Datasikkerhet vår 2002

Datasikkerhet vår 2002

Forelesning 2

13.01.2003 HiØ Forelesning 2 2

Grunnleggende sikkerhetsegenskaper og trusler

• Egenskaper– Konfidensialitet

– Integritet

– Tilgjengelighet

• Trusler (stammespråk)– Avsløring

– Manipulasjon

– Tjenestehindring, Denial of Service, brudd,...

• Forretningsmessig vinkel– Tape ansikt

– Tape inntekter

– Ikke være i stand til å utføre arbeid/levere tjeneste


Systemtekniske sikkerhetstjenester

• Identifikasjon og autentisering

• Aksesskontroll

• Konfidensialitet

• Integritet

• Vedkjenning

• Logging og revisjon


Aksesskontrolltjenesten• Forhindre uautorisert

bruk av ressurser• Aksesskontroll i

– i operativsystemet– komm.system– applikasjoner – databaser (DBMSer)

• Forskjellig grad av ”oppløsning”

Førerkort og vognkort takk


Forholdet til andre sikkerhetstjenester

• Forutsetter ofte autentisering

• Kan implementere konfidensialitet på lagrede data

• Kan implementere integritet på lagrede data


Trusler

• Aksesskontroll skal hindre– Uautorisert bruk– Avsløring– Endring– Ødeleggelse/sletting– Nekte bruk av tjeneste (Denial of Service)


Sikkerhetspolicy• Policy = politikk, prinsipper, retningslinjer, overordnede regler.

– Policyeksempel fra butikk - levere tilbake gave. Asylpolicy - sendes tilbake til forrige land med samme transportør

• På driftsnivå : Betingelser som må være oppfylt for at brukere av et system skal kunne aksessere informasjon og andre ressurser.

• På systemnivå: Betingelser som må oppfylles for at prosessers aksessforsøk skal formidles av funksjoner i systemets ”reference monitor”

• Betingelser: Vanligvis et sett med regler som definerer forutsetninger.

• En policy må kunne håndheves

• Ved hjelp av egnede mekanismer


Aksesskontrollpolicy elementer• Subjekter

– Aktive ”ting” (entiteter) som bruker eller gjør noe med ”ressurser” (objekter). Kan være prosesser/programmer eller personer. I mange sammenhenger utfører prosesser handlinger på vegne av personer (er agenter)

– Relevant info om subjekter er identitet, kreeringstidspunkt, sikkerhetsattributter

• Objekter– Passive entiteter som ”inneholder” informasjon - filer, kataloger,

kommunikasjopnskanaler, RAM (Egentlig litt for snever definisjon. Kan ha kjeder av prosesser - prosess i det ene øyeblikk og objekt i det neste.

– Relevant informasjon om objekter er eier, størrelse, kreeringstidspunkt, type

• Regler– betingelser for å tillate, for å nekte.


Aksesskontrollprosessen• Initiator

– Den som skal ha noe gjort

• Forespørsel– Det som ønskes gjort

• Kontrollør– Den/det som avgjør om

aksess tillates

• Målressurs– Den instans fore-spørselen

gjelder

Initiator KontrollørMål-ressurs

Kontrollfunksjon

InitiatorsACI

MålressursensACI

Policy

Kontekst

Også kalt reference monitor


Aksesskontrollinformasjon ACI• Brukerens

– Identifikasjon

– Billetter

– Roller

– Klarering

• Kommuniseres– Sensitivitetsmerker

– Integritetsmerker

– Bekreftet brukerid.

• Målressursens– Ressursid.

– Lovlige brukerid.er

– Klassifisering

• Kontekst– Dato og tidspunkt

– Rute

– Adresse


Håndhevelse av policy

• Forutsetter at det er mulig å fatte beslutninger på bakgrunn av foreliggende opplysninger– Reglene eller problemene (gjerne boolske uttrykk) må være løsbare

– Foreliggende opplysninger må være korrekte (vil ikke alltid være tilfelle)

• Sikkerhetsbrudd/brudd med policy– Må kunne håndtere risikoer i denne forbindelse

– Oppdage hva som skjer/har skjedd

– Sette seg i stand til å ”redde stumpene”

– Vurdere å forsterke beskyttelsesmekanismen(e)


Aksesskontroll mekanismer

• Aksesskontroll matriser

• Aksesskontroll lister

• Adgangskort (capabilities)

• Sikkerhetsmerker

• Kontekst


Aksesskontroll matrise

Objekt1 Objekt 2 Objekt 3

Subjekt 1 LeseSkrive

LeseEksekvere


Subjekt 3 Lese Eksekvere


Aksesskontroll-lister



LeseEksekvere



Liste per objekt (kolonnevis) over subjekter og deres rettigheter.


Adgangskort/Capabilities



LeseEksekvere



Innehaver av dette korter autorisert for å

Lese/skrive BibliogLese Help.txt

Ole-Arnt Johnsen sign.

Liste per subjekt (radvis) over hvilke objekter og rettigheter til disse


Merking

• Merking av informasjon (klassifisering)

• Merking av kanaler (autorisering)

• Autorisering / klarering av personer

• Vil se på merking i detalj senere


Kontekstbasert aksesskontroll

• Tidsbestemt– Aksess tillates kun i arbeidstiden

• Adressebestemt– Aksess godtas kun fra avsendere med adresse

på definert liste

• Kun anrop fra leide linjer skal gis aksess til Applikasjonen


Policy 1:Brukerbestemt aksesskontroll

• Alle filer (ressurser) skal ha en eier

• Den som oppretter en fil (ressurs) er den eier

• Eieren bestemmer selv hvilke andre brukere som skal kunne lese, og/eller endre eller eksekvere filen

Kari Per Ola

Brev Brevkopi

Eier: KariGruppe: PerogKariBeskyttelse: rw r--

Eier: PerGruppe: gruppenBeskyttelse: rw r r --


Flernivå aksesskontrollInformasjonsflyt kun oppover

Beskyttelsesverdig

Ugradert

En bruker kan lese kun dersom vedkommende er autorisert for informasjon på dette nivå eller høyere.En bruker kan skrive dersom vedkommende er autorisert for informasjon på et nivå lavere eller lik det nivået informasjonen skalskrives til.


Sikkerhetsmerker (labels)

• Består av sikkerhetsnivåer – Militær gradering: Cosmic Top Secret, Strengt hemmelig,

Hemmelig, Konfidensielt, Begrenset, Ugradert

– Bedrifters gradering: Bedrift hemmelig, bedrift konfidensielt, ugradert

• Angir grad av følsomhet

• Anvendes for papirbasert informasjon, kan også anvendes for maskinlesbar


Nivåer forts.

• Egenskaper– Hierarkiske

– Enkle matematiske relasjoner : >, , , <

– Et antall nivåer er fullstendig ordnet, det er entydig hvorvidt et nivå er høyere - likt - lavere enn et annet


Anvendt på objekter og subjekter

• Gradering er å tilordne sikkerhetsmerke til objekt• Klarering er å tilordne sikkerhetsmerke til subjekt


Drift- og vedlikeholdsfunksjoner

• Gi, endre eller fjerne rettigheter

• Tilordne gradering

• Tilordne klasse ved klassifisering

• Utstede billetter osv.


Konfidensialitetstjenesten

• Skjule informasjon for uautoriserte – på et lagringsmedium (diskett, disk, RAM,.)– under overføring


Trusler om avsløringPassive angrep

• Avlytting

• Lese filer

• Trafikkanalyse

• Analyse av meldinger

• Kryptoanalyse


Trusler om avsløringAktive angrep

• Trojanske hester

• Skjulte informasjonskanaler

• Mot mekanismer som støtter konf.mek.– autentiseringsmekanismer– aksesskontrollmekanismer– nøkkeldistribusjon


Konfidensialitetsmekanismer

• Omforming– Fyllkalk– Kryptografi– Spredt spektrum

• (Rutingkontroll)

• (Aksesskontroll)


Rutingkontroll

A

C

B

D H

F

E

G

13.01.2003 HiØ Forelesning 2 29Drift

Drift og vedlikehold

• Nøkkelproduksjon og distribusjon

• D&V av rutingtabeller

• (D&V av aksesskontroll)


Integritet = (Data)kvalitet• Angår

– Programvare– Data– Maskinvare

• Kun autoriserte skal kunne– Kreere– Endre– Slette

• Og kun på en autorisert måte


Trusler

• Uautorisert– Avspilling– Duplisering– Endring– Sletting– Innsetting


TruslerFlere eksempler

• Bakdør

• Trojanske hester

• Logiske bomber

• Virus

• Bakterier

• Ormer

• Programmeringsfeil


Policy• Identifiser subjekter• Identifiser objekter• Fastslå regler

– Hvem skal kunne slette• egne filer, systemfiler, ...

– Hvem skal kunne endre • egne filer, systemfiler, .

– Hvem skal kunne kreere

– Beskyttelses/håndteringskrav ved kommunikasjon


Modell for integritet

Initiator

Data

DataIntegritetsbeskyttelse

Kontrollfunksjon

Passiv beskyttelse

LageEndreSlette

BeskyttFjernbeskyttelse

Sjekk

Resultat


Modell for integritet

InitiatorKontrollfunksjon

DataOperasjon Lagre

EndreSlette

Aktiv beskyttelse


Integritetsbeskyttende mekanismer

• Aksesskontroll (endring, fjerning, produksjon)

• Digital signatur (produksjon)

• Sekvensering * (fjerning, produksjon)

• Sjekksum (endring)

• Hashing (endring)

• Message Authentication Code (MAC) * (endring)

• Cipher Block Chaining * (endring, fjerning, produksjon)

• Tidsstempling (replay)

• Kvittering (fjerning, produksjon)

• Redundans (fjerning)


IntegritetsbeskyttelseOppd./hindre uautoris. endringer

• Fysisk adgangskontroll

• Logisk aksesskontroll

• Sjekksum– Hashfunksjon– Message Authentication Code (MAC)– Enveisfunksjon– Cipher Block Chaining (CBC)


Skal være blank


IntegritetsbeskyttelseOppd./hindre uautoris. fjerning

• Beskyttelse– Fysisk og logisk aksesskontroll– Kvittering– Sekvensering– Cipher Block Chaining (CBC)– Redundans


IntegritetsbeskyttelseOppd./hindre uautorisert produksjon

• Beskyttelse– Aksesskontroll– Digital signatur– Sekvensering– Kvittering


Drift og vedlikehold• D&V av akseskontroll• Synkronisering

– Sekvensering

– Tidsstempling

– Kvittering

• Nøkkelfordeling– Signatur

– Sjekksum

– Hashing

– CBC


Unngå fornekting (vedkjenning)

• Skal gi bevis for mottak• ved å hindre mottaker i urettmessig å påstå at data ikke er

mottatt,

• ved å hindre mottaker i urettmessig å påstå at data er mottatt,

• Skal gi bevis for sending ved å hindre• avsender i urettmessig å påstå at data ikke er sendt og

• avsender i urettmessig å påstå at data er sendt.

• Dommer/Notarie som konfliktløser


Trusler

A B

Benekte mottak


Trusler

A B

Benekte sending


Trusler

A B

Påståsending


Trusler

A B

Påstå mottak


Modell

Avsender Mottaker

Betrodd•Notarius•Dommer

Data

Vedkjenningsdata


Første fase: Nøkkelinitialisering og registering

NøkkelA NøkkelB


Dataoverføringsfase

Hent info om B

Forespørsel signert med NøkkelA

A B

Kvittering signert med NøkkelBVerifiser Bs signatur

Info om B

Hent info om A

Info om AVerifiser As signatur


Vedkjenningsfase

Appell Appell

A B

og fremleggersignert kvitteringsom bevis

og fremleggersignert forespørselsom bevis


Bevis for sending

• Tjenesten skal hindre avsender i å benekte sending

Kopi

Avsender Mottaker

Kan også benyttes mot•feilaktig påstått mottak•feilaktig påstått sending


Bevis for avlevering

• Tjenesten skal hindre mottageren i å benekte mottak

• Protokolleksempel:• A sender melding til notarie• Notarie beskytter meldingen og sender videre til B• B bekrefter mottak av meldingen• Notarie sender nøkkel til B


Mekanismer

• Betrodd tredjepart (notarie/dommer)

• Digital signatur

• Kryptering


Drift og vedlikehold

• Tredjepart– regulere funksjon for logging av bevis– arkivfunksjon for loggede bevis

• Nøkkelhåndtering– Nøkkelproduksjon (opprettholde tiltro til

nøkkelmateriale)– Nøkkeldistribusjon


Revisjonstjenesten

• Skal oppdage sikkerhetsbrudd

• Skal kontrollere kontrollmekanismer

• Skal bekrefte etterlevelse av policy

• Skal bidra til å finne frem til forbedringer

• Skal muliggjøre analyse av angrep

• Skal virke preventivt


Trusler mot revisjonstjenesten• Mot tilgjengelighet

– lagrings-, kommunikasjons-, prosesseringskapasitet

• Mot konfidensialitet– direkte og indirekte

• Mot integritet– manipulasjon, sletting, fabrikasjon av rev. data

• Driftsansvarlige skal overvåkes spesielt• Hvem skal overvåke overvåkerne ?


Revisjonspolicy

• Entydig identifiserbarhet

• Holdes ansvarlig for sine handlinger

• Sikres mot urettmessige anklager


Revisjonsmodell

Alarm

HendelseDeteksjon og analyse av sik-kerhetsrelevantehendelser

Analyse avmeldinger

Revisjonslogg

Revisjonsarkiv

Analyse av logg og arkiv

Revisjonsmelding

Post til rev.logg


Skal være blank


Om revisjon

• Inspisere subjekter og objekter

• Gjenkjenne bruksmønstre

• Analysere aksess til objekter

• Analysere bruk av mekanismer

• Oppdage forsøk på omgåelse

• Oppdage ulovlig bruk av rettigheter

• Avskrekke - informasjon til brukere


Revisjonsinformasjon

• Dato, tidspunkt

• Hvem ble handlingen utført for

• Hvorfra kom forespørselen i utgangspunktet

• Type. Hvilken type hendelse var det

• Rapportør. Hva/hvem opdaget hendelsen

• Vellykket eller ikke

• Navn på berørte objekter


Reviderbare hendelserAutentisering

• Vellykket– Pålogging– Avlogging

• Mislykket– Pålogging– Avlogging

• Drift og vedlikehold av autentiserings-mekanismer


Reviderbare hendelserAksesskontroll

• Operativsystemet– Ikke-autorisert aksess til objekter, Endring av aksessrettigheter,

Aksess til konfigurasjonsdata, Aksess til objekter (regulerbart), System-, datasikkerhets- og revisjonsansvarlige

• Kommunikasjonssystemet– Ikkeautorisert forsøk på oppkobling, Opp- og nedkoblinger

• Applikasjoner– Uautorisert bruk av funksjoner, Bruk av funksjoner (regulerbart),

Uautorisert aksess til data, * Aksess til data (regulerbart)


Reviderbare hendelser Konfidensialitet

• Operativsystem– Håndtert av aksesskontroll

• Kommunikasjonssystem– Brudd på kommunikasjon

• Applikasjoner– Komplekse søkebegrep


Reviderbare hendelser Integritet

• Operativsystem– Fjerning og introduksjon av filer– Endring i innhold på filer

• Kommunikasjonssystem– Endringer i rutingtabeller– Endringer i konfigurasjonstabeller

• Applikasjoner– Udefinert


Drift og vedlikehold av revisjon• Slå av/på produksjon av revisjonsmeldinger• Slå av og på produksjonen av revisjonsposter• Slå av og på produksjon av alarmer• Igangsette arkivering eller sikkerhetskopiering• Regulere analysemekanismer• Igangsette analyse • Komprimering

Datasikkerhet vår 2002

Documents

Transcript of Datasikkerhet vår 2002