IL MODELLO DI
IL MODELLO DI
BELL-LAPADULA BELL-LAPADULA
Università degli Studi “G. D’Annunzio”
Università degli Studi “G. D’Annunzio”
Corso di Reti di calcolatori e sicurezza Corso di Reti di calcolatori e sicurezza
SOMMARIO SOMMARIO
1.1. Politiche di sicurezzaPolitiche di sicurezza
2.2. Mandatory access control (MAC)Mandatory access control (MAC)
3.3. Discretionary access control (DAC)Discretionary access control (DAC)
4.4. Bell-LaPadulaBell-LaPadula
5.5. ProprietàProprietà
6.6. Esempi/ CasiEsempi/ Casi
POLITICHE DI SICUREZZA POLITICHE DI SICUREZZA
““quali dati devono essere protetti e da quali dati devono essere protetti e da chi o da che cosa
chi o da che cosa””
DEF DEF : Insiemi di principi e regole per : Insiemi di principi e regole per definire i possibili accessi al sistema definire i possibili accessi al sistema
OGGETTI/SOGGETTI OGGETTI/SOGGETTI
OGGETTI
OGGETTI Una qualunque entità Una qualunque entità passiva che necessita di essere
passiva che necessita di essere
protetta (file, pagine di memoria, protetta (file, pagine di memoria,
segmenti, drive, record, stampanti …) segmenti, drive, record, stampanti …) SOGGETTI
SOGGETTI Una qualunque entità Una qualunque entità attiva che può manipolare gli oggetti attiva che può manipolare gli oggetti
(persone, processi) (persone, processi)
MODELLI DI SICUREZZA MODELLI DI SICUREZZA
“ “ Specifiche formali che descrivono Specifiche formali che descrivono
l’implementazione di una determinata l’implementazione di una determinata
politica di sicurezza in modelli ideali politica di sicurezza in modelli ideali”” Esistono due tipi di modelli di sicurezza:
Esistono due tipi di modelli di sicurezza:
Discretionary Access Control (DAC);
Discretionary Access Control (DAC);
Mandatory Access Control (MAC).
Mandatory Access Control (MAC).
Discretionary Access Control Discretionary Access Control
(DAC) (DAC)
DEF: Meccanismo attraverso il quale gli utenti possono DEF: Meccanismo attraverso il quale gli utenti possono liberamente
liberamente
decidere di garantire/revocare l’accesso a decidere di garantire/revocare l’accesso a determinati
determinati
oggetti. oggetti.
PROPRIETA’
PROPRIETA’::
Gli utenti amministrano i dati che Gli utenti amministrano i dati che possiedono(concetto di proprietario);
possiedono(concetto di proprietario);
Il proprietario dei dati può autorizzare (GRANT) altri Il proprietario dei dati può autorizzare (GRANT) altri utenti all’accesso;
utenti all’accesso;
Il proprietario può definire il tipo di accesso da Il proprietario può definire il tipo di accesso da concedere ad altri (lettura, scrittura, esecuzione);
concedere ad altri (lettura, scrittura, esecuzione);
Accessi selettivi (basati su nome, contenuto, Accessi selettivi (basati su nome, contenuto,
parametri di sistema, storia, aggregazione dati).
parametri di sistema, storia, aggregazione dati).
Mandatory Access Control Mandatory Access Control
(MAC) (MAC)
DEF: meccanismo attraverso il quale le decisioni di accesso sono DEF: meccanismo attraverso il quale le decisioni di accesso sono basate su delle etichette che contengono informazioni rilevanti basate su delle etichette che contengono informazioni rilevanti circa la sicurezza di un oggetto.
circa la sicurezza di un oggetto.
PROPRIETA’
PROPRIETA’::
Classificazione dei dati (livello di sensibiltà);
Classificazione dei dati (livello di sensibiltà);
Classificazione dei soggetti (autorizzazione);
Classificazione dei soggetti (autorizzazione);
Classe di sicurezza:
Classe di sicurezza:
<componente <componente gerarchica, insiemi di categoria>;
gerarchica, insiemi di categoria>;
Ordinamento (parziale) tra le classi di sicurezza (relazione Ordinamento (parziale) tra le classi di sicurezza (relazione domina);
domina);
I meccanismi di sicurezza devono garantire che tutti i soggetti I meccanismi di sicurezza devono garantire che tutti i soggetti abbiano accesso solo ai dati per cui possiedono le autorizzazioni abbiano accesso solo ai dati per cui possiedono le autorizzazioni appropriate (regole soggetti-oggetti );
appropriate (regole soggetti-oggetti );
Non si possono propagare privilegi (GRANT).
Non si possono propagare privilegi (GRANT).
Modelli tipici di MAC Modelli tipici di MAC
Confidentiality (Bell-LaPadula) Confidentiality (Bell-LaPadula)
Integrity (Biba) Integrity (Biba)
Hybrid Hybrid
BELL-LAPADULA BELL-LAPADULA
Fu proposto da Bell-LaPadula nel 1976 con lo scopo Fu proposto da Bell-LaPadula nel 1976 con lo scopo
di rafforzare i controlli ai possibili accessi alle di rafforzare i controlli ai possibili accessi alle
applicazioni militari e al governo.
applicazioni militari e al governo.
Anche chiamato modello a multi-livelli.
Anche chiamato modello a multi-livelli.
Corrisponde alle classificazioni stile-militare.
Corrisponde alle classificazioni stile-militare.
In queste applicazioni i soggetti e gli oggetti In queste applicazioni i soggetti e gli oggetti
vengono partizionati in differenti livelli di sicurezza.
vengono partizionati in differenti livelli di sicurezza.
Un soggetto può solo accedere agli oggetti a certi Un soggetto può solo accedere agli oggetti a certi
livelli determinati dal loro livello di sicurezza.
livelli determinati dal loro livello di sicurezza.
Per esempio i seguenti sono due tipici specificazioni Per esempio i seguenti sono due tipici specificazioni
di accessi: “una persona UNCLASSIFIED non può di accessi: “una persona UNCLASSIFIED non può leggere informazioni a livelli CONFIDENTIAL” e “ leggere informazioni a livelli CONFIDENTIAL” e “
informazioni TOP SECRET non possono essere informazioni TOP SECRET non possono essere
scritte in files di livello UNCLASSIFIED.
scritte in files di livello UNCLASSIFIED.
OGGETTI/SOGGETTI OGGETTI/SOGGETTI
Gli oggetti sono classificati in 4 diversi livelli di sensibilità;
Gli oggetti sono classificati in 4 diversi livelli di sensibilità;
Ogni oggetto può essere associato a uno o più livelli Ogni oggetto può essere associato a uno o più livelli (compartments);
(compartments);
ESEMPIOESEMPIO
individuals individuals documentsdocuments Top Secret (TS)
Top Secret (TS) Tamara, ThomasTamara, Thomas Personnel FilesPersonnel Files Secret (S)
Secret (S) Sally, Samuel Sally, Samuel Electronic Mails Electronic Mails Confidential (C)
Confidential (C) Claire, ClarenceClaire, Clarence Activity Log Activity Log Files
Files
Unclassified (UC)
Unclassified (UC) Ulaley, UrsulaUlaley, Ursula Telephone ListsTelephone Lists
OGGETTI/SOGGETTI OGGETTI/SOGGETTI
Ad ogni soggetto viene associata una Ad ogni soggetto viene associata una
“CLEARANCE” “AUTORIZZAZIONE”;
“CLEARANCE” “AUTORIZZAZIONE”;
CLEARANCE: Una coppia del tipo <rank, CLEARANCE: Una coppia del tipo <rank,
compartement>, dove:
compartement>, dove:
RANK max livello di sensibilità RANK max livello di sensibilità dell’informazione a cui il soggetto ha dell’informazione a cui il soggetto ha
accesso;
accesso;
COMPARTEMENT indica comparti COMPARTEMENT indica comparti a cui il soggetto può accedere;
a cui il soggetto può accedere;
PROPRIETA’ (
PROPRIETA’ (VERSIONE INTRODUTTIVAVERSIONE INTRODUTTIVA))
Se L(S) = ls è l’autorizzazione di sicurezza Se L(S) = ls è l’autorizzazione di sicurezza
di un soggetto S;
di un soggetto S;
Se L(O) = lo è la classificazione di Se L(O) = lo è la classificazione di
sicurezza di un oggetto O;
sicurezza di un oggetto O;
Per ogni classificazione di sicurezza li, i = Per ogni classificazione di sicurezza li, i =
0,…, k-1, li < li+1;
0,…, k-1, li < li+1;
Simple Security Condition:
Simple Security Condition:
S può leggere O se e solo se lo<=ls e S ha S può leggere O se e solo se lo<=ls e S ha
discrezione nell’accesso alla lettura di O.
discrezione nell’accesso alla lettura di O.
Caso 1!!!
Caso 1!!!
Claire potrebbe accedere ai Personnel Claire potrebbe accedere ai Personnel
Files di Tamara!!!!!!!
Files di Tamara!!!!!!!
individualsindividuals documentsdocuments Top Secret (TS)
Top Secret (TS) Tamara, ThomasTamara, Thomas Personnel FilesPersonnel Files Secret (S)
Secret (S) Sally, SamuelSally, Samuel Electronic MailsElectronic Mails Confidential (C)
Confidential (C) Claire, ClarenceClaire, Clarence Activity Log Activity Log Files
Files
Unclassified (UC)
Unclassified (UC) Ulaley, UrsulaUlaley, Ursula Telephone Telephone Lists
Lists
PROPRIETA’ (
PROPRIETA’ (VERSIONE INTRODUTTIVAVERSIONE INTRODUTTIVA)) *-Property (Star property):*-Property (Star property):
S può scrivere su O se e solo se ls<=lo e S S può scrivere su O se e solo se ls<=lo e S
ha discrezione nell’accesso alla scrittura ha discrezione nell’accesso alla scrittura
su O.
su O.
TEOREMA BASE DELLA TEOREMA BASE DELLA SICUREZZA (
SICUREZZA (VERSIONE INTRODUTTIVAVERSIONE INTRODUTTIVA))
Se Se è un sistema con uno stato inziale è un sistema con uno stato inziale di sicurezza
di sicurezza 0 0 ;;
Se T è un gruppo di trasformazione di Se T è un gruppo di trasformazione di
stati;
stati;
Se ogni elemento di T conserva la simple Se ogni elemento di T conserva la simple
security condition, versione introduttiva, security condition, versione introduttiva,
e la *-property, versione introduttiva e la *-property, versione introduttiva
allora ogni stato
allora ogni stato , i , i ≥ ≥ 0, è sicuro.0, è sicuro.
Categorie e principio del Categorie e principio del
“Need to Know”
“Need to Know”
Espandere il modello addizionando un Espandere il modello addizionando un gruppo di categorie per ogni
gruppo di categorie per ogni classificazione di sicurezza.
classificazione di sicurezza.
Ogni categoria descrive una specie di Ogni categoria descrive una specie di informazioni.
informazioni.
Queste categorie risultano dal principio Queste categorie risultano dal principio del “need to know” gli stati in cui i del “need to know” gli stati in cui i
soggetti non possono leggere gli oggetti a soggetti non possono leggere gli oggetti a
meno che non è necessario per eseguire meno che non è necessario per eseguire
determinate funzioni.
determinate funzioni.
ESEMPIO (1) ESEMPIO (1)
CATEGORIE
CATEGORIE NUC, EUR e US NUC, EUR e US
accessoaccesso
INSIEME DI CATEGORIE
INSIEME DI CATEGORIE Ø, {NUC},Ø, {NUC},
{EUR}, {US}, {NUC,EUR}, {NUC,US}, {EUR}, {US}, {NUC,EUR}, {NUC,US},
{EUR,US}, {NUC,EUR,US}.
{EUR,US}, {NUC,EUR,US}.
ESEMPIO (2) ESEMPIO (2)
{NUC, EUR, US}
{NUC, EUR, US}
{NUC, EUR} {NUC, US}
{NUC, EUR} {NUC, US}
{EUR, US}
{EUR, US}
{NUC}{NUC} {EUR} {EUR}
{US}{US}
ESEMPIO (3) ESEMPIO (3)
Ogni livello di sicurezza e categoria Ogni livello di sicurezza e categoria
formano un
formano un LIVELLO DI SICUREZZALIVELLO DI SICUREZZA (compartement);
(compartement);
Ogni soggetto ha una autorizzazione Ogni soggetto ha una autorizzazione
ad un determinato livello di ad un determinato livello di
sicurezza;
sicurezza;
Ogni oggetto ha un livello ad un Ogni oggetto ha un livello ad un
determinato livello di sicurezza.
determinato livello di sicurezza.
ESEMPIO (4) ESEMPIO (4)
William (SECRET,
William (SECRET, {EUR}{EUR})) George (TOP SECRET,
George (TOP SECRET, {NUC,US}){NUC,US}) Documento (CONFIDENTIAL,
Documento (CONFIDENTIAL, {EUR}{EUR})) Un soggetto che ha l’accesso agli insiemi di Un soggetto che ha l’accesso agli insiemi di
categorie
categorie {NUC,US}, si presume non abbia il {NUC,US}, si presume non abbia il bisogno di accedere alla categoria {EUR}.
bisogno di accedere alla categoria {EUR}.
DOMINIO (dom) DOMINIO (dom)
Un livello di sicurezza (L,C) domina Un livello di sicurezza (L,C) domina un livello di sicurezza (L’,C’) se e solo un livello di sicurezza (L’,C’) se e solo
se L’≤ L e C’
se L’≤ L e C’ C. C.
(L,C) (L,C) dom (L’,C’) quando (L,C) dom dom (L’,C’) quando (L,C) dom (L’,C’) è falso
(L’,C’) è falso
ESEMPIO (5) ESEMPIO (5)
George ( SECRET,
George ( SECRET, {NUC, {NUC, EUR}EUR}););
Doc A (CONFIDENTIAL, Doc A (CONFIDENTIAL, {NUC}
{NUC}););
Doc B
Doc B (SECRET, {EUR, (SECRET, {EUR, US});
US});
Doc C
Doc C (SECRET, (SECRET, {EUR});
{EUR});
George dom Doc A George dom Doc A CONFIDENTIAL ≤ SECRET e
CONFIDENTIAL ≤ SECRET e {NUC} {NUC} {NUC, EUR};{NUC, EUR};
George
George dom Doc B: dom Doc B:
{EUR, US} {EUR, US} {NUC, EUR};{NUC, EUR};
George dom Doc C George dom Doc C
SECRET ≤ SECRET e
PROPRIETA’
PROPRIETA’
Se C(S) è l’insieme di categorie di un Se C(S) è l’insieme di categorie di un
soggetto S;
soggetto S;
Se C(O) è l’insieme di categorie di un Se C(O) è l’insieme di categorie di un
oggetto O;
oggetto O;
Simple Security Condition:
Simple Security Condition:
S può leggere O se e solo se S dom O e S S può leggere O se e solo se S dom O e S ha discrezione nell’accesso alla lettura di ha discrezione nell’accesso alla lettura di O.O.
Caso 2!!!
Caso 2!!!
Paul
Paul (SECRET, {EUR, US, NUC})(SECRET, {EUR, US, NUC}) Doc B
Doc B (SECRET, {EUR, US})(SECRET, {EUR, US}) Doc A (CONFIDENTIAL,
Doc A (CONFIDENTIAL, {NUC}{NUC})) George (SECRET,
George (SECRET, {NUC, EUR}{NUC, EUR}))
PROPRIETA’
PROPRIETA’
*-Property (Star property):
*-Property (Star property):
S può scrivere su O se e solo se O dom S e S può scrivere su O se e solo se O dom S e
S ha discrezione nell’accesso alla S ha discrezione nell’accesso alla scrittura su O.
scrittura su O.
Doc A dom Paul è falso perchè C (Paul) Doc A dom Paul è falso perchè C (Paul) C (Doc A)
C (Doc A)
TEOREMA BASE DELLA TEOREMA BASE DELLA
SICUREZZA SICUREZZA
Se Se è un sistema con uno stato inziale è un sistema con uno stato inziale di sicurezza
di sicurezza 0 0 ;;
Se T è un gruppo di trasformazione di Se T è un gruppo di trasformazione di
stati;
stati;
Se ogni elemento di T conserva la simple Se ogni elemento di T conserva la simple
security condition e la *-property security condition e la *-property
allora ogni stato
allora ogni stato ii, i , i ≥ ≥ 0, è sicuro.0, è sicuro.