1 / 27

IL MODELLO DI BELL-LAPADULA

IL MODELLO DI BELL-LAPADULA. Università degli Studi “G. D’Annunzio” Corso di Reti di calcolatori e sicurezza Prof. Stefano Bistarelli Stud. Cinzia Piermattei. SOMMARIO. Politiche di sicurezza Mandatory access control (MAC) Discretionary access control (DAC) Bell-LaPadula

arwen
Télécharger la présentation

IL MODELLO DI BELL-LAPADULA

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. IL MODELLO DIBELL-LAPADULA Università degli Studi “G. D’Annunzio” Corso di Reti di calcolatori e sicurezza Prof. Stefano Bistarelli Stud. Cinzia Piermattei

  2. SOMMARIO • Politiche di sicurezza • Mandatory access control (MAC) • Discretionary access control (DAC) • Bell-LaPadula • Proprietà • Esempi/ Casi

  3. POLITICHE DI SICUREZZA “quali dati devono essere protetti e da chi o da che cosa” DEF : Insiemi di principi e regole per definire i possibili accessi al sistema

  4. OGGETTI/SOGGETTI OGGETTI Una qualunque entità passiva che necessita di essere protetta (file, pagine di memoria, segmenti, drive, record, stampanti …) SOGGETTI Una qualunque entità attiva che può manipolare gli oggetti (persone, processi)

  5. MODELLI DI SICUREZZA “ Specifiche formali che descrivono l’implementazione di una determinata politica di sicurezza in modelli ideali” Esistono due tipi di modelli di sicurezza: • Discretionary Access Control (DAC); • Mandatory Access Control (MAC).

  6. Discretionary Access Control (DAC) DEF: Meccanismo attraverso il quale gli utenti possono liberamente decidere di garantire/revocare l’accesso a determinati oggetti. PROPRIETA’: • Gli utenti amministrano i dati che possiedono(concetto di proprietario); • Il proprietario dei dati può autorizzare (GRANT) altri utenti all’accesso; • Il proprietario può definire il tipo di accesso da concedere ad altri (lettura, scrittura, esecuzione); • Accessi selettivi (basati su nome, contenuto, parametri di sistema, storia, aggregazione dati).

  7. Mandatory Access Control (MAC) DEF: meccanismo attraverso il quale le decisioni di accesso sono basate su delle etichette che contengono informazioni rilevanti circa la sicurezza di un oggetto. PROPRIETA’: • Classificazione dei dati (livello di sensibiltà); • Classificazione dei soggetti (autorizzazione); • Classe di sicurezza: <componente gerarchica, insiemi di categoria>; • Ordinamento (parziale) tra le classi di sicurezza (relazione domina); • I meccanismi di sicurezza devono garantire che tutti i soggetti abbiano accesso solo ai dati per cui possiedono le autorizzazioni appropriate (regole soggetti-oggetti ); • Non si possono propagare privilegi (GRANT).

  8. Modelli tipici di MAC • Confidentiality (Bell-LaPadula) • Integrity (Biba) • Hybrid

  9. BELL-LAPADULA • Fu proposto da Bell-LaPadula nel 1976 con lo scopo di rafforzare i controlli ai possibili accessi alle applicazioni militari e al governo. • Anche chiamato modello a multi-livelli. • Corrisponde alle classificazioni stile-militare. • In queste applicazioni i soggetti e gli oggetti vengono partizionati in differenti livelli di sicurezza. • Un soggetto può solo accedere agli oggetti a certi livelli determinati dal loro livello di sicurezza. • Per esempio i seguenti sono due tipici specificazioni di accessi: “una persona UNCLASSIFIED non può leggere informazioni a livelli CONFIDENTIAL” e “ informazioni TOP SECRET non possono essere scritte in files di livello UNCLASSIFIED.

  10. OGGETTI/SOGGETTI • Gli oggetti sono classificati in 4 diversi livelli di sensibilità; • Ogni oggetto può essere associato a uno o più livelli (compartments); ESEMPIO individualsdocuments Top Secret (TS) Tamara, ThomasPersonnel Files Secret (S) Sally, SamuelElectronic Mails Confidential (C) Claire, ClarenceActivity Log Files Unclassified (UC) Ulaley, UrsulaTelephone Lists

  11. OGGETTI/SOGGETTI • Ad ogni soggetto viene associata una “CLEARANCE” “AUTORIZZAZIONE”; • CLEARANCE: Una coppia del tipo <rank, compartement>, dove: RANK max livello di sensibilità dell’informazione a cui il soggetto ha accesso; COMPARTEMENT indica comparti a cui il soggetto può accedere;

  12. PROPRIETA’ (VERSIONE INTRODUTTIVA) • Se L(S) = ls è l’autorizzazione di sicurezza di un soggetto S; • Se L(O) = lo è la classificazione di sicurezza di un oggetto O; • Per ogni classificazione di sicurezza li, i = 0,…, k-1, li < li+1; • Simple Security Condition: • S può leggere O se e solo se lo<=ls e S ha discrezione nell’accesso alla lettura di O.

  13. Caso 1!!! Claire potrebbe accedere ai Personnel Files di Tamara!!!!!!! individualsdocuments Top Secret (TS) Tamara, ThomasPersonnel Files Secret (S) Sally, SamuelElectronic Mails Confidential (C) Claire, ClarenceActivity Log Files Unclassified (UC) Ulaley, UrsulaTelephone Lists

  14. PROPRIETA’ (VERSIONE INTRODUTTIVA) • *-Property (Star property):S può scrivere su O se e solo se ls<=lo e S ha discrezione nell’accesso alla scrittura su O.

  15. TEOREMA BASE DELLA SICUREZZA (VERSIONE INTRODUTTIVA) • Se  è un sistema con uno stato inziale di sicurezza 0 ; • Se T è un gruppo di trasformazione di stati; • Se ogni elemento di T conserva la simple security condition, versione introduttiva, e la *-property, versione introduttiva allora ogni stato i, i ≥ 0, è sicuro.

  16. Categorie e principio del “Need to Know” • Espandere il modello addizionando un gruppo di categorie per ogni classificazione di sicurezza. • Ogni categoria descrive una specie di informazioni. • Queste categorie risultano dal principio del “need to know” gli stati in cui i soggetti non possono leggere gli oggetti a meno che non è necessario per eseguire determinate funzioni.

  17. ESEMPIO (1) CATEGORIE NUC, EUR e US accesso INSIEME DI CATEGORIE Ø, {NUC},{EUR}, {US}, {NUC,EUR}, {NUC,US}, {EUR,US}, {NUC,EUR,US}.

  18. ESEMPIO (2) {NUC, EUR, US} {NUC, EUR} {NUC, US} {EUR, US} {NUC}{EUR} {US} Ø

  19. ESEMPIO (3) • Ogni livello di sicurezza e categoria formano un LIVELLO DI SICUREZZA (compartement); • Ogni soggetto ha una autorizzazione ad un determinato livello di sicurezza; • Ogni oggetto ha un livello ad un determinato livello di sicurezza.

  20. ESEMPIO (4) • William (SECRET, {EUR}) • George (TOP SECRET, {NUC,US}) • Documento (CONFIDENTIAL, {EUR}) • Un soggetto che ha l’accesso agli insiemi di categorie {NUC,US}, si presume non abbia il bisogno di accedere alla categoria {EUR}.

  21. DOMINIO (dom) Un livello di sicurezza (L,C) domina un livello di sicurezza (L’,C’) se e solo se L’≤ L e C’  C. (L,C)  dom (L’,C’) quando (L,C) dom (L’,C’) è falso

  22. ESEMPIO (5) • George ( SECRET, {NUC, EUR}); • Doc A (CONFIDENTIAL, {NUC}); • Doc B (SECRET, {EUR, US}); • Doc C (SECRET, {EUR}); • George dom Doc A CONFIDENTIAL ≤ SECRET e {NUC}  {NUC, EUR}; • George  dom Doc B: {EUR, US}  {NUC, EUR}; • George dom Doc C SECRET ≤ SECRET e {EUR}  {NUC, EUR}

  23. PROPRIETA’ • Se C(S) è l’insieme di categorie di un soggetto S; • Se C(O) è l’insieme di categorie di un oggetto O; • Simple Security Condition: • S può leggere O se e solo se S dom O e S ha discrezione nell’accesso alla lettura di O.

  24. Caso 2!!! Paul (SECRET, {EUR, US, NUC}) Doc B (SECRET, {EUR, US}) Doc A (CONFIDENTIAL, {NUC}) George (SECRET, {NUC, EUR})

  25. PROPRIETA’ • *-Property (Star property):S può scrivere su O se e solo se O dom S e S ha discrezione nell’accesso alla scrittura su O. Doc A dom Paul è falso perchè C (Paul)  C (Doc A)

  26. TEOREMA BASE DELLA SICUREZZA • Se  è un sistema con uno stato inziale di sicurezza 0 ; • Se T è un gruppo di trasformazione di stati; • Se ogni elemento di T conserva la simple security condition e la *-property allora ogni stato i, i ≥ 0, è sicuro.

  27. THE END

More Related