about: fraud, mistakes?)

80 Hierarchical RBAC Limited Inheritance Private Role (Sandhu et al, 1996) *

81 Hierarchical RBAC Limited Inheritance (Sandhu, 1997)

82 Correct: condition: ANSI RBAC Standard 2. Hierarchical RBAC - Getting Formal.. (ANSI INCITS , Correct: r ≥ r’ Li et al, 2007) (Li et al, 2007)

83 NIST RBAC Model 3. Constrained RBAC (also referred to as RBAC 2 ) (NIST Standard, 2001) (Sandhu et al, 1996)  User assignment constraints  Static SOD,  max number of users/role,  prerequisite roles,…  Permission assignment constraints  max number of roles/permission  Permission p is assigned to r only if r possesses q  ABAC (role-centric)  Session constraints  Dynamic SOD, max no of activated roles  Terminate session if inactive too long,…  Role hierarchy constraints  Max number of senior roles /role (Sandhu, 1997) *

84 Constrained RBAC Separation of Duties (SOD) Two flavours: 1. Static SOD (mutually exclusive roles)  Compliance determined during user-role assignment 2. Dynamic SOD  Compliance determined during roles activation in user sessions  System checks role AND user ID for checking access Ferraiolo & Kuhn, 2009, Problem:  Fraud & errors from collaboration between job related capabilities  Conflict of Interest (COI)  e.g., Initiate & authorize payment, programmer and program tester,… Solution:  Separation Of Duty (SOD)  Tasks partitioning among roles to prevent gathering much authority  Supports least privilege principle No one who performs the initiator role could also perform the authorizer role One can take both roles but not for a payment that he/she initiated ! NIST Standard, 2001) (Sandhu, 1997,

85 Constrained RBAC Separation of Duties (SOD) Constraints are inherited within a role hierarchy (NIST Standard, 2001)

86 Constrained RBAC Dynamic SOD  User authorized as member of a set of roles, which:  don’t constitute COI when acted in independently, .. do constitute COI when acted in simultaneously !  Dynamic SOD provides greater flexibility (NIST Standard, 2001)  User can be member of 2 roles, but cannot be active to both at the same time!

87 ANSI RBAC Standard 3. Constrained RBAC - Getting Formal.. (1/2) (ANSI INCITS , Li et al, 2007)

88 ANSI RBAC Standard 3. Constrained RBAC - Getting Formal.. (2/2) (ANSI INCITS , Li et al, 2007)

89 NIST RBAC Model 4. Symmetric RBAC  Level 1  Interface for the review of user-role assignment  Level 2  Interface for review of roles inherited by the assigned roles  Level 4  Interface for permission-role review for a user or role  Complete set of objects associated with permissions  … (NIST Standard, 2001) Motivation:  Review permissions within the enterprise. Scenarios:  A user departs  Revoke permissions  A user changes jobs or responsibilities in enterprise  Revoke and/or give new  Existing permissions obsolete  … ♪

90 Role Engineering and Management  Role Engineering  Develop an RBAC structure for an organization  Tasks: 1. Design roles in large systems 1. What the users’ jobs are? 2. Define minimum privileges 2. Assign Permissions to Roles 3. Assign Users to Roles 4. Assign roles to roles (= define Hierarchies) 5. Define & enforce Constraints 6. Define policies for revoking memberships, permissions  Challenges  Who does it?  Design roles in large systems,…  Future: Waiting for ISO standard (Sandhu, 1997, Coyne et al, 2011) * (Dridi et al, 2004)

91 Role Engineering and Management (Dridi et al, 2004)

92 Role Engineering and Administration (Sandhu, 1997)

93 The ARBAC97 model for RBAC administration (Sandhu, 1997) User-Role Assignment Permission-Role Assignment

94 The ARBAC97 model for RBAC administration (Sandhu, 1997) Role-Role Assignment

95 Future: Adding Attributes to RBAC  Motivation  Support of dynamic attributes (e.g. time of day, network address,…)  ABAC (attribute-based AC)  Goal: Add attributes & rules to make RBAC simpler and flexible  Option 7 (Dynamic Roles)  Attributes used to determine the subject’s role (Kuhn et al, 2010) Rule: Allow access if subject is teller working from 7.30 am to 5.00 pm *  Option 8 (Attribute-centric)  A role is just one of many attributes  Option 9 (Role-centric)  Attributes are added to constrain RBAC

96 Some of the Vendors Offering RBAC Products (Rajput &Cherukuri, 1996) *,*, ♪

97 2. Άλλα Θέματα στον Έλεγχο Πρόσβασης

98 Έλεγχος Πρόσβασης –Στρώματα Προστασίας Access Control Layers Διαχειριστικοί Έλεγχοι  Πολιτικές  Διαδικασίες  Διαχείριση προσωπικού  Εκπαίδευση & επιμόρφωση  Έλεγχος (Audit)  Δοκιμές  … Φυσικοί Έλεγχοι  Ασφάλεια περιμέτρου  (Φυσική) Κατάτμηση δικτύου  Ασφάλεια συσκευών  Διαχωρισμός περιοχών εργασίας  Αντίγραφα δεδομένων  Καλωδίωση  … Λογικοί Έλεγχοι  Πρόσβαση στο σύστημα  (Λογική) Κατάτμηση δικτύου  Πρόσβαση στο δίκτυο  Πρωτόκολλα ασφάλειας  Δοκιμές διείσδυσης  Καταγραφή και παρακολούθηση  … •http://www.hyperlearn.com

99 Έλεγχος Πρόσβασης –Στρώματα Προστασίας Access Control Layers Α. Διαχειριστικοί Έλεγχοι  Πολιτικές & Διαδικασίες  Διαχείριση προσωπικού  Εκπαίδευση & επιμόρφωση  Έλεγχος •http://www.hyperlearn.com Πολιτικές: η θεώρηση της ασφάλειας από τη σκοπιά τη Διοίκησης. Διαδικασίες, Πρότυπα & Οδηγίες: Υποστηρίζουν την πολιτική ασφάλειας Άθρωποι: ο πλέον αδύναμος κρίκος στο πρόγραμμα ασφάλειας. Η σωστή και συνεχής εκπαίδευση μπορεί να μειώσει πολλούς κινδύνους Ενέργειες (ως προς την ασφάλεια) κατά την πρόσληψη, απόλυση, μετάθεση, προαγωγή κλπ. Επίσης, διάκριση καθηκόντων, εναλλαγή θέσεων εργασίας κλπ Συνεχείς δοκιμές και έλεγχος των μηχανισμών & διαδικασιών ασφάλειας (π.χ. ασκήσεις ετοιμότητας για φυσικές καταστροφές, συνεντεύξεις με υπαλλήλους,…

100 Έλεγχος Πρόσβασης –Στρώματα Προστασίας Access Control Layers Β. Φυσικοί Έλεγχοι  Ασφάλεια περιμέτρου  (Φυσική) Κατάτμηση δικτύου  Ασφάλεια συσκευών  Διαχωρισμός περιοχών εργασίας  Αντίγραφα δεδομένων  Καλωδίωση  … •http://www.hyperlearn.com Φρουροί ασφάλειας, κλειστό κύκλωμα TV, φράχτες, ανιχνευτές κίνησης κλπ Π.χ. Κλειδαριές στο κάλυμμα του Η/Υ, αφαίρεση οδηγών floppy & CD/DVD, ασφάλεια εκπομπών (emanation security),… Π.χ. οι Η/Υ με τις ΒΔ των πελατών τοποθετούνται σε συγκεκριμένη αίθουσα, με φυσική προστασία (π.χ. τοίχος, πόρτες, κλειδαριά). Οι κόμβοι, patch panels, δρομολογητές & δικτυακές συσκευές ομοίως. Ομάδες υπαλλήλων με συναφείς αρμοδιότητες, έχουν διακριτούς χώρους εργασίας. Η πρόσβαση σε κάθε χώρο προστατεύεται με μέτρα φυσικής ασφάλειας Διαδικασίες για τη λήψη, φύλαξη αντιγράφων, & ανάκτηση κρίσιμων δεδομένων μετά από ένα σφάλμα, επείγον περιστατικό, καταστροφή κλπ Είδος καλωδίων που θα επιλεγεί (π.χ. αντοχές κάθε τύπου σε παρεμβολές, θόρυβο & υποκλοπές), διαδικασίες καλωδίωσης κλπ

101 Έλεγχος Πρόσβασης –Στρώματα Προστασίας Access Control Layers Γ. Λογικοί Έλεγχοι  Πρόσβαση στο σύστημα  (Λογική) Κατάτμηση δικτύου  Πρόσβαση στο δίκτυο  Πρωτόκολλα ασφάλειας  Δοκιμές διείσδυσης  Καταγραφή και παρακολούθηση  … •http://www.hyperlearn.com Τεχνικές Ταυτοποίησης (PKI, passwords, smartcards. Kerberos, Radius), & Εξουσιοδό-τησης υποκειμένου (π.χ. έλεγχος ετικέτας ασφάλειας σε MAC) Παρακολούθηση (π.χ. συστήματα IDS), & καταγραφή (logging) των δραστηριοτήτων και των ενεργειών στο δίκτυο και στα συστήματα Λογικός διαχωρισμός (π.χ. IP networks, subnet masks, VLANs) (Κυρίως) κρυπτογραφικά πρωτόκολλα για την προστασία της μυστικότητας, ακεραιότητας & αυθεντικότητας των επικοινωνιών & των δεδομένων Penetration testing: Διενέργεια επιθέσεων (white hat) με σκοπό την διαπίστωση των ευπαθειών του προγράμματος ασφάλειας Routers, firewalls, switches, bridges,…

102

103 Έλεγχος Πρόσβασης –Στρώματα Προστασίας Access Control Layers

104 Ασφάλεια – Στρώματα Προστασίας Πρόληψη – Ανίχνευση & Αντιμετώπιση (1)

105 Ασφάλεια – Στρώματα Προστασίας Πρόληψη – Ανίχνευση & Αντιμετώπιση (2)

106 Εξουσιοδότηση (Authorization) Άλλα Κριτήρια για την Πρόσβαση (Access Criteria)  Σε ποια ομάδα (group) ανήκει το υποκείμενο;  Ομάδα: λίστα υποκειμένων με παρόμοιες αρμοδιότητες  Ποια η ετικέτα ασφάλειας του υποκειμένου;  Ποιος ρόλος ζητεί πρόσβαση;  Ρόλος: αρμοδιότητα, ή λίστα αρμοδιοτήτων στην επιχείρηση  Ποια είναι η τοποθεσία (φυσική ή λογική) από όπου προέρχεται η αίτηση πρόσβασης;  Ποιος είναι ο χρόνος κατά τον οποίο γίνεται η αίτηση; …… •http://ez.no/

107 Εξουσιοδότηση (Authorization) Άλλα Κριτήρια για την Πρόσβαση (Access Criteria)  Σε ποια ομάδα (group) ανήκει το υποκείμενο;  Ομάδα: λίστα υποκειμένων με παρόμοιες αρμοδιότητες  Ποια η ετικέτα ασφάλειας του υποκειμένου;  Ποιος ρόλος ζητεί πρόσβαση;  Ρόλος: αρμοδιότητα, ή λίστα αρμοδιοτήτων στην επιχείρηση  Ποια είναι η τοποθεσία (φυσική ή λογική) από όπου προέρχεται η αίτηση πρόσβασης; Ποιος είναι ο χρόνος κατά τον οποίο γίνεται η αίτηση; … H εκτύπωση σε αυτόν τον εκτυπωτή επιτρέπεται μόνον στα μέλη της ομάδας «Τμήμα προμηθειών» Ο ρόλος «Ελεγκτής αρχείων καταγραφής» έχει δικαιώματα ανάγνωσης (και μόνον) στα αρχεία καταγραφής Η πρόσβαση σε αυτόν τον Η/Υ επιτρέπεται μόνον με την τυπική διαδικασία εισόδου (alt-ctrl-del) – interactive log on Η πρόσβαση στη ΒΔ επιτρέπεται μόνον από διευθύνσεις της μορφής: X.X Η πρόσβαση στα αρχεία μισθοδοσίας επιτρέπεται μόνον κατά τις ώρες

108 Πολιτικές Εξουσιοδότησης Rule-Based Access Control  Ένα σύνολο κανόνων καθορίζει τη σχέση υποκειμένων & αντικειμένων  Οι κανόνες δεν είναι πάντα προσανατολισμένοι στην ταυτότητα του υποκείμενου  π.χ. επηρεάζουν όλους τους χρήστες  Ευρέως χρησιμοποιούμενοι σε routers, firewalls, proxies,… IF X AND/OR Z THEN Y AN ο χρήστης συνδέεται μεταξύ Δευτέρας & Παρασκευής, KAI μεταξύ 8 Α.Μ. και 5 P.Μ, KAI το επίπεδο ασφάλειας του χρήστη είναι μεγαλύτερο ή ίσο του αντικειμένου, ΚΑΙ η κατηγορία του είναι ίδια με την κατηγορία του αντικειμένου ( “need to know”), ΤΟΤΕ H πρόσβαση επιτρέπεται π.χ: Μια πολιτική της επιχείρησης καθορίζει: τα συνημμένα αρχεία δεν μπορούν να έχουν μέγεθος πάνω από 5ΜΒ. Ένας κανόνας στον mail server επιβάλλει την πολιτική σε όλους τους χρήστες

109 Πολιτικές Εξουσιοδότησης Constrained User Interfaces (1/2) Η πολιτική επιβάλλεται με κατάλληλους περιορισμούς στο interface του χρήστη Διαφορετικές όψεις του ίδιου πίνακα

110 Πολιτικές Εξουσιοδότησης Constrained User Interfaces (2/2)  Μενού Επιλογών (Menus)  Κέλυφος Λ.Σ. (Shells)  Όψεις ΒΔ (Database Views)  Φυσικοί περιορισμοί Οι επιλογές των χρηστών περιορίζονται στις εντολές που μπορούν να εκτελέσουν Το interface του χρήστη με το Λ.Σ. Ένα περιορισμένο κέλυφος (restricted shell) περιέχει μόνον τις εντολές που καθορίζει ο Διαχειριστής π.χ. ορισμένα πεδία & εγγραφές της βάσης, δεν είναι ορατά σε συγκεκριμένους τύπους χρηστών π.χ. Σε κάθε μηχάνημα ATM, η επικοινωνία με το Λ.Σ. περιορίζεται (με φυσικό τρόπο) στις επιλογές που προσφέρει το πληκτρολόγιο

111 Πολιτικές Εξουσιοδότησης {Content, Context} -dependent AC  Εξουσιοδότηση με βάση το Περιεχόμενο (content)  H πρόσβαση καθορίζεται από το περιεχόμενου του αντικειμένου  Όψεις ΒΔ, φίλτρα spam, έλεγχος περιεχομένου Web,…  Έλεγχος Πρόσβασης με βάση το Πλαίσιο (context)  Η πρόσβαση καθορίζεται από πληροφορίες που σχετίζονται με την πρόσβαση  π.χ. Stateful firewalls,… Η πολιτική καθορίζει: Οι διευθυντές έχουν πρόσβαση στις εγγραφές της ΒΔ για τη μισθοδοσία των υπαλλήλων τους Αν ο διευθυντής Α ζητήσει πρόσβαση στα δεδομένα του υπαλλήλου Χ, το σύστημα DBMS ελέγχει τα περιεχόμενα της εγγραφής για να διαπιστώσει αν ο Χ δουλεύει για τον Α

112 Διαχείριση Ελέγχου Πρόσβασης (Access Control Administration)  Δύο προσεγγίσεις 1. Συγκεντρωτικά συστήματα 2. Αποκεντρωμένα συστήματα Πού λαμβάνονται οι αποφάσεις; Όλες οι αιτήσεις πρόσβασης προωθούνται σε μια κεντρική οντότητα (π.χ. Kerberos) Οι αποφάσεις για την έγκριση ή την απόρριψη της αίτησης πρόσβασης λαμβάνονται σε σημεία που βρίσκονται “κοντά” ως προς τα αντικείμενα (ή, Κεντρικής διαχείρισης)

113 RADIUS Remote Authentication Dial- In User Service

114 RADIUS  Βήμα 1: Ο χρήστης Χ και ο AS συμφωνούν σε ένα πρωτόκολλο αυθεντικοποίησης ( PAP, CHAP, EAP )  Πρωτόκολλα Challenge-Response  Βήμα 2: Ο χρήστης Χ υποβάλει το username & password στον AS  Βήμα 3: ο AS επικοινωνεί με τον RS, με το πρωτόκολλο RADIUS  Ο AS στέλνει τα διαπιστευτήρια (credentials) του Χ στον RS  O RS κάνει δεκτή ή απορρίπτει την αίτηση πρόσβασης, & καθορίζει τα δικαιώματα πρόσβασης για τον Χ (εξουσιοδότηση)  Βήμα4: Αν η πρόσβαση γίνει δεκτή, τότε ο RS αποστέλλει στον Χ, μέσω του AS, μια διεύθυνση IP, καθώς & άλλες παραμέτρους για τη σύνδεση.

115 Αρχή «Ελάχιστων Προνομίων» & Αρχή «Αναγκαίας Γνώσης»  Αρχή «Least Privilege»  Οι εφαρμογές πρέπει να εκτελούνται με τα ελάχιστα δικαιώματα που απαιτούνται  Αρχή «Need to Know»  Ta υποκείμενα έχουν δικαίωμα πρόσβασης στην πληροφορία που είναι απολύτως απαραίτητη για τη διεκπεραίωση μιας εργασίας Η Διοίκηση (ή οι Ιδιοκτήτες αγαθών) αποφασίζουν ποια είναι τα απολύτως αναγκαία δικαιώματα πρόσβασης για έναν χρήστη στα αγαθά Ο Διαχειριστής Ασφάλειας επιβάλλει τους περιορισμούς αυτούς κατά την κατάρτιση των δικαιωμάτων πρόσβασης Περίπτωση: Το πρόγραμμα system restore έχει δικαιώματα εγγραφής στα αρχεία συστήματος, αλλά δεν έχει δικαίωμα ανάγνωσης Περίπτωση: Το πρόγραμμα system backup έχει δικαιώματα ανάγνωσης στα αρχεία συστήματος, αλλά δεν μπορεί να τα τροποποιήσει

116 Εξουσιοδότηση – A Fail-Secure Αpproach Αν το σύστημα δεν μπορεί να αποφασίσει τι είδους πρόσβαση πρέπει να αποκτήσει ένα υποκείμενο, η προεπιλογή (default) πρέπει να είναι: “Η Πρόσβαση Απαγορεύεται”

117 3. Καταγραφή, Παρακολούθηση, Ανίχνευση (Logging, Monitoring, Intrusion Detection)

118 Ασφάλεια Η Έννοια της Υπευθυνότητας (Accountability)  Οι διαδικασίες παρακολούθησης (monitoring), καταγραφής (logging) & ελέγχου (audit) 1. Καθιστούν χρήστες υπεύθυνους για τις πράξεις τους 2. Επαληθεύουν εάν οι πολιτικές ασφάλειας εφαρμόζονται 3. Χρησιμεύουν ως εργαλεία έρευνας (investigation tools) κατόπιν ενός συμβάντος,…  Οι διαδικασίες αυτές αφορούν δραστηριότητες χρηστών, συστημάτων & εφαρμογών,..  Οι δυνατότητες μπορεί να είναι ενσωματωμένες σε Λ.Σ. ή/και σε ειδικές εφαρμογές •cwwatch.files.wordpress.com

119 Η Έννοια της Υπευθυνότητας (Accountability) Καταγραφή (Logging) Γεγονότα (σε επίπεδο Συστήματος)  Απόδοση Συστήματος  Απόπειρες εισόδου (επιτυχείς & ανεπιτυχείς)  ID (username) επιτυχών συνδέσεων  Συσκευές που χρησιμοποιήθηκαν  Αλλαγή ρυθμίσεων συστήματος  … •http://bellsouthpwp.net

120 Η Έννοια της Υπευθυνότητας (Accountability) Καταγραφή (Logging) Γεγονότα (σε επίπεδο Εφαρμογής)  Μηνύματα σφαλμάτων  Λίστα αρχείων (που ανοίχτηκαν ή έκλεισαν)  Τροποποίηση αρχείων  Παραβιάσεις στην ασφάλεια  … •http://www.eclipse.org

121 Η Έννοια της Υπευθυνότητας (Accountability) Καταγραφή (Logging) Γεγονότα (σε επίπεδο Χρήστη)  Απόπειρες εισόδου  Λίστα αρχείων, υπηρεσιών & άλλων πόρων που αιτήθηκε  Παραβιάσεις στην ασφάλεια  … •http://www.eclipse.org

122 Καταγραφή (Logging) Χρήση συστημάτων IDS (195) •http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/selinux-guide/figs/rhl-common/tools-policy/seaudit-plain.png

123 Καταγραφή (Logging) Θέματα ασφάλειας  Τα αρχεία καταγραφής παρουσιάζουν ιδιαίτερο ενδιαφέρον από τη σκοπιά της ασφάλειας !!!  Φύλαξη & αποθήκευση τους  Μη εξουσιοδοτημένη πρόσβαση και τροποποίηση τους,… •http://www.exacttrend.com/wmslogstorage/screenshot.gif

124 Καταγραφή Θέματα ασφάλειας (Bellare & Yee, 1997)  Ta log entries είναι της μορφής  Χρόνος: χωρίζεται σε περιόδους, & κάθε περίοδος (epoch) i έχει το δικό της κλειδί K i για αυθεντικοποίηση των log entries της περιόδου  Στο τέλος της κάθε περιόδου 1. Κ i = hash (K i-1 ) 2. Διαγραφή του Ki  Οποιαδήποτε χρονική στιγμή, το K 0 (base key) χρησιμοποιείται για την επαλήθευση των log entries  To K 0 φυλάσσεται αλλού ! •http://www.exacttrend.com/wmslogstorage/screenshot.gif Χρήση κρυπτογραφικού MAC (Message Authentication Code) για την αυθεντικοποίηση των εγγραφών στο αρχείο καταγραφής με πρόσθια ακεραιότητα (Forward Integrity) EventDate …… event

125 Καταγραφή Θέματα ασφάλειας (Bellare & Yee, 1997) •http://www.exacttrend.com/wmslogstorage/screenshot.gif EventEpochDateFootprint ……… event MAC(K 1, event1, date1) event MAC(K 1, event2, date2) event MAC(K 2, event3, date3) ……… Aν ο εχθρός αποκτήσει πλήρη πρόσβαση στο σύστημα, με δικαιώματα administrator, δεν θα μπορεί να «πάει πίσω» στο χρόνο και να αλλάξει τα log entries (Forward Integrity) !

126 Έλεγχος (Audit) Χρήση συστημάτων IDS (195)  Τa αρχεία καταγραφής μπορούν να ελεγχθούν χειρονακτικά ή με αυτόματο τρόπο  π.χ. κατόπιν μιας επιτυχούς παραβίασης στην ασφάλεια  Ειδικά εργαλεία, αναλαμβάνουν την επεξεργασία των αρχείων με σκοπό την εξαγωγή γνώσης  Audit trail analysis  Εναλλακτικά, ένα σύστημα IDS ελέγχει σε πραγματικό χρόνο για «ύποπτη» δραστηριότητα  Ρύθμιση κατωφλίου ασφάλειας (threshold) για μείωση ψευδών αναφορών (FAR, FRR)  Δυνατότητα ειδοποίησης (alarm) σε πραγματικό χρόνο

127 Audit Trail Analysis Tools Audit Reduction •http://manageengine.adventnet.com/products/eventlog/images/PCI.jpg

128 Ανάλυση Αρχείων Καταγραφής Audit Trail Analysis Τρεις κατηγορίες 1. Audit reduction  Φιλτράρουν τα αρχεία καταγραφής με σκοπό την ανάδειξη χρήσιμης πληροφορίας 2. Anomaly detection (ή, Behaviour-based)  Εύρεση ανωμαλιών ή ισχυρών διαφοροποιήσεων από «κανονικές συνθήκες» λειτουργίας 3. Signature detection (ή, Knowledge-based)  Αναζήτηση σε μια ΒΔ για την εύρεση γνωστών αποτυπωμάτων επίθεσης π.χ. Έστω το ωράριο του υπαλλήλου Χ είναι 8.00 – Αν καταγραφεί είσοδος στο σύστημα στις 03.00, το γεγονός αυτό ίσως σημαίνει επίθεση

129 Παρακολούθηση & Έλεγχος Συστήματα IDS  Ανίχνευση Εισβολής  Ανίχνευση μη εξουσιοδοτη- μένης χρήσης, επίθεσης ή άλλων ύποπτων ενεργειών…  … σε Π.Σ & δίκτυα .. με σκοπό την ενημέρωση του διαχειριστή & τη λήψη μέτρων που θα μειώσουν ή αποτρέψουν τις συνέπειες μιας επίθεσης  Ένα σύστημα IDS μπορεί να ελέγχει σε πραγματικό χρόνο την κίνηση σε σύστημα ή δίκτυο  Αυτόνομη λειτουργία, ή επεξεργασία αρχείων καταγραφής (Η/Υ ή δικτύων)

130 Παρακολούθηση & Έλεγχος Συστήματα IDS  Ανίχνευση Εισβολής  Ανίχνευση μη εξουσιοδοτη- μένης χρήσης, επίθεσης ή άλλων ύποπτων ενεργειών…  … σε Π.Σ & δίκτυα .. με σκοπό την ενημέρωση του διαχειριστή & τη λήψη μέτρων που θα μειώσουν ή αποτρέψουν τις συνέπειες μιας επίθεσης  Ένα σύστημα IDS μπορεί να ελέγχει σε πραγματικό χρόνο την κίνηση σε σύστημα ή δίκτυο  Αυτόνομη λειτουργία, ή επεξεργασία αρχείων καταγραφής (Η/Υ ή δικτύων) Στο σχήμα, o όρος σύστημα μπορεί να αναφέρεται σε οποιοδήποτε από τα εξής: Σταθμός Εργασίας, Δικτ. Συσκευή, Server, Mainframe, Firewall, Web server, δίκτυο επιχείρησης κλπ

131 Παρακολούθηση & Έλεγχος Συστήματα IDS  Δομή ενός Συστήματος IDS  Αισθητήρες  Αναλυτές  Διεπαφή Διαχειριστή •Συλλέγουν δεδομένα κίνησης και δραστηριότητας χρήστη (user activity) και τα αποστέλλουν σε έναν αναλυτή •Ο αναλυτής επεξεργάζεται τα δεδομένα με σκοπό τον εντοπισμό «πιθανής» ύποπτης δραστηριότητας •H κονσόλα του διαχειριστή για τον έλεγχο των αισθητήρων & του αναλυτή, καθώς και για την προσαρμογή των ρυθμίσεων αποστολής ειδοποιήσεων (Administrator interface) (Analyzers, Detectors) (Sensors) •Τα συστήματα IDS μπορούν να κατηγοριοποιηθούν με βάση την εμβέλεια τους, καθώς και με βάση τις τεχνικές που χρησιμοποιεί ο αναλυτής

132 Συστήματα IDS 1. Υπολογιστικού Συστήματος (Host-based IDS) – HIDS  Εγκαθίσταται σε μεμονωμένα συστήματα (hosts, servers) & ανιχνεύουν "ύποπτες" ενέργειες  Σβήσιμο αρχείων, αλλαγή ρυθμίσεων συστήματος, κλήσεις συστήματος, κίνηση πρωτοκόλλων επιπέδου εφαρμογής κλπ •http://www.atmarkit.co.jp/fsecurity/rensai/snort01/snort.gif

133 Συστήματα IDS Μια NIC σε promiscuous mode αντιγράφει κάθε είδος δικτυακής κίνησης και το προωθεί σε ανώτερο επίπεδο της στοίβα των πρωτοκόλλων για επεξεργασία •http://gentoo-wiki.com/images/4/41/HubNIDS.png 2. Δικτυακά (Network-based IDS) - NIDS 1. Η/Υ με εξειδικευμένο λογισμικό, 2. ή εξειδικευμένες συσκευές  H δικτυακή διεπαφή (NIC) λειτουργεί «αδιακρίτως» (promiscuous mode)

134 Συστήματα IDS (202) – also look at the papers (Debar et al, 1999)

135 Συστήματα IDS (Intrusion Detection) και IPS (Intrusion Prevention)

136 Βιβλιογραφία Μαθήματος  D. Gollman, Computer Security. 3 rd Edition,  R. Anderson. Security Engineering, 2 nd Edition, 2008  Hacking Exposed 5 th Edition, McClure, Scambray and Kurtz, 2005  Firewalls and Internet Security, 2nd Edition. Bellovin et al,  D. Chaum. Secrets and Lies – Digital Security in a Networked world  Role-Based Access Control (RBAC): Features and Motivations  Προβλήματα Ασφάλειας στο Ηλεκτρονικό Εμπόριο. Δρ. Χ. Κ. Γεωργιάδης. Σημειώσεις μαθήματος, Παν. Θεσσαλίας, MHYDT2003.pdf MHYDT2003.pdf  Εισαγωγή στον Έλεγχο Πρόσβασης, Τμήμα Πληροφορικής, Α.Π.Θ,  National Computer Security Center (NCSC), A guide to understanding discrentionary access control in trusted systems, 30 September 1987,


Κατέβασμα ppt "Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 2012-2013 Εξάμηνο: Δ’ Ασφάλεια Υπολογιστών και Προστασία Δεδομένων Ενότητα Δ: Μοντέλα Εξουσιοδότησης."

Παρόμοιες παρουσιάσεις


Διαφημίσεις Google