Professional Documents
Culture Documents
Zastita Informacija
Zastita Informacija
Lekcija 03
MODELI SIGURNOSTI
S I G U R N O S N E A R H I T E KT U R E
Igor Franc
PRIRUNIK ZA STUDENTE
Lekcija 03
Modeli sigurnosti
sigurnosne arhitekture
UVOD
Ova lekcija predstavlja uvod u oblast modela sigurnosti
i sigurnosnih arhitektura.
Teme predavanja su:
Modeli sigurnosti
Modeli kontrole pristupa
Modeli integriteta
Ostali sigurnosni modeli
Sigurnosne arhitekture, oznake i reimi
Procedura oporavka i ranjivost
Sertifikacija i akreditacija
Poglavlje 1
Modeli sigurnosti
MODEL BEZBEDNOSTI
Istraivai u oblasti bezbednosti su pokuavali da
razviju formalni model raunarske bezbednosti koji se
moe koristiti za proveru dizajna i implementacije
bezbednosti.
Model bezbednosti je formalni opis bezbednosne politike. Dve istorijske
injenice istiu osnovni problem koji treba reiti u oblasti kompjuterske
bezbednosti.
Prvo, svi kompleksni softverski sistemi imaju eventualno otkrivene
nedostatke ili bagove koji naknadno moraju biti fiksirani.
Drugo, izuzetno je teko, ako ne i nemogue, izgraditi raunarski
hardver/softver sistem koji nije podloan razliitim bezbednosnim
napadima.
Ovi problemi su doveli do potrebe da se razvije metod koji e
matematiki ili logiki da obezbedi da odreeni dizajn zadovoljava skup
bezbednosnih zahteva, i da implementacija dizajna tano odgovara
specifikacijama dizajna. U tom cilju, istraivai u oblasti bezbednosti
su pokuavali da razviju formalni model raunarske bezbednosti koji se
moe koristiti za proveru dizajna i implementacije bezbednosti.
U poetku, istraivanja u ovoj oblasti su finansirana od strane US
Department of Defense-DoS i napravljen je znatan napredak u razvoju i
primeni modela na prototip sistemima.
FORMALNI MODELI
Podela formalnih modela bezbednosti.
Formalni modeli se dele na:
Modele kontrole pristupa (engl. accesss control model)
Bell-LaPadula Model
Poglavlje 2
Modeli kontrole
pristupa
MODELI KONTROLE PRISTUPA
Moemo posmatrati kontrolu pristupa kao centralni
element raunarske bezbednosti.
Moemo posmatrati kontrolu pristupa kao centralni element raunarske
bezbednosti. ITU-T preporuka X.800 definie kontrola pristupa kao
spreavanje neovlaenog korienja resursa, ukljuujui i
spreavanje upotrebe resursa na neovlaeni nain. Odnosno,
kontrola pristupa definie tehnike kojima se obezbeuje da korisnici
mree mogu pristupiti samo onim podacima za koje su ovlaeni.
Glavni ciljevi raunarske bezbednosti su da se spree neovlaeni
korisnici da dobijaju pristup resursima, kao i da se onemogui legitimnim
korisnicima da pristupaju resursima na neovlaeni nain, a omogui
legitimnim korisnicima pristup resursima na ovlaeni nain. Kontrola
pristupa mora biti jasno definisana u pravilnicima i standardima u okviru
organizacije.
2.1
2.2
10
2.3
11
12
BLP PRAVILA
BLP model ukljuuje skup pravila koji se zasnivaju na
apstraktnim operacijama.
BLP model ukljuuje skup pravila koji se zasnivaju na apstraktnim
operacijama kojima se menja stanje u sistemu.
1.
2.
3.
4.
5.
6.
7.
8.
Dobiti pristup
Oslobaanje (engl. release) pristupa:
Promena nivoa objekta
Promena trenutnog nivoa
Dati dozvolu pristupa
Ukinuti dozvolu pristupa
Kreirati objekat
Izbrisati grupu objekta
2.4
13
14
Poglavlje 3
Modeli integriteta
MODELI INTEGRITETA
U mnogim organizacijama, za odreene aplikacije, integritet podataka je vaniji od poverljivosti.
U mnogim organizacijama, za odreene aplikacije, integritet podataka
je vaniji od poverljivosti. Zbog toga su razvijeni modeli integriteta.
Inicijalno, model integriteta je bio razvijen po analogiji sa BLP modelom
poverljivosti, a onda je postao sofisticiraniji da bi odgovorio na dodatne
zahteve u pogledu integriteta. Integritet podrazumeva da su:
Podaci zatieni od izmene koju pokuava da obavi neovlaeni
korisnik.
Podaci zatieni od neovlaene izmene koju pokuava da obavi
ovlaeni korisnik.
Podaci interno i eksterno konsistentni podaci koji se uvaju u
bazi podataka moraju biti u skladu sa pravilima baze podataka
(na primer, moraju biti zadovoljena pravila integriteta entiteta i
referencijalnog integriteta).
3.1
15
PRAVILO INTEGRITETA
Biba model je razvijen prvenstveno za korisnike u
industriji, gde je poverljivost manje znaajna od
njihovog integriteta.
Jednostavno pravilo integriteta je: ne postoji mogunost itanja nanie
i upisa navie. Slika 1ilustruje potrebu za primenom pravila ogranienja
integriteta. Na primer, ako vam je dodeljen pristup podacima strogo
poverljivo, ne moete itati podatke sa stepenom tajnosti poverljivo, niti
vriti upis u dokument sa viim stepenom tajnosti.
Slika 3.1.1 Biba model
integriteta
3.2
CLARK-WILSON MODEL
INTEGRITETA
CLARK-WILSON MODEL INTEGRITETA
Clark-Wilson model je usmeren pre svega na
komercijalne aplikacije.
Clark-Wilson model je razvijen nakon Biba modela, i takoe obezbeuje
integritet. Podacima u ovom modelu se ne moe pristupiti direktno; njima
se pristupa pomou aplikacija koje imaju odreena, unapred definisana
prava. Na taj nain se spreava neovlaena izmena podataka i
eventualene greke i prevare. Da bi pristupio nekim podacima
16
17
Poglavlje 4
Ostali sigurnosni
modeli
MODELI TOKA INFORMACIJA
Prema ovom modelu, svaka jedinica podataka ima
zasebna svojstva podataka, ukljuujui i operativne
karakteristike.
BLP i Biba modeli razmatraju kretanje podataka na osnovu upared
zadatih parametara, pa se za njih moe rei da pripadaju grupi modela
toka podataka. Pravi model toka podataka razmatra sve tokove, ne samo
one koji vode nagore ili nadole. Prema ovom modelu, svaka jedinica
podataka ima zasebna svojstva podataka, ukljuujui i operativne
karakteristike. Ukoliko neko pokua da upie podatke nieg stepena
tajnosti u vii stepen, model e proveriti svojstva podataka i ocenie da
li je takva operacija dozvoljena. Ukoliko je nelegalna operacija, model e
je spreiti. Model je prikazan na Slici 1.
18
19
20
21
22
Poglavlje 5
Sigurnosne
arhitekture, oznake i
reimi
SIGURNOSNE ARHITEKTURE
Vano je da profesionalci koji rade u oblasti sigurnosti
razumeju raunarske arhitekture, zatitne mehanizme,
sigurnosne probleme.
Sigurnosna arhitektura informacionog sistema predstavlja osnovu za
sprovoenje sigurnosne politike svake organizacije. Zbog toga je vano
da profesionalci koji rade u oblasti sigurnosti razumeju raunarske
arhitekture, zatitne mehanizme, sigurnosne probleme distribuiranih
sistema i formalne modele koji daju okvir za sigurnosnu politiku. Uz
to, treba odlino da poznaju naine vrednovanja sigurnosnih sistema,
smernice o sertifikaciji i akreditaciji, kao i svoje saradnike.
Zavisno od toga o koliko strogoj sigurnosnoj politici je re, i o kakvom
sistemu se radi zatvorenom ili otvorenom, centralizovanom ili
distribuiranom gradi se odgovarajua sigurnosna arhitektura i
primenjuju se odgovarajue metode zatite.
SIGURNOSNE OZNAKE
Dodeljene oznake se obino ne mogu izmeniti, pa
predstavljaju efektivan, tj. delotvoran mehanizam
kontrole pristupa.
Sigurnosna oznaka dodeljuje se nekom resursu. Sigurnosna oznaka moe
ukazati na potrebu za posebnim nainom rukovanja (rukovanje objektom
uz primenu dodatnih sigurnosnih mehanizama), ili se moe koristiti za
kontrolu pristupa. Dodeljene oznake se obino ne mogu izmeniti, pa
predstavljaju efektivan, tj. delotvoran mehanizam kontrole pristupa.
Poto se oznake moraju porediti i verifikovati u skladu sa politikom
sigurnosti, njihova primena e izazvati dodatan utroak reijskog
vremena u sistemu.
SIGURNOSNI REIMI
Informacioni sistemi rade u razliitim sigurnosnim
reimima.
Informacioni sistemi rade u razliitim sigurnosnim reimima koji su
odreeni nivoima klasifikacije informacija, profilima korisnika i njihovim
ovlaenjima.
U sistemski-visokom reimu rada (engl. system high mode of
operation) sistem radi na najviem nivou klasifikacije (sigurnosti), gde
svi korisnici moraju imati ovlaenja za najvii nivo. Meutim, nee svi
korisnici imati potrebu da znaju, tj. vide sve podatke.
Reim rada sa vie nivoa (engl. multilevel mode of operation)
podrava korisnike sa razliitim ovlaenjima i podatke razliitih nivoa
klasifikacije.
24
25
Poglavlje 6
Procedura oporavka i
ranjivost
PROCEDURA OPORAVKA
Procedura oporavka ne treba da ostavi mogunost za
naruavanje sigurnosne politike sistema.
Kada greku prouzrokuje hardverska ili softverska komponenta, veoma
je vano da ta greka ne kompromituje zahteve sigurnosne politike tog
sistema. Dodatno, procedura oporavka ne treba da ostavi mogunost za
naruavanje sigurnosne politike sistema. Ako se zahteva restartovanje
sistema, sistem mora biti restartovan u sigurnom stanju. Sistem se mora
pokrenuti u reimu odravanja koji dozvoljava pristup samo privilegovanim korisnicima sa privilegovanih terminala. Ovaj reim podrava
povratak (oporavak) sistemskog stanja i sigurnosnog stanja.
Kada se javi greka na raunaru ili mrenoj komponenti, a raunar ili
mrea nastavi da radi, takav sistem se smatra otpornim na greke. Da
bi sistem otporan na greke radio, mora biti u stanju da otkrije greku i
da je onda ispravi, ili da nastavi da radi bez obzira na greku.
26
RANJIVOST U SIGURNOSNOJ
ARHITEKTURI
Ranjivosti u sistemskoj sigurnosnoj arhitekturi mogu
voditi ka naruavanju sigurnosne politike.
Ranjivosti u sistemskoj sigurnosnoj arhitekturi mogu voditi ka
naruavanju sigurnosne politike. U uobiajene ranjivosti arhitekture
spada sledee:
Skriveni kanal: Nenamerni komunikacioni kanal izmeu dva ili
vie subjekata koji dele zajedniki resurs; podrava prenos podataka na nain koji naruava sistemsku sigurnosnu politiku. Podaci
se obino prenose preko zajednikog skladita podataka ili
pristupanjem zajednikom putu koji se koristi kao deljivi kanal za
komunikaciju za koju nije predvien.
Nepostojanje provere perimetra: Greka ili nepostojanje
provere ulaznih tokova koji su odreeni parametrima. Napadi
prekoraenja bafera eksploatiu ovu slabost u odreenim
operativnim sistemima i programima.
Maintenance
hook
ranjivost: Hardverski
ili
softverski
mehanizam koji je instaliran da bi se dozvolilo odravanje sistema, i
koji preskae sistemske sigurnosne mehanizme zatite.
Time of Check to Time of Use (TOC/TOU) napad: Napad koji
iskoriava razliku izmeu vremena kada su sigurnosne kontrole
primenjene, i vremena kada je koriena usluga provere identiteta i
iskorieno neko pravo.
27
Poglavlje 7
Sertifikacija i
akreditacija
POJAM SERTIFIKACIJE I AKREDITACIJE
Neki autoritet mora preuzeti odgovornost za stavljanje
sistema u operativno stanje.
U mnogim okruenjima moraju se primeniti formalne metode da bi se
osiguralo postavljanje prikladnih metoda zatite informacionog sistema,
kao i to da one funkcioniu prema specifikaciji. Dodatno, neki autoritet
mora preuzeti odgovornost za stavljanje sistema u operativno stanje.
Akcije su poznate kao sertifikacija i akreditacija.
Formalno, definicije su sledee:
Sertifikacija predstavlja opsenu procenu tehnikih i netehnikih
sigurnosnih karakteristika informacionog sistema i drugih zatitnih
mehanizama koji su kreirani da podre proces akreditacije, da
ustanove varijacije, tj. prihvatljiva proirenja proirenja u okviru
kojih odreena arhitektura i njena implementacija zadovoljava skup
specificiranih sigurnosnih zahteva.
Akreditacija je formalna deklaracija koju daje ovlaena
organizacija (engl. Designated Approving Authority-DAA) i kojom je
odobreno da informacionom sistemu radi u odreenom sigurnosnom
reimu uz korienje propisanog skupa mehanizama zatite i
prihvatljiv nivo rizika.
Sertifikacija i akreditacija sistema moraju biti ponovo uraene posle
definisanog perioda, ili kada se dese promene na sistemu ili u njegovom
okruenju. U tom sluaju se zahteva resertifikacija i reakreditacija.
28
Poglavlje 8
Veba - Bezbedonosni
mehanizmi
BEZBEDONOSNI MEHANIZMI
Upoznavanje sa autorizacijom
Ova veba se bavi sistemom dozvola i autorizacije pristupa sistemu kod
Linux OS. Ovaj sistem upravlja pristupom datoteka, i svimu drugom to
se odnosi na datoteni sistem kao to su datoteke, direktorijume, ureaji,
simbolike veze, etc.
Referenca:
Simbolike
veze
(engl.
http://en.wikipedia.org/wiki/Symbolic_link
Symbolic
link)
KREIRANJE KORISNIKA
Kreiranje novih korisnika na sistemu
Prijaviti se kao root i kreirati 3 korisnika.
useradd ana
useradd bojan
useradd viktor
Zapaziti promene u fajlovima
/etc/passwd
29
KREIRANJE GRUPA
Kreiranje grupa i dodavanje korisnika u grupu
Prijaviti se kao root i kreirati 3 grupe
groupadd generalni
groupadd menadzment
groupadd osoblje
Posmatrati promenu u fajlu /etc/group
tail -n 3 /etc/group
Na slici 3 imamo prikaz /etc/group nakon kreiranja grupa i dodavanja
korisnika u grupe.
Slika 8.3 /etc/group
30
KREIRANJE FAJLOVA
Kreirati tri fajla i postaviti pravila pristupa za fajlove
cd /tmp
echo putninalog > planputovanja
echo strategija > strategijarazvoja
echo radnizadatak > radnizadatak
Komandom ls proveravamo postojanje kreiranih fajlova.
Promeniti primarnu grupu kojoj pripadaju kreirani fajlovi.
chgrp generalni planputovanja
chgrp menadzment strategijarazvoja
chgrp osoblje radnizadatak
Komandom ls l proveravamo postojanje kreiranih fajlova kao I kojoj grupi
pripadaju fajlovi(Slika 4)
Slika 8.4 ls -l
Ulogovati se prvo kao Ana, zatim kao Bojan i na kraju kao Viktor. Zapisati
koje foldere mogu da proitaju. (Slika 6)
31
ACL
Kontrolna lista pristupa(engl. access control list)
Napravite jednu promenu u kontrolnoj listi pristupa koja pripada
strategijarazvoja" Promena " strategijarazvoja " e uticati na korisnika
anau.
setfacl -m u:joe:r strategijarazvoja
Moemo proveriti privilegije na fajl strategijarazvoja
getfacl strategijarazvoja
Slika 8.7 getfacl
32
33
ISENJE SISTEMA
Nakon zavretka vebe potrebno je obrisati korisnik,
grupe i fajlove.
rm radnizadatak
rm planputovanja
rm strategijarazvoja
userdel -r ana
userdel -r bojan
userdel -r viktor
groupdel generalni
groupdel menadzment
groupdel osoblje
34
Poglavlje 9
Domai zadatak 03
DOMAI ZADATAK 3
ACL i prava pristupa
Napravite Vau situaciju sa korisnicima, grupama i dozvolama za pristup
datotekama slinu dananjoj vebi (mora biti sasvim drugaija). Zadatak
mora imati dva sluaja. Osnovni sluaj i nakon promena ACL. Pre
praktine provere, dati procenu konane situacije, a onda izvrtiti
praktinu proveru. Date su tabele (Slika 1):
Napomena: Domai zadatak je potrebno uraditi u MS Word (doc) ili
LibreOffice (odf) formatu sa ubaenim sreenshot-ovima i poslati
predmetnom asistentu,
Naziv zadatka treba da bude: IT381-DZ3-ime_prezime_brojIndexa
Subjekat mail-a treba da bude: IT381-DZ3
Slika 9.1
35
Zakljuak
ZAKLJUAK
Rezime tree lekcije.
Nakon studiranja sadraja ovog poglavlja, studenti e stei solidan
znanja iz oblasti modela sigurnosti i sigurnosnih arhitektura:
36
Modeli sigurnosti
Modeli kontrole pristupa
Modeli integriteta
Ostali sigurnosni modeli
Sigurnosne arhitekture, oznake i reimi
Procedura oporavka i ranjivost
Sertifikacija i akreditacija
Bezbednosni mehanizmi