Πανεπιστήμιο Αιγαίου Τμήμα μηχανικών πληροφοριακών & επικοινωνιακών συστημάτων Ασφάλεια πληροφοριακών & επικοινωνιακών συστημάτων Ασφάλεια Πληροφοριακών και Επικοινωνιακών Συστημάτων Έλεγχος Πρόσβασης 15/1/2012 1
Εννοιολογική Θεμελίωση 1(5) Ο όρος προσπέλαση υποδηλώνει ότι υπάρχει κάποιο υποκείμενο που προσπαθεί να προσπελάσει κάποιο αντικείμενο αξιοποιώντας κάποια λειτουργία προσπέλασης που προσφέρει το υπολογιστικό σύστημα. Υποκείμενο Αίτηση Προσπέλασης Ελεγκτής Αιτήσεων Αντικείμενο 15/1/2012 2
Εννοιολογική Θεμελίωση 2(5) Ο όρος υποκείμενο αντιπροσωπεύει τους χρήστες και τις διεργασίες ενός συστήματος. Ο όρος αντικείμενο αντιπροσωπεύει τα αρχεία και άλλους υπολογιστικούς πόρους όπως μνήμη, εκτυπωτές κ.λπ. Κάθε οντότητα του υπολογιστικού συστήματος δεν εντάσσεται αποκλειστικά σε μια από τις παραπάνω κατηγορίες, καθώς ανάλογα με τις εκτελούμενες λειτουργίες μπορεί να δρα ως υποκείμενο (ενεργή οντότητα) αιτείται προσπέλασης σε κάποιον πόρο ή ως αντικείμενο(παθητική οντότητα). 15/1/2012 3
Εννοιολογική Θεμελίωση 3(5) Συνεπώς είναι δυνατόν να προσδιοριστούν: Οι ενέργειες που επιτρέπεται να εκτελέσει κάποιο υποκείμενο Οι ενέργειες που επιτρέπεται να εκτελεστούν σε κάποιο αντικείμενο Στις ενότητες που ακολουθούν θα αναφερθούμε σε: Ένα σύνολο υποκειμένων S (χρήστες, διεργασίες) Ένα σύνολο αντικειμένων O που σχετίζονται με την κατάσταση προστασίας του συστήματος Ένα σύνολο λειτουργιών προσπέλασης Α 15/1/2012 4
Εννοιολογική Θεμελίωση 4(5) Ο ιδιοκτήτης ενός αντικειμένου έχει τη δυνατότητα να τροποποιεί τα δικά του δικαιώματα και να εκχωρεί ή να ανακαλεί δικαιώματα προσπέλασης σε/από άλλα υποκείμενα. Ο διαχειριστής ενός συστήματος θα μπορούσε να θεωρηθεί ως ιδιοκτήτης όλων των αντικειμένων, καθώς μπορεί να τα προσπελάσει ανεξάρτητα από τα δικαιώματα που του έχουν εκχωρηθεί από τους ιδιοκτήτες. Εξασθένιση Προνομίων: Ένα υποκείμενο δε θα πρέπει να διαθέτει δυνατότητα εκχώρησης, σε άλλο υποκείμενο, δικαιωμάτων που δεν κατέχει 15/1/2012 5
Εννοιολογική Θεμελίωση 5(5) 15/1/2012 Ο καθορισμός και ο έλεγχος των τρόπων εκχώρησης δικαιωμάτων προσπέλασης, καθώς και των τρόπων που τα υποκείμενα μπορούν να προσπελάσουν κάποια αντικείμενα, υλοποιείται μέσω της πολιτικής ασφάλειας. Ποιος είναι υπεύθυνος για τον καθορισμό της πολιτικής ασφάλειας? Οι Ιδιοκτήτες των υπολογιστικών πόρων (Πολιτική Διακριτικού Ελέγχου Προσπέλασης) Κεντρική απόφαση σε επίπεδο συστήματος (Πολιτική Υποχρεωτικού Ελέγχου Προσπέλασης) 6
Έλεγχος πρόσβασης 1. Πίνακας ελέγχου πρόσβασης (access control matrix) 2. Λίστα ελέγχου δικαιωμάτων (access control list) 3. Λίστες δυνατοτήτων (capabilities) 4. Ομάδες (protection domains) 5. Covert Channel 15/1/2012 7
15/1/2012 8
15/1/2012 9
15/1/2012 10
15/1/2012 11
15/1/2012 12
15/1/2012 13
15/1/2012 14
15/1/2012 15
15/1/2012 16
15/1/2012 17
Παράδειγμα 15/1/2012 18
15/1/2012 19
Ομάδες σε Πίνακα Ελέγχου προσπέλασης (π.χ.) 15/1/2012 20
15/1/2012 21
15/1/2012 22
15/1/2012 23
15/1/2012 24
15/1/2012 25
15/1/2012 26
15/1/2012 27
Παράδειγμα 2 15/1/2012 28
15/1/2012 29
15/1/2012 30
15/1/2012 31
Παράδειγμα Tana is an administrator and member of the group pigfan A wildcard for Tana (problems ): Selective blocking: Using UID or GID: 15/1/2012 32
15/1/2012 33
15/1/2012 34
15/1/2012 35
15/1/2012 36
15/1/2012 37
15/1/2012 38
15/1/2012 39
Παράδειγμα 15/1/2012 40
15/1/2012 41
15/1/2012 42
15/1/2012 43
15/1/2012 44
15/1/2012 45
15/1/2012 46
Cryptographic Capability Για κάθε αντικείμενο δημιουργείται ένα check field (=random number) το οποίο αποθηκευεται μαζί με τον identifier του object (π.χ. i-node number) Μετά παρασκευάζεται το capability 15/1/2012 47
15/1/2012 48
15/1/2012 49
15/1/2012 50
15/1/2012 51
15/1/2012 52
15/1/2012 53
15/1/2012 54
15/1/2012 55
15/1/2012 56
15/1/2012 57
15/1/2012 58
15/1/2012 59
15/1/2012 60
15/1/2012 61
15/1/2012 62
15/1/2012 63
Covert Channels Λειτουργούν τα φορμαλιστικά μοντέλα? Στην πράξη ΟΧΙ Παράδειγμα (Lampson 1973) Single timesharing system 3 processes: client, server, collaborator Server and collaborator owned by the same entity 15/1/2012 64
Covert Channels The confinement problem: is it possible to design a system in which it is impossible for the server to leak information to the collaborator? 15/1/2012 65
Covert Channels We have implemented a protection matrix scheme properly Is it enough??? NO!! Several Channels Modulate the CPU usage Locking files (the acknowledgement protocol) Create and release files (Unix) etc 15/1/2012 66
Covert Channels 15/1/2012 67
Covert Channels Steganography (not directly applicable to our case) 15/1/2012 68