AAA

AAA Ki, mikor, mivel, hogyan? Mit csinált, mit csinálhat, (mit fog csinálni)? Ki mihez hogyan férhet hozzá? Authentication Authorization Accounting/Audit

Authentication Hitelesítés Valóban az-e a másik akinek mondja magát?  Felhasználók – emberek összerendelése Bizonyos megkülönbözetetõ karakterisztikák  Mit tudsz?  Mi van a birtokodban?  Ki vagy? Táválról is használható legyen!

Authentikációs megoldások, problémák Authentikációs adatbázisok  Microsoft AD, RADIUS ( Remote Authentication Dial In User Service ), TACACS Single Sign-On  Egyszer kell csak bejelentkezni a rendszerbe  Pl: Windows 2000 domain, Kerberos Lehetséges támdadások:  Lehalgatása (Man-In-The-Middle attack)  replay attack Identity theft  Pl: authentikált információ session-jének „elrablása”

Authentikációs módszerek Hagyományos jelszavak  Titkosított tárolás, cipherek, salt Call-back authentication (vissza-hívás)  CallerID, MAC cím, IP cím Aktív/Passzív tokenek  Chellenge/Response rendszerek  Time-based  S/Key, CryptoCard RB1 Digitális aláírás 2-factor authentication

Biometria problémái False rejection – false acceptance Sajnos az emberi test változik... Fizikai adotságok mérése  Ujjlenyomat, kéz-geometria, retina, írisz  arc, vér -, dns minta ellenõrzés Viselkedési minták  Mozgás, hang, aláírás Billentyűlenyomás dinamikája

Authorizáció Adott felhasználó mihez férhet hozzá?  Authentikációra épül  Szubjektum -> Objektum DAC (discretionary access control)  Felhasználó maga kontrolálhatja a szabályokat MAC (mandatory access control)  Kötelezõ hozzáférés-vezérlési szabályok

MAC Formális szabály-rendszerek  Bell-LaPadula model Confidentiality levels:  Top Secret", "Secret", "Confidential", "Sensitive but Unclassified", "Unclassified" No read-up, no write-down  Biba Inegrity model  Clark-Wilson model

Szabályok reprezentálása Unix model  Rwx-rwx-rwx Acces Control List  Szubjektumok tevékenységi köre egy objektumon  Pl: „Pista olvashatja a titkos.doc filet” Problémák:  Hogyan lehet azonosítani egy hozzáférést? Pl: egy web oldal letöltése vajon olvasás-e?  Covert channels Role Based Access Control Feladatkörökhöz rendelt jogosultságok Capabilty based security

Accounting/Audit Rendszer eseményeinek rögzítése, naplózása Ha történt valami jó lehet vissza-nézni Incident Response, IT Forensics Mit is kell rögzíteni?  Mindent! :)  Fontos, hogy a sikertelen kisérleteket is rögzíteni kell! Lehetséges támadási felület?

Szorgalmi feladat Találj ki egy egyszerû authentikációs methodust – ami nem igényel semmijen speciális külsõ eszközt.  Távoli authentikáció  Lehallgatás  MITM attack  Brute-force