Você está na página 1de 5

Roteiro

TOCI-08: Segurança de Redes


1 Introdução
Prof. Rafael Obelheiro
rro@joinville.udesc.br
2 Rótulos de segurança

3 Modelo Bell-LaPadula

Aula 7: Segurança Multinı́vel

c 2008 Rafael Obelheiro (DCC/UDESC)


Aula 7: Segurança Multinı́vel SEG 1 / 20 c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 7: Segurança Multinı́vel SEG 2 / 20

Introdução O ambiente de segurança nacional

Controle de acesso discricionário (matriz de acesso) não permite Nı́veis de segurança definem a importância ou sensibilidade
controlar a disseminação de informação das informações
I informação pode fluir para usuários não autorizados, contra a NÃO CLASSIFICADO < CONFIDENCIAL < SECRETO< ULTRA SECRETO
vontade do dono dos objetos I hierarquia estrita
Isso causava especial preocupação em ambientes ligados à I classificação não é uniforme
segurança nacional
Classificação segundo nı́veis não atende ao princı́pio de
I militares, inteligência (espionagem/contra-espionagem), . . . need-to-know
Setores onde violações de confidencialidade podem possuir I professores do DCC não precisam ter acesso a dados do DEE
conseqüências muito sérias
Categorias ou compartimentos de segurança representam
I segredos militares diferentes setores ou projetos aos quais as informações estão
I identidade de agentes secretos, informantes, espiões, . . . associadas
I acesso a sistemas de armas
I apenas as pessoas pertencentes a uma categoria podem ter
Receio de cavalos de Tróia acesso às informações dessa categoria

c 2008 Rafael Obelheiro (DCC/UDESC)


Aula 7: Segurança Multinı́vel SEG 3 / 20 c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 7: Segurança Multinı́vel SEG 5 / 20
Rótulos de segurança Representação matemática
N é o conjunto de nı́veis de segurança
C é o conjunto de categorias
R é o conjunto de rótulos de segurança
Rótulos de segurança determinam a sensibilidade de entidades R = N × 2C ,
ativas e passivas em um sistema computacional
onde 2C é o conjunto potência de C
I nı́vel de segurança
Exemplo
I conjunto de categorias (possivelmente vazio)
Todos os sujeitos e objetos no sistema possuem um rótulo de N = {CONFIDENCIAL, SECRETO}
segurança C = {E, M }
Objetos possuem uma classificação 2C = {∅, {E}, {M}, {E, M}}
Sujeitos possuem uma habilitação (clearance) R = {(CONFIDENCIAL, ∅), (CONFIDENCIAL, {E}),
(CONFIDENCIAL, {M}), (CONFIDENCIAL, {E, M}),
(SECRETO, ∅), (SECRETO, {E}),
(SECRETO, {M}), (SECRETO, {E, M})}

c 2008 Rafael Obelheiro (DCC/UDESC)


Aula 7: Segurança Multinı́vel SEG 6 / 20 c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 7: Segurança Multinı́vel SEG 7 / 20

Dominância de rótulos Limite inferior, ı́nfimo


Dominância: para todo R1 , R2 ∈ R, R1  R2 sss Limite inferior
nı́vel(R1 ) ≥ nı́vel(R2 ) e categ(R1 ) ⊇ categ(R2 )
Seja B um subconjunto de um conjunto parcialmente ordenado A. Um
I R1 domina R2
elemento m em A é chamado de limite inferior de B se, para
A dominância é uma relação de ordem parcial qualquer x ∈ B, m  x, isto é, se m preceder (for dominado por) cada
I reflexiva: aRa elemento em B
I transitiva: se aRb e bRc, então aRc
I anti-simétrica: se aRb e bRa, então a = b
Dominância estrita: para todo R1 , R2 ∈ R, R1  R2 sss Ínfimo
R1  R2 e R1 6= R2 Seja B um subconjunto de um conjunto parcialmente ordenado A. Se
I R1 domina estritamente R2 existe um limite inferior m de B tal que m domina cada um dos outros
Se a 6 b e b 6 a, a e b são não comparáveis limites inferiores de B, m é chamado de limite maior inferior (lmi) ou
ı́nfimo de B, sendo denotado por m = inf(B)
Exemplos
I (SECRETO, {E, M})  (NÃO-CLASSIFICADO, {E})
I (CONFIDENCIAL, {E, M})  (CONFIDENCIAL, {E, M}) Em geral, B pode ter um, muitos ou nenhum limite inferior, porém
I (SECRETO, {E}) 6 (ULTRA-SECRETO, {E}) existe quando muito um inf(B)

c 2008 Rafael Obelheiro (DCC/UDESC)


Aula 7: Segurança Multinı́vel SEG 8 / 20 c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 7: Segurança Multinı́vel SEG 9 / 20
Limite superior, supremo Reticulado de rótulos de segurança

Limite superior Reticulado


Seja B um subconjunto de um conjunto parcialmente ordenado A. Um Seja o conjunto A parcialmente ordenado. Se, para quaisquer
elemento M em A é chamado de limite superior de B se, para elementos a, b ∈ A existem inf{a, b} e sup{a, b}, então o conjunto A é
qualquer x ∈ B, M  x, isto é, se M dominar cada elemento em B chamado um reticulado

No conjunto R de rótulos de segurança


Supremo I inf(R) = (menor nı́vel, ∅)
Seja B um subconjunto de um conjunto parcialmente ordenado A. Se I sup(R) = (maior nı́vel, C)
existe um limite superior M de B tal que M preceda cada um dos I exemplo
outros limites superiores de B, M é chamado de limite menor superior F inf(R) = (CONFIDENCIAL, ∅)
F sup(R) = (SECRETO, {E, M})
(lms) ou supremo de B, sendo denotado por M = sup(B)
O conjunto de rótulos de segurança sempre possui um ı́nfimo e
um supremo
Pode haver no máximo um sup(B) I portanto, forma um reticulado

c 2008 Rafael Obelheiro (DCC/UDESC)


Aula 7: Segurança Multinı́vel SEG 10 / 20 c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 7: Segurança Multinı́vel SEG 11 / 20

Modelo Bell-LaPadula (BLP) Propriedade de segurança simples

Um sujeito não pode ler informações para as quais não esteja


habilitado
Desenvolvido na década de 70 I regra no read up (NRU)
Modelo de segurança multinı́vel para confidencialidade
Serviu de base para versões multinı́vel do MULTICS Propriedade-ss
Operações consideradas Uma leitura de um sujeito S sobre um objeto O é autorizada se, e
I leitura somente se, rótulo(S)  rótulo(O)
I escrita
Não evita que informações privilegiadas sejam colocadas em um
recipiente com classificação inferior à das informações

c 2008 Rafael Obelheiro (DCC/UDESC)


Aula 7: Segurança Multinı́vel SEG 13 / 20 c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 7: Segurança Multinı́vel SEG 14 / 20
Propriedade-* Dinâmica do modelo BLP

Ao entrar no sistema, um sujeito S recebe um rótulo corrente rc


Um sujeito não pode escrever em objetos localizados abaixo dele
no reticulado de rótulos de segurança dominado por sua habilitação
I regra no write down (NWD) O rótulo corrente só é modificado mediante uma requisição
explı́cita
Introduz a idéia de rótulo corrente: maior classificação dos I não há flutuação automática
objetos acessados pelo sujeito I alteração só é autorizada se não violar a propriedade-*
Exemplo: S, com habilitação SECRETO e rc =NÃO CLASSIFICADO,
Propriedade-* deseja ler O1 CONFIDENCIAL
Um acesso de um sujeito S sobre um objeto O é autorizado se I propriedade-ss OK: rótulo(S)  rótulo(O1 )
rótulo(O)  rótulo-corrente(S) quando o acesso for de escrita
I propriedade-* NOK: rótulo(O1 ) 6 rótulo-corrente(S)
I S precisa atualizar rc para CONFIDENCIAL (pelo menos)
rótulo(O)  rótulo-corrente(S) quando o acesso for de leitura I se S tem acesso de escrita a O2 NÃO CLASSIFICADO, a atualização
viola a propriedade-*

c 2008 Rafael Obelheiro (DCC/UDESC)


Aula 7: Segurança Multinı́vel SEG 15 / 20 c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 7: Segurança Multinı́vel SEG 16 / 20

Problemas práticos Limitações do modelo BLP (1/2)

1: passa(A1: arquivo, A2: arquivo)


2: abre A1 para leitura
3: l^
e I de A1 Escritas cegas: quando S escreve em um objeto O tal que
rótulo(O)  rótulo(S), ele não consegue ver o resultado de suas
4: fecha A1
escritas
5: abre A2 para escrita I pode causar problemas de integridade
6: escreve I em A2 F foco do modelo é confidencialidade
7: fecha A2 I solução: restringir escritas a rótulo(O) = rótulo-corrente(S)
Sujeitos de confiança podem violar a propriedade-*
Se rótulo(A1)  rótulo(A2), não deveria funcionar I podem mudar o nı́vel de classificação de objetos ou sanitizá-los
I supondo que os objetos no sistema sejam apenas arquivos, e não I administradores de segurança
variáveis F quem garante que são mesmo confiáveis?
Porém, se o sujeito rebaixa seu rótulo corrente entre as linhas 4 e
5, a escrita é bem sucedida
Solução é proibir rebaixamento do rótulo corrente

c 2008 Rafael Obelheiro (DCC/UDESC)


Aula 7: Segurança Multinı́vel SEG 17 / 20 c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 7: Segurança Multinı́vel SEG 18 / 20
Limitações do modelo BLP (2/2) Bibliografia

Superclassificação: a classificação dos objetos tende a migrar


para os nı́veis mais altos do reticulado
I dependem de rótulo-corrente(S)
Dieter Gollmann.
I exige reclassificação periódica dos objetos por sujeitos de
confiança Computer Security, 2nd Edition. Wiley, 2006.
Canais cobertos: modelo BLP não previne fluxo de informação Capı́tulo 8.
através de canais cobertos temporais
I variação de parâmetros do sistema que pode ser usada para
transmitir informações

c 2008 Rafael Obelheiro (DCC/UDESC)


Aula 7: Segurança Multinı́vel SEG 19 / 20 c 2008 Rafael Obelheiro (DCC/UDESC)
Aula 7: Segurança Multinı́vel SEG 20 / 20