ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ Πολιτικές και Φορμαλιστικά Μοντέλα Ασφάλειας Σωκράτης Κ. Κάτσικας ska@unipi.gr Ταυτοποίηση και αυθεντικοποίηση
Agenda Εισαγωγή – Βασικές έννοιες Πολιτικές ελέγχου προσπέλασης Φορμαλιστικά μοντέλα ασφάλειας Πολιτικές διασφάλισης ακεραιότητας
Εισαγωγή Πώς μπορούμε να είμαστε βέβαιοι ότι ένα σύστημα λειτουργεί «όπως πρέπει»; «Καλό όνομα» του κατασκευαστή Σειρά ελέγχων και χρήση εμπειρίας Ανάπτυξη ενός (φορμαλιστικού) μοντέλου ασφάλειας το οποίο θα απεικονίζει τόσο την ίδια την πολιτική όσο και το σύστημα.
Φορμαλιστικές Μέθοδοι Οι Φορμαλιστικές Μέθοδοι διακρίνονται σε τρεις κατηγορίες: Μαθηματικός φορμαλισμός: Η φορμαλιστική απόδειξη είναι πλήρης και πειστικός μαθηματικός ισχυρισμός Μηχανικός φορμαλισμός: Η φορμαλιστική απόδειξη είναι σύνολο πειστηρίων που παρουσιάζονται σε ένα ελεγκτή αποδείξεων Φορμαλισμός Hilbert: Η φορμαλιστική απόδειξη μιας θεωρίας Θ είναι μια συνέπεια τύπων.
Βασικές Έννοιες (1/3) Η λέξη προσπέλαση υποδηλώνει ότι υπάρχει ένα ενεργό υποκείμενο (π.χ. χρήστες, διεργασίες) που προσπελαύνει ένα παθητικό αντικείμενο (π.χ. υπολογιστικοί πόροι) με σκοπό την εκτέλεση κάποιας συγκεκριμένης λειτουργίας.
Βασικές Έννοιες (2/3) Δυο βασικές επιλογές για την πολιτική ασφάλειας: Μπορεί να καθορισθεί τι επιτρέπεται να κάνει κάθε υποκείμενο ή τι επιτρέπεται να πάθει κάθε αντικείμενο Θεμελιώδεις πράξεις: observe και alter Bell – LaPadula: read, write, append, execute Κάθε οντότητα δεν κατηγοριοποιείται μοναδικά ως αντικείμενο ή υποκείμενο.
Βασικές έννοιες (3/3) Δικτύωμα: είναι μια μαθηματική κατασκευή που αποτελείται από στοιχεία και από ένα σχεσιακό τελεστή. Τα στοιχεία του δικτυώματος μπορούν να διαταχθούν με μια μερική διάταξη , η οποία είναι μια σχέση που έχει τη μεταβατική (αν ab και bc => ac) και την αντισυμμετρική ιδιότητα (αν ab και ba => a=b). Λέμε ότι το στοιχείο b κυριαρχεί του a αν a b. Δεν είναι όλα τα στοιχεία του δικτυώματος συγκρίσιμα. Για κάθε a και b υπάρχει u τέτοιο ώστε a u και b u (άνω φράγμα –κάτω φράγμα) αντίστοιχα Τελεστής ένωσης: ⊕
Έλεγχος Προσπέλασης Ορισμός: Ο μηχανισμός που ελέγχει τη δυνατότητα των χρηστών να χρησιμοποιούν πληροφορίες ή υπολογιστικούς πόρους, στο πλαίσιο ενός πληροφοριακού συστήματος. Σκοποί: Ο έλεγχος κάθε προσπέλασης. Η εφαρμογή της αρχής του ελάχιστου προνομίου. Επαλήθευση αποδεκτής χρήσης.
Agenda Πολιτικές ελέγχου προσπέλασης Πολιτική Υποχρεωτικού Ελέγχου Προσπέλασης (MAC) Πολιτική Διακριτικού Ελέγχου Προσπέλασης(DAC) Πολιτική Ρολοκεντρικού Ελέγχου Προσπέλασης (RBAC) Πολιτική Σινικού Τείχους (CWAC)
Πολιτικές Ελέγχου Προσπέλασης Access Control Decision Facility. Έλεγχος Προσπέλασης Αccess Control Enforcement Facility. (ISO) Οι Πολιτικές Ελέγχου Προσπέλασης διακρίνονται με βάση τον βαθμό ευαισθησίας της πληροφορίας και τον βαθμό εμπιστοσύνης των υποκειμένων. Βαθμός ευαισθησίας πληροφορίας Άκρως Απόρρητη. & Απόρρητη. Βαθμός εμπιστοσύνης υποκειμένων Εμπιστευτική. Αδιαβάθμητη.
Πολιτική Υποχρεωτικού Ελέγχου Προσπέλασης (MAC) Η εφαρμογή της είναι υποχρεωτική για όλους τους χρήστες του συστήματος. Αρχή need-to-know Διαμερίσματα πληροφορίας Άδεια προσπέλασης στην πολιτική MAC χορηγείται αν: Ο βαθμός εμπιστοσύνης του χρήστη που ζητά την άδεια είναι τουλάχιστον ίσος με το βαθμό ευαισθησίας της πληροφορίας για τουλάχιστον όλα τα διαμερίσματα στα οποία ανήκει η προς προσπέλαση πληροφορία, και Η άδεια προσπέλασης δεν παρέχει, άμεσα ή έμμεσα, δυνατότητα υποβιβασμού του βαθμού ευαισθησίας μιας πληροφορίας μέσω εγγραφής της σε πληροφορία χαμηλότερου βαθμού ευαισθησίας. H MAC χρησιμοποιείται στα στρατιωτικά πληροφοριακά συστήματα ασφάλειας.
Πολιτική Διακριτικού Ελέγχου Προσπέλασης(DAC) Η διακίνηση της πληροφορίας είναι βασικά ελεύθερη. Οι κανόνες της διακίνησης αυτής καθορίζονται αποκλειστικά και μόνο από τους ιδιοκτήτες (ή παραγωγούς) της πληροφορίας. Η απόφαση για τη χορήγηση ή όχι άδειας προσπέλασης βασίζεται μόνο στην ταυτότητα των χρηστών ή/και των ομάδων στις οποίες αυτοί ανήκουν. Η δυνατότητα ενός χρήστη που έχει ήδη κάποιο συγκεκριμένο δικαίωμα προσπέλασης να το μεταβιβάσει σ’ έναν άλλο χρήστη επαφίεται στη διακριτική ευχέρεια του χρήστη, χωρίς να απαιτείται η διαμεσολάβηση του διαχειριστή συστήματος. Η DAC χρησιμοποιείται στα πληροφοριακά συστήματα ασφάλειας ακαδημαϊκού περιβάλλοντος.
Πολιτική Ρολοκεντρικού Ελέγχου Προσπέλασης (RBAC) Η έννοια του ρόλου συμπεριλαμβάνει τα καθήκοντα, αρμοδιότητες, αλλά και τα προσόντα που κάποιος (π.χ. ένας χρήστης) έχει. Μπορεί να θεωρηθεί ως ένα σύνολο ενεργειών που μπορεί να κάνει ένας χρήστης. Η πολιτική RBAC βασίζει τις αποφάσεις για τη χορήγηση άδειας προσπέλασης στις ενέργειες που ένας χρήστης επιτρέπεται να εκτελέσει, ενώ δεν αφήνεται στη διακριτική ευχέρεια των χρηστών η μεταβίβαση δικαιωμάτων προσπέλασης σε άλλους χρήστες. Η πολιτική RBAC εφαρμόζεται σε διάφορους οργανισμούς, για παράδειγμα σε ένα νοσοκομείο (ρόλοι: γιατρός, νοσοκόμα, φαρμακοποιός, διοικητικός υπάλληλος).
Πολιτική Σινικού Τείχους (CWAC) Η πληροφορία διακρίνεται σε δημόσια και εταιρική. Η ανάγνωση δημόσιας πληροφορίας είναι βασικά ελεύθερη Η ανάγνωση εταιρικής πληροφορίας υπόκειται σε υποχρεωτικούς ελέγχους. Άδεια προσπέλασης χορηγείται αν: Η πληροφορία στην οποία αφορά η άδεια ανήκει ή στην ίδια κλάση αντικρουόμενων συμφερόντων με κάποια άλλη πληροφορία που ήδη έχει προσπελάσει ο ίδιος χρήστης ή σε κλάση αντικρουόμενων συμφερόντων για την οποία δεν έχει ακόμη αποκτήσει άδεια προσπέλασης Όταν χορηγηθεί η άδεια δεν είναι δυνατό να αναγνωσθεί πληροφορία που ανήκει σε διαφορετική κλάση αντικρουόμενων συμφερόντων απ’ αυτή για την οποία ζητείται άδεια εγγραφής.
Agenda Φορμαλιστικά μοντέλα ασφάλειας Μοντέλο Bell-Lapadula Μοντέλο Σινικού Τείχους Μοντέλα Πολιτικών RBAC Ιδιότητες ασφάλειας RBAC Μοντέλο Harrison-Ruzzo-Ullman Μοντέλο Graham-Denning Μοντέλο Ανάκλησης-Παραχώρησης (Take-Grant) Μοντέλα ροής πληροφορίας Πολιτικές διασφάλισης ακεραιότητας Μοντέλο Biba Μοντέλο Clark-Wilson Έλεγχος Εξουσιοδότησης σε Ροές Εργασιών Μοντέλο Διάθεσης Πόρων για Προστασία έναντι επιθέσεων DoS
Μοντέλο Bell-Lapadula (1/3) Το μοντέλο αναπτύχθηκε προκειμένου να διασφαλίσει την ασφαλή ροή πληροφορίας και επεκτάθηκε για να χρησιμοποιηθεί ως μοντέλο ελέγχου προσπέλασης. Έστω σύστημα με σύνολο υποκειμένων S, σύνολο αντικειμένων Ο, σύνολο δικαιωμάτων Α με στοιχεία e, r, a, w και σύνολο διαβαθμίσεων L. Σύστημα: μηχανή καταστάσεων V=(BxCxM). B είναι το σύνολο όλων των δυνατών τρεχόντων συνόλων δικαιωμάτων προσπέλασης. Το τρέχον σύνολο δικαιωμάτων προσπέλασης συμβολίζεται με b. Κάθε στοιχείο του b είναι της μορφής (Si,Oj,x). C είναι υποσύνολο του LSxLSxLO. Κάθε στοιχείο του C είναι της μορφής (cmax(s),c(s),c(o)). M είναι ο πίνακας προσπέλασης.
Μοντέλο Bell-Lapadula (2/3) Απλή ιδιότητα ασφάλειας: ένα υποκείμενο s μπορεί να αποκτήσει άδεια προσπέλασης ανάγνωσης ενός αντικειμένου o μόνο αν c(o)<=c(s). Ιδιότητα *: ένα υποκείμενο s που έχει άδεια προσπέλασης ανάγνωσης σε ένα αντικείμενο o, μπορεί να αποκτήσει άδεια προσπέλασης εγγραφής σε άλλο αντικείμενο p μόνο αν c(o)<=c(p). Έμπιστα υποκείμενα Ιδιότητα ds: κάθε τρέχον δικαίωμα προσπέλασης επιτρέπεται από τον τρέχοντα πίνακα προσπέλασης.
Μοντέλο Bell-Lapadula (3/3) Μια κατάσταση του συστήματος θεωρείται ασφαλής εάν πληρούνται και οι τρεις αυτές ιδιότητες. Μια μετάβαση από την κατάσταση v1 στην κατάσταση v2 είναι ασφαλής αν οι v1 και v2 είναι ασφαλείς. Αν όλες οι μεταβολές κατάστασης είναι ασφαλείς και η αρχική κατάσταση είναι ασφαλής, τότε κάθε επόμενη κατάσταση είναι ασφαλής, ανεξάρτητα από τις εισόδους. Ιδιότητα ηρεμίας: τα δικαιώματα προσπέλασης είναι στατικά καθορισμένα. Το μοντέλο στην αρχική του μορφή μπορεί να περιγράψει φορμαλιστικά την πολιτική MAC ως προς την εμπιστευτικότητα. Η επέκτασή του μπορεί να χρησιμοποιηθεί για τη φορμαλιστική περιγραφή και της πολιτικής DAC.
Agenda Φορμαλιστικά μοντέλα ασφάλειας Μοντέλο Bell-Lapadula Μοντέλο Σινικού Τείχους Μοντέλα Πολιτικών RBAC Ιδιότητες ασφάλειας RBAC Μοντέλο Harrison-Ruzzo-Ullman Μοντέλο Graham-Denning Μοντέλο Ανάκλησης-Παραχώρησης (Take-Grant) Μοντέλα ροής πληροφορίας Πολιτικές διασφάλισης ακεραιότητας Μοντέλο Biba Μοντέλο Clark-Wilson Έλεγχος Εξουσιοδότησης σε Ροές Εργασιών Μοντέλο Διάθεσης Πόρων για Προστασία έναντι επιθέσεων DoS
Μοντέλο Σινικού Τείχους (1/2) Αν και το μοντέλο δεν διατυπώθηκε φορμαλιστικά, ωστόσο αποδείχθηκε (Sandhu) ότι μπορεί να διατυπωθεί φορμαλιστικά χρησιμοποιώντας ένα δικτύωμα. Έστω σύστημα με n κλάσεις αντικρουομένων συμφερόντων COI1, COI2, …, COIn. Κάθε μια περιέχει mi εταιρείες. Κάθε αντικείμενο χαρακτηρίζεται από ένα n-άνυσμα με τα ονόματα των εταιρειών για τις οποίες περιέχει πληροφορία. Βαθμός Ασφάλειας: n‑άνυσμα όπου κάθε ή ETSI: European Telecommunications Standards Institute ITU: International Telecommunications Union IETF: Internet Engineering Task Force W3C: www consortium
Μοντέλο Σινικού Τείχους (2/2) Σχέση διάταξης: l1>=l2 αν l1i=l2i ή l2i=κενό, I=1,2,…,n. Κάτω φράγμα: βαθμός ασφάλειας με όλα τα στοιχεία ίσα με το κενό Άνω φράγμα: ορίζεται χωρίς να χαρακτηρισθεί κανένα αντικείμενο του συστήματος με αυτό Τελεστής ένωσης: l1 και l2 συμβατοί αν l1i=l2i ή l1i=κενό ή l2i=κενό, i=1,2,…,n.
Agenda Φορμαλιστικά μοντέλα ασφάλειας Μοντέλο Bell-Lapadula Μοντέλο Σινικού Τείχους Μοντέλα Πολιτικών RBAC Ιδιότητες ασφάλειας RBAC Μοντέλο Harrison-Ruzzo-Ullman Μοντέλο Graham-Denning Μοντέλο Ανάκλησης-Παραχώρησης (Take-Grant) Μοντέλα ροής πληροφορίας Πολιτικές διασφάλισης ακεραιότητας Μοντέλο Biba Μοντέλο Clark-Wilson Έλεγχος Εξουσιοδότησης σε Ροές Εργασιών Μοντέλο Διάθεσης Πόρων για Προστασία έναντι επιθέσεων DoS
Μοντέλα Πολιτικών RBAC (1/6) FLAT RBAC (Βασικό) Hierarchical RBAC Constrained RBAC Symmetric RBAC
Μοντέλα Πολιτικών RBAC (2/6) Το μοντέλο Flat RBAC είναι το βασικό και περιέχει τις ελάχιστες απαιτήσεις ενός συστήματος RBAC: Οι χρήστες αποκτούν άδειες μέσω ρόλων. Υποστηρίζεται η ανάθεση ρόλων σε χρήστες με απεικόνιση πολλά- προς-πολλά. Υποστηρίζεται η ανάθεση αδειών σε ρόλους με απεικόνιση πολλά προς -πολλά. Υποστηρίζεται η επανεξέταση της ανάθεσης ρόλων σε χρήστες. Οι χρήστες μπορούν να χρησιμοποιήσουν άδειες πολλαπλών ρόλων ταυτόχρονα.
Μοντέλα Πολιτικών RBAC (3/6) Το πιο πολύπλοκο μοντέλο Hierarchical RBAC (επίπεδο 2) υποστηρίζει τις λειτουργίες του Flat RBAC και επιπλέον: Υποστηρίζεται η ιεραρχία ρόλων (μερική διάταξη). Στο επίπεδο 2a υποστηρίζονται αυθαίρετες ιεραρχίες. Στο επίπεδο 2b υποστηρίζονται περιορισμένες ιεραρχίες(δένδρα, ανεστραμμένα δένδρα).
Μοντέλα Πολιτικών RBAC (4/6) Το μοντέλο Constrained RBAC (επίπεδο 3) υποστηρίζει τις λειτουργίες του Hierarchical RBAC και επιπλέον Επιβάλλει την αρχή του διαχωρισμού καθηκόντων Στο επίπεδο 3a υποστηρίζονται αυθαίρετες ιεραρχίες. Στο επίπεδο 3b υποστηρίζονται περιορισμένες ιεραρχίες (δένδρα, ανεστραμμένα δένδρα).
Μοντέλα Πολιτικών RBAC (5/6) Το μοντέλο Symmetric RBAC (επίπεδο 4) υποστηρίζει τις λειτουργίες του Constrained RBAC και επιπλέον: Υποστηρίζεται η επανεξέταση της ανάθεσης αδειών σε ρόλους με επίδοση αντίστοιχη μ’ εκείνη της επανεξέτασης της ανάθεσης ρόλων σε χρήστες. Στο επίπεδο 4a υποστηρίζονται αυθαίρετες ιεραρχίες. Στο επίπεδο 4b υποστηρίζονται περιορισμένες ιεραρχίες (δένδρα, ανεστραμμένα δένδρα). Summary of some important findings
Μοντέλα Πολιτικών RBAC (6/6) Ιεραρχία ρόλων Στατικός διαχωρισμός καθηκόντων Πληθικός αριθμός Συσχέτιση ρόλου Εκτέλεση λειτουργίας Δυναμικός διαχωρισμός καθηκόντων Εξουσιοδότηση λειτουργίας Επιχειρησιακός διαχωρισμός καθηκόντων Εξουσιοδότηση προσπέλασης αντικειμένου
Ιδιότητες ασφάλειας RBAC (1/5) Ιεραρχία ρόλων: Αν ένα υποκείμενο είναι εξουσιοδοτημένο ως μέλος ενός ρόλου και αυτός ο ρόλος εμπεριέχει έναν άλλο ρόλο, τότε το υποκείμενο είναι εξουσιοδοτημένο και ως προς τον περιεχόμενο ρόλο. Στατικός διαχωρισμός καθηκόντων: Ένα υποκείμενο είναι εξουσιοδοτημένο ως μέλος ενός ρόλου μόνο αν αυτός ο ρόλος δεν είναι αμοιβαία αποκλειόμενος με οποιονδήποτε άλλο ρόλο του οποίου είναι μέλος το υποκείμενο.
Ιδιότητες ασφάλειας RBAC (2/5) Πληθικός αριθμός: Ο μέγιστος αριθμός μελών ενός ρόλου, αν έχει καθορισθεί, δε μπορεί να αυξηθεί. Συσχέτιση ρόλου: Ένα υποκείμενο δε μπορεί ποτέ να είναι μέλος ενός ενεργού ρόλου με τον οποίο δεν είναι συσχετισμένο. Εκτέλεση λειτουργίας: Ένα υποκείμενο μπορεί να εκτελέσει μια λειτουργία μόνο αν ενεργεί εντός ενεργού ρόλου.
Ιδιότητες ασφάλειας RBAC (3/5) Δυναμικός διαχωρισμός καθηκόντων: Ένα υποκείμενο μπορεί να ενεργοποιηθεί σε νέο ρόλο μόνο αν ο προτεινόμενος ρόλος δεν είναι αμοιβαία αποκλειόμενος με οποιονδήποτε από τους ρόλους στους οποίους είναι ήδη ενεργοποιημένο το υποκείμενο. Εξουσιοδότηση λειτουργίας: Ένα υποκείμενο μπορεί να εκτελέσει μια λειτουργία μόνο αν ο ρόλος στον οποίο το υποκείμενο είναι επί του παρόντος ενεργοποιημένο είναι προς τούτο εξουσιοδοτημένος.
Ιδιότητες ασφάλειας RBAC (4/5) Επιχειρησιακός διαχωρισμός καθηκόντων: Δεν πρέπει να είναι δυνατό κάποιος χρήστης, μόνος του, μέσω των ρόλων στους οποίους εντάσσεται, να μπορεί να εκτελέσει όλες τις λειτουργίες που απαιτούνται για μια πλήρη επιχειρησιακή λειτουργία.
Ιδιότητες ασφάλειας RBAC (5/5) Εξουσιοδότηση προσπέλασης αντικειμένου: Ένα υποκείμενο μπορεί να προσπελάσει ένα αντικείμενο μόνο αν ο ρόλος του είναι τμήμα του τρέχοντος ενεργού συνόλου ρόλων του υποκειμένου, τα μέλη του ρόλου επιτρέπεται να εκτελέσουν τη λειτουργία και υπάρχει εξουσιοδότηση για τη λειτουργία επί του αντικειμένου.
Agenda Φορμαλιστικά μοντέλα ασφάλειας Μοντέλο Bell-Lapadula Μοντέλο Σινικού Τείχους Μοντέλα Πολιτικών RBAC Ιδιότητες ασφάλειας RBAC Μοντέλο Harrison-Ruzzo-Ullman Μοντέλο Graham-Denning Μοντέλο Ανάκλησης-Παραχώρησης (Take-Grant) Μοντέλα ροής πληροφορίας Πολιτικές διασφάλισης ακεραιότητας Μοντέλο Biba Μοντέλο Clark-Wilson Έλεγχος Εξουσιοδότησης σε Ροές Εργασιών Μοντέλο Διάθεσης Πόρων για Προστασία έναντι επιθέσεων DoS
Agenda Φορμαλιστικά μοντέλα ασφάλειας Μοντέλο Bell-Lapadula Μοντέλο Σινικού Τείχους Μοντέλα Πολιτικών RBAC Ιδιότητες ασφάλειας RBAC Μοντέλο Harrison-Ruzzo-Ullman Μοντέλο Graham-Denning Μοντέλο Ανάκλησης-Παραχώρησης (Take-Grant) Μοντέλα ροής πληροφορίας Πολιτικές διασφάλισης ακεραιότητας Μοντέλο Biba Μοντέλο Clark-Wilson Έλεγχος Εξουσιοδότησης σε Ροές Εργασιών Μοντέλο Διάθεσης Πόρων για Προστασία έναντι επιθέσεων DoS
Μοντέλο Harrison-Ruzzo-Ullman (1/2) Φορμαλιστική διατύπωση του μηχανισμού του πίνακα προσπέλασης. Το μοντέλο αυτό ορίζει ως σύστημα προστασίας ένα σύνολο γενικευμένων δικαιωμάτων R και ένα σύνολο εντολών C και ως κατάσταση του συστήματος προστασίας ορίζεται το τρι-άνυσμα (S, O, A) , όπου (S= σύνολο υποκειμένων, Ο= σύνολο αντικειμένων, Α=πίνακας προσπέλασης). Αλλαγές στην κατάσταση του συστήματος γίνονται μέσω των εντολών του C. command name (o1, o2, …, ok) if r1 in A[s1, o1] and r2 in A[s2, o2] and … rm in A[sm, om] then op1, op2, …, opn end
Ορίζονται έξι βασικές πράξεις: Μοντέλο Harrison-Ruzzo-Ullman (2/2) Ορίζονται έξι βασικές πράξεις: create object o. Ένα υποκείμενο μπορεί να δημιουργήσει ένα νέο αντικείμενο. create subject s. Ένα υποκείμενο μπορεί να δημιουργήσει ένα νέο υποκείμενο. destroy subject s. Ένα υποκείμενο μπορεί να διαγράψει ένα υποκείμενο. destroy object o. Ένα υποκείμενο μπορεί να διαγράψει ένα αντικείμενο. enter r into A[s,o]. Ο ιδιοκτήτης ενός αντικειμένου καθορίζει τα δικαιώματα προσπέλασης οποιουδήποτε υποκειμένου s επί του αντικειμένου ο. delete r from A[s,o]. Με την πράξη αυτή ο ιδιοκτήτης ενός αντικειμένου αίρει τα δικαιώματα προσπέλασης οποιουδήποτε υποκειμένου s επί του αντικειμένου o.
Agenda Φορμαλιστικά μοντέλα ασφάλειας Μοντέλο Bell-Lapadula Μοντέλο Σινικού Τείχους Μοντέλα Πολιτικών RBAC Ιδιότητες ασφάλειας RBAC Μοντέλο Harrison-Ruzzo-Ullman Μοντέλο Graham-Denning Μοντέλο Ανάκλησης-Παραχώρησης (Take-Grant) Μοντέλα ροής πληροφορίας Πολιτικές διασφάλισης ακεραιότητας Μοντέλο Biba Μοντέλο Clark-Wilson Έλεγχος Εξουσιοδότησης σε Ροές Εργασιών Μοντέλο Διάθεσης Πόρων για Προστασία έναντι επιθέσεων DoS
Μοντέλο Graham-Denning Το μοντέλο αυτό χρησιμοποιεί οκτώ βασικές πράξεις για να ελέγξει τη ροή πληροφοριών μεταξύ υποκειμένων και αντικειμένων σ’ ένα σύστημα: Δημιουργία αντικειμένου Δημιουργία υποκειμένου Διαγραφή υποκειμένου Διαγραφή αντικειμένου Ανάγνωση δικαιώματος προσπέλασης Παραχώρηση δικαιώματος προσπέλασης Ανάκληση δικαιώματος προσπέλασης Μεταβίβαση δικαιώματος προσπέλασης
Μοντέλο Ανάκλησης-Παραχώρησης (Take-Grant) Η μαθηματική δομή που χρησιμοποιεί το μοντέλο αυτό είναι ο κατευθυνόμενος γράφος: υποκείμενο αντικείμενο πράξη Το μοντέλο υποστηρίζει τις εξής πράξεις: Δημιουργία αντικειμένου Ανάκληση δικαιώματος προσπέλασης Παραχώρηση δικαιώματος προσπέλασης
Agenda Φορμαλιστικά μοντέλα ασφάλειας Μοντέλο Bell-Lapadula Μοντέλο Σινικού Τείχους Μοντέλα Πολιτικών RBAC Ιδιότητες ασφάλειας RBAC Μοντέλο Harrison-Ruzzo-Ullman Μοντέλο Graham-Denning Μοντέλο Ανάκλησης-Παραχώρησης (Take-Grant) Μοντέλα ροής πληροφορίας Πολιτικές διασφάλισης ακεραιότητας Μοντέλο Biba Μοντέλο Clark-Wilson Έλεγχος Εξουσιοδότησης σε Ροές Εργασιών Μοντέλο Διάθεσης Πόρων για Προστασία έναντι επιθέσεων DoS
Μοντέλα ροής πληροφορίας (1/6) Μοντέλα ροής πληροφορίας (1/6) Μοντέλα που στοχεύουν στην προστασία της πληροφορίας αναφέρονται ως μοντέλα ροής πληροφορίας. Τα βασικά στοιχεία των μοντέλων αυτών είναι ένα σύνολο αντικειμένων και μια πολιτική ροής εκφρασμένη ως δικτύωμα. Η πληροφορία ορίζεται μέσω της αβεβαιότητας, που με τη σειρά της ορίζεται μέσω της εντροπίας.
Μοντέλα ροής πληροφορίας (2/6) Έστω μια τυχαία μεταβλητή X με πεδίο τιμών ένα πεπερασμένο σύνολο με n στοιχεία και πιθανότητα pi να δοθεί σ’ αυτήν η τιμή i, i=1,2,…,n. Η εντροπία H της X ορίζεται ως ή, ισοδύναμα,
Μοντέλα ροής πληροφορίας (3/6) Μοντέλα ροής πληροφορίας (3/6) Η κατάσταση πληροφορίας του συστήματος περιγράφεται από την τιμή και την κλάση ασφάλειας κάθε αντικειμένου. Μεταβολές κατάστασης επέρχονται μετά από πράξεις που δημιουργούν ή διαγράφουν αντικείμενα, μεταβάλλουν τις τιμές τους κλπ. Μόνο οι πράξεις που μεταβάλλουν τιμές μπορούν να συσχετισθούν με ροή πληροφορίας. Μη Παρεμβολή (Non Interference): Η έννοια της μη-παρεμβολής χρησιμοποιείται για τον ακριβή ορισμό περιορισμών στη ροή πληροφορίας. Μια ομάδα χρηστών δεν παρεμβάλλεται σε άλλη ομάδα αν οι ενέργειες της πρώτης, όταν χρησιμοποιούν συγκεκριμένες εντολές, δεν έχουν επιπτώσεις στην πληροφορία που η δεύτερη ομάδα επιτρέπεται να δει.
Μοντέλα ροής πληροφορίας (4/6) Συναφής είναι η έννοια της υπό συνθήκη εντροπίας της τυχαίας μεταβλητής Χ δεδομένης της Υ. Για κάθε τιμή yj της Y, η υπό συνθήκη εντροπία της Χ δεδομένης της yj ορίζεται ως όπου είναι η υπό συνθήκη πιθανότητα να συμβεί δεδομένου ότι . Η υπό συνθήκη εντροπία της Χ δεδομένης της Υ ορίζεται ως
Μοντέλα ροής πληροφορίας (5/6) Δίαυλος: μαύρο κουτί που δέχεται στην είσοδο ακολουθίες συμβόλων που ανήκουν στο αλφάβητο εισόδου και αποδίδει στην έξοδο ακολουθίες συμβόλων που ανήκουν στο αλφάβητο εξόδου. Δίαυλοι χωρίς μνήμη Διακριτοί δίαυλοι χωρίς μνήμη Πίνακας διαύλου Δυαδικός συμμετρικός δίαυλος Χωρητικότητα διαύλου (bits/sec) Μια πράξη προκαλεί ροή πληροφορίας αν ελαττώνει την υπό συνθήκη εντροπία, το δε μέτρο της πληροφορίας ισούται με την ελάττωση της εντροπίας. Μια δυνητική ροή είναι ένας δίαυλος πληροφορίας με χωρητικότητα ίση με τη μέγιστη πληροφορία που μπορεί να μεταφερθεί.
Μοντέλα ροής πληροφορίας (6/6) Οι πολιτικές ροής πληροφορίας ορίζουν τις δυνατές κλάσεις πληροφοριών και πώς μπορεί η πληροφορία να ρέει ανάμεσά τους. Εκφράζονται με δικτυώματα. Βασικά στοιχεία: ένα σύνολο αντικειμένων (κάτοχοι πληροφορίας) και μια πολιτική ροής. Κατάσταση πληροφορίας: τιμή και κλάση ασφάλειας x (σταθερή ή μεταβλητή) κάθε αντικειμένου. Ροή πληροφορίας επιτρέπεται μόνο αν x<=y Μια πράξη προκαλεί ροή πληροφορίας από το x προς το y αν ελαττώνει την υπό συνθήκη εντροπία του x δεδομένου του y, το δε μέτρο της πληροφορίας ισούται με την H(x/y). Μια δυνητική ροή είναι δίαυλος με χωρητικότητα ίση με τη μέγιστη πληροφορία που μπορεί να μεταφερθεί μ’ αυτήν.
Agenda Φορμαλιστικά μοντέλα ασφάλειας Μοντέλο Bell-Lapadula Μοντέλο Σινικού Τείχους Μοντέλα Πολιτικών RBAC Ιδιότητες ασφάλειας RBAC Μοντέλο Harrison-Ruzzo-Ullman Μοντέλο Graham-Denning Μοντέλο Ανάκλησης-Παραχώρησης (Take-Grant) Μοντέλα ροής πληροφορίας Πολιτικές διασφάλισης ακεραιότητας Μοντέλο Biba Μοντέλο Clark-Wilson Έλεγχος Εξουσιοδότησης σε Ροές Εργασιών Μοντέλο Διάθεσης Πόρων για Προστασία έναντι επιθέσεων DoS
Πολιτικές διασφάλισης ακεραιότητας Πολιτική Εξουσιοδοτημένων Πράξεων. Πολιτική Ελέγχου μέσω Επιβλέποντος. Πολιτική Εναλλαγής Καθηκόντων. Πολιτική Πολυπρόσωπου Ελέγχου. Πολιτική Ακολουθίας Πράξεων. Πολιτική Αλλαγής υπό Περιορισμούς. Πολιτική Απόδοσης Αλλαγών. Πολιτική Μη Αλλαγής.
Μοντέλο Biba (1/2) Απλή ιδιότητα ακεραιότητας: Ένα υποκείμενο s μπορεί να αποκτήσει άδεια εγγραφής ενός αντικειμένου ο μόνο αν I(s)>=I(o). Ιδιότητα ακεραιότητας *: ένα υποκείμενο s που έχει άδεια προσπέλασης ανάγνωσης σε ένα αντικείμενο ο μπορεί να αποκτήσει άδεια προσπέλασης εγγραφής σε άλλο αντικείμενο p μόνο αν Ι(ο)>=Ι(p). Ιδιότητα ενεργοποίησης του επεκτεταμένου μοντέλου: ένα υποκείμενο s μπορεί να ενεργοποιήσει ένα άλλο υποκείμενο q μόνο αν I(s)>=I(q).
Μοντέλο Biba (2/2) Ιδιότητα δακτυλίου: ένα υποκείμενο s έχει δικαίωμα ανάγνωσης για όλα τα αντικείμενα, ανεξαρτήτως βαθμού διαβάθμισης. Μπορεί όμως να τροποποιεί αντικείμενα ο για τα οποία I(s)>=I(o) και να ενεργοποιεί υποκείμενα q για τα οποία I(q)>=I(s). Το μοντέλο Biba μπορεί να περιγράψει φορμαλιστικά την πολιτική MAC ως προς την ακεραιότητα και είναι δυϊκό του μοντέλου Bell-LaPadula.
Μοντέλο Clark-Wilson (1/6) Ο σκοπός του είναι να εξασφαλίσει ότι η εσωτερική πληροφορία του συστήματος είναι συνεπής σε σχέση με τις προσδοκίες των εξωτερικών χρηστών. Καλά σχηματισμένη συναλλαγή: ολοκληρωμένη ενέργεια, που αποτελείται από βήματα τα οποία εκτελούνται επακριβώς και με τη σωστή σειρά από κατάλληλα εξουσιοδοτημένους και ταυτοποιημένους χρήστες. Αρχή του διαχωρισμού καθηκόντων: όλες οι λειτουργίες χωρίζονται σε τμήματα και κάθε τμήμα πρέπει να εκτελείται από διαφορετικό πρόσωπο.
Μοντέλο Clark-Wilson (2/6) Δεδομένα υπό περιορισμούς Διαδικασίες μετασχηματισμού (ΔΜ) Διαδικασίες επαλήθευσης ακεραιότητας Δεδομένα χωρίς περιορισμούς Ορισμός πολιτικής μέσω διανυσμάτων προσπέλασης (ταυτότητα χρήστη, διαδικασία μετασχηματισμού, δεδομένα)
Μοντέλο Clark-Wilson (3/6) Κανόνες Πιστοποίησης (εφαρμόζονται από τον υπεύθυνο ασφάλειας και τον ιδιοκτήτη συστήματος) : Κανόνας Π1: Οι διαδικασίες επαλήθευσης ακεραιότητας πρέπει να εξασφαλίζουν το γεγονός ότι όλα τα δεδομένα υπό περιορισμούς βρίσκονται σε έγκυρη κατάσταση όταν εκτελείται η διαδικασία επαλήθευσης ακεραιότητας. Κανόνας Π2: Οι διαδικασίες μετασχηματισμού πρέπει να είναι πιστοποιημένα έγκυρες, δηλαδή έγκυρα δεδομένα υπό περιορισμούς πάντα μετασχηματίζονται σε έγκυρα δεδομένα υπό περιορισμούς.
Μοντέλο Clark-Wilson (4/6) Κανόνες Πιστοποίησης: Κανόνας Π3: Οι κανόνες προσπέλασης πρέπει να ικανοποιούν τις απαιτήσεις της αρχής διαχωρισμού καθηκόντων. Κανόνας Π4: Όλες οι διαδικασίες μετασχηματισμού πρέπει να είναι πιστοποιημένες για να κάνουν προσθετικές μόνο εγγραφές (σ’ ένα ημερολόγιο) όλων των πληροφοριών που απαιτούνται προκειμένου να είναι δυνατή η ανακατασκευή των λειτουργιών. Κανόνας Π5: Κάθε διαδικασία μετασχηματισμού που παίρνει δεδομένα χωρίς περιορισμούς ως είσοδο πρέπει να είναι πιστοποιημένη έτσι ώστε είτε να τα μετατρέψει σε δεδομένα υπό περιορισμούς ή να απορρίψει τα δεδομένα χωρίς περιορισμούς και να μην κάνει κανένα μετασχηματισμό.
Μοντέλο Clark-Wilson (5/6) Κανόνες Αλληλεπίδρασης (εφαρμόζονται από το ίδιο το σύστημα): Κανόνας Ε1: Το σύστημα πρέπει να τηρεί τον κατάλογο των σχέσεων που καθορίζεται στον κανόνα Π2 και πρέπει να διασφαλίζει ότι οι μόνοι χειρισμοί που επιτρέπονται για ένα ΔΥΠ εκτελούνται από μια ΔΜ και ότι η ΔΜ είναι πιστοποιημένη για το συγκεκριμένο χειρισμό επί του συγκεκριμένου ΔΥΠ μέσω μιας σχέσης. Κανόνας Ε2: Το σύστημα πρέπει να τηρεί κατάλογο των σχέσεων της μορφής (Ταυτότητα_Χρήστη, ΔΜi, (ΔΥΠa, ΔΥΠb,…)), οι οποίες συσχετίζουν ένα χρήστη, μια ΔΜ και ΔΥΠ τα οποία η ΔΜ μπορεί να προσπελάσει για λογαριασμό του χρήστη. Το σύστημα πρέπει να διασφαλίζει ότι είναι δυνατή η εκτέλεση μόνο λειτουργιών που περιγράφονται με μια τέτοια σχέση.
Μοντέλο Clark-Wilson (6/6) Κανόνες αλληλεπίδρασης: Κανόνας Ε3: Το σύστημα πρέπει να αυθεντικοποιεί κάθε χρήστη που επιχειρεί να εκτελέσει μία ΔΜ Κανόνας Ε4: Μόνο η οντότητα που έχει δικαίωμα πιστοποίησης οντοτήτων μπορεί να αλλάξει τον κατάλογο αυτών των οντοτήτων που συσχετίζονται με άλλες οντότητες, συγκεκριμένα με ΔΜ.
Agenda Φορμαλιστικά μοντέλα ασφάλειας Μοντέλο Bell-Lapadula Μοντέλο Σινικού Τείχους Μοντέλα Πολιτικών RBAC Ιδιότητες ασφάλειας RBAC Μοντέλο Harrison-Ruzzo-Ullman Μοντέλο Graham-Denning Μοντέλο Ανάκλησης-Παραχώρησης (Take-Grant) Μοντέλα ροής πληροφορίας Πολιτικές διασφάλισης ακεραιότητας Μοντέλο Biba Μοντέλο Clark-Wilson Έλεγχος Εξουσιοδότησης σε Ροές Εργασιών Μοντέλο Διάθεσης Πόρων για Προστασία έναντι επιθέσεων DoS
Έλεγχος Εξουσιοδότησης σε Ροές Εργασιών (1/7) Έλεγχος Εξουσιοδότησης σε Ροές Εργασιών (1/7) Σκοπός: Να διασφαλίσουν ότι οι εργασίες επιτελούνται μόνο από εξουσιοδοτημένα υποκείμενα. Μοντέλο Εξουσιοδότησης Ροής Εργασιών (Workflow Authorization Model – WAM). Έλεγχοι Εξουσιοδότησης βασισμένοι σε Εργασίες (Task-Based Authorization Controls – TBAC).
Έλεγχος Εξουσιοδότησης σε Ροές Εργασιών – WAM (2/7) Στόχος: συγχρονισμός της ροής εξουσιοδότησης με τη ροή εργασιών και εξασφάλιση ότι η εξουσιοδότηση παρέχεται μόνον όταν αρχίζει μια εργασία και ανακαλείται μόλις η εργασία τελειώσει. Ορίζουμε: S = σύνολο υποκειμένων Ο = σύνολο αντικειμένων Γ = πεπερασμένο σύνολο τύπων αντικειμένων PR = πεπερασμένο σύνολο δικαιωμάτων w = ροή εργασιών Τ =
Έλεγχος Εξουσιοδότησης σε Ροές Εργασιών – WAM (3/7) wi={Opi, ΓINi,ΓOUTi,[tli,tui]} Όποτε εκτελείται μια εργασία wi δημιουργείται ένα στιγμιότυπο εργασίας winsti ={OPERi, INi, OUTi, [tsi,tfi]}
Έλεγχος Εξουσιοδότησης σε Ροές Εργασιών – WAM (4/7) Ορίζουμε: = εξουσιοδότηση = πρότυπο εξουσιοδότησης Κανόνας Παραγωγής Εξουσιοδότησης: όταν δίνεται ένα πρότυπο εξουσιοδότησης μιας εργασίας παράγεται μία εξουσιοδότηση με βάση τον Κανόνα Χορήγησης εξουσιοδότησης.
Έλεγχος Εξουσιοδότησης σε Ροές Εργασιών – WAM (5/7) Κανόνας χορήγησης εξουσιοδότησης: Έστω ότι το αντικείμενο oi αποστέλλεται στην wi τη χρονική στιγμή tai.. Έστω ότι η χρονική στιγμή έναρξης είναι η tsi. Αν tai<= tui τότε si:=s(AT), pri:=pr(AT), tei:= tui και αν tai<= tli τότε tbi:=tli. Αλλιώς tbi:=ttai.
Έλεγχος Εξουσιοδότησης σε Ροές Εργασιών – WAM (6/7) Κανόνας ανάκλησης εξουσιοδότησης: Έστω ότι η wi τελειώνει τη χρονική στιγμή tfi. Αν tfi<=tui τότε tei:=tfi.
Παράδειγμα Η ροή εργασιών για την έκδοση μιας επιταγής αποτελείται από τρεις εργασίες: την προετοιμασία, την έγκριση και την έκδοση της επιταγής. Επομένως, w1=({read request, prepare check}, {request, check}, {check}, [10,50]) w2=({approve check}, {check}, {check}, [20,60]) w3=({issue check}, {check}, {check}, [40,80]). Τα υποκείμενα αντίστοιχα είναι τα: Κώστας, Ελισάβετ και Άννα.
Παράδειγμα Παράγουμε τα παρακάτω πρότυπα εξουσιοδότησης: AΤ1(w1)=(Κώστας, (request,-), read), AT2(w2)=(Κώστας, (check,-), prepare), AT(w2)=(Ελισάβετ, (check,-), approve), AT(w3)=(Άννα, (check,-), issue).
Έλεγχος Εξουσιοδότησης σε Ροές Εργασιών – TBAC Σκοπός: προσέγγιση της μοντελοποίησης και υλοποίησης της ασφάλειας στο επίπεδο της εφαρμογής και του οργανισμού. Δυνατότητες: παρακολούθηση της χρήσης μιας άδειας διαχείριση κύκλου ζωής των εξουσιοδοτήσεων θέση σε προσωρινή διαθεσιμότητα κάποιων αδειών χωρίς ακύρωσή τους υποστήριξη σύνθετων εξουσιοδοτήσεων
Agenda Φορμαλιστικά μοντέλα ασφάλειας Μοντέλο Bell-Lapadula Μοντέλο Σινικού Τείχους Μοντέλα Πολιτικών RBAC Ιδιότητες ασφάλειας RBAC Μοντέλο Harrison-Ruzzo-Ullman Μοντέλο Graham-Denning Μοντέλο Ανάκλησης-Παραχώρησης (Take-Grant) Μοντέλα ροής πληροφορίας Πολιτικές διασφάλισης ακεραιότητας Μοντέλο Biba Μοντέλο Clark-Wilson Έλεγχος Εξουσιοδότησης σε Ροές Εργασιών Μοντέλο Διάθεσης Πόρων για Προστασία έναντι επιθέσεων DoS
Μοντέλο Διάθεσης Πόρων για Προστασία έναντι επιθέσεων DoS (1/3) Βασικά Στοιχεία: Ρ=σύνολο διεργασιών R= σύνολο τύπων πόρων c(r)= χωρητικότητά του πόρου h(r) = μέγιστος χρόνος αποκλειστικής δέσμευσης του πόρου Α:Ρ x RIN= πίνακας διαθέσεων Ap(r)= A(p,r) = άνυσμα διάθεσης Διεργασία ενεργή αν Ap(CPU)=1 Τ: ΡΙΝ = άνυσμα χρόνου SQ :Ρ x RIN = πίνακας απαιτήσεων χώρου TQ: Ρ x RIN = πίνακας απαιτήσεων χρόνου Μεταβολές κατάστασης: απενεργοποίηση, αναδιάθεση, ενεργοποίηση
Μοντέλο Διάθεσης Πόρων για Προστασία έναντι επιθέσεων DoS (2/3) Το μοντέλο ακολουθεί τους εξής Κανόνες: Το συνολικό πλήθος των διατεθειμένων μονάδων οποιουδήποτε τύπου πόρου σε οποιαδήποτε χρονική στιγμή δεν πρέπει να υπερβαίνει τη χωρητικότητα του συστήματος γι’ αυτόν τον τύπο πόρου. Το άνυσμα απαιτήσεων χώρου μιας ενεργού διεργασίας είναι μηδενικό. Το άνυσμα διάθεσης μιας ενεργού διεργασίας δε μεταβάλλεται λόγω αναδιάθεσης.
Μοντέλο Διάθεσης Πόρων για Προστασία έναντι επιθέσεων DoS (3/3) Το άνυσμα χρόνου μεταβάλλεται μόνο λόγω ενεργοποίησης ή απενεργοποίησης. Η τιμή του ανύσματος χρόνου τροποποιείται μόνο αυξητικά. Απαιτήσεις χώρου τροποποιούνται λόγω αναδιάθεσης. Τα ανύσματα απαιτήσεων χρόνου δεν τροποποιούνται λόγω αναδιάθεσης. Η μόνη αναδιάθεση κατά την απενεργοποίηση είναι η ανάκληση της CPU.