Seg Aula 07 Handout

Roteiro TOCI-08: Seguranc¸a de Redes Prof. Rafael Obelheiro [email protected]

1

˜ Introduc¸ao

2

´ Rotulos de seguranc¸a

3

Modelo Bell-LaPadula

Aula 7: Seguranc¸a Multin´ıvel

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 7: Seguranc¸a Multin´ıvel

SEG

1 / 20

˜ Introduc¸ao

˜ pode fluir para usuarios ´ ˜ autorizados, contra a informac¸ao nao vontade do dono dos objetos

I

I I

I

I

´ Receio de cavalos de Troia

Aula 7: Seguranc¸a Multin´ıvel

SEG

hierarquia estrita ˜ nao ˜ e´ uniforme classificac¸ao

˜ precisam ter acesso a dados do DEE professores do DCC nao

Categorias ou compartimentos de seguranc¸a representam ˜ estao ˜ diferentes setores ou projetos aos quais as informac¸oes associadas

segredos militares ˜ identidade de agentes secretos, informantes, espioes, ... acesso a sistemas de armas

c 2008 Rafael Obelheiro (DCC/UDESC)

2 / 20

˜ segundo n´ıveis nao ˜ atende ao princ´ıpio de Classificac¸ao need-to-know

ˆ militares, inteligencia (espionagem/contra-espionagem), . . .

˜ de confidencialidade podem possuir Setores onde violac¸oes ˆ ´ consequ¨ encias muito serias I

SEG

ˆ N´ıveis de seguranc¸a definem a importancia ou sensibilidade ˜ das informac¸oes ˜ CLASSIFICADO < CONFIDENCIAL < SECRETO< ULTRA SECRETO NAO I

˜ em ambientes ligados a` Isso causava especial preocupac¸ao seguranc¸a nacional I

Aula 7: Seguranc¸a Multin´ıvel

O ambiente de seguranc¸a nacional

´ ˜ permite Controle de acesso discricionario (matriz de acesso) nao ˜ de informac¸ao ˜ controlar a disseminac¸ao I

c 2008 Rafael Obelheiro (DCC/UDESC)

3 / 20

apenas as pessoas pertencentes a uma categoria podem ter ` informac¸oes ˜ dessa categoria acesso as

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 7: Seguranc¸a Multin´ıvel

SEG

5 / 20

´ Rotulos de seguranc¸a

˜ matematica ´ Representac¸ao N C R

´ Rotulos de seguranc¸a determinam a sensibilidade de entidades ativas e passivas em um sistema computacional I I

n´ıvel de seguranc¸a conjunto de categorias (possivelmente vazio)

e´ o conjunto de n´ıveis de seguranc¸a e´ o conjunto de categorias ´ e´ o conjunto de rotulos de seguranc¸a R = N × 2C ,

ˆ onde 2C e´ o conjunto potencia de C Exemplo N =

´ Todos os sujeitos e objetos no sistema possuem um rotulo de seguranc¸a

C =

˜ Objetos possuem uma classificac¸ao

2C

˜ (clearance) Sujeitos possuem uma habilitac¸ao

=

R =

{CONFIDENCIAL, SECRETO} {E, M } {∅, {E}, {M}, {E, M}} {(CONFIDENCIAL, ∅), (CONFIDENCIAL, {E}), (CONFIDENCIAL, {M}), (CONFIDENCIAL, {E, M}), (SECRETO, ∅), (SECRETO, {E}),

(SECRETO, {M}), (SECRETO, {E, M})} c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 7: Seguranc¸a Multin´ıvel

SEG

6 / 20

ˆ ´ Dominancia de rotulos

I I

reflexiva: aRa ˜ aRc transitiva: se aRb e bRc, entao ´ ˜ a=b anti-simetrica: se aRb e bRa, entao

´Infimo Seja B um subconjunto de um conjunto parcialmente ordenado A. Se existe um limite inferior m de B tal que m domina cada um dos outros limites inferiores de B, m e´ chamado de limite maior inferior (lmi) ou ´ınfimo de B, sendo denotado por m = inf(B)

R1 domina estritamente R2

˜ nao ˜ comparaveis ´ Se a 6 b e b 6 a, a e b sao Exemplos I I I

˜ (SECRETO, {E, M})  (NAO-CLASSIFICADO , {E}) (CONFIDENCIAL, {E, M})  (CONFIDENCIAL, {E, M}) (SECRETO, {E}) 6 (ULTRA-SECRETO, {E})

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 7: Seguranc¸a Multin´ıvel

7 / 20

Seja B um subconjunto de um conjunto parcialmente ordenado A. Um elemento m em A e´ chamado de limite inferior de B se, para ´ se m preceder (for dominado por) cada qualquer x ∈ B, m  x, isto e, elemento em B

ˆ Dominancia estrita: para todo R1 , R2 ∈ R, R1  R2 sss R1  R2 e R1 6= R2 I

SEG

Limite inferior

R1 domina R2

ˆ ˜ de ordem parcial A dominancia e´ uma relac¸ao I

Aula 7: Seguranc¸a Multin´ıvel

Limite inferior, ´ınfimo

ˆ Dominancia: para todo R1 , R2 ∈ R, R1  R2 sss n´ıvel(R1 ) ≥ n´ıvel(R2 ) e categ(R1 ) ⊇ categ(R2 ) I

c 2008 Rafael Obelheiro (DCC/UDESC)

´ Em geral, B pode ter um, muitos ou nenhum limite inferior, porem existe quando muito um inf(B) SEG

8 / 20

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 7: Seguranc¸a Multin´ıvel

SEG

9 / 20

´ Reticulado de rotulos de seguranc¸a

Limite superior, supremo

Reticulado

Limite superior Seja B um subconjunto de um conjunto parcialmente ordenado A. Um elemento M em A e´ chamado de limite superior de B se, para ´ se M dominar cada elemento em B qualquer x ∈ B, M  x, isto e,

´ No conjunto R de rotulos de seguranc¸a

Supremo

I

Seja B um subconjunto de um conjunto parcialmente ordenado A. Se existe um limite superior M de B tal que M preceda cada um dos outros limites superiores de B, M e´ chamado de limite menor superior (lms) ou supremo de B, sendo denotado por M = sup(B) ´ Pode haver no maximo um sup(B)

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 7: Seguranc¸a Multin´ıvel

SEG

10 / 20

I

inf(R) = (menor n´ıvel, ∅) sup(R) = (maior n´ıvel, C) exemplo F F

inf(R) = (CONFIDENCIAL, ∅) sup(R) = (SECRETO, {E, M})

´ O conjunto de rotulos de seguranc¸a sempre possui um ´ınfimo e um supremo portanto, forma um reticulado

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 7: Seguranc¸a Multin´ıvel

SEG

11 / 20

Propriedade de seguranc¸a simples

˜ pode ler informac¸oes ˜ para as quais nao ˜ esteja Um sujeito nao habilitado

´ Desenvolvido na decada de 70

I

Modelo de seguranc¸a multin´ıvel para confidencialidade ˜ multin´ıvel do MULTICS Serviu de base para versoes ˜ consideradas Operac¸oes I

I

I

Modelo Bell-LaPadula (BLP)

I

Seja o conjunto A parcialmente ordenado. Se, para quaisquer ˜ o conjunto A e´ elementos a, b ∈ A existem inf{a, b} e sup{a, b}, entao chamado um reticulado

regra no read up (NRU)

Propriedade-ss Uma leitura de um sujeito S sobre um objeto O e´ autorizada se, e ´ ´ somente se, rotulo(S)  rotulo(O)

leitura escrita

˜ evita que informac¸oes ˜ privilegiadas sejam colocadas em um Nao ˜ inferior a` das informac¸oes ˜ recipiente com classificac¸ao

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 7: Seguranc¸a Multin´ıvel

SEG

13 / 20

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 7: Seguranc¸a Multin´ıvel

SEG

14 / 20

ˆ Dinamica do modelo BLP

Propriedade-* ˜ pode escrever em objetos localizados abaixo dele Um sujeito nao ´ no reticulado de rotulos de seguranc¸a I

regra no write down (NWD)

´ de rotulo ˜ dos ´ Introduz a ideia corrente: maior classificac¸ao objetos acessados pelo sujeito

I I

Um acesso de um sujeito S sobre um objeto O e´ autorizado se ´ ´ rotulo(O)  rotulo-corrente(S) quando o acesso for de escrita

I I I

´ ´ rotulo(O)  rotulo-corrente(S) quando o acesso for de leitura

Aula 7: Seguranc¸a Multin´ıvel

SEG

I

15 / 20

´ Problemas praticos 1: 2: 3: 4: 5: 6: 7:

´ ´ propriedade-ss OK: rotulo(S)  rotulo(O 1) ´ ´ propriedade-* NOK: rotulo(O 1 ) 6 rotulo-corrente(S) S precisa atualizar rc para CONFIDENCIAL (pelo menos) ˜ CLASSIFICADO, a atualizac¸ao ˜ se S tem acesso de escrita a O2 NAO viola a propriedade-*

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 7: Seguranc¸a Multin´ıvel

SEG

16 / 20

˜ do modelo BLP (1/2) Limitac¸oes

passa(A1: arquivo, A2: arquivo) abre A1 para leitura l^ e I de A1 fecha A1 abre A2 para escrita escreve I em A2 fecha A2

Escritas cegas: quando S escreve em um objeto O tal que ´ ´ ˜ consegue ver o resultado de suas rotulo(O)  rotulo(S), ele nao escritas I

pode causar problemas de integridade

I

˜ restringir escritas a rotulo(O) ´ ´ soluc¸ao: = rotulo-corrente(S)

F

foco do modelo e´ confidencialidade

Sujeitos de confianc¸a podem violar a propriedade-*

´ ´ ˜ deveria funcionar Se rotulo(A1)  rotulo(A2), nao I

˜ ha´ flutuac¸ao ˜ automatica ´ nao ˜ so´ e´ autorizada se nao ˜ violar a propriedade-* alterac¸ao

˜ CLASSIFICADO, ˜ SECRETO e rc =NAO Exemplo: S, com habilitac¸ao deseja ler O1 CONFIDENCIAL

Propriedade-*

c 2008 Rafael Obelheiro (DCC/UDESC)

´ Ao entrar no sistema, um sujeito S recebe um rotulo corrente rc ˜ dominado por sua habilitac¸ao ´ ˜ O rotulo corrente so´ e´ modificado mediante uma requisic¸ao expl´ıcita

˜ supondo que os objetos no sistema sejam apenas arquivos, e nao ´ variaveis

I I

˜ de objetos ou sanitiza-los ´ podem mudar o n´ıvel de classificac¸ao administradores de seguranc¸a F

˜ mesmo confiaveis? ´ quem garante que sao

´ ´ Porem, se o sujeito rebaixa seu rotulo corrente entre as linhas 4 e 5, a escrita e´ bem sucedida ˜ e´ proibir rebaixamento do rotulo ´ Soluc¸ao corrente c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 7: Seguranc¸a Multin´ıvel

SEG

17 / 20

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 7: Seguranc¸a Multin´ıvel

SEG

18 / 20

˜ do modelo BLP (2/2) Limitac¸oes

Bibliografia

˜ dos objetos tende a migrar ˜ a classificac¸ao Superclassificac¸ao: para os n´ıveis mais altos do reticulado I I

´ dependem de rotulo-corrente(S) ˜ periodica ´ exige reclassificac¸ao dos objetos por sujeitos de confianc¸a

˜ previne fluxo de informac¸ao ˜ Canais cobertos: modelo BLP nao ´ de canais cobertos temporais atraves I

Dieter Gollmann. Computer Security, 2nd Edition. Wiley, 2006. Cap´ıtulo 8.

˜ de parametros ˆ variac¸ao do sistema que pode ser usada para ˜ transmitir informac¸oes

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 7: Seguranc¸a Multin´ıvel

SEG

19 / 20

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 7: Seguranc¸a Multin´ıvel

SEG

20 / 20