Πρόσβαση: η δυνατότητα χρήσης ενός υπολογιστικού πόρου για ένα συγκεκριµένο σκοπό Έλεγχος πρόσβασης: το σύνολο των διαδικασιών και των τεχνικών µε τις οποίες η πρόσβαση παρέχεται ή απαγορεύεται Οι διαδικασίες ελέγχου πρόσβασης αναφέρονται σε: συστήµατα αρχείων modems εκτυπωτές κλπ. Έλεγχος Πρόσβασης 1
Κριτήρια Πρόσβασης Ταυτότητα χρηστών ή οµάδων χρηστών Αρµοδιότητα ή ρόλος Τοποθεσία (π.χ. απαγόρευση σε χρήστες που συνδέονται µε modem η πρόσβαση σε κάποια αρχεία) Χρονική στιγµή (π.χ. απαγόρευση πρόσβασης σε χρήστη µη εργάσιµες ώρες) Περιορισµοί εξυπηρέτησης (π.χ. ανάληψη ποσού µικρότερη από 1000 ευρώ την ηµέρα) Τύποι πρόσβασης (π.χ. ανάγνωση, εγγραφή, κλπ.) Έλεγχος Πρόσβασης 2
Κριτήρια Πρόσβασης Τύποι πρόσβασης στο UNIX: ανάγνωση εγγραφή εκτέλεση Τύποι πρόσβασης στα ΝΤ (επιπλέον αυτών του UNIX): διαγραφή αλλαγή αδειών αλλαγή ιδιοκτησίας Έλεγχος Πρόσβασης 3
Για έλεγχο πρόσβασης εσωτερικών χρηστών: κωδικοί πρόσβασης (passwords) κρυπτογράφηση λίστες ελέγχου πρόσβασης περιορισµένα περιβάλλοντα χρήσης ετικέτες ασφαλείας Για έλεγχο πρόσβασης εξωτερικών χρηστών: συσκευές προστασίας θυρών επικοινωνίας ασφαλείς πύλες επικοινωνίας - firewalls πιστοποίηση ταυτότητας στο σύστηµα από όπου γίνεται η προσπέλαση Έλεγχος Πρόσβασης 4
Κωδικοί Πρόσβασης κωδικός στο BIOS κωδικός σε διαµοιραζόµενους πόρους κωδικοί σε αρχεία κλπ. Κρυπτογράφηση κρυπτογράφηση αρχείων η αποκρυπτογράφηση γίνεται µόνο µε γνώση του κατάλληλου κλειδιού Έλεγχος Πρόσβασης 5
Λίστες ελέγχου πρόσβασης πρόκειται για µια ακολουθία από δυαδικά ψηφία, η οποία ερµηνεύεται µε βάση ορισµένους κανόνες και παρέχει ή όχι την πρόσβαση κάποιου χρήστη σε ένα υπολογιστικό πόρο Για κάθε αρχείο στο UNIX παρέχονται διαφορετικοί τύποι πρόσβασης (για ανάγνωση, εγγραφή ή εκτέλεση) στον κάτοχο, στην οµάδα χρηστών του κατόχου, στο σύνολο των υπολοίπων χρηστών Επιτυγχάνουν τη διαµοίραση αρχείων σε οµάδες χρηστών Έλεγχος Πρόσβασης 6
Λίστες ελέγχου πρόσβασης Οι βασικές λίστες ελέγχου πρόσβασης: δεν επιτρέπουν τη διαµοίραση αρχείων µεταξύ διαφορετικών οµάδων χρηστών δεν επιτρέπουν την άρνηση πρόσβασης σε συγκεκριµένους χρήστες µιας οµάδας χρηστών Οι προηγµένες λίστες ελέγχου πρόσβασης λύνουν τα δύο παραπάνω προβλήµατα των βασικών λιστών πρόσβασης Έλεγχος Πρόσβασης 7
Περιορισµένα περιβάλλοντα χρήσης τα µενού (menus): περιορισµός των χρηστών σε συγκεκριµένες εντολές ή πρόσβασης στο λειτουργικό σύστηµα ή σε εφαρµογές οι απόψεις βάσεων δεδοµένων (database views): περιορισµός πρόσβασης στα δεδοµένα µιας βάσης τα φυσικά περιορισµένα περιβάλλοντα: π.χ. πληκτρολόγηση µόνο αριθµών στους κωδικούς για πρόσβαση σε ΑΤΜ Έλεγχος Πρόσβασης 8
Ετικέτες ασφάλειας χαρακτηρισµός που αποδίδεται σε ένα πόρο (π.χ. αρχείο) µε σκοπό τη διαβάθµισή του (π.χ. εµπιστευτικό) πλεονεκτήµατα: πολύ ισχυρή τεχνική ελέγχου πρόσβασης υπάρχει µόνιµη σύνδεση µε την πληροφορία η σύνδεση διατηρείται κατά την αντιγραφή ή την επεξεργασία της πληροφορίας µειονεκτήµατα: υψηλό κόστος υψηλός διαχειριστικός φόρτος Έλεγχος Πρόσβασης 9
Συσκευές προστασίας θυρών (π.χ. dial-back modem) µπορεί να είναι ξεχωριστή ή ενσωµατωµένη στη θύρα επικοινωνίας απαιτεί την πιστοποίηση ταυτότητας σε κάποιο µηχανισµό αποκλείει την πρόσβαση σε µη εξουσιοδοτηµένους χρήστες ακόµα και στην περίπτωση υποκλοπής κωδικού µπορεί να παρακαµφθεί όµως µε χρήση εκτροπής κλήσεων Έλεγχος Πρόσβασης 10
Ασφαλείς πύλες (firewalls) παρεµβάλλονται µεταξύ ενός ιδιωτικού δικτύου και ενός µεγαλύτερου εξωτερικού δικτύου επιτρέπουν στους χρήστες του ιδιωτικού δικτύου να συνδεθούν στο εξωτερικό δίκτυο ελέγχουν την πρόσβαση των εξωτερικών χρηστών στο εσωτερικό δίκτυο παραδείγµατα: φιλτράρισµα της κυκλοφορίας που σχετίζεται µε τρωτά σηµεία ή είναι ύποπτη για εισβολή στο σύστηµα απαγόρευση κάθε είδους κυκλοφορίας εκτός από συγκεκριµένα είδη (π.χ. e-mail, ftp, κλπ) Έλεγχος Πρόσβασης 11
Πιστοποίηση ταυτότητας βασισµένη στο υπολογιστικό σύστηµα η πρόσβαση εξαρτάται από την ηλεκτρονική διεύθυνση από την οποία προέρχεται η αίτηση για πρόσβαση κάποιος υπολογιστής µπορεί να διαµορφωθεί ώστε να φαίνεται σαν να διαθέτει διεύθυνση που επιτρέπει την πρόσβαση το παραπάνω πρόβληµα λύνεται µε κρυπτογράφηση για ασφαλή αναγνώριση της ταυτότητας του αποµακρυσµένου κόµβου Έλεγχος Πρόσβασης 12
ιαχείριση Τεχνικών Ελέγχου Πρόσβασης Η διαχείριση των τεχνικών ελέγχου πρόσβασης περιλαµβάνει: τον έλεγχο του συστήµατος την παρακολούθηση του συστήµατος τη µεταβολή του συστήµατος Είδη διαχείρισης ελέγχου πρόσβασης κεντρικοποιηµένη αποκεντρικοποιηµένη υβριδική Έλεγχος Πρόσβασης 13
ιαχείριση Τεχνικών Ελέγχου Πρόσβασης Κεντρικοποιηµένη διαχείριση: η διαχείριση γίνεται από µια πολύ µικρή οµάδα ή ένα άτοµο επιτρέπει απόλυτο έλεγχο και εξασφαλίζει ότι οι ίδιες διαδικασίες εφαρµόζονται µε τον ίδιο τρόπο σε όλο το σύστηµα σε περίπτωση σηµαντικών και γρήγορων µεταβολών µπορεί να είναι δυσλειτουργική Αποκεντρικοποιηµένη διαχείριση: η πρόσβαση ελέγχεται από τους κατόχους ή τους χρήστες των αρχείων κοστίζει λιγότερο δεν υπάρχει οµοιοµορφία εφαρµογής διαδικασιών, κριτηρίων Υβριδική συνδυασµός των δύο παραπάνω τεχνικών Έλεγχος Πρόσβασης 14
Βιβλιογραφία Ασφάλεια Πληροφοριακών Συστηµάτων και ικτύων, Γ. Πάγκαλος και Ι. Μαυρίδης, ΑΝΙΚΟΥΛΑ, 2002. Έλεγχος Πρόσβασης 15