Seg Aula 08 Handout

Roteiro TOCI-08: Seguranc¸a de Redes Prof. Rafael Obelheiro [email protected]

1

Modelo de integridade Biba

2

Modelo Clark-Wilson

3

´ (RBAC) Controle de acesso baseado em papeis

Aula 8: Modelos de Seguranc¸a Biba, Clark-Wilson, RBAC

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 8: Biba/CW/RBAC

SEG

1 / 26

O modelo BLP define uma pol´ıtica de confidencialidade com base ´ no reticulado de rotulos de seguranc¸a I

˜ existe preocupac¸ao ˜ com integridade nao F

I

modelo Biba dual do modelo BLP

I I

Aula 8: Biba/CW/RBAC

2 / 26

SEG

4 / 26

˜ ter qualquer um documento ULTRA-SECRETO pode nao necessidade de segredo. . .

` do modelo BLP Regras inversas as I

propriedade de integridade simples propriedade-* de integridade

˜ do modelo BLP Compartilha benef´ıcios e limitac¸oes

´ modelo obrigatorio de integridade ´ modelo de marca d’agua baixa de sujeitos ´ modelo de marca d’agua baixa de objetos

c 2008 Rafael Obelheiro (DCC/UDESC)

SEG

´ em geral, mesmos nomes dos rotulos de seguranc¸a BLP F

I

ˆ modelos Fam´ılia de tres I

Aula 8: Biba/CW/RBAC

´ ´ Usa rotulos (estaticos) de integridade I

escritas cegas

´ Em 1977, Ken Biba aproveitou as ideias de Bell e LaPadula para tratar ameac¸as a` integridade I

c 2008 Rafael Obelheiro (DCC/UDESC)

´ Modelo obrigatorio de integridade

Modelo de integridade Biba

SEG

3 / 26

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 8: Biba/CW/RBAC

Propriedade de integridade simples

Propriedade-* de integridade

˜ de objetos que possuam Um sujeito so´ pode ler informac¸oes integridade igual ou superior a` sua

Um sujeito so´ pode escrever em objetos que possuam integridade igual ou inferior a` sua escrita

leitura leitura

escrita

leitura

escrita

Propriedade-is

Propriedade-*

Uma leitura de um sujeito S sobre um objeto O e´ autorizada se, e ´ ´ somente se, rotulo(O)  rotulo(S)

Uma escrita de um sujeito S em um objeto O e´ autorizada se, e ´ ´ somente se, rotulo(S)  rotulo(O)

Regra no read down (NRD) c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 8: Biba/CW/RBAC

Regra no write up (NWU) SEG

5 / 26

´ Modelo de marca d’agua baixa de sujeitos

6 / 26

´ Objetos possuem um rotulo corrente de integridade Permite que um sujeito escreva em objetos de n´ıvel mais alto de integridade, rebaixando a integridade do objeto a` sua

sujeito “puro” e´ “corrompido” por um objeto “impuro”

I

objeto “puro” e´ “corrompido” por um sujeito “impuro”

Integridade dos objetos decresce monotonicamente

Usado no LOMAC (Linux, FreeBSD)

Aula 8: Biba/CW/RBAC

SEG

Object low water-mark

Integridade dos sujeitos decresce monotonicamente

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 8: Biba/CW/RBAC

´ Modelo de marca d’agua baixa de objetos

Subject low water-mark ´ de rotulo ´ Utiliza a ideia corrente de integridade de um sujeito Permite que um sujeito leia objetos de n´ıvel mais baixo de integridade, rebaixando sua integridade a` do objeto I

c 2008 Rafael Obelheiro (DCC/UDESC)

SEG

7 / 26

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 8: Biba/CW/RBAC

SEG

8 / 26

˜ bem formadas Transac¸oes

O modelo Clark-Wilson

´ ´ Modelo obrigatorio de integridade baseado em praticas ´ administrativas e contabeis largamente adotadas em ambientes comerciais I I

garantir a integridade dos dados para evitar fraudes e erros ´ nenhum usuario do sistema, mesmo que autorizado, deve poder ´ modificar itens de dados de tal forma que registros contabeis ou de ˜ sejam perdidos ou corrompidos bens da organizac¸ao

Baseado em dois conceitos centrais I I

˜ bem formadas transac¸oes ˜ de deveres separac¸ao

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 8: Biba/CW/RBAC

SEG

10 / 26

dados do sistema conferem com o “mundo real”

˜ e pagamento de mercadorias Exemplo: processo de aquisic¸ao

I

˜ consistentes entre si dados do sistema sao

´ ´ a cada credito deve corresponder um debito de igual valor

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 8: Biba/CW/RBAC

SEG

11 / 26

˜ divididos em dois conjuntos Dados do sistema (objetos) sao I I

SEG

12 / 26

itens de dados restritos (IDRs) → ´ıntegros itens de dados irrestritos (IDIs) → sem integridade

A pol´ıtica de integridade e´ definida por duas classes de procedimentos

I

´ se uma unica pessoa for responsavel por todas as etapas podem ´ ocorrer compras fict´ıcias

Aula 8: Biba/CW/RBAC

I

´ ´ Um exemplo classico e´ o metodo de partidas dobradas, usado na contabilidade

I

˜ da ordem de compra autorizac¸ao registro da entrada da mercadoria registro da entrada da fatura pagamento da fatura

c 2008 Rafael Obelheiro (DCC/UDESC)

˜ para possibilitar posterior auditoria log de todas as modificac¸oes

Regras do modelo Clark-Wilson

˜ em varias ´ Consiste em separar operac¸oes etapas, que devem ser executadas por pessoas diferentes ˆ Objetivo central e´ garantir a consistencia externa

1. 2. 3. 4.

I

ˆ Objetivo central e´ garantir a consistencia interna

I

˜ de deveres (separation of duty) Separac¸ao

I

´ ˜ deve manipular dados arbitrariamente, mas Um usuario nao apenas de modo controlado, preservando ou garantindo a sua integridade

˜ de integridade (PVIs): confirma procedimento de verificac¸ao que o sistema se encontra em um estado ´ıntegro quando o PVI e´ executado ˜ bem formada ˜ (PTs): transac¸ao procedimento de transformac¸ao que leva o conjunto de IDRs de um estado ´ıntegro a outro

Existem dois conjuntos de regras I I

˜ regras de [C]ertificac¸ao ˜ regras de [I]mplantac¸ao

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 8: Biba/CW/RBAC

SEG

13 / 26

ˆ Regras de consistencia interna

´ Regras para usuarios

C1: todos os PVIs devem garantir que todos os IDRs estejam em ´ um estado valido quando o PVI for executado ´ C2: todos os PTs devem ser certificados como validos, ou seja, ´ devem levar um IDR de um estado valido para outro estado ´ valido. Cada PT deve ser certificado para acessar um conjunto espec´ıfico de IDRs I1: o sistema deve manter e proteger a lista de entradas (IDRa , IDRb , IDRc , . . . ) que relaciona os IDRs que um PT foi certificado para acessar

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 8: Biba/CW/RBAC

SEG

14 / 26

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 8: Biba/CW/RBAC

SEG

15 / 26

˜ confiaveis ´ Regra para dados nao

Regra de log

˜ dos PTs deve garantir que eles escrevam em C4: a certificac¸ao ˜ necessarias ´ um IDR append-only (o log) todas as informac¸oes a` ˜ da natureza das suas operac¸oes ˜ reconstruc¸ao Um auditor precisa ser capaz determinar o que aconteceu ˜ de transac¸oes ˜ quando efetua uma revisao

c 2008 Rafael Obelheiro (DCC/UDESC)

˜ que relacionam I2: o sistema deve manter uma lista de relac¸oes ´ um usuario, um PT e os objetos de dados que o PT pode acessar ´ ˆ a forma em nome do usuario. Estas listas, portanto, tem ´ (ID-Usuario, PTi , (IDRa , IDRb , IDRc , . . . )). O sistema deve ˜ descritas nas relac¸oes ˜ sejam garantir que apenas as execuc¸oes efetuadas ˜ em I2 deve possuir uma certificac¸ao ˜ de C3: a lista de relac¸oes ˜ de deveres que preenche o requisito de separac¸ao ´ I3: o sistema deve autenticar todos os usuarios que tentam executar um PT

Aula 8: Biba/CW/RBAC

SEG

C5: qualquer PT que aceita um IDI como entrada deve ser ˜ validas, ´ certificado a fazer apenas transformac¸oes ou nenhuma ˜ para qualquer valor poss´ıvel do IDI. A transformac¸ao, ˜ deve levar a entrada de um IDI para um IDR, ou o transformac¸ao IDI e´ rejeitado Dados entram no sistema como IDIs, e devem ser validados antes de serem aceitos

16 / 26

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 8: Biba/CW/RBAC

SEG

17 / 26

˜ de deveres no modelo Regra de separac¸ao

´ (RBAC) Controle de acesso baseado em papeis

I4: apenas o agente capaz de certificar PTs e PVIs pode alterar a ´ lista destas entidades associadas com usuarios e/ou IDRs. Um ˜ pode ter direito de agente que pode certificar uma entidade nao ˜ sobre esta entidade execuc¸ao ´ Evita que um unico usuario certifique e execute PTs e PVIs ´

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 8: Biba/CW/RBAC

SEG

18 / 26

Tentativa de estabelecer um consenso em torno das ´ caracter´ısticas basicas do RBAC Uma fam´ılia de modelos que abrange o espectro de complexidade do RBAC I I I

Aula 8: Biba/CW/RBAC

´ ˜ mudanc¸a de direitos quando usuarios mudam de func¸ao

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 8: Biba/CW/RBAC

UA U

´ RBAC basico ´ RBAC hierarquico ˜ RBAC com restric¸oes ´ RBAC simetrico

c 2008 Rafael Obelheiro (DCC/UDESC)

I

˜ independentes de pol´ıtica Sao ´ Suportam m´ınimo privilegio, hierarquias organizacionais e ˜ de deveres separac¸ao ˜ Uso crescente em SGBDs e aplicac¸oes

SEG

20 / 26

´ RBAC basico

Modelo unificado RBAC NIST

I

˜ desempenhadas Regulam o acesso de acordo com as func¸oes ´ pelos usuarios no sistema ´ ´ e papeis ´ a permissoes, ˜ Associam usuarios a papeis facilitando a ˜ da seguranc¸a administrac¸ao

SEG

21 / 26

Associação de Usuário

PA R

Usuários

Papéis

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 8: Biba/CW/RBAC

Associação de Permissão

P Permissões

SEG

22 / 26

´ RBAC simetrico

´ Hierarquias de papeis Gerente de Agência

Restrições de SD RH Hierarquia de Papéis UA

Gerente Pessoa Física

U

Associação de Usuário

R

Usuários

S

Papéis

Associação de Permissão

Contas P. Física

P

Poupança P. Física

Contas P. Jurídica

Poupança P. Jurídica

Permissões

Sessões usuário

Gerente Pessoa Jurídica

PA

Atendimento P. Física

Atendimento P. Jurídica

papéis Atendimento a Clientes

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 8: Biba/CW/RBAC

SEG

23 / 26

˜ de deveres Separac¸ao

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 8: Biba/CW/RBAC

SEG

24 / 26

SEG

26 / 26

Bibliografia

Supervisor de Compras

Chefe de Almoxarifado

Contador−Chefe

Compras

Almoxarifado

Contador

Dieter Gollmann. Computer Security, 2nd Edition. Wiley, 2006. Cap´ıtulos 4 e 8.

Contabilidade Herança

SD Estática SD Dinâmica

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 8: Biba/CW/RBAC

SEG

25 / 26

c 2008 Rafael Obelheiro (DCC/UDESC)

Aula 8: Biba/CW/RBAC