Seg Aula 08 Handout
-
Upload
api-3824185 -
Category
Documents
-
view
661 -
download
2
Transcript of Seg Aula 08 Handout
TOCI-08: Seguranca de Redes
Prof. Rafael [email protected]
Aula 8: Modelos de SegurancaBiba, Clark-Wilson, RBAC
c© 2008 Rafael Obelheiro (DCC/UDESC) Aula 8: Biba/CW/RBAC SEG 1 / 26
Roteiro
1 Modelo de integridade Biba
2 Modelo Clark-Wilson
3 Controle de acesso baseado em papeis (RBAC)
c© 2008 Rafael Obelheiro (DCC/UDESC) Aula 8: Biba/CW/RBAC SEG 2 / 26
Modelo de integridade Biba
O modelo BLP define uma polıtica de confidencialidade com baseno reticulado de rotulos de seguranca
I nao existe preocupacao com integridadeF escritas cegas
Em 1977, Ken Biba aproveitou as ideias de Bell e LaPadula paratratar ameacas a integridade
I modelo BibaI dual do modelo BLP
Famılia de tres modelosI modelo obrigatorio de integridadeI modelo de marca d’agua baixa de sujeitosI modelo de marca d’agua baixa de objetos
c© 2008 Rafael Obelheiro (DCC/UDESC) Aula 8: Biba/CW/RBAC SEG 3 / 26
Modelo obrigatorio de integridade
Usa rotulos (estaticos) de integridadeI em geral, mesmos nomes dos rotulos de seguranca BLP
F um documento ULTRA-SECRETO pode nao ter qualquernecessidade de segredo. . .
Regras inversas as do modelo BLPI propriedade de integridade simplesI propriedade-* de integridade
Compartilha benefıcios e limitacoes do modelo BLP
c© 2008 Rafael Obelheiro (DCC/UDESC) Aula 8: Biba/CW/RBAC SEG 4 / 26
Propriedade de integridade simples
Um sujeito so pode ler informacoes de objetos que possuamintegridade igual ou superior a sua
leitura
leitura
leitura
Propriedade-isUma leitura de um sujeito S sobre um objeto O e autorizada se, esomente se, rotulo(O)� rotulo(S)
Regra no read down (NRD)
c© 2008 Rafael Obelheiro (DCC/UDESC) Aula 8: Biba/CW/RBAC SEG 5 / 26
Propriedade-* de integridade
Um sujeito so pode escrever em objetos que possuam integridadeigual ou inferior a sua
escrita escrita
escrita
Propriedade-*Uma escrita de um sujeito S em um objeto O e autorizada se, esomente se, rotulo(S)� rotulo(O)
Regra no write up (NWU)
c© 2008 Rafael Obelheiro (DCC/UDESC) Aula 8: Biba/CW/RBAC SEG 6 / 26
Modelo de marca d’agua baixa de sujeitos
Subject low water-markUtiliza a ideia de rotulo corrente de integridade de um sujeitoPermite que um sujeito leia objetos de nıvel mais baixo deintegridade, rebaixando sua integridade a do objeto
I sujeito “puro” e “corrompido” por um objeto “impuro”
Integridade dos sujeitos decresce monotonicamenteUsado no LOMAC (Linux, FreeBSD)
c© 2008 Rafael Obelheiro (DCC/UDESC) Aula 8: Biba/CW/RBAC SEG 7 / 26
Modelo de marca d’agua baixa de objetos
Object low water-markObjetos possuem um rotulo corrente de integridadePermite que um sujeito escreva em objetos de nıvel mais alto deintegridade, rebaixando a integridade do objeto a sua
I objeto “puro” e “corrompido” por um sujeito “impuro”
Integridade dos objetos decresce monotonicamente
c© 2008 Rafael Obelheiro (DCC/UDESC) Aula 8: Biba/CW/RBAC SEG 8 / 26
O modelo Clark-Wilson
Modelo obrigatorio de integridade baseado em praticasadministrativas e contabeis largamente adotadas em ambientescomerciais
I garantir a integridade dos dados para evitar fraudes e errosI nenhum usuario do sistema, mesmo que autorizado, deve poder
modificar itens de dados de tal forma que registros contabeis ou debens da organizacao sejam perdidos ou corrompidos
Baseado em dois conceitos centraisI transacoes bem formadasI separacao de deveres
c© 2008 Rafael Obelheiro (DCC/UDESC) Aula 8: Biba/CW/RBAC SEG 10 / 26
Transacoes bem formadas
Um usuario nao deve manipular dados arbitrariamente, masapenas de modo controlado, preservando ou garantindo a suaintegridade
I log de todas as modificacoes para possibilitar posterior auditoriaObjetivo central e garantir a consistencia interna
I dados do sistema sao consistentes entre siUm exemplo classico e o metodo de partidas dobradas, usado nacontabilidade
I a cada credito deve corresponder um debito de igual valor
c© 2008 Rafael Obelheiro (DCC/UDESC) Aula 8: Biba/CW/RBAC SEG 11 / 26
Separacao de deveres (separation of duty )
Consiste em separar operacoes em varias etapas, que devem serexecutadas por pessoas diferentesObjetivo central e garantir a consistencia externa
I dados do sistema conferem com o “mundo real”Exemplo: processo de aquisicao e pagamento de mercadorias
1. autorizacao da ordem de compra2. registro da entrada da mercadoria3. registro da entrada da fatura4. pagamento da fatura
I se uma unica pessoa for responsavel por todas as etapas podemocorrer compras fictıcias
c© 2008 Rafael Obelheiro (DCC/UDESC) Aula 8: Biba/CW/RBAC SEG 12 / 26
Regras do modelo Clark-Wilson
Dados do sistema (objetos) sao divididos em dois conjuntosI itens de dados restritos (IDRs)→ ıntegrosI itens de dados irrestritos (IDIs)→ sem integridade
A polıtica de integridade e definida por duas classes deprocedimentos
I procedimento de verificacao de integridade (PVIs): confirmaque o sistema se encontra em um estado ıntegro quando o PVI eexecutado
I procedimento de transformacao (PTs): transacao bem formadaque leva o conjunto de IDRs de um estado ıntegro a outro
Existem dois conjuntos de regrasI regras de [C]ertificacaoI regras de [I]mplantacao
c© 2008 Rafael Obelheiro (DCC/UDESC) Aula 8: Biba/CW/RBAC SEG 13 / 26
Regras de consistencia interna
C1: todos os PVIs devem garantir que todos os IDRs estejam emum estado valido quando o PVI for executadoC2: todos os PTs devem ser certificados como validos, ou seja,devem levar um IDR de um estado valido para outro estadovalido. Cada PT deve ser certificado para acessar um conjuntoespecıfico de IDRsI1: o sistema deve manter e proteger a lista de entradas (IDRa,IDRb, IDRc , . . . ) que relaciona os IDRs que um PT foi certificadopara acessar
c© 2008 Rafael Obelheiro (DCC/UDESC) Aula 8: Biba/CW/RBAC SEG 14 / 26
Regras para usuarios
I2: o sistema deve manter uma lista de relacoes que relacionamum usuario, um PT e os objetos de dados que o PT pode acessarem nome do usuario. Estas listas, portanto, tem a forma(ID-Usuario, PTi , (IDRa, IDRb, IDRc , . . . )). O sistema devegarantir que apenas as execucoes descritas nas relacoes sejamefetuadasC3: a lista de relacoes em I2 deve possuir uma certificacao deque preenche o requisito de separacao de deveresI3: o sistema deve autenticar todos os usuarios que tentamexecutar um PT
c© 2008 Rafael Obelheiro (DCC/UDESC) Aula 8: Biba/CW/RBAC SEG 15 / 26
Regra de log
C4: a certificacao dos PTs deve garantir que eles escrevam emum IDR append-only (o log) todas as informacoes necessarias areconstrucao da natureza das suas operacoesUm auditor precisa ser capaz determinar o que aconteceuquando efetua uma revisao de transacoes
c© 2008 Rafael Obelheiro (DCC/UDESC) Aula 8: Biba/CW/RBAC SEG 16 / 26
Regra para dados nao confiaveis
C5: qualquer PT que aceita um IDI como entrada deve sercertificado a fazer apenas transformacoes validas, ou nenhumatransformacao, para qualquer valor possıvel do IDI. Atransformacao deve levar a entrada de um IDI para um IDR, ou oIDI e rejeitadoDados entram no sistema como IDIs, e devem ser validados antesde serem aceitos
c© 2008 Rafael Obelheiro (DCC/UDESC) Aula 8: Biba/CW/RBAC SEG 17 / 26
Regra de separacao de deveres no modelo
I4: apenas o agente capaz de certificar PTs e PVIs pode alterar alista destas entidades associadas com usuarios e/ou IDRs. Umagente que pode certificar uma entidade nao pode ter direito deexecucao sobre esta entidadeEvita que um unico usuario certifique e execute PTs e PVIs
c© 2008 Rafael Obelheiro (DCC/UDESC) Aula 8: Biba/CW/RBAC SEG 18 / 26
Controle de acesso baseado em papeis (RBAC)
Regulam o acesso de acordo com as funcoes desempenhadaspelos usuarios no sistemaAssociam usuarios a papeis e papeis a permissoes, facilitando aadministracao da seguranca
I mudanca de direitos quando usuarios mudam de funcao
Sao independentes de polıticaSuportam mınimo privilegio, hierarquias organizacionais eseparacao de deveresUso crescente em SGBDs e aplicacoes
c© 2008 Rafael Obelheiro (DCC/UDESC) Aula 8: Biba/CW/RBAC SEG 20 / 26
Modelo unificado RBAC NIST
Tentativa de estabelecer um consenso em torno dascaracterısticas basicas do RBACUma famılia de modelos que abrange o espectro decomplexidade do RBAC
I RBAC basicoI RBAC hierarquicoI RBAC com restricoesI RBAC simetrico
c© 2008 Rafael Obelheiro (DCC/UDESC) Aula 8: Biba/CW/RBAC SEG 21 / 26
RBAC basico
U
Usuários
R
Papéis
P
Permissões
Associaçãode Usuário
Associaçãode Permissão
UA PA
c© 2008 Rafael Obelheiro (DCC/UDESC) Aula 8: Biba/CW/RBAC SEG 22 / 26
RBAC simetrico
U
Usuários
P
Permissões
Associação
de Usuário
Associação
R
Papéis
Hierarquia
de Papéis
de Permissão
PAUA
Restrições de SD
Sessões
S
RH
usuário papéis
c© 2008 Rafael Obelheiro (DCC/UDESC) Aula 8: Biba/CW/RBAC SEG 23 / 26
Hierarquias de papeis
Gerentede Agência
Pessoa FísicaGerente
Pessoa JurídicaGerente
PoupançaP. Física
ContasP. Jurídica
PoupançaP. Jurídica
ContasP. Física
Atendimento AtendimentoP. JurídicaP. Física
Atendimentoa Clientes
c© 2008 Rafael Obelheiro (DCC/UDESC) Aula 8: Biba/CW/RBAC SEG 24 / 26
Separacao de deveres
SD Estática
SD Dinâmica
Supervisor
de Compras
Compras
Chefe de
Almoxarifado
Almoxarifado
Contador−Chefe
Contador
Contabilidade
Herança
c© 2008 Rafael Obelheiro (DCC/UDESC) Aula 8: Biba/CW/RBAC SEG 25 / 26
Bibliografia
Dieter Gollmann.Computer Security, 2nd Edition. Wiley, 2006.Capıtulos 4 e 8.
c© 2008 Rafael Obelheiro (DCC/UDESC) Aula 8: Biba/CW/RBAC SEG 26 / 26