AAA
AAA Ki, mikor, mivel, hogyan? Mit csinált, mit csinálhat, (mit fog csinálni)? Ki mihez hogyan férhet hozzá? Authentication Authorization Accounting/Audit
Authentication Hitelesítés Valóban az-e a másik akinek mondja magát? Felhasználók – emberek összerendelése Bizonyos megkülönbözetetõ karakterisztikák Mit tudsz? Mi van a birtokodban? Ki vagy? Táválról is használható legyen!
Authentikációs megoldások, problémák Authentikációs adatbázisok Microsoft AD, RADIUS ( Remote Authentication Dial In User Service ), TACACS Single Sign-On Egyszer kell csak bejelentkezni a rendszerbe Pl: Windows 2000 domain, Kerberos Lehetséges támdadások: Lehalgatása (Man-In-The-Middle attack) replay attack Identity theft Pl: authentikált információ session-jének „elrablása”
Authentikációs módszerek Hagyományos jelszavak Titkosított tárolás, cipherek, salt Call-back authentication (vissza-hívás) CallerID, MAC cím, IP cím Aktív/Passzív tokenek Chellenge/Response rendszerek Time-based S/Key, CryptoCard RB1 Digitális aláírás 2-factor authentication
Biometria problémái False rejection – false acceptance Sajnos az emberi test változik... Fizikai adotságok mérése Ujjlenyomat, kéz-geometria, retina, írisz arc, vér -, dns minta ellenõrzés Viselkedési minták Mozgás, hang, aláírás Billentyűlenyomás dinamikája
Authorizáció Adott felhasználó mihez férhet hozzá? Authentikációra épül Szubjektum -> Objektum DAC (discretionary access control) Felhasználó maga kontrolálhatja a szabályokat MAC (mandatory access control) Kötelezõ hozzáférés-vezérlési szabályok
MAC Formális szabály-rendszerek Bell-LaPadula model Confidentiality levels: Top Secret", "Secret", "Confidential", "Sensitive but Unclassified", "Unclassified" No read-up, no write-down Biba Inegrity model Clark-Wilson model
Szabályok reprezentálása Unix model Rwx-rwx-rwx Acces Control List Szubjektumok tevékenységi köre egy objektumon Pl: „Pista olvashatja a titkos.doc filet” Problémák: Hogyan lehet azonosítani egy hozzáférést? Pl: egy web oldal letöltése vajon olvasás-e? Covert channels Role Based Access Control Feladatkörökhöz rendelt jogosultságok Capabilty based security
Accounting/Audit Rendszer eseményeinek rögzítése, naplózása Ha történt valami jó lehet vissza-nézni Incident Response, IT Forensics Mit is kell rögzíteni? Mindent! :) Fontos, hogy a sikertelen kisérleteket is rögzíteni kell! Lehetséges támadási felület?
Szorgalmi feladat Találj ki egy egyszerû authentikációs methodust – ami nem igényel semmijen speciális külsõ eszközt. Távoli authentikáció Lehallgatás MITM attack Brute-force