IT-säkerhet i distribuerade nätverksbaserade system - Arkitekturpåverkande aspekter - några exempel SESAM Höstseminarium 2001-10-24 Jaan Haabma Basesoft Open Systems AB jaan@basesoft.se 08-13 17 20 1
IT-säkerhet i distribuerade nätverksbaserade system Nätverksbaserade komponenter => högre krav på IT-säkerhet Integritet ( riktighet ) resp konfidentialitet IT-säkerheten inbyggd i den tekniska infrastrukturen Exempelproblem - delegering Säkerhetsmekanismer - ex kryptering 2
Wired -> Wireless Today s systems often rely on physical protection! 3
Riktighet? Situation Awareness If this is the real-world situation......you don t want the systems to show this The use and dependence of IT is accelerating => New possibilities but also new risks 4
The Threat Over Time High Potential Damage Nation-State Attack Terrorist Attack 1998 2002 Telecomm Networks 2005 Resource Distribution Systems Transportation Systems Intelligence Operations Espionage Low Criminal Hackers Probability of occurrence Low High 5
Behov och problem - maskinvara Presentations logik (P) WEB server Affärsslogik (F) Applikationsserver DB server Data (D) Telefon Mobil (WAP) Telefoniserver Presentations logik (P) Hur och till vem (vilken server) ska användaren bli identifierad? DB server Data (D) 6
Behov och problem - processer Client Computers Servers WB WP WS F GW P F DB F WB GW T P WP F FS F F F D F F F WB WS WP FS P F D DB GW T Web Browser Web Server Word Processer Filesystem Presentation comp. Function comp. Data handling comp Database process GroupWare (C-C comm) Terminal Emulator D Färgerna visar att olika processer (med komponenter) körs som olika användare! Vilka komponeter kan vi lita på!? DB 7
Säkerhet - begrepp Säkerhet ( security ) - konfidentialitet, integritet, tillgänglighet spårbarhet Systemsäkerhet ( safety ) 8
IT-säkerhet? Innebär mycket arbete, men mer och mer nödvändigt... Inga genvägar finns, måste konstrueras med omsorg som en del av en teknisk (samverkans-) arkitektur Marknaden löser IT-säkerheten? Trådlösa LAN - inte så säkra längre!? Komponentarkitekturer - MS DCOM/COM+!? Virusvänlig design? Funktion högre prio än säkerhet? Behov av starkare mekanismer - ex FM krypto Logiska problem/möjligheter i säkerhetsprotokoll - autenticering, nyckeldistribution Måste ha känd assurans (Common Criteria), tilltro Ny målgrupp - nätverksbaserade komponenter komponenter kan inte realisera säkerheten själva säkerheten måste finnas i miljön för komponenterna 9
Säkerhet på olika kommunikationsnivåer Additional Security Authentication + Non-Repudiation + Authorization Confidentiality Integrity Message SMTP, HTTP Transport TCP, UDP Packet IP S/MIME, Kerberos, NTLM, EFS SSL/TLS IPSEC Generality 10
Plain Text IN The quick brown fox jumps over the lazy dog Symmetriskt krypto Cipher Text AxCv;5bmEseTfi d3)fgsmwe#4^,sd gfmwir3:dkjetsy8 R\s@!q3% Plain Text OUT The quick brown fox jumps over the lazy dog Encryption Decryption Same Key Secret Channel D k (E k (P)) = P 11
Asymmetriskt krypto ( Public Key ) The quick brown fox jumps over the lazy dog AxCv;5bmEseTf id3)fgsmwe#4^,s dgfmwir3:dkjets Y8R\s@!q3% The quick brown fox jumps over the lazy dog Encryption Decryption public Different Keys private Authentic Channel D private (E public (P)) = P public private 12
Verksamhetsnivå... Exempel - delegering Behov av olika slags delegering, exempel Impersonifiering - delegera alla mina befogenheter... firmateckning under semesterperiod reservförfarande, ta befälet låna ut legitimation, bankomatkort, smart-card till system X, lösenord Delegering - delegera en delmängd av befogenheter... attesträtt endast upp till ett visst belopp genomföra en specifik uppgift/order, engångsorder, stående order,... skriva fullmakt, utanordna två i förening 13
Exempel - delegering Teknisk nivå... Behov av olika slags delegering, exempel Komponent ( server ) för utskrift av fil användaren äger filer (som tex redigeras med Word) filerna förvaras i en filserver hur konstruera utskriftserver som på begäran (men endast då) kan skriva ut användarens fil? Exempel lösningsalternativ utskriftsservern har alla behörigheter till alla filer, men kollar själv vid utskrift om rätt användare försöker skriva ut utskriftsservern har inga direkta behörigheter - impersonfiering av användaren alt delegering av utskriftbehörighet på begäran av användaren 14
Ex Utskrift - Delegering Alice Alice b.begära utskrift [utskriftserver ::print(order.doc)] a. Skriva ut fil (order.doc) Utskriftserver c.hämta fil d.skriv ut på papper Filserver [order.doc] 15
Säkerhetsmekanismer - ex hur delegera? Överföring (generellt) av identitet / kreditiv i distr system? Logga in/kör i serversystemet (telnet, WEB) Transfer the password in: (i) cleartext, (ii) protected in a tunnel (e.g. SSL) or (iii) by some challenge-response auth. protocol E.g. SSL (e.g. WEB) - the client has the server public-key, protects a generated random symmetric encryption key with this and sends to server for establishing a secure data exchange tunnel. Filåtkomst (från klient, av fil på server) - överför ID (UID) plus lösen från klient till server - NFS, NTFS/SMB,... Säkerhetsservern tilldelar kreditiv vid login och senare servicebiljett till begärd resurs - DCE Security, KerberosV+, Windows2000 - protokoll för delegering The credentials contain user, groups etc. certified by the security server at initial login 16
Kerberos 17
Kerberos V+ - Delegering: impersonifiering Server 1 2.Present forwardable ticket 4.Ticket for Server 2 Server 2 Alice Alice 3.Impersonate, request ticket to Server 2 1.Request forwardable ticket from KDC for Server 1, with forwardableflag Key Distribution Center (KDC) Delegering av: Alla mina rättigheter (impersonifiering, ex W2K, DCE) Begränsade rättigheter, ex utskrift av min fil om jag begärt det (DCE) 18
Kerberos implementationer CyberSafe (www.cybersafe.com) (i TrustBroker ) MIT http://web.mit.edu/kerberos/www/index.html DCE Kerberos (NT, UNIX, OS/390 mfl, olika lev IBM, Entegrity, Compaq Computer Associates (fd Platinum (OpenVision)) Sun Kerberos (Solaris 7+) Microsoft (W2K, DCE-RPC -> MS RPC (DCom)) Heimdal (KTH) 19
Säkerhet och Robusthet i Distribuerade System Summering Hot- (sårbarhets-) analys - vad är hoten och dessa möjliga konsekvenser, vem är attackeraren, vilka resurser/förmågor har attackeraren? Vilket slags säkerhets (-funktioner) behövs - och lokaliserade var i den tekniska arkitekturen Mekanismer? (i) Initial autentisering av användaren och trovärdiga (trusted) servrar vs (ii) KerberosV+ arkitektur (serverprogram måste också autenticera sig, delegering//inpersionifering) Tilltro till lösningar/produkter - Assuransnivå Standard för evaluering (funktionalitet vs assurans) Internat. Common Criteria (e.g. funktionsuppsättningar/eal-3) Äldre: Europa ITSEC (e.g. F-C2/E3), US TCSEC (e.g. CS, B1/B2) 20
Extra - Säkerhet i nätverksförsvaret? Säkerheten måste vara integrerad i den tekniska infrastrukturen (i den tekniska arkitekturen)... Process för assurans - Common Criteria, EAL-4 :: Säkdok: Protection Profile resp Security Target Antaganden, Hot, Organisationspolicys - Säkerhetsmål Assuranskrav - Assuransåtgärder Funktionskrav - Säkerhetspolicy -> Funktionspolicy Säkerhetsfunktioner - Säkerhetsmekanismer - Jämför systemsäkerhet, kvalitetssäkring 21
Security Target (ST) enligt Common Criteria (CC) Antaganden Assumptions Hot Threats 1.. Organisationspolicies Οργανισατιοναλ Σεχυριτψ Πολιχιεσ Σ κερηετσπολιχψ ΤΟΕ Σεχυριτψ Πολιχψ (ΤΣΠ) Funktionspolicy Σεχυριτψ Φυνχτιον Πολιχψ (ΣΦΠ)... Funktionspolicy Σεχυριτψ Φυνχτιον Πολιχψ (ΣΦΠ) Säkerhetsmål Σεχυριτψ Οβϕεχτιϖεσ 1.. Assuranskrav Assurance Requirements (SAR) 1..* 1..* Ασσυραν σ τγ ρδερ Ασσυρανχε µεασυρεσ 1..* 1..* Funktionskrav Φυνχτιοναλ Ρεθυιρεµεντσ (ΣΦΡ) 1..* Target of Evaluation (TOE) TOE Scope of control (TSC) 1.. Σ κερηετσφυνκτιονερ TOE Security Functions (TSF) Σ κερηετσ φυνκτιον Σεχυριτψ Φυνχτιον (ΣΦ)... Σ κερηετσµ εκανισµ ερ Μεχηανισµσ Σ κερηετσ µεκανισµ Μεχηανισµ 1.. 1..... 0..* 1..* Σ κερηετσ φυνκτιον Σεχυριτψ Φυνχτιον (ΣΦ) Σ κερηετσ µεκανισµ Μεχηανισµ 22
Säkerhetskrav Säkerhetspolicy; säkerhetsmålsättning ; Security policy; formellt fastställd uppsättning mål som beskriver övergripande säkerhetskrav på informationshanteringen inom en organisation eller verksamhet. Exempel: Gällande lagar och förordningar för sekretessbelagd information skall hållas 23
Säkerhetsfunktioner Säkerhetsfunktion; Security function specifik teknisk egenskap hos ett system genom vilken det, tillsammans med övriga säkerhetsfunktioner, upprätthåller säkerheten. Begreppet kan även preciseras enligt: urskiljbar del av ett system som utför en säkerhetstjänst. Åtkomstkontroll, autenticering och loggning är exempel på säkerhetsfunktioner Exempel (GTP) innehåller funktioner för: Identifiering och autenticering, Åtkomstkontroll Integritet (riktighet) Konfidentialitet Datautväxling Spårbarhet (loggning) Tillgänglighet Säkerhetsadministration 24
Säkerhetsmekanismer Säkerhetsmekanism; Security mechanism; teknik som används vid realisering av en säkerhetsfunktion eller del av denna Exempel: GTP innehåller stark autenticering med användarid/lösenord alt TAK+PIN. Det är en driftkonfigurationsfråga om TAK (FM Aktiva Kort och kortterminal) skall användas! GTP 2.1.3 stöder båda varianterna av identifiering. Konfigureras efter driftkrav. Vilka mekanismer som konfigureras är transparent för alla verksamhetsfunktioner. GTP 2.1.3 innehåller informationskydd med DES-kryptering. GTP 2.2 innehåller stöd för textskydd med FM kryptokort KK631. Konfigureras efter driftkrav. Vilka mekanismer som konfigureras är transparent för alla verksamhetsfunktioner. Motsvarande gäller övriga säkerhetsmekanismer som hantering av certifikat, lösenordshantering, nyckelhantering etc. 25
Assurans och säkerhetsgranskning Assurans; Assurance tilltro till att ett systems eller en produkts säkerhetsfunktioner, med hänsyn till korrekthet och ändamålsenlighet, uppfyller fastställda specificerade säkerhetskrav. Tilltron knyts till en bedömning av systemets eller produktens möjlighet att motverka bedömda typer av angrepp. Jämför evaluering, assuransnivå, hotanalys. Evaluering; Evaluation säkerhetsteknisk utvärdering av ett system eller en systemkomponent gentemot specificerade säkerhetskrav samt bedömning av mekanismstyrkan hos ingående säkerhetsmekanismer. Förekommer framför allt i samband med krav rörande evalueringsobjektets säkerhetsegenskaper (funktionellt, ur assurans- och uppföljningssynpunkt etc). Evaluering syftar till att visa att säkerheten uppfyller kraven på korrekthet och ändamålsenlighet. 26
Certifiering och ackreditering Certifiering; certification formellt fastställande av resultatet från en evaluering. Fastställandet baseras på resultatet från en genomförd evaluering varvid ingår granskning att evalueringsarbetet genomförts med erforderlig noggrannhet och med utnyttjande av godkänd metodik samt att resultatet påvisat att evalueringsobjektet svarar mot någon viss kravnivå enligt givna evalueringskriterier. Certifiering utgör ofta ett väsentligt underlag vid ackreditering av system. Ackreditering av system; drifttillstånd; site accreditation formellt beslut att ett visst informationssystem kan godkännas för drift med användning av en beskriven uppsättning säkerhetsfunktioner. Ackreditering av system är ett formellt driftgodkännade, ibland med stöd från resultatet av genomförd evaluering av hela eller delar av systemet, vilket tillsammans med andra överväganden dokumenterar att vederbörliga säkerhetshänsyn tagits. 27