La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

MAC Mandatory Access Control Contrôle daccès obligatoire 1 INF6153.

Présentations similaires


Présentation au sujet: "MAC Mandatory Access Control Contrôle daccès obligatoire 1 INF6153."— Transcription de la présentation:

1 MAC Mandatory Access Control Contrôle daccès obligatoire 1 INF6153

2 Pourquoi MAC Dans les organisations, il existe normalement des ressources qui doivent être administrées par le gérant du système selon des politiques qui échappent à lusager Autrement dit, le système en est le propriétaire et impose des règles dutilisation rigides Le but principal des systèmes MAC est de protéger l information – Accès et intégrité – Ce but est obtenu en limitant les droits des usagers sur les objets qui contiennent les informations – Noter la différence entre protéger l information et protéger les objets contenant linformation – La protection de linformation implique le contrôle de flux de linformation dans lorganisation – Ces modèles ne se préoccupent pas explicitement des droits d exécution 2INF6153

3 Exemples de MAC Bell-LaPadula Biba Multi-level Access Control (MLS) Lattice-Based Access Control Muraille de Chine Plusieurs autres … 3INF6153

4 Bell-La Padula (BLP) INF61534

5 5 Marc Fichier de Marc INF6153 Anne Fichier de Anne Projet A1 Projet A2 Premier exemple Marc travaille sur un projet A1 Anne travaille sur un projet A2 Aucune information ne peut circuler A1 A2 Quelles seraient les règles pour ceci? Barrière

6 Règle simple Les participants du projet A2 ne peuvent pas lire les fichiers du projet A1 Suffisante? INF61536 Marc Fichier de Marc Anne Fichier de Anne Projet A1 Projet A2 / Barrière

7 Règle Les participants du projet A1ne peuvent pas écrire dans les fichiers du projet A2 INF61537 Marc Fichier de Marc Anne Fichier de Anne Projet A1 Projet A2 / / Barrière

8 Bell-LaPadula: mo tivation Dans un environnement hiérarchique, p.ex. militaire – Les supérieurs peuvent sinformer au sujet des inférieurs, pas le contraire – Les inférieurs peuvent informer les supérieurs, – Personne ne peut divulguer à des niveaux inférieurs les informations acquises – Autrement dit, linformation peut être transférée seulement vers lhaut de la hiérarchie 8INF6153

9 Bell-LaPadula: besoins Hypothèse: – Nous avons un ensemble ordonné de niveaux de permission P.ex. de soldat (bas) à général (élévé) – Nous avons des informations qui sont plus ou moins délicates Besoin – Les informations peuvent être transférées des niveaux bas vers les niveaux plus élevés, mais pas dans le sens contraire 9INF6153

10 Implémentation Pour contrôler le flux de linformation, nous contrôlerons le mouvement des fichiers (objets) qui les contiennent – Les opérations de lecture ou écriture qui transfèrent les informations vers lhaut sont permises – Les opérations de lecture ou écriture qui transfèrent les informations vers le bas ne sont pas permises 10INF6153

11 Implémentation: Niveaux de sujets et objets Les sujets sont classés par Niveau dautorisation Les objets sont classés par Niveau de sensitivité Pour simplicité, nous ferons lhypothèse quil y ait une correspondance 1-1 entre ces deux niveaux, nous les appellerons niveaux de sécurité : – P.ex. Très secret = Général Secret = Colonel Confidentiel = Capitaine Public = Major 11INF6153

12 Généralisation La correspondance 1à 1des niveaux dautorisation et de sensitivité nest pas nécessaire On pourrait avoir un niveau dautorisation qui correspond à plusieurs niveaux de sensitivité ou le converse Cependant le modèle reste essentiellement le même donc nous ne parlerons pas de ces cas INF615312

13 Propriétés (Propriété simple, lecture) Read down, No read up – Un sujet à un niveau peut lire un objet ssi le niveau de lobjet est inférieur ou égal au niveau du sujet Suffisant? INF615313

14 Propriétés ou règles (Propriété simple, lecture) Read down, No read up – Un sujet à un niveau peut lire un objet ssi le niveau de lobjet est inférieur ou égal au niveau du sujet Cette propriété nest pas suffisante pour limiter la diffusion des informations! (Propriété écriture) Write up, No write down – Un sujet à un niveau peut écrire sur un objet ssi le niveau de lobjet est supérieur ou égal au niveau du sujet Car il faut empêcher à un usager de déclassifier les informations en recopiant les objets qui les contiennent à des niveaux inférieurs 14 Propriété est une terminologie très utilisée, mais selon moi erronée INF6153

15 Graphiquement Propriété simple Propriété 15 Top Secret Secret Confidentiel Ne pas lireen haut TopSecret Confidentiel Ne pas écrire en bas Dessins de Sofiene Boulares INF6153

16 Exemple INF À quels niveaux peut lire Kamel? À quels niveaux peut-il écrire?

17 Exemple Kamel peut lire au niveaux Secret, Confidentiel, Public Il peut écrire aux niveaux Secret et Très secret – Sil pouvait écrire au niveau Public il pourrait copier des fichiers du niveau Secret au niveau Public, etc. Déclassant donc ces fichiers et les infos y contenues 17 Très sécretJohanneFichier Personnel SecretKamelCourriels ConfidentielJocelyneMémorandum PublicRichardCommuniqués INF6153

18 Tableau de contrôle daccès 18 Fichier Personnel = TS Courriels = S Mémos = C Communiq ués = P Johanne = TSR, WRRR Kamel = SWR, WRR Jocelyne = CWWR, WR Richard = PWWWR, W P < C < S < TS INF6153

19 Propriété globale Par un simple raisonnement inductif, on voit donc que la propriété globale suivante est préservée: – Aucun usager ne peut arriver à lire des informations qui sont à un niveau supérieur à son niveau dautorisation Base: par définition, ceci nest pas possible au début Pas dinduction: on voit que, étant donné que après n opérations la propriété est préservée, donc elle sera préservée après n+1 opérations car: – Ceci est évident dans le cas où lopération n+1 est une opération de lecture (aucun changement dans les droits daccès) – Si lopération n+1 est une opération décriture, elle ne pourra que déplacer un fichier vers un niveau égal ou supérieur, donc la propriété est préservée 19INF6153

20 Séparation entre objets et informations Pour bien comprendre BLP, il est nécessaire dinsister sur la distinction entre – Information et – Objets, ou fichiers, qui contiennent linformation Il a été nécessaire dintroduire le concept de niveau de sensitivité des informations, qui reste inchangé malgré que le niveau de sensitivité de leurs contenants, les fichiers, change si on les recopie à des niveaux différents Au lieu, on peut confondre la distinction entre sujets et objets – On se concentre donc sur le flux dinformation entre niveaux de sécurité – Car les sujets peuvent lire et écrire dans les objets de leurs niveaux Linformation est protégée en forçant un certain flux – Du bas à lhaut Ce flux est forcé en limitant ce que les sujets aux différents niveaux peuvent faire avec les objets-fichiers 20INF6153

21 Exercice: Cheval de Troie Revenir à lexemple du Cheval de Troie du cours précédent et voir pourquoi les chevaux de Troie ne sont pas possibles dans BLP INF615321

22 BLP Extension 1 (pour permettre la transmission en bas) La prohibition décrire à un niveau inférieur ne permet pas la transmission des ordres! Pour ce faire, un usager peut décrémenter son niveau à un niveau inférieur – Il peut donc avoir un niveau maximal – Et un niveau courant P.ex. un colonel peut descendre au niveau dun sergent pour (et seulement pour) donner des ordres à un sergent ou à niveau entre sergent et colonel Il faut supposer quil nen profitera pas pour répandre des autres informations … Concept de sujet fiable = trusted subject 22INF6153

23 BLP extension 2 (Pour limiter les droit daccès à certains types dinfo) Pour mieux implémenter le critère de besoin de savoir on a dans BLP des catégories dinformations dans chaque niveau P.ex. dans lensemble des fichiers dune organisation on peut avoir: – Fichiers Nucléaire, Europe, Asie etc. – En plus davoir des niveaux de sensitivité et dautorisation, les usagers et les objets appartiennent aussi à des catégories dinformations – Les catégories traversent les niveaux – Contrainte additionnelle: un sujet ne peut accéder quà des fichiers dans sa propre catégorie: partition des données à travers tous les niveaux de sécurité 23INF6153 Nuc Eur Asie Etc.

24 Modèles Treillis Lattice Models INF615324

25 Treillis de catégories dinformations Les informations peuvent être structurées, et un sujet peut avoir accès à des sous-ensembles de catégories Ceci conduit à un modèle plus complexe 25INF6153

26 Exemple Marie: (TopSecret {NUC, EUR, ASI}) Jean: (Secret, {NUC, ASI } ) Tom: (Confidential, {EUR, ASI } ) Marie a plus de droit daccès que Jean ou Tom, Jean a plus de droits daccès que Tom aux objets dans la catégorie ASI, Cependant Tom a des droits daccès dans la catégorie EUR, que Jean ne peut pas toucher 26 INF6153 Marie TomJean

27 Rélation dom 27 (A,C) dom (A,C ) ssi A A et C C Exemples –(Top Secret, {NUC, ASI}) dom (Secret, {NUC}) –(Secret, {NUC, EUR}) dom (Confidential,{NUC, EUR}) –(Secret, {NUC, EUR}) dom (Secret, {NUC}) –(Top Secret, {NUC}) dom (Confidential, {EUR}) INF6153

28 Propriétés simple et * avec dom Simple: Un Sujet peut lire un Objet ssi Sujet dom Objet * : Un sujet peut écrire un Objet ssi Objet dom Sujet INF615328

29 Ensembles partiellement ordonnés Un ensemble partiellement ordonné (L,R) est un ensemble L muni dune rélation R qui est réfléxive, antysimétrique et transitive – Les rélations et sont de ce type – La rélation dom lest aussi 29INF6153 Réfléxive: pour tout a, aRa Antisimétrique: aRb et bRa implique a=b Transitive: aRb et bRc implique aRc

30 Treillis Un treillis est un ensemble partiellement ordonné (L, ) qui satisfait aux conditions suivantes: – Pour nimporte quel paire déléments (a,b) LxL il existe Un élément c tel que ac et bc (borne supérieure) – Cet élément c sera écrit a b Un élément d tel que da et dc (borne inférieure) – Cet élément sera écrit – Par conséquence, un ensemble partiellement ordonné a Un plus grand élément, borne supérieure de tous Un plus petit élément, borne inférieure de tous 30INF6153

31 Treillis pour lexemple précédent: catégories Lensemble de tous les sous-ensembles des catégories précédentes forme un treillis pour la rélation dom : 31 NUC, EUR, US NUC, EUR US EUR, US NUC, US EUR NUC INF6153

32 Treillis pour lexemple précédent: Niveaux de sécurité 32 TopSecret Secret Confidential INF6153

33 Treillis global Le treillis global pour notre exemple est le produit des deux treillis précédents Le produit de deux treillis est un treillis, donc le treillis global sera aussi un treillis Le plus grand élément de ce treillis est: – (TopSecret, {NUC, EUR, US}) (lusager qui a accès à tout) Le plus petit élément est: – (Confidential, ) (lusager qui na accès à rien) – Le treillis a 3x8=24 éléments: – Exercice: Énumérez-les! Ce treillis montre la direction du transfert de linformation dans lorganisation concernée 33INF6153

34 Autre exemple INF people.sabanciuniv.edu/levi/cs432/AccessControl.ppt

35 Et encore … Comme nous avons des modèles dans lesquels il ny a que des niveaux de sécurité – Une seule classe Nous pouvons aussi avoir des modèles où il ny a que des classes – Un seul niveau de sécurité 35INF6153

36 Propriété simple et propriété Pour tous les modèles MAC, la théorie fait distinction entre propriété simple et propriété étoile – Propriété simple: concerne la lecture – Propriété : concerne lécriture Dans BLP, il est difficile de voir lutilité de la propriété simple toute seule, sans aucune contrainte sur lécriture – Car un supérieur pourrait causer une fuite dinformations vers le bas – Normalement les deux propriétés sont utiles ensemble 36 On devrait plutôt les appeler contraintes ou politiques INF6153

37 Modèle Biba INF615337

38 Modèle Biba Dans BLP, le but est de permettre seulement le flux des informations vers lhaut Pour la confidentialité Dans Biba, le but est permettre seulement le flux de linformation vers le bas – Pour l intégrité: éviter que les informations situées en haut soient polluées par des sources inférieures : Ex typique: les employés ne peuvent pas changer les directives Autre exemple: un programme exécuté en haut serait plus fiable quun programme exécuté en bas 38INF6153 BLP: Confidentialité Biba: Intégrité

39 Propriétés Biba Biba est parfaitement dual par rapport à BLP: (propriété écriture,) Write down, No write up Un sujet à un niveau peut écrire sur un objet ssi le niveau de lobjet est inférieur ou égal au niveau du sujet (propriété simple, lecture) Read up, No read down Un sujet à un niveau peut lire un objet ssi le niveau de lobjet est supérieur ou égal au niveau du sujet Sans ceci des sujets pourraient acquérir des information au bas et les écrire à leur propre niveau, –progressivement jusquaux niveaux les plus élevés 39INF6153

40 Permissions et interdictions dans Biba 40 Dessin de Sofiene Boulares INF6153 (Il faut que je refasse cette figure…)

41 Exécution de programmes BLP et Biba peuvent inclure des règles dexécution de programmes, qui sont identiques aux règles de lecture Les programmes sont des sujets qui appartiennent à des niveaux – BLP: un sujet X peut exécuter un sujet Y ssi XY – Biba: un sujet X peut exécuter un sujet Y ssi XY Dans les deux cas, un sujet ne peut pas augmenter ses droits en exécutant un programme – P.ex. dans Biba le droit de Y de transférer linformation vers lhaut nexcède pas le droit de X 41INF6153

42 Combinaisons et modèles reliés INF615342

43 Variations Politique: Les directives sont transférées de lhaut vers le bas, mais tous peuvent les lire – Pour implémenter ceci, il est suffisant davoir Biba sans Biba simple Politique: Les statistiques sont transférées du bas vers lhaut, mais tous peuvent les lire – Pour implémenter ceci, il est suffisant davoir BLP sans BLP simple 43INF6153

44 Combinaison BLP-Biba v. 1 BLP est un modèle de confidentialité, Biba est un modèle d intégrité Les combiner carrément ensemble pour les mêmes données conduit à une situation où chaque niveau peu lire ou écrire seulement sur lui-même Le flux dinformation entre niveaux est défendu 44INF6153

45 Combinaison BLP-Biba v. 2 BLP et Biba peuvent aussi être combinés à condition que chaque modèle sapplique à des catégories dinformation différentes Cas limites: – Supposons que S soit un sujet de confidentialité maximale et d intégrité minimale : il peut seulement lire des autres niveaux – Supposons que S soit un sujet d intégrité maximale et de confidentialité minimale : il peut seulement écrire dans les autres niveaux – Voir Benantar ACS p.143 Exercice: le même type de question mais en partant des objets 45INF6153

46 Exercice Dans un système qui peut supporter tant BLP que Biba pour différents types dinformations – montrez comment on peut pallier à la difficulté que dans BLP pur il est impossible de transmettre les ordres vers le bas INF615346

47 Modèle Lipner Le modèle de Lipner profite de la possibilité de combiner les deux modèles de confidentialité et dintégrité – Voir Bishop: Computer Security Sect INF6153

48 Composition de treillis INF615348

49 Composition Pourquoi: – Deux ensembles de fichiers sous lautorité de deux administration différentes – Un partage de données est souhaité – Les politiques de chacune des deux administrations doivent être respectées conjointement – Si un usager na pas le droit pour administration X ou Y, il ne doit pas lavoir dans le système combiné 49INF6153

50 Composition de treillis 50INF6153 Chacun des deux treillis représente les critères dune administration différente Pour la composition, il faut établir des relations

51 Comment composer Observons que quelques étiquettes sont identiques – LOW, EAST sont à gauche et à droite etc. – Nous supposons quelles veulent dire la même chose Quelques étiquettes sont différentes – HIGH seulement à gauche, SOUTH seulement à droite etc, – Nous pouvons établir des relations entre ces deux ensembles 51INF6153

52 Relations entre étiquettes différentes Supposons que les catégories sont indépendantes – Nous aurons donc trois catégories différentes EAST, WEST, SOUTH Supposons que LOW veuille dire la même chose et que les niveaux soient dépendants comme suit: – LOWS HIGH TS Quelques unes des relations résultantes: – (S,{WEST}) indépendant de (HIGH,{EAST}) – (HIGH,{SOUTH}) HIGH,{EAST,SOUTH}) (TS,{EAST,WEST, SOUTH}) 52INF6153

53 Exercice Dessiner le treillis composé entier 53INF6153

54 Cas de treillis indépendants Il pourrait aussi arriver que les niveaux dans les deux treillis soient indépendants Dans ce cas, lensemble des niveaux dans le treillis résultant serait le produit cartésien des niveaux des deux treillis dorigine Un sujet aurait donc une paire de niveaux, p.ex. (HIGH, S) et pourrait donc accéder à tous les niveaux jusquau sien Un sujet qui nest pas reconnu dans un des deux systèmes aura la classification la plus basse dans ce système P.ex. LOW Les conditions daccès sont la conjonction simple des conditions dans les deux treillis originaires 54INF6153

55 Autres extensions de BLP BLP a été très étudié et des nombreuses extensions ont été proposées pour le rendre plus pratique ou pour ladapter à fins différents Plusieurs extensions ont conduit à des failles, comme lextension suivante dans laquelle on permet aux sujets de créer des objets et den changer le niveau 55INF6153

56 Concept de canal couvert Nous avons parlé de canaux indirects – Passage dinformations indirect – Peut être voulu, conforme aux politiques Un canal couvert au lieu est un passage dinformation qui est utilisé pour contourner les politiques – Storage channels Utilisent des données intermédiaires – Timing channels Utilisent le délais de temps – Pas traités dans ce cours INF615356

57 Canaux couverts dans BLP Utilisant les données S, sujet de bas niveau, S sujet de haut niveau Ils se mettent daccord afin que S puisse passer un bit dinfo à S, dans la manière suivante: S crée un nouveau objet O S peut changer ou non le niveau de O, le rendant inaccessible à S Quand S cherchera à lire O, il saura si S lui a dit oui ou non 57INF6153

58 Principe de tranquillité Le principe de tranquillité dit que les sujet et les objets ne peuvent pas changer de niveau de sécurité En pratique, ceci est trop inflexible et certains changements peuvent être admis, avec certaines précautions 58INF6153

59 Aspect discrétionnaire Les modèles treillis peuvent être combinés avec laspect discrétionnaire de DAC On peut ajouter à ces modèles une matrice de contrôle daccès avec ses propres contraintes – Supposons quun sujet X puisse lire ou écrire sur un objet Y selon les règles de BLP – Il pourrait encore être incapable de le faire car la matrice de contrôle daccès lui nie ce droit Cependant il est nécessaire de limiter fortement le droit du propriétaire de transférer ses droits – Exercice: réfléchir sur ce point: quelles limites sont nécessaires? INF615359

60 Limites de BLP Fiable quand le système est statique – Défendu de créer des nouveaux sujet ou objets – Défendu de changer de niveaux Ou quand il est administré de manière très stricte: p.ex. – Les changements de niveaux peuvent être faits seulement après des précautions particulières Un sujet qui passe à un niveau inférieur peut avoir stocké des informations au niveau précédent et les rendre disponibles à son nouveau niveau Il pourrait être impossible de structurer une organisation selon BLP stricte – 60INF6153

61 Notre simplification … Pour simplifier, nous avons fait lhypothèse que les sujets et les objets sont classifiés selon la même échelle Le cas général serait que les sujets et les objets peuvent être classifiés sur des échelles différentes, et quil y a des rélations entre catégories des sujets et catégories des objets La substance reste la même, cependant INF615361

62 BLP Dans les Systèmes dexploitation INF615362

63 Anneaux de protection Le concept de Anneaux de protection est une application de BLP aux systèmes dexploitation et a été implémentée dans quelques matériels et logiciels INF615363

64 Deux anneaux de protection Dans la plupart des ordis, la machine peut exécuter en un de deux modes: – Superviseur ou usager Si la machine est en mode superviseur, elle peut exécuter les instructions privilégiées du SE – Elle peut lire les données des usagers – Elle ne peut pas transférer des infos privilégiées à lusager Si la machine est en mode usager, elle ne peut exécuter que les programmes usagers – Elle ne peut pas lire dans le SE – Elle peut transférer des infos au SE INF615364

65 Généralisation à plusieurs niveaux Dans le système Multics (approx 1965!) on prévoyait jusquà 32 anneaux dexécution (0-31) Les anneaux les plus internes sont les plus protégés – Cest la place des fonctionnalités les plus critiques INF615365

66 Mécanismes LUnité Centrale a un registre qui contient le numéro de lanneau où elle est en train dexécuter Le Système dExploitation suit des règles rigoureuses concernant les permissions de – Lecture et écriture entre niveaux – Appels de procédures entre niveaux INF615366

67 Exemples de niveaux – 0: Noyau du Système dexploitation – 1: Le reste du SE – 2: Utilitaires – 3: Programmes dusager Ceci pourrait être étendu à plus de niveaux – P.ex. on pourrait distinguer différentes parties du SE ou dutilitaires, plus ou moins protégées – Les usagers pourraient aussi dire que quelques uns de leur programmes devraient être plus protégés que dautres INF615367

68 Catégories dobjets Ce système considère aussi les catégories dobjets À chaque niveau, il pourrait y avoir différentes catégories dobjets avec des protections différentes comme dans BLP INF615368

69 Modèle treillis de Denning: Une abstraction V. Benantar Chap. 4 69INF6153

70 Modèle treillis de Denning Dans le modèle treillis on ne parle plus de sujets et objets mais seulement de flux dinformation entre niveaux de sécurité – Qui forment un treillis Abstraction très utile – Mais pour limplémentation le flux dinformation est conditionné par les restrictions sur les lectures et écritures des objets 70INF6153

71 Ensemble SC, Rélation, Opérateurs Il existe un ensemble fini SC de classes de sécurité La rélation dans SC dénote le flux dinformation. Elle est: – Réfléxive: A A pour tout A – Transitive: A B et B C implique A C – Antisymétrique: A B et B A implique A=B Lopérateur dans SC est la jonction: – A B est le plus grand dénominateur commun entre A et B par rapport à la rélation – A A B et B A B Lopérateur dans SC est lintersection – A B A et A B B 71INF6153

72 Critère de sécurité (safety) Un système est sécuritaire si on ne peut pas avoir des séquences dopérations (read, write) qui créent un flux différent de celui spécifié par – Ceci considère aussi les opérations daffectation a=f(b1,…,bn) qui peuvent être vues comme des lectures suivies par une écriture 72INF6153

73 Condition pour la sécurité Essentiellement, si SC est un treillis fini pour les opérateurs,, il est sécuritaire Donc il ny a pas de flux dinformation autre que celui spécifié par – Avec son extension transitive, évidemment 73INF6153

74 Application à BLP BLP respecte ce modèle car: – Lensemble de niveaux de sécurité est fini – Lopérateur est la relation dom inversée Linformation peut être transférée de A à B ssi B dom A Nous avons en fait vu comment les systèmes BLP peuvent être représentés comme treillis 74INF6153

75 Problèmes? Ce modèle est intéressant car il peut être utilisé pour parler de la sécurité à lintérieur dun programme, mais ce type de sécurité pourrait être impossible à obtenir: – P.ex. un programme usager A peut demander un service dune procédure P plus protégée A peut passer à P des paramètres: OK Cependant P voudrait transférer à A des résultats: PAS OK ! INF615375

76 Non-Interférence 76INF6153

77 Non-Interférence Un système est vu comme une machine avec entrées et sorties Les entrées et sorties sont classifiées à niveaux – Bas ou haut selon leur niveau de sécurité Un système respecte le critère de non-interférence ssi tout calcul pour des résultats de bas niveau est toujours indépendant des entrées dhaut niveau – Les entrées dhaut niveau nont aucun effet sur le calcul des sorties de bas niveau – Donc il ny a aucune fuite dinformations de lhaut niveau vers le bas niveau Un critère très stricte 77INF6153

78 Cas concret Supposons un programme qui, pour une personne, prend en entrée sa date de naissance, contenant: – Le jour de son anniversaire (donnée publique) – Son année de naissance (donnée confidentielle) Le programme peut être utilisé pour effectuer – Lenvoi automatique à tous dun message de souhaits Ceci doit être effectué sans donner aucune indication qui puisse faire connaître lannée de naissa nce Cette partie du programme ne devrait pas la lire – Lenvoi dun message confidentiel lui annonçant sa date et conditions de retraite Tous les éléments de la date de naissance sont utilisés 78INF6153

79 Plus formellement Dénotons par – h i une donnée dhaut niveau de sécurité – b i une donnée de bas niveau Un calcul b j = F(h 1, …,h n, b 1, …, b n ) doit être une fonction de b 1 … b n exclusivement – doit être indépendent des valeurs de h 1 … h n Tandis que un calcul h j = F(h 1, …,h n, b 1, …, b n ) peut être une fonction de tous les arguments 79INF6153

80 Trop stricte ou non? Le critère de la non-interférence est trop stricte! Exemple: vérification dun mot de passe – Nous avons une fonction qui prend comme argument une donnée secrète, une publique et donne comme résultat une donnée publique Mais notez que même dans ce cas le critère nest pas vraiment erroné car utilisant les données publiques on peut dans des cas faciles trouver la donnée secrète – Supposez que le mot de passe soit un seul bit … 80INF6153

81 Prise en compte du chiffrage Lidée de base du chiffrage est dutiliser des fonctions F qui permettent de calculer b j = F(h 1, …, h n, b 1, …, b n ) de manière que h 1, …,h n soient pratiquement impossibles à récupérer à partir de b j 81INF6153

82 BLP et non-interférence BLP respecte le critère de non-interférence seulement sil est statique – Sinon les canaux couverts sont possibles 82INF6153

83 Exercice (modèle dit de laisse deau - watermark) Supposons avoir les niveaux de sécurité mais pas les mécanismes obligatoires pour empêcher les lectures et écritures Un sujet A à un niveau de sécurité S réussit à lire des données Y à un niveau S>S – Que pourrait-on faire par rapport à A pour continuer à protéger la confidentialité dans le système? Un sujet A à un niveau de sécurité S réussit à écrire sur des données Y à un niveau S

84 Modèle Muraille de Chine Modèle Brewer-Nash INF615384

85 Muraille de Chine (Chinese Wall) Exemple dune compagnie de consultation Peut avoir plusieurs clients en concurrence, p.ex. Nokia et Samsung Doit bloquer le transfert dinformations confidentielles entre les employés qui soccupent de Nokia et les employés qui soccupent de Samsung Après quun employé aura lu une information de Nokia, tout accès aux fichiers de Samsung devra être défendu et vice-versa Il est aussi nécessaire de bloquer les canaux couverts Cette politique est aussi appelée Brewer and Nash du nom de ses inventeurs 85INF6153

86 Structure Les entités (sujets et objets) sont organisées dans des classes de conflit dintérêt – {Nokia,Samsung} est une telle classe – Autre exemple: (Bishop: CS A&S) Bank ofAmerica CitibankBank of theWest Bank COI Class Shell Oil Union 76 Standard Oil ARCO Gasoline Company COI Class INF615386

87 Autre vision 87 Dessin de Sofiene Boulares Un sujet qui peut lire inf2 ne peut pas lire inf4 Il peut cependant lire dans les classes CI2 ou CI3 Pour éviter la fuite dinformations ce sujet ne peut écrire que dans Banque1 INF6153 Classes de conflit Compagnies Objets

88 Besoins ( confidentialité ) Un sujet ne peut pas recevoir des informations de deux organisations en conflit dintérêt – Ni directement ni indirectement ( intégrité ) Un objet ne peut pas recevoir des informations de deux organisations en conflit dintérêt – Ni directement ni indirectement 88 S Banque Royale Toronto- Dominion Banque Royale Toronto- Dominion INF6153 O NON

89 Concept daccès préalable Les droits dun sujet dépendent de ce que le sujet a déjà accédé précédemment – P.ex. sil a déjà lu des données dune cie A en conflit dintérêt avec B, il ne peut pas lire dans B – Une lecture de données le place dans une classe de conflit dintérêt, de laquelle il ne pourra pas sortir Évidemment en pratique on pourra admettre ceci, notamment après une longue période de temps … 89INF6153

90 Propriété simple INF Consultant Auto A Banque A Gaz A Banque B \ Suffisante?

91 Propriété * INF Consultant A Consultant B Banque A Banque B Auto A \ \ Cette contrainte est pour empêcher la fuite dinfos, v. après

92 Contraintes pour une implémentation (Propriété simple) Un sujet S peut lire un objet O ssi un des suivants est vrai: – Tous les objets que S a déjà lu sont dans des classes de conflit différentes de celle de O – S a déjà lu un objet dans la même compagnie (Propriété ) Un sujet S peut écrire un objet O ssi les deux suivants sont vrais: – La propriété simple permet à S daccéder à O – S peut lire seulement les objets de la même compagnie de O 92INF6153

93 Propriétés dérivées Pouvoir décriture très limité: – Un sujet qui a déjà lu des objets dune seule compagnie ne peut écrire que sur les objets de cette même cie – Un sujet qui a déjà lu des objets de plus dune compagnie ne peut plus écrire sur aucun objet Même si les cies ne sont pas en conflit 93INF6153

94 Pourquoi limiter le pouvoir décriture Alice peut lire des objets dans la Banque Royale et Shell (dans classes de conflit différentes) Bob peut lire Banque Desjardins et Shell (OK pour propr. simple) Si Bob pouvait écrire sur Shell, il pourrait transférer des information de Desjardins à Alice 94INF6153 B Roy B Desj ShellOil Alice Bob \ Les infos de BDesj peuvent se trouver dans Shell

95 Éviter fuites indirectes Cette contrainte limite beaucoup lutilité de ce modèle mais elle ne peut pas être évitée Supposons quon ajoute la règle que S peut écrire sur O seulement si aucun sujet en conflit avec la cie de O ne peut y lire La fuite peut encore se vérifier par lentremise de Carole! 95 B Roy B Desj Shell Honda Alice Carole Bob Les infos de Banque2 peuvent se trouver dans Honda INF6153

96 Contrainte additionnelle On peut renforcer la propriété simple comme suit: – Un sujet S peut accéder (=lire ou écrire) à un objet O ssi un des suivants est vrai: Tous les objets que S a déjà accédé sont dans des classes de conflit différentes de celle de O S a déjà accédé à un objet dans la même compagnie Cette contrainte assure une propriété dintégrité additionnelle: – Empêche quun sujet puisse écrire dans deux objets dans la même classe de conflit P.ex. sans cette contrainte Alice pourrait écrire dans les bases de données de deux banques des informations différentes pour aider lune et nuire à lautre 96 Alice Banque1 Banque2 INF6153 NON

97 Succès de CW Malgré ses limites, le CW ou des mécanismes semblables sont prescrits dans des lois sur la comptabilité et la finance Sandhu a justement observé que les limitations de CW ne seraient pas raisonnables si appliquées à un usager physique, mais elles peuvent lêtre si appliquées à un sujet informatique, tel quun Cheval de Troie 97INF6153

98 Puissance relative CW est plus puissant que BLP – CW peut émuler BLP – BLP ne peut pas émuler CW Dans BLP on ne peut pas garder la connaissance de ce qui sest passé avant – Les accès précédents 98INF6153

99 Flux dinformation On voit que dans CW linformation peut être transférée seulement entre objets dune même compagnie – Le transfert est impossible entre sujets de cies différentes, même si elles sont dans des classes différentes de conflits 99INF6153

100 Informations désinfectées Pour pallier à ces limites, le modèle admet que nimporte qui peut faire accès à informations déguisées, en sorte quon nen puisse pas déterminer lorigine – P.ex. des statistiques etc. Sanitized information INF

101 Plusieurs versions CW existe aussi en plusieurs versions Une version souvent utilisée est de définir laccès préalable comme lecture seulement – Une écriture ne place pas un sujet dans une classe de conflit dintérêt – La propriété additionnelle que nous venons de mentionner nest pas vraie dans ce cas 101INF6153

102 Exercice Montrer comment le modèle CW empêche les Chevaux de Troie INF

103 Étiquettes de sécurité méthode qui combine des éléments de DAC et MAC INF Myers et Liskov (les figures sont prises de cet article)

104 Modèle des étiquettes de sécurité Idée: – Alice a un dossier A de photos, elle ne veut pas quil soit jamais lu par son patron Une étiquette avec cette restriction accompagnera en permanence le dossier A, même sil est recopié ou modifié – Bob a un dossier B de photos, il ne veut pas quil soit lu par son père et donc le dossier B aura une étiquette indiquant ce fait – Un nouveau dossier C est produit qui contient des photos provenant de A et B – Le dossier C est automatiquement étiqueté quil ne peut être lu ni par le patron dAlice ni par le père de Bob INF

105 Déclassement Jusqu`à ce point, les dossiers peuvent devenir seulement de plus en plus difficiles à accéder Ce modèle prévoit quun dossier puisse être déclassifié – par le propriétaire ou – par des agents fiés (trusted agents) P.ex. Alice et Bob ensemble décident que toutes les photos délicates ont été enlevées et que C peut être étiqueté public. Ou il peuvent reconnaître un tiers comme agent fié qui peut déclassifier le fichier C INF

106 Exemple dhôpital INF p: p,H : le propriétaire est le patient et les données peuvent être lues par le patient ou lhôpital Aucune restriction Data extractor: agent fié: nettoie les données des infos privées et les rend dispos aux chercheurs R R deviennent propriétaires et peuvent déclassifier le résultat de leur analyse

107 Exemple de banque INF Le propriétaire est un client spécifique Ci et tant le propriétaire que la banque peuvent le lire La banque répond à plusieurs requêtes des clients. Le propriétaire des requêtes est le client mais la banque peut les voir aussi Lagent fié T génère des totaux pour la banque et le résultat est visible seulement par la banque

108 Considérations Une idée brillante qui a été bien étudiée en théorie mais qui na pas encore été exploitée en pratique Se préoccupe surtout de laspect protection de la vie privée – Nous avons vu seulement des exemples de lecture Aura un futur … INF

109 Conclusion sur les modèles MAC Les modèles MAC proposent des méthodes rigoureuses pour la protection des informations – Pour le contrôle de flux des informations – Au delà du simple accès aux données Leurs principes ont été très étudiés et implémentés dans nombreux systèmes Cependant pour être vraiment pratiques, ces méthodes doivent subir des exceptions – Ce qui ouvre des failles … INF

110 Quelques champions … INF Kenneth Biba David Elliott BellDorothy Denning Barbara Liskov


Télécharger ppt "MAC Mandatory Access Control Contrôle daccès obligatoire 1 INF6153."

Présentations similaires


Annonces Google