IL MODELLO DI BELL-LAPADULA Università degli Studi “G. D’Annunzio” Corso di Reti di calcolatori e sicurezza Prof. Stefano Bistarelli Stud. Cinzia Piermattei SOMMARIO 1. Politiche di sicurezza 2. Mandatory access control (MAC) 3. Discretionary access control (DAC) 4. Bell-LaPadula 5. Proprietà 6. Esempi/ Casi POLITICHE DI SICUREZZA “quali dati devono essere protetti e da chi o da che cosa” DEF : Insiemi di principi e regole per definire i possibili accessi al sistema OGGETTI/SOGGETTI OGGETTI Una qualunque entità passiva che necessita di essere protetta (file, pagine di memoria, segmenti, drive, record, stampanti …) SOGGETTI Una qualunque entità attiva che può manipolare gli oggetti (persone, processi) MODELLI DI SICUREZZA “ Specifiche formali che descrivono l’implementazione di una determinata politica di sicurezza in modelli ideali” Esistono due tipi di modelli di sicurezza: Discretionary Access Control (DAC); Mandatory Access Control (MAC). Discretionary Access Control (DAC) DEF: Meccanismo attraverso il quale gli utenti possono liberamente decidere di garantire/revocare l’accesso a determinati oggetti. PROPRIETA’: Gli utenti amministrano i dati che possiedono(concetto di proprietario); Il proprietario dei dati può autorizzare (GRANT) altri utenti all’accesso; Il proprietario può definire il tipo di accesso da concedere ad altri (lettura, scrittura, esecuzione); Accessi selettivi (basati su nome, contenuto, parametri di sistema, storia, aggregazione dati). Mandatory Access Control (MAC) DEF: meccanismo attraverso il quale le decisioni di accesso sono basate su delle etichette che contengono informazioni rilevanti circa la sicurezza di un oggetto. PROPRIETA’: Classificazione dei dati (livello di sensibiltà); Classificazione dei soggetti (autorizzazione); Classe di sicurezza: <componente gerarchica, insiemi di categoria>; Ordinamento (parziale) tra le classi di sicurezza (relazione domina); I meccanismi di sicurezza devono garantire che tutti i soggetti abbiano accesso solo ai dati per cui possiedono le autorizzazioni appropriate (regole soggetti-oggetti ); Non si possono propagare privilegi (GRANT). Modelli tipici di MAC Confidentiality (Bell-LaPadula) Integrity (Biba) Hybrid BELL-LAPADULA Fu proposto da Bell-LaPadula nel 1976 con lo scopo di rafforzare i controlli ai possibili accessi alle applicazioni militari e al governo. Anche chiamato modello a multi-livelli. Corrisponde alle classificazioni stile-militare. In queste applicazioni i soggetti e gli oggetti vengono partizionati in differenti livelli di sicurezza. Un soggetto può solo accedere agli oggetti a certi livelli determinati dal loro livello di sicurezza. Per esempio i seguenti sono due tipici specificazioni di accessi: “una persona UNCLASSIFIED non può leggere informazioni a livelli CONFIDENTIAL” e “ informazioni TOP SECRET non possono essere scritte in files di livello UNCLASSIFIED. OGGETTI/SOGGETTI Gli oggetti sono classificati in 4 diversi livelli di sensibilità; Ogni oggetto può essere associato a uno o più livelli (compartments); ESEMPIO Top Secret (TS) Secret (S) Confidential (C) Unclassified (UC) individuals Tamara, Thomas Sally, Samuel Claire, Clarence Ulaley, Ursula documents Personnel Files Electronic Mails Activity Log Files Telephone Lists OGGETTI/SOGGETTI Ad ogni soggetto viene associata una “CLEARANCE” “AUTORIZZAZIONE”; CLEARANCE: Una coppia del tipo <rank, compartement>, dove: RANK max livello di sensibilità dell’informazione a cui il soggetto ha accesso; COMPARTEMENT indica comparti a cui il soggetto può accedere; PROPRIETA’ (VERSIONE INTRODUTTIVA) Se L(S) = ls è l’autorizzazione di sicurezza di un soggetto S; Se L(O) = lo è la classificazione di sicurezza di un oggetto O; Per ogni classificazione di sicurezza li, i = 0,…, k-1, li < li+1; Simple Security Condition: S può leggere O se e solo se lo<=ls e S ha discrezione nell’accesso alla lettura di O. Caso 1!!! Claire potrebbe accedere ai Personnel Files di Tamara!!!!!!! individuals Top Secret (TS) Secret (S) Confidential (C) Unclassified (UC) Tamara, Thomas Sally, Samuel Claire, Clarence Ulaley, Ursula documents Personnel Files Electronic Mails Activity Log Files Telephone Lists PROPRIETA’ (VERSIONE INTRODUTTIVA) *-Property (Star property): S può scrivere su O se e solo se ls<=lo e S ha discrezione nell’accesso alla scrittura su O. TEOREMA BASE DELLA SICUREZZA (VERSIONE INTRODUTTIVA) Se è un sistema con uno stato inziale di sicurezza 0 ; Se T è un gruppo di trasformazione di stati; Se ogni elemento di T conserva la simple security condition, versione introduttiva, e la property, versione introduttiva allora ogni stato i, i ≥ 0, è sicuro. *- Categorie e principio del “Need to Know” Espandere il modello addizionando un gruppo di categorie per ogni classificazione di sicurezza. Ogni categoria descrive una specie di informazioni. Queste categorie risultano dal principio del “need to know” gli stati in cui i soggetti non possono leggere gli oggetti a meno che non è necessario per eseguire determinate funzioni. ESEMPIO (1) CATEGORIE NUC, EUR e US accesso INSIEME DI CATEGORIE Ø, {NUC}, {EUR}, {US}, {NUC,EUR}, {NUC,US}, {EUR,US}, {NUC,EUR,US}. ESEMPIO (2) {NUC, EUR, US} {NUC, EUR} {NUC, US} {NUC} {EUR} Ø {EUR, US} {US} ESEMPIO (3) Ogni livello di sicurezza e categoria formano un LIVELLO DI SICUREZZA (compartement); Ogni soggetto ha una autorizzazione ad un determinato livello di sicurezza; Ogni oggetto ha un livello ad un determinato livello di sicurezza. ESEMPIO (4) William (SECRET, {EUR}) George (TOP SECRET, {NUC,US}) Documento (CONFIDENTIAL, {EUR}) Un soggetto che ha l’accesso agli insiemi di categorie {NUC,US}, si presume non abbia il bisogno di accedere alla categoria {EUR}. DOMINIO (dom) Un livello di sicurezza (L,C) domina un livello di sicurezza (L’,C’) se e solo se L’≤ L e C’ C. (L,C) dom (L’,C’) quando (L,C) dom (L’,C’) è falso ESEMPIO (5) George Doc A Doc B Doc C George dom Doc A CONFIDENTIAL ≤ SECRET e {NUC} {NUC, EUR}; George dom Doc B: {EUR, US} {NUC, EUR}; George dom Doc C SECRET ≤ SECRET e {EUR} {NUC, EUR} ( SECRET, {NUC, EUR}); (CONFIDENTIAL, {NUC}); (SECRET, {EUR, US}); (SECRET, {EUR}); PROPRIETA’ Se C(S) è l’insieme di categorie di un soggetto S; Se C(O) è l’insieme di categorie di un oggetto O; Simple Security Condition: S può leggere O se e solo se S dom O e S ha discrezione nell’accesso alla lettura di O. Caso 2!!! Paul (SECRET, {EUR, US, NUC}) Doc B (SECRET, {EUR, US}) Doc A (CONFIDENTIAL, {NUC}) George (SECRET, {NUC, EUR}) PROPRIETA’ *-Property (Star property): S può scrivere su O se e solo se O dom S e S ha discrezione nell’accesso alla scrittura su O. Doc A dom Paul è falso perchè C (Paul) C (Doc A) TEOREMA BASE DELLA SICUREZZA Se è un sistema con uno stato inziale di sicurezza 0 ; Se T è un gruppo di trasformazione di stati; Se ogni elemento di T conserva la simple security condition e la *-property allora ogni stato i, i ≥ 0, è sicuro. THE END