Datasikkerhet vår 2002
description
Transcript of Datasikkerhet vår 2002
Datasikkerhet vår 2002
Forelesning 2
13.01.2003 HiØ Forelesning 2 2
Grunnleggende sikkerhetsegenskaper og trusler
• Egenskaper– Konfidensialitet
– Integritet
– Tilgjengelighet
• Trusler (stammespråk)– Avsløring
– Manipulasjon
– Tjenestehindring, Denial of Service, brudd,...
• Forretningsmessig vinkel– Tape ansikt
– Tape inntekter
– Ikke være i stand til å utføre arbeid/levere tjeneste
13.01.2003 HiØ Forelesning 2 3
Systemtekniske sikkerhetstjenester
• Identifikasjon og autentisering
• Aksesskontroll
• Konfidensialitet
• Integritet
• Vedkjenning
• Logging og revisjon
13.01.2003 HiØ Forelesning 2 4
Aksesskontrolltjenesten• Forhindre uautorisert
bruk av ressurser• Aksesskontroll i
– i operativsystemet– komm.system– applikasjoner – databaser (DBMSer)
• Forskjellig grad av ”oppløsning”
Førerkort og vognkort takk
13.01.2003 HiØ Forelesning 2 5
Forholdet til andre sikkerhetstjenester
• Forutsetter ofte autentisering
• Kan implementere konfidensialitet på lagrede data
• Kan implementere integritet på lagrede data
13.01.2003 HiØ Forelesning 2 6
Trusler
• Aksesskontroll skal hindre– Uautorisert bruk– Avsløring– Endring– Ødeleggelse/sletting– Nekte bruk av tjeneste (Denial of Service)
13.01.2003 HiØ Forelesning 2 7
Sikkerhetspolicy• Policy = politikk, prinsipper, retningslinjer, overordnede regler.
– Policyeksempel fra butikk - levere tilbake gave. Asylpolicy - sendes tilbake til forrige land med samme transportør
• På driftsnivå : Betingelser som må være oppfylt for at brukere av et system skal kunne aksessere informasjon og andre ressurser.
• På systemnivå: Betingelser som må oppfylles for at prosessers aksessforsøk skal formidles av funksjoner i systemets ”reference monitor”
• Betingelser: Vanligvis et sett med regler som definerer forutsetninger.
• En policy må kunne håndheves
• Ved hjelp av egnede mekanismer
13.01.2003 HiØ Forelesning 2 8
Aksesskontrollpolicy elementer• Subjekter
– Aktive ”ting” (entiteter) som bruker eller gjør noe med ”ressurser” (objekter). Kan være prosesser/programmer eller personer. I mange sammenhenger utfører prosesser handlinger på vegne av personer (er agenter)
– Relevant info om subjekter er identitet, kreeringstidspunkt, sikkerhetsattributter
• Objekter– Passive entiteter som ”inneholder” informasjon - filer, kataloger,
kommunikasjopnskanaler, RAM (Egentlig litt for snever definisjon. Kan ha kjeder av prosesser - prosess i det ene øyeblikk og objekt i det neste.
– Relevant informasjon om objekter er eier, størrelse, kreeringstidspunkt, type
• Regler– betingelser for å tillate, for å nekte.
13.01.2003 HiØ Forelesning 2 9
Aksesskontrollprosessen• Initiator
– Den som skal ha noe gjort
• Forespørsel– Det som ønskes gjort
• Kontrollør– Den/det som avgjør om
aksess tillates
• Målressurs– Den instans fore-spørselen
gjelder
Initiator KontrollørMål-ressurs
Kontrollfunksjon
InitiatorsACI
MålressursensACI
Policy
Kontekst
Også kalt reference monitor
13.01.2003 HiØ Forelesning 2 10
Aksesskontrollinformasjon ACI• Brukerens
– Identifikasjon
– Billetter
– Roller
– Klarering
• Kommuniseres– Sensitivitetsmerker
– Integritetsmerker
– Bekreftet brukerid.
• Målressursens– Ressursid.
– Lovlige brukerid.er
– Klassifisering
• Kontekst– Dato og tidspunkt
– Rute
– Adresse
13.01.2003 HiØ Forelesning 2 11
Håndhevelse av policy
• Forutsetter at det er mulig å fatte beslutninger på bakgrunn av foreliggende opplysninger– Reglene eller problemene (gjerne boolske uttrykk) må være løsbare
– Foreliggende opplysninger må være korrekte (vil ikke alltid være tilfelle)
• Sikkerhetsbrudd/brudd med policy– Må kunne håndtere risikoer i denne forbindelse
– Oppdage hva som skjer/har skjedd
– Sette seg i stand til å ”redde stumpene”
– Vurdere å forsterke beskyttelsesmekanismen(e)
13.01.2003 HiØ Forelesning 2 12
Aksesskontroll mekanismer
• Aksesskontroll matriser
• Aksesskontroll lister
• Adgangskort (capabilities)
• Sikkerhetsmerker
• Kontekst
13.01.2003 HiØ Forelesning 2 13
Aksesskontroll matrise
Objekt1 Objekt 2 Objekt 3
Subjekt 1 LeseSkrive
LeseEksekvere
Subjekt 2 LeseSkrive
Subjekt 3 Lese Eksekvere
13.01.2003 HiØ Forelesning 2 14
Aksesskontroll-lister
Objekt1 Objekt 2 Objekt 3
Subjekt 1 LeseSkrive
LeseEksekvere
Subjekt 2 LeseSkrive
Subjekt 3 Lese Eksekvere
Liste per objekt (kolonnevis) over subjekter og deres rettigheter.
13.01.2003 HiØ Forelesning 2 15
Adgangskort/Capabilities
Objekt1 Objekt 2 Objekt 3
Subjekt 1 LeseSkrive
LeseEksekvere
Subjekt 2 LeseSkrive
Subjekt 3 Lese Eksekvere
Innehaver av dette korter autorisert for å
Lese/skrive BibliogLese Help.txt
Ole-Arnt Johnsen sign.
Liste per subjekt (radvis) over hvilke objekter og rettigheter til disse
13.01.2003 HiØ Forelesning 2 16
Merking
• Merking av informasjon (klassifisering)
• Merking av kanaler (autorisering)
• Autorisering / klarering av personer
• Vil se på merking i detalj senere
13.01.2003 HiØ Forelesning 2 17
Kontekstbasert aksesskontroll
• Tidsbestemt– Aksess tillates kun i arbeidstiden
• Adressebestemt– Aksess godtas kun fra avsendere med adresse
på definert liste
• Kun anrop fra leide linjer skal gis aksess til Applikasjonen
13.01.2003 HiØ Forelesning 2 18
Policy 1:Brukerbestemt aksesskontroll
• Alle filer (ressurser) skal ha en eier
• Den som oppretter en fil (ressurs) er den eier
• Eieren bestemmer selv hvilke andre brukere som skal kunne lese, og/eller endre eller eksekvere filen
Kari Per Ola
Brev Brevkopi
Eier: KariGruppe: PerogKariBeskyttelse: rw r--
Eier: PerGruppe: gruppenBeskyttelse: rw r r --
13.01.2003 HiØ Forelesning 2 19
Flernivå aksesskontrollInformasjonsflyt kun oppover
Beskyttelsesverdig
Ugradert
En bruker kan lese kun dersom vedkommende er autorisert for informasjon på dette nivå eller høyere.En bruker kan skrive dersom vedkommende er autorisert for informasjon på et nivå lavere eller lik det nivået informasjonen skalskrives til.
13.01.2003 HiØ Forelesning 2 20
Sikkerhetsmerker (labels)
• Består av sikkerhetsnivåer – Militær gradering: Cosmic Top Secret, Strengt hemmelig,
Hemmelig, Konfidensielt, Begrenset, Ugradert
– Bedrifters gradering: Bedrift hemmelig, bedrift konfidensielt, ugradert
• Angir grad av følsomhet
• Anvendes for papirbasert informasjon, kan også anvendes for maskinlesbar
13.01.2003 HiØ Forelesning 2 21
Nivåer forts.
• Egenskaper– Hierarkiske
– Enkle matematiske relasjoner : >, , , <
– Et antall nivåer er fullstendig ordnet, det er entydig hvorvidt et nivå er høyere - likt - lavere enn et annet
13.01.2003 HiØ Forelesning 2 22
Anvendt på objekter og subjekter
• Gradering er å tilordne sikkerhetsmerke til objekt• Klarering er å tilordne sikkerhetsmerke til subjekt
13.01.2003 HiØ Forelesning 2 23
Drift- og vedlikeholdsfunksjoner
• Gi, endre eller fjerne rettigheter
• Tilordne gradering
• Tilordne klasse ved klassifisering
• Utstede billetter osv.
13.01.2003 HiØ Forelesning 2 24
Konfidensialitetstjenesten
• Skjule informasjon for uautoriserte – på et lagringsmedium (diskett, disk, RAM,.)– under overføring
13.01.2003 HiØ Forelesning 2 25
Trusler om avsløringPassive angrep
• Avlytting
• Lese filer
• Trafikkanalyse
• Analyse av meldinger
• Kryptoanalyse
13.01.2003 HiØ Forelesning 2 26
Trusler om avsløringAktive angrep
• Trojanske hester
• Skjulte informasjonskanaler
• Mot mekanismer som støtter konf.mek.– autentiseringsmekanismer– aksesskontrollmekanismer– nøkkeldistribusjon
13.01.2003 HiØ Forelesning 2 27
Konfidensialitetsmekanismer
• Omforming– Fyllkalk– Kryptografi– Spredt spektrum
• (Rutingkontroll)
• (Aksesskontroll)
13.01.2003 HiØ Forelesning 2 28
Rutingkontroll
A
C
B
D H
F
E
G
13.01.2003 HiØ Forelesning 2 29Drift
Drift og vedlikehold
• Nøkkelproduksjon og distribusjon
• D&V av rutingtabeller
• (D&V av aksesskontroll)
13.01.2003 HiØ Forelesning 2 30
Integritet = (Data)kvalitet• Angår
– Programvare– Data– Maskinvare
• Kun autoriserte skal kunne– Kreere– Endre– Slette
• Og kun på en autorisert måte
13.01.2003 HiØ Forelesning 2 31
Trusler
• Uautorisert– Avspilling– Duplisering– Endring– Sletting– Innsetting
13.01.2003 HiØ Forelesning 2 32
TruslerFlere eksempler
• Bakdør
• Trojanske hester
• Logiske bomber
• Virus
• Bakterier
• Ormer
• Programmeringsfeil
13.01.2003 HiØ Forelesning 2 33
Policy• Identifiser subjekter• Identifiser objekter• Fastslå regler
– Hvem skal kunne slette• egne filer, systemfiler, ...
– Hvem skal kunne endre • egne filer, systemfiler, .
– Hvem skal kunne kreere
– Beskyttelses/håndteringskrav ved kommunikasjon
13.01.2003 HiØ Forelesning 2 34
Modell for integritet
Initiator
Data
DataIntegritetsbeskyttelse
Kontrollfunksjon
Passiv beskyttelse
LageEndreSlette
BeskyttFjernbeskyttelse
Sjekk
Resultat
13.01.2003 HiØ Forelesning 2 35
Modell for integritet
InitiatorKontrollfunksjon
DataOperasjon Lagre
EndreSlette
Aktiv beskyttelse
13.01.2003 HiØ Forelesning 2 36
Integritetsbeskyttende mekanismer
• Aksesskontroll (endring, fjerning, produksjon)
• Digital signatur (produksjon)
• Sekvensering * (fjerning, produksjon)
• Sjekksum (endring)
• Hashing (endring)
• Message Authentication Code (MAC) * (endring)
• Cipher Block Chaining * (endring, fjerning, produksjon)
• Tidsstempling (replay)
• Kvittering (fjerning, produksjon)
• Redundans (fjerning)
13.01.2003 HiØ Forelesning 2 37
IntegritetsbeskyttelseOppd./hindre uautoris. endringer
• Fysisk adgangskontroll
• Logisk aksesskontroll
• Sjekksum– Hashfunksjon– Message Authentication Code (MAC)– Enveisfunksjon– Cipher Block Chaining (CBC)
13.01.2003 HiØ Forelesning 2 38
Skal være blank
13.01.2003 HiØ Forelesning 2 39
IntegritetsbeskyttelseOppd./hindre uautoris. fjerning
• Beskyttelse– Fysisk og logisk aksesskontroll– Kvittering– Sekvensering– Cipher Block Chaining (CBC)– Redundans
13.01.2003 HiØ Forelesning 2 40
IntegritetsbeskyttelseOppd./hindre uautorisert produksjon
• Beskyttelse– Aksesskontroll– Digital signatur– Sekvensering– Kvittering
13.01.2003 HiØ Forelesning 2 41
Drift og vedlikehold• D&V av akseskontroll• Synkronisering
– Sekvensering
– Tidsstempling
– Kvittering
• Nøkkelfordeling– Signatur
– Sjekksum
– Hashing
– CBC
13.01.2003 HiØ Forelesning 2 42
Unngå fornekting (vedkjenning)
• Skal gi bevis for mottak• ved å hindre mottaker i urettmessig å påstå at data ikke er
mottatt,
• ved å hindre mottaker i urettmessig å påstå at data er mottatt,
• Skal gi bevis for sending ved å hindre• avsender i urettmessig å påstå at data ikke er sendt og
• avsender i urettmessig å påstå at data er sendt.
• Dommer/Notarie som konfliktløser
13.01.2003 HiØ Forelesning 2 43
Trusler
A B
Benekte mottak
13.01.2003 HiØ Forelesning 2 44
Trusler
A B
Benekte sending
13.01.2003 HiØ Forelesning 2 45
Trusler
A B
Påståsending
13.01.2003 HiØ Forelesning 2 46
Trusler
A B
Påstå mottak
13.01.2003 HiØ Forelesning 2 47
Modell
Avsender Mottaker
Betrodd•Notarius•Dommer
Data
Vedkjenningsdata
13.01.2003 HiØ Forelesning 2 48
Første fase: Nøkkelinitialisering og registering
NøkkelA NøkkelB
13.01.2003 HiØ Forelesning 2 49
Dataoverføringsfase
Hent info om B
Forespørsel signert med NøkkelA
A B
Kvittering signert med NøkkelBVerifiser Bs signatur
Info om B
Hent info om A
Info om AVerifiser As signatur
13.01.2003 HiØ Forelesning 2 50
Vedkjenningsfase
Appell Appell
A B
og fremleggersignert kvitteringsom bevis
og fremleggersignert forespørselsom bevis
13.01.2003 HiØ Forelesning 2 51
Bevis for sending
• Tjenesten skal hindre avsender i å benekte sending
Kopi
Avsender Mottaker
Kan også benyttes mot•feilaktig påstått mottak•feilaktig påstått sending
13.01.2003 HiØ Forelesning 2 52
Bevis for avlevering
• Tjenesten skal hindre mottageren i å benekte mottak
• Protokolleksempel:• A sender melding til notarie• Notarie beskytter meldingen og sender videre til B• B bekrefter mottak av meldingen• Notarie sender nøkkel til B
13.01.2003 HiØ Forelesning 2 53
Mekanismer
• Betrodd tredjepart (notarie/dommer)
• Digital signatur
• Kryptering
13.01.2003 HiØ Forelesning 2 54
Drift og vedlikehold
• Tredjepart– regulere funksjon for logging av bevis– arkivfunksjon for loggede bevis
• Nøkkelhåndtering– Nøkkelproduksjon (opprettholde tiltro til
nøkkelmateriale)– Nøkkeldistribusjon
13.01.2003 HiØ Forelesning 2 55
Revisjonstjenesten
• Skal oppdage sikkerhetsbrudd
• Skal kontrollere kontrollmekanismer
• Skal bekrefte etterlevelse av policy
• Skal bidra til å finne frem til forbedringer
• Skal muliggjøre analyse av angrep
• Skal virke preventivt
13.01.2003 HiØ Forelesning 2 56
Trusler mot revisjonstjenesten• Mot tilgjengelighet
– lagrings-, kommunikasjons-, prosesseringskapasitet
• Mot konfidensialitet– direkte og indirekte
• Mot integritet– manipulasjon, sletting, fabrikasjon av rev. data
• Driftsansvarlige skal overvåkes spesielt• Hvem skal overvåke overvåkerne ?
13.01.2003 HiØ Forelesning 2 57
Revisjonspolicy
• Entydig identifiserbarhet
• Holdes ansvarlig for sine handlinger
• Sikres mot urettmessige anklager
13.01.2003 HiØ Forelesning 2 58
Revisjonsmodell
Alarm
HendelseDeteksjon og analyse av sik-kerhetsrelevantehendelser
Analyse avmeldinger
Revisjonslogg
Revisjonsarkiv
Analyse av logg og arkiv
Revisjonsmelding
Post til rev.logg
13.01.2003 HiØ Forelesning 2 59
Skal være blank
13.01.2003 HiØ Forelesning 2 60
Om revisjon
• Inspisere subjekter og objekter
• Gjenkjenne bruksmønstre
• Analysere aksess til objekter
• Analysere bruk av mekanismer
• Oppdage forsøk på omgåelse
• Oppdage ulovlig bruk av rettigheter
• Avskrekke - informasjon til brukere
13.01.2003 HiØ Forelesning 2 61
Revisjonsinformasjon
• Dato, tidspunkt
• Hvem ble handlingen utført for
• Hvorfra kom forespørselen i utgangspunktet
• Type. Hvilken type hendelse var det
• Rapportør. Hva/hvem opdaget hendelsen
• Vellykket eller ikke
• Navn på berørte objekter
13.01.2003 HiØ Forelesning 2 62
Reviderbare hendelserAutentisering
• Vellykket– Pålogging– Avlogging
• Mislykket– Pålogging– Avlogging
• Drift og vedlikehold av autentiserings-mekanismer
13.01.2003 HiØ Forelesning 2 63
Reviderbare hendelserAksesskontroll
• Operativsystemet– Ikke-autorisert aksess til objekter, Endring av aksessrettigheter,
Aksess til konfigurasjonsdata, Aksess til objekter (regulerbart), System-, datasikkerhets- og revisjonsansvarlige
• Kommunikasjonssystemet– Ikkeautorisert forsøk på oppkobling, Opp- og nedkoblinger
• Applikasjoner– Uautorisert bruk av funksjoner, Bruk av funksjoner (regulerbart),
Uautorisert aksess til data, * Aksess til data (regulerbart)
13.01.2003 HiØ Forelesning 2 64
Reviderbare hendelser Konfidensialitet
• Operativsystem– Håndtert av aksesskontroll
• Kommunikasjonssystem– Brudd på kommunikasjon
• Applikasjoner– Komplekse søkebegrep
13.01.2003 HiØ Forelesning 2 65
Reviderbare hendelser Integritet
• Operativsystem– Fjerning og introduksjon av filer– Endring i innhold på filer
• Kommunikasjonssystem– Endringer i rutingtabeller– Endringer i konfigurasjonstabeller
• Applikasjoner– Udefinert
13.01.2003 HiØ Forelesning 2 66
Drift og vedlikehold av revisjon• Slå av/på produksjon av revisjonsmeldinger• Slå av og på produksjonen av revisjonsposter• Slå av og på produksjon av alarmer• Igangsette arkivering eller sikkerhetskopiering• Regulere analysemekanismer• Igangsette analyse • Komprimering