Описание политики безопасности и конфигурации средств защиты информации в компьютерных сетях: исполнение политики доступа межсетевыми экранами асп. Антон Титов Санкт-Петербургский государственный политехнический университет Москва 17 ноября 2009 г. МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ Проблемы современных информационно- вычислительных систем

2 Содержание 1. Проблема перехода от описания политики доступа к ее исполнению 2. Базовые подходы к интеграции межсетевого экрана c моделью управления доступом 3. Формальный анализ процесса фильтрации 4. Сигнатура действия субъекта над объектом 5. Формат инструкции фильтра 6. Получение инструкции фильтра из правила доступа 7. Выводы

3 Проблема перехода от описания политики доступа к ее исполнению Политика безопасности Формальное описание политики доступа Исполнение политики доступа Модель управления доступом (MAC,DAC,RBAC,ORBAC,…) Межсетевой экран (МЭ): фильтр Конфигурация МЭ (набор инструкций) СубъектДействиеОбъектРешение ВасяЧтениеФайл 1Разрешить ПетяЗаписьФайл 2Запретить Низкоуровневые правила доступа: Роль Субъект 1 Субъект 2 ?

4 Базовые подходы к интеграции межсетевого экрана с моделью управления доступом IP источникаIP приемникаTCP портРешение Принять Отбросить СубъектДействиеОбъектРешение ВасяЧтениеФайл 1Разрешить ПетяЗаписьФайл 2Запретить Инструкции для межсетевого экрана: Формальные правила доступа: Компиляция: Интерпретация: Независимость фильтра от конкретной модели управления доступом; Сложности при реализация всех функций модели управления доступом; Пакет СубъектДействиеОбъект ВасяЧтениеФайл 1 Роли субъекта Решение Разрешить IP источникаIP приемникаTCP порт Правила для ролей Компиляция Интерпретация Полная и корректная реализация всех функций модели управления; Зависимость архитектуры фильтра от конкретной модели управления; t Пакет Автономная работа межсетевого экрана Исполнение решения

5 Задачи Действия фильтра в процессе его работы Инструкция фильтра Правило доступа Формальный анализ процесса фильтрации Формальный анализ процесса фильтрации Основа процесса компиляции Формальные правила доступа Исполнение формальных правил доступа

6 Правила доступа и модель взаимодействия систем Субъект Объект Действие

7 HTTP 2 TCP-соединение Работа межсетевого экрана Физический канал IP-пакеты TCP-соединения HTTP-запросы HTTP 1HTTP 4HTTP 3 F 1 : {u n }{u n } HTTP 2 Действие 2 Действия субъектов Входная последовательность действий субъектов T 1 : {u n }{a n } Действие 1Действие 3 S={s n } K={k n } U={u n } U c = {u n } S c ={s n } K c ={k n } t Виртуальное соединение HTTP-запросов Входная последовательность HTTP-запросов Транспортное соединение Входная последовательность трансп. соединений Виртуальное сетевое соединение Входная последовательность сетевых пакетов (переход) (выборка) T2T2 T3T3 F2F2 F3F3 {a n }

8 Алгоритм выборки F Полнота выборки – принадлежит ли каждый следующий элемент выборке зависит только от самого элемента и всей предыстории ранее выбранных элементов abcdefghiklmnop ? bkn Подпоследовательность: С учетом полноты алгоритм выборки из последовательности элементов s S задается языком L на словаре S фильтруемых элементов. Язык – множество последовательностей элементов словаря. Алгоритм выборки соответствует алгоритму определения, принадлежит ли данная последовательность языку. Задается распознающей грамматикой языка. Разрешимость алгоритма выборки определяется задающей грамматикой языка. Язык L = {hdjss, gshaj, ryeuw,...} Распознающая грамматика fhjseiodhsdfkf Принадлежит языку - выбираем Не принадлежит языку – не выбираем

9 Смысл выборки F Выборка F Сигнатура действия субъекта над объектом Виртуальное соединение Например: выборка IP-пакетов, относящихся к одному TCP-соединению

10 Сигнатура действия субъекта над объектом Сигнатура действия (язык L F ) –набор тех и только тех последовательностей элементов, которые соответствуют корректно завершенному действию. Сигнатура достаточного действия (язык L S ) –набор тех и только тех последовательностей элементов, которые соответствуют совершенному действию. L S cодержит те и только те последовательности, являющиеся подпоследовательностями* последовательностей языка L F. Сигнатура незавершенного действия (язык L C ) – сигнатура действия, дополненная всеми последовательностями, являющимися подпоследовательностями** сигнатуры действия. abcd Действие Достаточное действие abcd a ab abc abcd ** *

11 Пример задания сигнатур для регулярных языков a aa b k y v y a c a a*b a* c acv kyya c - конечное состояние aa*c v aa*cya Сигнатура действия: aa*b ac ky Сигнатура достаточного действия: s7s7 s6s6 s4s4 s2s2 s5s5 s3s3 s1s1

12 Обобщения понятия сигнатуры на виртуальные соединения Сигнатура действия Сигнатура достаточного действия Сигнатура продолжающегося действия Сигнатура виртуального соединения Сигнатура достаточного виртуального соединения Сигнатура продолжающегося виртуального соединения Сигнатура соединения Сигнатура продолжающегося соединения Сигнатура достаточного соединения В тривиальном случае, сигнатура достаточного соединения – перечисление всех начальных символов из сигнатуры соединения.

13 Интерпретация требования правила Разрешение соединения Пропуск выбранного элемента, если полученная последовательность, относится к сигнатуре незавершенного соединения (последовательность допустима распознающей грамматикой L С ). Запрет соединения Отбрасывание выбранного элемента, если полученная последовательность, относится к сигнатуре достаточного соединения (последовательность допустима распознающей грамматикой L S ). fgaertbopjc {a, ab,abc} Сигнатура незавершенного действия: Входная последовательность: ^ hsjahryfuk ak Сигнатура достаточного действия: Входная последовательность: ^^ ^

14 Формат инструкции фильтра Соединение Дополнительные условия Решение: разрешение или запрет Глобальные параметры системы (время, …) Дополнительные условия не влияют на выборку, но влияют в итоге на то, будет ли применено решение. Язык, задающий выборку Алгоритм работы Сигнатура незавершенного соединения Сигнатура достаточного соединения

15 Фильтр Описание соединения: идентификаторы соединения Соединение ИС S ИС A ИС O ИС C Соединение C = (ИС S, ИС A, ИС O, ИС C ) ИС – идентификатор соединения

16 Привязка объектов к идентификаторам соединения Фильтр 1 ИС s Субъект 1 Субъект 2 Субъект 3 Субъект 4 Объект 1 Объект 2 Объект 3 Объект 4 ИС o Фильтр 2 user: vasya IP: IP: file: text.doc Фильтры с их идентификаторами соединений составляют инфраструктуру исполнения политики доступа. Привязка объектов к идентификаторам соединений определяется способами хранения, преобразования и передачи данных и требует экспертного анализа.

17 Получение инструкции фильтра из правила доступа ИС S ИС A ИС O ИС C СубъектДействиеОбъект Решение: разрешать или запрещать Контекст Соединение Дополнительные условия Решение: разрешение или запрет Глобальные параметры системы (время, …) Язык, задающий выборку Алгоритм работы Сигнатура незавершенного соединения Сигнатура достаточного соединения

18 Выводы Описаны подходы к интеграции межсетевого экрана с моделью управления доступом Формально проанализирован процесс фильтрации, основываясь на том, что действия фильтра должны быть связаны с исполнением правила доступа Показано, что алгоритм фильтрации основан на выборке элементов из последовательности Показано, что выборка в частном случае определяется сигнатурой действия субъекта над объектом Приведен общий формат инструкции фильтра Полученные результаты являются теоретическим основанием разработки компилятора формально заданной политики доступа в инструкций межсетевого экрана

19 Сервер управления доступом Интеграция межсетевого экрана c моделью управления доступом Межсетевой экран Фильтр Интеграция с моделью управления контролем доступа Конфигурация Динамическое взаимодействие

20 Формальные правила доступа с учетом соединений Субъект 1 Объект 1 Субъект 2 Объект 2 Субъект 1 Объект 1 Субъект 2 Объект 2 Соединение Действие

21 Организация системы фильтрации Возможна ли выборка сигнатуры действия ? Выборка сигнатуры действия Выборка элементов, относящихся к соединению Функция T, переход на другой уровень взаимодействия Начало (самый нижний уровень взаимодействия) Конец данет Описание сигнатуры Описание соединения Язык Например: выборка IP-пакетов, относящихся к одному TCP-соединению

22 Субъект 1 Объект 1 Субъект 2 Фильтр 1 Фильтр 2 ПользовательСлужбаФайл Межсетевой экран Операционная система IP: IP: user: vasyafile: text.doc

23 Шаги авторизации и устройства Субъект Объект Устройство 1Устройство 2 Устройство 3 Объект 1 Субъект 1 Параллельное соединение – одно из устройств должно открыть канал данных для организации доступа субъекта к объекту Последовательное соединение – каждое из устройств должно открыть канал данных для организации доступа субъекта к объекту

24 Устройство eth0 MAC: IP: TCP: 50TCP: 51

25 Устройство 1 Устройство 2 IP: user: vasya MAC: IP: MAC: eth0

26 Система централизованного управления контролем доступа Центральный сервер управления доступом Средство контроля доступа 1 Средство контроля доступа 2 Средство контроля доступа 3 Конфигурация Динамическое взаимодействие Конфигурация Динамическое взаимодействие Конфигурация Динамическое взаимодействие Удобство администрирования системы в целом; Отсутствие конфликтов конфигурации различных средств контроля доступа;

27 Устройство 2 MAC: Устройство 3 IP: IP: IP: Устройство 1 eth0 Объект 1

28 Объект 1 Объект 2

29 Устройство 1 Устройство 4 Устройство 2Устройство 1Устройство 2 Физический уровень Виртуальный уровень Устройство 4.1 Устройство 4.2 Субъект Объект Устройство 5 Устройство 5/6/7 Устройство 6 Устройство 3У-во 3.1У-во 3.2 У-во 3.3У-во 3.4 Устройство 7

p p c1c1 c2c2 d1d1 d2d c1c1 c2c2 d1d1 d2d2

31 Разрешение субъекту совершать действие над объектом Ненарушение целостности каждого из каналов данных необходимых для совершения действия Запрещение субъекту совершать действие над объектом Достаточное нарушение целостности одного из каналов данных необходимых для совершения действия Канал доступа – алгоритм выделения подпоследовательности из произвольной последовательности блоков данных, передаваемых на определенном уровне взаимодействия между системами