Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança de Controle de Acesso • Profª. Alex Casañas, M.Sc. • brulex@bol.com.br 1 2 @@brulexbrulex @@casanasdfcasanasdf @@sabadotecsabadotec 3 Prof. M.Sc. Alex Casañas +55(61) 984130351 (OI) SKYPE casanasdf Páginas oficiais: Redes Sociais e Parcerias Facebook: Brulex https://www.facebook.com/alex.casanas1 LinkedIn: Brulex http://br.linkedin.com/in/brulex Twitter: @brulex https://twitter.com/#!/brulex Compre com Segurança Aqui Parceria entre o Professor Alex com o site Submarino desde 1999 http://www.submarino.com.br/menu/1060/Livros/?franq=131531 4 /alex.casanas1in/brulex casanasdf brulex@bol.com.br Contatos 5 Unidade 03 • Objetivos a serem alcançados: UNIDADE III – Modelos de Controle de Acesso Discricionários (discretionary) Mandatórios (mandatory) Baseados em regras (rolebased) 6 Unidade 03 • Bibliografia: 1. KUROSE, James F. E ROSS, Keith W. Redes de Computadores e a Internet: uma abordagem topdown 3 ed. São Paulo Pearson 2. FARREL, Adrian A internet e seus protocolos: uma análise comparativa ? 1ª. Edição Rio de Janeiro, Elseiver 3. COMER, Douglas E. Redes de Computadores e Internet. 4. ed Bookman, Porto Alegre. 4. Material do professor Gustavo Motta. 7 Referências (1) • BELL, D. e LAPADULA L. Secure Computer System: Unified Exposition and Multics Interpretation. Technical Report MTR2997 Rev. 1, MITRE Corporation, Bedford, MA. • CLARK, D.; WILSON, D. A comparison of commercial and military computer security policies. In: IEEE SYMPOSIUM ON SECURITY AND POLICY. Proceedings... p. 184194. • LIPNER, S. NonDiscretionary Controls for Commercial Applications. In: THE 2016 SYMPOSIUM ON PRIVACY AND SECURITY. Proceedings... p. 2–10. • BREWER, D. F. C.; NASH, M. J. The Chinese wall security policy. In: IEEE SYMPOSIUM ON SECURITY AND POLICY. Proceedings... p. 206214. • FERRAIOLO, D. F.; SANDHU, R.; GAVRILA, S.; KUHN, D. R.; CHANDRAMOULI, R. Proposed NIST standard for rolebased access control. ACM Transactions on Information and System Security, v. 4, n. 3, p. 224274. 8 Unidade 03 • WEB+Bibliografia: . http://www.watchguard.com/ Site especializado em soluções de segurança 9 Políticas, Modelos e Mecanismos de Segurança • O papel do controle de acesso • Matriz de controle de acesso • Resultados fundamentais • Políticas de segurança •• Modelos de segurançaModelos de segurança • Mecanismos e implementação 10 Tipos de controle de Acesso • Mandatórios (mandatory) • Discricionários (discretionary) • Baseados em regras (rolebased 11 Mandatory access control (MAC) Em ciência da computação, controle de acesso obrigatório, do inglês mandatory access control (MAC), referese a um tipo de controle de acesso pelo qual o sistema operacional restringe a capacidade de um sujeito ou iniciador de acessar ou geralmente realizar algum tipo de operação em um objeto ou destino. 12 Mandatory access control (MAC) • Na prática, um sujeito é normalmente um processo ou thread, e objetos são construções como arquivos, diretórios, portas TCP/UDP, segmentos de memória compartilhada, dispositivos de Entrada e Saída. Sujeitos e objetos possuem um conjunto de atributos de segurança. 13 Mandatory access control (MAC), • Sempre que um sujeito tenta acessar um objeto, uma regra de autorização imposta pelo kernel do sistema operacional examina esses atributos de segurança e decide se o acesso pode ocorrer. Qualquer operação por qualquer sujeito sobre qualquer objeto, é testada com o conjunto de regras de autorização (também conhecidas como políticas policy) para determinar se a operação é permitida. 14 Discretionary access control ou DAC O controle de acesso discricionário (discretionary access control ou DAC) é uma política de controle de acesso determinada pelo proprietário (owner) do recurso (um arquivo, por exemplo); O proprietário do recurso decide quem tem permissão de acesso em determinado recurso e qual privilégio ele tem. 15 • O DAC tem dois conceitos importantes: • Todo objeto em um sistema deve ter um proprietário. A política de acesso é determinada pelo proprietário do recurso. Teoricamente um objeto sem um proprietário é considerado não protegido. 16 Discretionary access control ou DAC • Direitos de acesso são estabelecidos pelo proprietário do recurso, que pode inclusive transferir essa propriedade; • Um exemplo de DAC são as permissões tradicionais do sistema UNIX, implementadas também no Linux. 17 Discretionary access control ou DAC Controle baseado em papéis (RBAC) Um controle baseado em papéis (RBAC) é uma abordagem para restringir o acesso a usuários autorizados. Controles de acesso baseados em papéis (roles) definem os direitos e permissões baseados no papel que determinado usuário desempenha na organização. Esta estratégia simplifica o gerenciamento das permissões dadas aos usuários. 18 Controle baseado em papéis (RBAC) Permissões de acesso e direitos sobre objetos são dados para qualquer grupo ou, em adição, indivíduos. Os indivíduos podem pertencer a um ou mais grupos. Os indivíduos podem adquirir permissões cumulativas ou desqualificado para qualquer permissão que não faz parte de todo grupo a qual ele pertence. 19 • Em sistemas de segurança de computadores, role- based access control (RBAC), em português controle de acesso baseado em funções, é uma abordagem para restringir o acesso ao sistema para usuários autorizados; • Ele é usado pela maioria das empresas com mais de 500 empregados baseada em funções. 20 Controle baseado em papéis (RBAC) • E pode ser implementado por controle de acesso obrigatório (mandatory access control MAC) ou controle de acesso discricionário (discretionary access control DAC). RBAC é algumas vezes referido como segurança baseada em funções. 21 Controle baseado em papéis (RBAC) Modelos de segurança (1) • Modelo BellLaPadula (Bell & LaPadula, 1975) • Modelo ClarkWilson (Clark & Wilson, 1987) • Modelo Chinese Wall (Brewer & Nash, 1989) • Controle de acesso controlado pelo originador (ORCON) • Controle de Acesso Baseado em Papéis (Ferraiolo et al., 2001) 22 Modelos de segurança (2) • Modelo BellLaPadula (Bell & LaPadula, 1975) (1) –– Política de confidencialidadePolítica de confidencialidade • Lida com o fluxo da informação • Prevenir a liberação não autorizada da informação – Modelo de segurança multinível • Classificação no estilo militar – Influência para muitos outros modelos e também no desenvolvimento de tecnologias de segurança computacional 23 Modelos de segurança (3) • Modelo BellLaPadula (Bell & LaPadula, 1975) (2) – Versão preliminar (2) • Níveis (liberações ou clearance) de segurança dispostos em ordem linear –– Super secretoSuper secreto: mais alto –– SecretoSecreto –– ConfidencialConfidencial –– Não classificadoNão classificado: mais baixo • Níveis são associados a sujeitos e objetos –Um sujeito s tem liberação de segurançaliberação de segurança L(s) –Um objeto tem classificação de segurançaclassificação de segurança L(o) 24 Modelos de segurança (4) • Modelo BellLaPadula (Bell & LaPadula, 1975) (3) – Versão preliminar (2) – exemplo Nível de segurança Sujeito objeto Super secretoSuper secreto Tamara Arquivos pessoais SecretoSecreto Samuel Arquivos de e-mail ConfidencialConfidencial Clara Logs de atividade Não classificadoNão classificado Leo Lista telefônica • Tamara pode ler todos os arquivos • Clara não pode ler arquivos pessoais ou de e-mail • Leo somente pode ler a lista telefônica 25 Modelos de segurança (5) • Modelo BellLaPadula (Bell & LaPadula, 1975) (4) – Versão preliminar (2) - Leiturada informação • A informação flui para cima e não para baixo ––““ReadsReads upup” proibido, “” proibido, “readsreads downdown” permitido” permitido • Condição de segurança simples –– Um sujeito Um sujeito ss pode ler o objeto pode ler o objeto oo se e somente se, se e somente se, LL((oo) ≤ ) ≤ LL((ss) e ) e ss tem tem permissão permissão para ler para ler oo » Nota: combina o controle de acesso compulsório (relacionamentos dos níveis de segurança) com controle de acesso discricionário (a permissão requerida para leitura) – Também chamada de regra “no reads up” 26 Modelos de segurança (6) • Modelo BellLaPadula (Bell & LaPadula, 1975) (5) – Versão preliminar (3) - Escrita da informação • A informação flui para cima e não para baixo ––““WritesWrites upup” permitido, “” permitido, “writeswrites downdown” proibido” proibido • Propriedade* –– Um sujeito Um sujeito ss pode escrever no objeto pode escrever no objeto oo se e somente se, se e somente se, LL((ss) ≤ ) ≤ LL((oo) e ) e ss tem tem permissão para escrever em permissão para escrever em oo » Nota: combina o controle de acesso compulsório (relacionamentos dos níveis de segurança) com controle de acesso discricionário (a permissão requerida para escrita) – Também chamada de regra “no writes down” 27 Modelos de segurança (7) • Modelo BellLaPadula (Bell & LaPadula, 1975) (6) – Versão preliminar (4) • Teorema básico da segurança –Seja � um sistema com um estado inicial seguro �0 e seja T um conjunto de transformações de estado. Se cada elemento de T preservapreserva a a condição de segurança simplescondição de segurança simples e a propriedadepropriedade**, então cada �i, i � 0, é seguro »Prova: indução no número de transições 28 Modelos de segurança (8) Modelo BellLaPadula (Bell & LaPadula, 1975) (7) –Versão estendida (1) • Expande a noção de nível de segurança para incluir categoriascategorias • Um nível de segurança tem a forma (liberação, conjunto de categorias) • Exemplos – (Super secreto, {NUC, EUR, ASI }) – (Confidencial, {EUR, ASI }) – (Secreto, {NUC, ASI }) • As categorias geram um reticulado – Linhas representam a relação de ordem induzida por � {NUC, EUR, US} {NUC, EUR} {NUC, US} {EUR, US} {US}{EUR}{NUC} 29 Modelos de segurança (9) • Modelo BellLaPadula (Bell & LaPadula, 1975) (8) –Versão estendida (2) • Níveis e reticulados definem a relação dom (domina) –O nível de segurança (L, C) dom (domina) o nível de segurança (L�, C�) se e somente se L� ≤ L and C� � C • Exemplos – (Super Secreto, {NUC, US}) dom (Secreto, {NUC}) – (Secreto, {NUC, EUR}) dom (Confidencial,{NUC, EUR}) – (Super Secreto, {NUC}) �dom (Confidencial, {EUR}) • Sejam C o conjunto de classificações e K o conjunto de categorias. O conjunto de níveis de segurança L = C � K, e a relação dom formam um reticulado – lub(L) = (max(A), C) – glb(L) = (min(A), �) 30 Modelos de segurança (10) • Modelo BellLaPadula (Bell & LaPadula, 1975) (9) –Versão estendida (3) • Níveis e ordenação – Níveis de segurança são parcialmente ordenados » Pares quaisquer de níveis de segurança podem ou não serem relacionados por dom – A relação “domina” tem o mesmo papel que a relação “maior que” � na versão preliminar do modelo » Embora, � seja uma relação de ordem total e não parcial 31 Modelos de segurança (11) • Modelo BellLaPadula (Bell & LaPadula, 1975) (10) – Versão estendida (4) Leitura da informação • A informação flui para cima e não para baixo –– ““ReadsReads upup” proibido, “” proibido, “readsreads downdown” permitido” permitido • Condição de segurança simples –– Um sujeito Um sujeito ss pode ler o objeto pode ler o objeto oo se e somente se, se e somente se, LL((ss) dom ) dom LL((oo) e ) e ss tem permissãotem permissão para ler de para ler de oo » Nota: combina o controle de acesso compulsório (relacionamentos dos níveis de segurança) com controle de acesso discricionário (a permissão requerida para leitura) – Também chamada de regra “no reads up” 32 Modelos de segurança (12) • Modelo BellLaPadula (Bell & LaPadula, 1975) (11) – Versão estendida (5) - Escrita da informação • A informação flui para cima e não para baixo ––““WritesWrites upup” permitido, “” permitido, “writeswrites downdown” proibido” proibido • Propriedade* –– Um sujeito Um sujeito ss pode escrever no objeto pode escrever no objeto oo se e somente se, se e somente se, LL((oo) dom ) dom LL(s) e (s) e ss tem permissão para escrever em tem permissão para escrever em oo » Nota: combina o controle de acesso compulsório (relacionamentos dos níveis de segurança) com controle de acesso discricionário (a permissão requerida para leitura) – Também chamada de regra “no writes down” 33 Modelos de segurança (13) • Modelo BellLaPadula (Bell & LaPadula, 1975) (12) – Versão estendida (6) • Teorema básico da segurança – Seja � um sistema com um estado inicial seguro �0 e seja T um conjunto de transformações de estado. Se cada elemento de T preservapreserva a condição de segurança simplesa condição de segurança simples e a propriedadepropriedade**, então cada �i, i � 0, é seguro » Prova: indução no número de transições 34 Modelos de segurança (14) • Modelo BellLaPadula (Bell & LaPadula, 1975) (13) – Problema • Um coronel tem nível (Secreto, {NUC, EUR}) • Um major tem nível (Secreto, {EUR}) –O major pode falar com o coronel (“write up” ou “read down”) –O coronel não pode falar com o major (“read up” ou “write down”) • Obviamente, isto é um absurdo! 35 Modelos de segurança (15) Modelo BellLaPadula (Bell & LaPadula, 1975) (14) – Solução • Definir os níveis máximo e corrente para um sujeito – nível_max(s) dom nível_corrente(s) • Exemplo – Tratar o major como um objeto (o coronel está escrevendo para ele) – O coronel tem nível_max (Secreto, { NUC, EUR }) – O coronel define seu nível_corrente para (Secreto, { EUR }) – Agora L(Major) dom nível_corrente(Coronel) » O coronel pode escrever para o major sem violar a regra “no writes down” – L(s) significa nível_corrente(s) or nível_max(s)? » Precisase de uma notação mais precisa e formal 36 Modelos de segurança (16) • Modelo ClarkWilson (Clark & Wilson, 1987) (1) –– Política de integridadePolítica de integridade • Difere das políticas militares por enfatizar a preservação da integridade dos dados • Requisitos (Lipner, 1982) 1. Usuários não escrevem seus próprios programas, mas usam programas e bancos de dados de produção 2. Programadores desenvolvem e testam programas em sistemas que não são de produção. Caso necessitem de dados de produção, esses serão fornecidos por um processo especial para serem usados no ambiente de desenvolvimento 3. Um processo especial deve ser seguido para instalar um programa do ambiente de desenvolvimento para o ambiente de produção 4. O processo especial no requisito 3 deve ser controlado e auditado 5. Os administradores e auditores devem ter acesso tanto ao estado do sistema, quanto aos logs de sistema gerados • Estes requisitos sugerem vários princípios de operaçãoprincípios de operação 37 Modelos de segurança (17) • Modelo ClarkWilson (Clark & Wilson, 1987) (2) •• PrincípiosPrincípios –– Separação de responsabilidadesSeparação de responsabilidades » Caso dois ou mais passos sejam requeridos para realizar uma função crítica, pelo menos duas pessoas diferentes devem executar os passos – Separação de função » Desenvolvedores não devem desenvolver novos programas em ambientes de produção, nem processar dados de produção em ambientes de desenvolvimento – Auditoria » Sistemas comerciais devem permitir auditorias abrangentes, requerendo, portanto, logs também abrangentes – Necessidade de saber » Se um indivíduo necessita saber umainformação específica para desempenhar sua função, o acesso a informação é concedido • Políticas comerciais geralmente demandam uma administração descentralizada, enquanto as militares requerem administração centralizada 38 Modelos de segurança (18) • Modelo ClarkWilson (Clark & Wilson, 1987) (3) – Foco nas transações das aplicações comerciais e na separação de responsabilidades – Integridade definida por um conjunto de restrições • Os dados estão em estado consistenteconsistente (válido) quando as restrições são satisfeitas – Exemplo: banco • D depósitos diários, SQ saques, SA saldo do dia anterior, SH saldo de hoje – Restrição de integridade: SH = D + SA – SQ – Transações bem formadas (TBF) levam o sistema de um estado consistente para outro estado consistente – Questão: quem examina, certifica que elas foram definidas quem examina, certifica que elas foram definidas corretamente?corretamente? 39 Modelos de segurança (19) • Modelo ClarkWilson (Clark & Wilson, 1987) (4) – O modelo (1) • Entidades – CDIs: itens de dados constrangidos » Dados sujeitos a restrições de integridade – UDIs: itens de dados não constrangidos » Dados não sujeitos a restrições de integridade – IVPs: procedimentos de verificação de integridade » Procedimentos que verificam se os CDIs estão em conformidade com as restrições de integridade – TPs: procedimentos transacionais » Procedimentos que levam o sistema de um estado válido para outro estado válido 40 Modelos de segurança (20) • Modelo ClarkWilson (Clark & Wilson, 1987) (5) – O modelo (2) • Regras de certificação 1 e 2 CR1: quando qualquer IVP executa, ele deve assegurar que todos os CDIs estão num estado válido CR2: para algum conjunto de CDIs associados, uma TP deve transformar tais CDIs de um estado válido para um outro estado (possivelmente diferente) também válido » Define a relação certificadacertificada que associa um conjunto de CDIs com uma TP específica » Exemplo: TP saldo, CDIs contascorrentes, num banco 41 Modelos de segurança (21) • Modelo ClarkWilson (Clark & Wilson, 1987) (6) – O modelo (3) • Regras de coerção 1 e 2 ER1: o sistema deve manter as relações certificadas e deve assegurar que somente as TPs certificadas para uma CDI possam operar sobre essa CDI ER2: o sistema deve associar um usuário a cada TP e conjunto de CDIs. A TP pode acessar tais CDIs em benefício do usuário associado. A TP não pode acessar as CDIs em benefício de um usuário não associado àquela TP e para estas CDIs » O sistema deve manter e impor a relação certificadacertificada » O sistema também deve restringir o acesso baseado na identidade do usuário (relação permitidapermitida) 42 Modelos de segurança (22) • Modelo ClarkWilson (Clark & Wilson, 1987) (5) – O modelo (4) • Usuários e regras CR3: a relação permitida deve atender os requisitos impostos pelo princípio da separação de responsabilidades » A relação permitida é definida por um conjunto de triplas (usuário, TP, {conjunto de CDIs}) ER3: o sistema deve autenticar todo usuário que tente exexcutar uma TP » O tipo de autenticação não é especificado e depende de instanciações do modelo » A autenticação não é necessária antes do uso do sistema, mas é requerida antes da manipulação de CDIs (que requer o uso de TPs) 43 Modelos de segurança (23) • Modelo ClarkWilson (Clark & Wilson, 1987) (6) – O modelo (5) • Logging CR4: todas as TPs devem anexar numa CDI (que permite apenas append) informação suficiente para reconstruir uma operação realizada » Esta CDI é o log » O auditor dever ser capaz de determinar o que aconteceu durante a revisão das transações • Lidando com entradas não confiáveis CR5: qualquer TP que recebe como entrada uma UDI pode realizar apenas transformações válidas, ou nenhuma transformação, para todos os valores possíveis da UDI. A transformação ou rejeita a UDI ou a transforma numa CDI » Num banco, números entrados pelo teclado são UDIs, logo podem ser entradas de TPs. TPs devem validar estes números (para tornálos uma CDI) antes de serem usados; caso a validação falhe, a TP rejeita a UDI 44 Modelos de segurança (24) • Modelo ClarkWilson (Clark & Wilson, 1987) (7) – O modelo (6) • Separação de responsabilidades no modelo ER4: apenas o certificador de uma TP pode modificar a lista de entidades associadas com essa TP. Nenhum certificador de TP, ou de uma entidade associada a essa TP, pode, jamais, ter permissão de execução em relação a essa entidade »» Impõe a separação de responsabilidades para as relações Impõe a separação de responsabilidades para as relações permitida e certificadapermitida e certificada 45 Modelos de segurança (25) • Modelo ClarkWilson (Clark & Wilson, 1987) (8) – Contribuições do modelo •• Captura o modo como as organizações empresariais trabalham com dadosCaptura o modo como as organizações empresariais trabalham com dados – Empresas não classificam dados usando um esquema multinível – Empresas impõem a separação de responsabilidades •• Separa a noção de certificação da noção de coerçãoSepara a noção de certificação da noção de coerção – Assumindo projeto e implementação corretos, um sistema seguindo esta política assegura que as regras de coerção são obedecidas – Entretanto, as regras de certificação requerem intervenção externa e o processo de certificação é, em geral, complexo, e sujeito a erros e a incompletudes » Certificadores fazem suposições sobre o que pode ser confiável 46 Modelos de segurança (26) • Modelo ClarkWilson (Clark & Wilson, 1987) (9) – Exemplo: implementação UNIX (1) • Considerase a relação permitidapermitida (usuário, TP, { conjunto de CDIs}) • Cada TP tem um usuário proprietário distinto – Estes “usuários” são, na realidade, contas bloqueadas, logo nenhum usuário real pode efetuar login nelas; mas isto fornece a cada TP um UID único para o controle dos direitos de acesso – O TP executa com dos direitos de acesso do proprietário e não com os do usuário que executa a TP • O grupo de cada TP contém o conjunto de usuários autorizados a executálo • Cada TP é executável apenas pelo grupo, e não por todo mundo 47 Modelos de segurança (27) • Modelo ClarkWilson (Clark & Wilson, 1987) (10) – Exemplo: implementação UNIX (2) • Configurações dos CDIs – CDIs são propriedade do root ou de algum usuário único com conta bloqueada – O grupo de cada CDI contem os usuários donos de TPs autorizados a manipular a CDI – Cada TP pode manipular CDIs para um único usuário • Exemplos: – Acesso à CDI restringido apenas por usuário » Na tripla certificada, TP pode ser qualquer TP » Coloque as CDIs num grupo contendo todos os usuários autorizados a manipular a CDI – Acesso à CDI restringido apenas por TP » Na tripla permitida, o usuário pode ser qualquer um » As CDIs permitem acesso ao proprietário, o usuário dono da TP » A TP autorizada a acessar a CDI pode ser executada por qualquer um 48 Modelos de segurança (28) • Modelo ClarkWilson (Clark & Wilson, 1987) (11) – Exemplo: implementação UNIX (3) • Problemas – 2 usuários diferentes não podem usar a mesma TP para acessar 2 conjuntos de CDIs distintos » Necessita de 2 cópias separadas do TP (uma para cada usuário e conjunto de CDIs) – TPs são programas programas setuidsetuid » Maior ameaça de modificar privilégios inadequadamente, logo necessitase reduzir seu número – O root pode assumir a identidade dos usuários donos das TPs, portanto, não pode ser separado dos certificadores » A resolução deste problema implica numa mudança radical da natureza do root 49 Modelos de segurança (29) • Modelo Chinese Wall (Brewer & Nash, 1989) (1) – Foco em conflito de interessesconflito de interessesencontrados em ambientes empresariais • Considera igualmente a confidencialidade e a integridade – Problema: – João é consultor de investimentos para o banco A – Ele é convidado para prestar consultoria para o banco B • A aceitação do convite cria uma situação de conflito de interesses – O conselho para um banco pode afetar o seu conselho para outros bancos » Os interesses do bancos são conflitantes 50 Modelos de segurança (30) • Modelo Chinese Wall (Brewer & Nash, 1989) (2) – Organização •• Entidades em conflito de interesses são dispostas em classesEntidades em conflito de interesses são dispostas em classes • O acesso dos sujeitos para cada classe é controlado – A escrita em cada classe é controlada para assegurar que informações não sejam repassadas violando regras • Permite que dados “limpos” sejam vistos por qualquer um 51 Modelos de segurança (31) • Modelo Chinese Wall (Brewer & Nash, 1989) (3) – Definições • Objetos: itens de informação relacionados a uma empresa • Dataset empresarial (CD): contêiner de objetos relacionado a uma única companhia – Denotado por CD(O) • Classe de conflito de interesses (COI): contém datasets de empresas competidoras – Denotado por COI(O) – Assumese que cada objeto pertence a exatamente uma classe COI Bank of America Citibank Bank of the West Classe COI de bancos Shell Oil Union ’76 Standard Oil ARCO Classe COI de cias de petróleo 52 Modelos de segurança (32) • Modelo Chinese Wall (Brewer & Nash, 1989) (4) – Elemento temporal • Caso João leia qualquer CD numa COI, ele jamaisjamais poderá ler outro CD nessa COI – Possivelmente, a informação apreendida anteriormente poderá influenciar suas decisões futuras – Definese PR(S) como sendo o conjunto de objetos lidos pelo sujeito S – Condição de segurança simples • s pode ler o, se e somente se, uma das condições seguintes for verdadeira: 1. Existe um objeto o� tal que s tenha acessado o� e CD(o�) = CD(o) – Significa que s leu alguma coisa no dataset de o’ 2. Para todo o� � O, o� � PR(s) � COI(o�) ≠ COI(o) – Significa que s não leu nenhum objeto da classe de conflito de interesses de o • Ignora dados “limpos” • Inicialmente, PR(s) = �, logo, a acesso para primeira leitura é concedido Modelos de segurança (33) • Modelo Chinese Wall (Brewer & Nash, 1989) (5) • Supondo que um único COI tenha n CDs, então pelo menos n sujeitos são necessários para acessar cada CD – “Limpeza” de dados • Informações públicas podem pertencer a um CD – Como são disponíveis para todos, os conflitos de interesses não emergem – Logo, não deveriam afetar a capacidade de um consultor lêlos, por exemplo – Tipicamente, dados que tiveram toda informação sensível removida podem ser liberados publicamente e são chamados de dados “limpos” (sanitized) • Adicionase então uma terceira condição à condição de segurança simples: 3. o é um objeto “limpo” 54 Modelos de segurança (34) • Modelo Chinese Wall (Brewer & Nash, 1989) (6) – Escrita • João e Ana trabalham na mesma corretora • João pode ler o CD do Citibank e o CD da cia de petróleo Shell • Ana pode ler o CD do Bank of America e o CD da cia de petróleo Shell • Caso João possa escrever no CD da cia de petróleo Shell, Ana poderá ler esta informação –– Logo, indiretamente, ela pode ler informação do CD do Citibank, Logo, indiretamente, ela pode ler informação do CD do Citibank, um claro conflito de interessesum claro conflito de interesses 55 Modelos de segurança (35) • Modelo Chinese Wall (Brewer & Nash, 1989) (7) – Propriedade* • s pode escrever em o, se e somente se, as seguintes condições forem verdadeiras 1. A condição de segurança simples permite s ler o; e 2. Para todo objeto o� não “limpo”, se s pode ler o�, então CD(o�) = CD(o) • Dizse que s pode escrever para um objeto se todos os objetos (não “limpos”) que ele pode ler estão no mesmo dataset –– O fluxo de informações não “limpas” fica confinado ao O fluxo de informações não “limpas” fica confinado ao datasetdataset de uma mesma empresade uma mesma empresa – Informações “limpas” podem fluir livremente pelo sistema 56 Modelos de segurança (36) Modelo Chinese Wall (Brewer & Nash, 1989) (8) – Discussão dos modelos BellLaPadula e ChineseWall •• Fundamentalmente diferentesFundamentalmente diferentes – O ChineseChineseWallWall não tem rótulos de segurançanão tem rótulos de segurança, enquanto o BellLaPadula tem – O ChineseChineseWallWall tem a noção de acesso passadotem a noção de acesso passado, enquanto o BellLaPadula não tem •• BellBellLaPadulaLaPadula pode capturar um estado do pode capturar um estado do ChineseChineseWallWall em qualquer momento – Cada par (COI, CD) tem uma categoria de segurança atribuída – Duas liberações, S (“sanitized”) and U (“unsanitized”) são definidas »» U dom SU dom S – São atribuídos níveis de segurança para sujeitos, desde que para compartimentos sem múltiplas categorias correspondendo a CDs numa mesma classe COI » O nível de segurança (UU, {BankBank ofof AmericaAmerica, ARCOARCO}) é atribuído para João, de modo que ele possa acessar CDs de COIs distintos » Embora o BellLaPadula possibilite o nível (UU, {BankBank ofof AmericaAmerica, CitibankCitibank)}, o modelo ChineseWall o proíbe de existir, porque as categorias (CDs) estão num mesmo COI » No exemplo visto, o modelo ChineseWall permite a existência de 12 níveis de segurança 57 Modelos de segurança (37) • Modelo Chinese Wall (Brewer & Nash, 1989) (9) – Discussão dos modelos Bell-LaPadula e Chinese-Wall •• BellBell--LaPadulaLaPadula não é capaz de acompanhar mudanças que ocorrem com o passar do temponão é capaz de acompanhar mudanças que ocorrem com o passar do tempo – Susana fica doente, Anna precisa substituíla » A historia dos acessos de Ana no Chinese Wall indica se ela pode ou não substituíla » Não há como o BellLaPadula capturar isto •• Restrições de acesso se modificam com o passar do tempoRestrições de acesso se modificam com o passar do tempo – Inicialmente, sujeitos no modelo ChineseWall podem ler qualquer objeto – O modelo BellLaPadula restringe o conjunto de objetos que um sujeito pode ler » Uma solução, seria, inicialmente, liberar todos os sujeitos para todas as categorias » Porém, isto violaria a condição de segurança simples do modelo Chinese Wall » Necessita de uma entidade confiável para modificação dos níveis de segurança no modelo BellLaPadula • Conclusão: o modelo BellLaPadula não pode emular o modelo Chinese Wall fielmente, implicando que os dois modelos são distintos 58 Modelos de segurança (38) • Modelo Chinese Wall (Brewer & Nash, 1989) (10) – Discussão dos modelos Clark-Wilson e Chinese-Wall • O modelo ClarkWilson cobre vários aspectos de integridade, como validação e verificação, assim como aspectos de controle de acesso – Como o modelo ChineseWall lida exclusivamente com controle de acesso, não pode emular o modelo ClarkWilson completamente – Considerase apenas os aspectos de controle de acesso • O modelo Chinese Wall trata sujeitos como usuários humanos que executam ou tentam executar transações num sistema • Uma única pessoa poderia usar múltiplos processos para violar a condição de segurança simples do modelo Chinese Wall – Mas, ainda assim, estaria em conformidade com o modelo Clark Wilson – Entretanto, o modelo ChineseWall é consistente com o modelo ClarkWilson, quando se requer que um “sujeito” seja uma pessoa específica, assim como os processos que atuem em seu benefício 59 Modelos de segurança (39) • Controle de acesso controlado pelo originador (ORCON) (1) – Problema • Uma organização que crie um documento, deseja controlar sua disseminaçãodisseminação • Exemplo: – Uma empresa de desenvolvimento de software crioue distribui para empresas parceiras o código fonte de um programa. Qualquer disseminação futura deste código deve ser autorizado pelo criador. Ou seja, o acesso é controlado pelo criador (originador) – Requisitos • Sujeito s � S marca objeto o � O como ORCON em benefício da organização X. X permite a distribuição de o para sujeitos atuando em benefício da organização Y com as seguintes restrições: 1. o não pode ser liberado para sujeitos atuando em benefício de outras organizações sem a permissão de X, e 2. Quaisquer cópias de o devem ter as mesmas restrições colocadas para ele 60 Modelos de segurança (40) • Controle de acesso controlado pelo originador (ORCON) (2) – O controle de acesso discricionáriocontrole de acesso discricionário falhafalha em atender estes requisitos • O proprietário pode modificar quaisquer permissões – Não se pode impor a restrição do item 2 anterior – O controle de acesso compulsóriocontrole de acesso compulsório também falhafalha • Primeiro problema: explosão de categorias – Categoria C contém o, X, Y, nada mais. Se um sujeito y � Y deseja ler o, x � X faz uma cópia o� de o. Note que o� tem categoria C. Se y deseja conceder para z � Z uma cópia, z deve estar em Y—por definição, ele não está. Caso x deseje conceder para w � W o direito de ler o documento, então uma nova categoria C� contendo o, X, W é necessária • Segundo problema: abstração – A classificação no MAC, assim como as categorias, são controladas centralmente, e o acesso também é controlado por uma política centralizada – ORCON é controlado localmente 61 Modelos de segurança (41) • Controle de acesso controlado pelo originador (ORCON) (3) – O ORCON combina ambos os enfoques – DAC e MAC • O proprietário de um objeto não pode modificar os controles de acesso do objeto • Quando um objeto é copiado, as restrições de controle de acesso desta fonte também são copiados e anexados à cópia • Estas regras são compulsórias – MAC – o proprietário não tem controle • O criador (originador) pode alterar as restrições de controle de acesso por sujeito e por objeto – O proprietário tem o controle, como no DAC 62 Modelos de segurança (42) • Controle de acesso baseado em papéis (RBAC) (Ferraiolo et al., 2001) (1) – Acesso regulado segundo os papéis exercidos pelo usuário • Um papel denota uma função organizacional – Autoridade – Responsabilidade – Autorizações de acesso são atribuídas para papéis e não usuários 63 Modelos de segurança (43) • Controle de acesso baseado em papéis (RBAC) (Ferraiolo et al., 2001) (1) – Papéis são atribuídos para usuários de acordo com suas funções • Princípio da necessidade de saber/fazer é inerente ao modelo – Separação de responsabilidades estática e dinâmica – Facilita a administração da política de acesso • Visão organizacional • Mudanças de pessoal têm baixo impacto – Facilita procedimentos de admissão/demissão 64 Modelos de segurança (44) • Controle de acesso baseado em papéis (RBAC) (Ferraiolo et al., 2001) (1) – Padrão estabelecido pelo NIST • ANSI/INCITS 3592004. Information Technology: Role Based Access Control. InterNational Committee for Information Technology Standards, Feb. 2004. 56 p. • Slide Presentation on Proposed RBAC Standard • Presentation on RBAC standard (courtesy Wilfredo Alvarez) Unidade#2 Exercícios 66 Considerações Finais • Existem soluções de modelos de controle de acesso para todos os tamanhos de organizações; • Temos que entender qual a dimensão do projeto, e preparar a política, antes de selecionar o modelo de controle de acesso; • Cada projeto deverá ser revisto periodicamente, sendo possível, a todo momento, realizar atualização da política e modelo de segurança. 67 Questões para debate • Banca: CESPE Órgão: TREGO Prova: Técnico Judiciário • Os três tipos de controle de acesso lógico utilizados em segurança de informação são • a) discrecional, mandatório e RBAC (role based access control). • b) hierárquico, discrecional e mandatório. • c) individual, de grupo e biométrico. • d) conceitual, físico e hierárquico. 68 Questões para debate • Banca: CESPE Órgão: TREGO Prova: Técnico Judiciário • Os três tipos de controle de acesso lógico utilizados em segurança de informação são • a) discrecional, mandatório e RBAC (role based access control). • b) hierárquico, discrecional e mandatório. • c) individual, de grupo e biométrico. • d) conceitual, físico e hierárquico. 69 Questões para debate • Banca: CESPE Órgão: INPI Prova: Analista em TI • No modelo RBAC (role-based access control), o acesso a objetos do sistema é definido pela identidade do usuário ou do grupo que tenta acessar o sistema. • Certo • Errado 70 Questões para debate • Banca: CESPE Órgão: INPI Prova: Analista em TI • No modelo RBAC (role-based access control), o acesso a objetos do sistema é definido pela identidade do usuário ou do grupo que tenta acessar o sistema. • Certo • Errado 71 Questões para debate • Banca: VUNESP Órgão: SAEG Prova: Analista de Serviços • Um administrador de domínio optou por organizar as permissões de acesso dos funcionários da empresa, criando grupos que correspondiam às funções dos funcionários e controlando o acesso aos recursos com base nesses grupos. Esse modelo de controle de acesso é chamado de • a)Controle de acesso baseado em papéis (RBAC). • b)Controle de acesso discricional (DAC). • c)Controle de acesso mandatório (MAC). • d)Controle de acesso baseado em tarefas (TBAC). • e)Controle de acesso espacial (SAC). 72 Questões para debate • Banca: VUNESP Órgão: SAEG Prova: Analista de Serviços • Um administrador de domínio optou por organizar as permissões de acesso dos funcionários da empresa, criando grupos que correspondiam às funções dos funcionários e controlando o acesso aos recursos com base nesses grupos. Esse modelo de controle de acesso é chamado de • a)Controle de acesso baseado em papéis (RBAC). • b)Controle de acesso discricional (DAC). • c)Controle de acesso mandatório (MAC). • d)Controle de acesso baseado em tarefas (TBAC). • e)Controle de acesso espacial (SAC). 73 • Banca: FCC Órgão: INFRAERO Prova: Analista de Sistemas Segurança • Com relação aos mecanismos de controle de acesso, • a) o Role-Based Access Control (RBAC) é um mecanismo de controle de acesso em que cada usuário é associado a um nível de segurança e que permite ao proprietário do recurso decidir quem tem permissão de acesso em determinado recurso e qual privilégio ele terá. • b) no Discretionary Access Control (DAC), a política de acesso é determinada pelo sistema e não pelo proprietário do recurso. Cada usuário é associado a um nível de segurança, isto é, o potencial de risco que poderia resultar de um acesso não autorizado a informação. • c) o Mandatory Access Control (MAC) é um mecanismo de controle de acesso em que as permissões são associadas a papéis e os usuários são mapeados para esses papéis. • d) o Role-Based Access Control (RBAC) possibilita ao administrador de sistema criar papéis, definir permissões para esses papéis e, então, associar usuários para os papéis com base nas responsabilidades associadas a uma determinada atividade. • e) o Discretionary Access Control (DAC) possibilita uma grande flexibilidade e facilidade do ajuste do controle de acesso à medida que ocorrem mudanças no ambiente. 74 • Banca: FCC Órgão: INFRAERO Prova: Analista de Sistemas Segurança • Com relação aos mecanismos de controle de acesso, • a) o Role-Based Access Control (RBAC) é um mecanismo de controle de acesso em que cada usuário é associado a um nível de segurança e que permite ao proprietário do recurso decidir quem tem permissãode acesso em determinado recurso e qual privilégio ele terá. • b) no Discretionary Access Control (DAC), a política de acesso é determinada pelo sistema e não pelo proprietário do recurso. Cada usuário é associado a um nível de segurança, isto é, o potencial de risco que poderia resultar de um acesso não autorizado a informação. • c) o Mandatory Access Control (MAC) é um mecanismo de controle de acesso em que as permissões são associadas a papéis e os usuários são mapeados para esses papéis. • d) o Role-Based Access Control (RBAC) possibilita ao administrador de sistema criar papéis, definir permissões para esses papéis e, então, associar usuários para os papéis com base nas responsabilidades associadas a uma determinada atividade. • e) o Discretionary Access Control (DAC) possibilita uma grande flexibilidade e facilidade do ajuste do controle de acesso à medida que ocorrem mudanças no ambiente. 75 • Banca: FUNCAB Órgão: PRF Prova: Agente • As medidas de segurança da informação envolvem três tipos de defesas, que são organizadas em camadas: a segurança de perímetro, a autenticação e a autorização. É uma medida de segurança apropriada para a camada de autorização: • a) Rede Privada Virtual (VPN) • b) Controle de acesso baseado em regras • c) Infraestrutura de Chave Pública (PKI) • d) Tokens • e) Biometria 76 • Banca: FUNCAB Órgão: PRF Prova: Agente • As medidas de segurança da informação envolvem três tipos de defesas, que são organizadas em camadas: a segurança de perímetro, a autenticação e a autorização. É uma medida de segurança apropriada para a camada de autorização: • a)Rede Privada Virtual (VPN) • b)Controle de acesso baseado em regras • c) Infraestrutura de Chave Pública (PKI) • d) Tokens • e) Biometria 77 Questões para debate • . Banca: FCC Órgão: TCEGO Prova: Analista • Considere as afirmações abaixo. I. Consiste na separação entre as funções de autorização, aprovação de operações, execução, controle e contabilização, de tal maneira que nenhum funcionário detenha poderes e atribuições em desacordo com este princípio de controle interno. 78 • . Banca: FCC Órgão: TCEGO Prova: Analista • Considere as afirmações abaixo. II. Está relacionado com o RBAC (Role Based Access Control), que denomina um projeto do NIST/INCITS, cujo objetivo é padronizar um modelo para prover e administrar privilégios de acesso em uma organização. III. Proíbe o usuário de, exercendo certa atividade, executar outra atividade ao mesmo tempo que implique em risco operacional para o negócio; a hierarquia organizacional reflete a estrutura dos papéis desempenhados pelos colaboradores dentro da organização. 79 • . Banca: FCC Órgão: TCEGO Prova: Analista • Considere as afirmações abaixo. IV. Referese ao controle de acesso baseado no papel, na atividade ou na função que o colaborador exerce dentro da organização; possibilita ter uma visão do privilégio de acesso de forma corporativa e não apenas por sistema. Sabendo que SF referese à Segregação de Funções e PF referese à Perfil por Função, as afirmativas de I a IV são correta e respectivamente, relacionadas a: • 80 • . Banca: FCC Órgão: TCEGO Prova: Analista • Considere as afirmações abaixo. a) SF; SF; PF; PF. • b) PF; PF; SF; SF. • c) PF; SF; SF; SF. • d) SF; PF; SF; PF. • e) SF; PF; PF; PF. 81 • . Banca: FCC Órgão: TCEGO Prova: Analista • Considere as afirmações abaixo. a) SF; SF; PF; PF. • b) PF; PF; SF; SF. • c) PF; SF; SF; SF. • d) SF; PF; SF; PF. • e) SF; PF; PF; PF. 82 Questões para debate • Banca: FUNCAB Órgão: MDA Prova: Tecnologia • São medidas de segurança na autenticação: • a) Tokens e IDS. • b) Firewalls e varredura de vírus. • c) VPN e Biometria. • d) Biometria e PKI. • e) Sincronização de rede e controle de acesso baseado em regras. 83 Questões para debate • Banca: FUNCAB Órgão: MDA Prova: Tecnologia • São medidas de segurança na autenticação: • a) Tokens e IDS. • b) Firewalls e varredura de vírus. • c) VPN e Biometria. • d) Biometria e PKI. • e) Sincronização de rede e controle de acesso baseado em regras. 84 Questões para debate • . Banca: FUNRIO Órgão: IFPA Prova: Adminstrador • Entre as dimensões da gestão de sistemas de informação encontrase a integridade que é entendida como a confirmação de que os dados enviados, recebidos ou armazenados estão completos e inalterados. Uma das formas de manter a integridade são os denominados modelos de controle que definem as características primitivas de um determinado conjunto de regras de autorização a serem utilizadas. Essas características influenciam os limites da semântica de autorização (SORDI e MEIRELES, 2010). 85 Questões para debate • As indicações a seguir são modelos de controle de acesso. • (1) Discretionary Access Control; • (2) Mandatory Acess Control; e • (3) Role- Based Acess Control. • Assinale a alternativa correta quanto ao(s) modelo(s) de controle de acesso, conforme apresentado pelos autores. • a) 1, 2 e 3. b) 1 e 2. c) 1 e 3. • d) 2 e 3. e) 2. 86 Questões para debate • As indicações a seguir são modelos de controle de acesso. • (1) Discretionary Access Control; • (2) Mandatory Acess Control; e • (3) Role- Based Acess Control. • Assinale a alternativa correta quanto ao(s) modelo(s) de controle de acesso, conforme apresentado pelos autores. • a) 1, 2 e 3. b) 1 e 2. c) 1 e 3. • d) 2 e 3. e) 2. 87 Explicação • DAC (Discretionary Access Control) Controle de Acesso Discricionário. A política de acesso é determinada pelo proprietário do recurso. • • MAC (Mandatory Access Control) Controle de Acesso Mandatório. A política de acesso é determinada pelo sistema. • • RBAC (RoleBased Access Control) Controle de Acesso Baseado em Papéis. Perfil por Função. Os privilégios e outras permissões são associados a papéis organizacionais, em vez de usuários individuais. 88 Questões para debate • Banca: INSTITUTO AOCP Órgão: EBSERH • Prova: Analista • As normas da família ISO 27000 estabelecem padrões para a Gestão da Segurança da Informação. Uma das recomendações é que a informação seja classificada em vários níveis de proteção, além de determinar os controles necessários para cada nível. Qual é a alternativa correta com relação à classificação da informação estabelecida nessa norma? 89 Questões para debate • Banca: INSTITUTO AOCP Órgão: EBSERH • Prova: Analista • As normas da família ISO 27000 estabelecem padrões para a Gestão da Segurança da Informação. Uma das recomendações é que a informação seja classificada em vários níveis de proteção, além de determinar os controles necessários para cada nível. Qual é a alternativa correta com relação à classificação da informação estabelecida nessa norma? 90 Questões para debate • A) A norma estabelece que a classificação deve ser realizada em quatro níveis: confidencial; restrito; uso interno; público. • b) A norma estabelece que a classificação deve ser realizada em seis níveis: ultrassecreto; secreto; confidencial; restrito; não classificado; público. • c) A norma estabelece que a informação deve ser classificada com base no modelo de controle de acesso baseado em papéis (RBAC – Role Based Access Control). se adéqua à sua realidade. 91 Questões para debate • d) A norma estabelece que a informação deve ser classificada com base no modelo de controle de acesso discricionário (DAC – Discretionary Access Control). • e) A norma não obriga a fazer uso de um modelo específico de classificação da informação que deve ser utilizado estritamente, ou seja, cada organização pode utilizar um modelo de classificação e nomenclatura que mais se adéqua à sua realidade.92 Questões para debate • d) A norma estabelece que a informação deve ser classificada com base no modelo de controle de acesso discricionário (DAC – Discretionary Access Control). • e) A norma não obriga a fazer uso de um modelo específico de classificação da informação que deve ser utilizado estritamente, ou seja, cada organização pode utilizar um modelo de classificação e nomenclatura que mais se adéqua à sua realidade. 93 • Ao término desta Unidade você deverá ser capaz de explanar sobre: UNIDADE III Modelos de Controle de Acesso Discricionários (discretionary) Mandatórios (mandatory) Baseados em regras (rolebased) Unidade 03 94 ��������������������������������������������������������������������������� ��������������������������������������������������������������������������������� �����������������������������������������������������
Compartilhar