Seg Aula 08 Handout

TOCI-08: Seguranca de Redes

Prof. Rafael [email protected]

Aula 8: Modelos de SegurancaBiba, Clark-Wilson, RBAC

c© 2008 Rafael Obelheiro (DCC/UDESC) Aula 8: Biba/CW/RBAC SEG 1 / 26

Roteiro

1 Modelo de integridade Biba

2 Modelo Clark-Wilson

3 Controle de acesso baseado em papeis (RBAC)


Modelo de integridade Biba

O modelo BLP define uma polıtica de confidencialidade com baseno reticulado de rotulos de seguranca

I nao existe preocupacao com integridadeF escritas cegas

Em 1977, Ken Biba aproveitou as ideias de Bell e LaPadula paratratar ameacas a integridade

I modelo BibaI dual do modelo BLP

Famılia de tres modelosI modelo obrigatorio de integridadeI modelo de marca d’agua baixa de sujeitosI modelo de marca d’agua baixa de objetos


Modelo obrigatorio de integridade

Usa rotulos (estaticos) de integridadeI em geral, mesmos nomes dos rotulos de seguranca BLP

F um documento ULTRA-SECRETO pode nao ter qualquernecessidade de segredo. . .

Regras inversas as do modelo BLPI propriedade de integridade simplesI propriedade-* de integridade

Compartilha benefıcios e limitacoes do modelo BLP


Propriedade de integridade simples

Um sujeito so pode ler informacoes de objetos que possuamintegridade igual ou superior a sua

leitura

leitura

leitura

Propriedade-isUma leitura de um sujeito S sobre um objeto O e autorizada se, esomente se, rotulo(O)� rotulo(S)

Regra no read down (NRD)


Propriedade-* de integridade

Um sujeito so pode escrever em objetos que possuam integridadeigual ou inferior a sua

escrita escrita

escrita

Propriedade-*Uma escrita de um sujeito S em um objeto O e autorizada se, esomente se, rotulo(S)� rotulo(O)

Regra no write up (NWU)


Modelo de marca d’agua baixa de sujeitos

Subject low water-markUtiliza a ideia de rotulo corrente de integridade de um sujeitoPermite que um sujeito leia objetos de nıvel mais baixo deintegridade, rebaixando sua integridade a do objeto

I sujeito “puro” e “corrompido” por um objeto “impuro”

Integridade dos sujeitos decresce monotonicamenteUsado no LOMAC (Linux, FreeBSD)


Modelo de marca d’agua baixa de objetos

Object low water-markObjetos possuem um rotulo corrente de integridadePermite que um sujeito escreva em objetos de nıvel mais alto deintegridade, rebaixando a integridade do objeto a sua

I objeto “puro” e “corrompido” por um sujeito “impuro”

Integridade dos objetos decresce monotonicamente


O modelo Clark-Wilson

Modelo obrigatorio de integridade baseado em praticasadministrativas e contabeis largamente adotadas em ambientescomerciais

I garantir a integridade dos dados para evitar fraudes e errosI nenhum usuario do sistema, mesmo que autorizado, deve poder

modificar itens de dados de tal forma que registros contabeis ou debens da organizacao sejam perdidos ou corrompidos

Baseado em dois conceitos centraisI transacoes bem formadasI separacao de deveres


Transacoes bem formadas

Um usuario nao deve manipular dados arbitrariamente, masapenas de modo controlado, preservando ou garantindo a suaintegridade

I log de todas as modificacoes para possibilitar posterior auditoriaObjetivo central e garantir a consistencia interna

I dados do sistema sao consistentes entre siUm exemplo classico e o metodo de partidas dobradas, usado nacontabilidade

I a cada credito deve corresponder um debito de igual valor


Separacao de deveres (separation of duty )

Consiste em separar operacoes em varias etapas, que devem serexecutadas por pessoas diferentesObjetivo central e garantir a consistencia externa

I dados do sistema conferem com o “mundo real”Exemplo: processo de aquisicao e pagamento de mercadorias

1. autorizacao da ordem de compra2. registro da entrada da mercadoria3. registro da entrada da fatura4. pagamento da fatura

I se uma unica pessoa for responsavel por todas as etapas podemocorrer compras fictıcias


Regras do modelo Clark-Wilson

Dados do sistema (objetos) sao divididos em dois conjuntosI itens de dados restritos (IDRs)→ ıntegrosI itens de dados irrestritos (IDIs)→ sem integridade

A polıtica de integridade e definida por duas classes deprocedimentos

I procedimento de verificacao de integridade (PVIs): confirmaque o sistema se encontra em um estado ıntegro quando o PVI eexecutado

I procedimento de transformacao (PTs): transacao bem formadaque leva o conjunto de IDRs de um estado ıntegro a outro

Existem dois conjuntos de regrasI regras de [C]ertificacaoI regras de [I]mplantacao


Regras de consistencia interna

C1: todos os PVIs devem garantir que todos os IDRs estejam emum estado valido quando o PVI for executadoC2: todos os PTs devem ser certificados como validos, ou seja,devem levar um IDR de um estado valido para outro estadovalido. Cada PT deve ser certificado para acessar um conjuntoespecıfico de IDRsI1: o sistema deve manter e proteger a lista de entradas (IDRa,IDRb, IDRc , . . . ) que relaciona os IDRs que um PT foi certificadopara acessar


Regras para usuarios

I2: o sistema deve manter uma lista de relacoes que relacionamum usuario, um PT e os objetos de dados que o PT pode acessarem nome do usuario. Estas listas, portanto, tem a forma(ID-Usuario, PTi , (IDRa, IDRb, IDRc , . . . )). O sistema devegarantir que apenas as execucoes descritas nas relacoes sejamefetuadasC3: a lista de relacoes em I2 deve possuir uma certificacao deque preenche o requisito de separacao de deveresI3: o sistema deve autenticar todos os usuarios que tentamexecutar um PT


Regra de log

C4: a certificacao dos PTs deve garantir que eles escrevam emum IDR append-only (o log) todas as informacoes necessarias areconstrucao da natureza das suas operacoesUm auditor precisa ser capaz determinar o que aconteceuquando efetua uma revisao de transacoes


Regra para dados nao confiaveis

C5: qualquer PT que aceita um IDI como entrada deve sercertificado a fazer apenas transformacoes validas, ou nenhumatransformacao, para qualquer valor possıvel do IDI. Atransformacao deve levar a entrada de um IDI para um IDR, ou oIDI e rejeitadoDados entram no sistema como IDIs, e devem ser validados antesde serem aceitos


Regra de separacao de deveres no modelo

I4: apenas o agente capaz de certificar PTs e PVIs pode alterar alista destas entidades associadas com usuarios e/ou IDRs. Umagente que pode certificar uma entidade nao pode ter direito deexecucao sobre esta entidadeEvita que um unico usuario certifique e execute PTs e PVIs


Controle de acesso baseado em papeis (RBAC)

Regulam o acesso de acordo com as funcoes desempenhadaspelos usuarios no sistemaAssociam usuarios a papeis e papeis a permissoes, facilitando aadministracao da seguranca

I mudanca de direitos quando usuarios mudam de funcao

Sao independentes de polıticaSuportam mınimo privilegio, hierarquias organizacionais eseparacao de deveresUso crescente em SGBDs e aplicacoes


Modelo unificado RBAC NIST

Tentativa de estabelecer um consenso em torno dascaracterısticas basicas do RBACUma famılia de modelos que abrange o espectro decomplexidade do RBAC

I RBAC basicoI RBAC hierarquicoI RBAC com restricoesI RBAC simetrico


RBAC basico

U

Usuários

R

Papéis

P

Permissões

Associaçãode Usuário

Associaçãode Permissão

UA PA


RBAC simetrico

U

Usuários

P

Permissões

Associação

de Usuário

Associação

R

Papéis

Hierarquia

de Papéis

de Permissão

PAUA

Restrições de SD

Sessões

S

RH

usuário papéis


Hierarquias de papeis

Gerentede Agência

Pessoa FísicaGerente

Pessoa JurídicaGerente

PoupançaP. Física

ContasP. Jurídica

PoupançaP. Jurídica

ContasP. Física

Atendimento AtendimentoP. JurídicaP. Física

Atendimentoa Clientes


Separacao de deveres

SD Estática

SD Dinâmica

Supervisor

de Compras

Compras

Chefe de

Almoxarifado

Almoxarifado

Contador−Chefe

Contador

Contabilidade

Herança


Bibliografia

Dieter Gollmann.Computer Security, 2nd Edition. Wiley, 2006.Capıtulos 4 e 8.


Seg Aula 08 Handout

Documents

Transcript of Seg Aula 08 Handout