la protection g. florin, s. natkin novembre 2001
TRANSCRIPT
La protection
G. Florin, S. NatkinNovembre 2001
SCHÉMA D ’ACQUISITION ET D ’ÉVOLUTION DES DROITS
Quand un utilisateur se connecte sur son compte
• Il est authentifié
• il dispose alors de droits sur certains objets:
– Les droits sur les objets systèmes que l ’administrateur lui donne.
– Tous les droits sur les objets qu ’il crée.
– Les droits sur d ’autres objets que les autres utilisateurs lui ont accordés.
– Les droits de propagation des droits que l ’administrateur lui autorise
• Il peut créer de nouveaux objets et les droits correspondants
• Il peut propager des droits et donc donner des droits
C ’est la définition et le contrôle de ce schéma qui en théorie devrait garantir le respect des règles de sécurité.
LES TECHNIQUES DE LA SECURITE INFORMATIQUE
- Authentification des personnes
- Gestion des droits et contrôle d'accès (protection)
- Protocoles de sécurité
- Validation des systèmes
1- Spécification des politiquesde contrôle d ’accès
GENERALITES
Le contrôle d ’accès est la base des mécanismes informatiques:Il permet de spécifier la politique dans le domaine de l ’informatique.
Il définit la façon dont le système contrôle ces droits.
Il devrait, en théorie, encapsuler toutes les autres techniques informatiques.Pour l’instant ce n’est pas le cas.
CONCEPTS DE BASE
• Un ensemble de ressources physiques interconnectées et d’utilisateurs pour lequel est défini une politique de sécurité et est administré l’ensemble des règles et mécanismes de protection est appelé cellule d’administration (ce qui correspond dans l’environnement NT à la notion de domaine).
• A chaque utilisateur est associé un compte. Celui ci détermine les moyens qui doivent être utilisés pour authentifier cet utilisateur, les limite apportée au droit de connexion (les machines sur lesquelles il peut se connecter, le nombre maximal de connexions simultanées, les heures qui lui sont autorisées ou interdites…), et les droits initiaux qui lui sont accordés lors d’une connexion.
• Un groupe est un ensemble de droits communs à plusieurs utilisateurs. Par exemple sous NT à l’initialisation d’un domaine, le groupe administrateur à en particulier le droit de créer des groupes et des comptes ou de modifier la configuration physique du domaine de sécurité. Le groupe des invités a très peu de droits mais ses membres ne sont pas authentifiés.
EXEMPLES DE SPECIFICATION DE LA POLITIQUE
Un utilisateur a les droits de son compte (accès aux fichiers,programmes utilisables, ressources partagées accessibles)Déterminée par une politique de compte.
Sous NT, les droits d ’un utilisateur sont définisles droits des groupes auquel il appartient (utilisateur de base +groupe des comptables).La gestion des comptes peut être très fine (par exemple on peut interdire au groupe des utilisateurs de base de se connecter la nuit)Sous Unix (BSD), il y a trois groupes prédéterminés (moi, mon groupe, l ’univers). Par contre on peut spécialiserindividuellement les droits sur les ressources.
Sous 95,98 et Mac OS il n ’y a rien de sérieux.
PRINCIPES A RESPECTER
Principe du moindre privilège : Un objet ne doit disposer que des droits qui lui sont strictement nécessaires pour réaliser les tâchesqui lui sont dévolues.
Utilisation de politique obligatoire : La politique doit le moins possible dépendre des utilisateurs en tant que personne, mais reposer sur les rôles de la politique de sécurité du système d’information.
Séparation des rôles de création des comptes et d ’attribution des droits
Les rôles d ’attribution des droits doivent être attribués par domaines deresponsabilité
MATRICE DE CONTRÔLE D ’ACCES
Définit à chaque instantles droits de chaque sujet sur chaque objet
M1 M2 F1 F2 P1 P2P1 R,W,E Own,R,
WR
P2 R,W,E Own,R,W
S1 R,W,E,Create,Destroy
R,W,E,Create,Destroy
R,W,E,Create,Destroy
R,W,E,Create,Destroy
Create,Destroy
Create,Destroy
MATRICE DE CONTRÔLE D ’ACCES (2)
A l'origine les types de sujet et d'objets sont prédéfinis (système)sujets: utilisateurs, processus, groupes d'utilisateurs ou deprocessusobjets: segments ou pages mémoires, fichiers, processus,programmes
Ceci rend difficile la mise en oeuvre du principe du moindreprivilège
Evolution vers une notion orientée objetsujets: utilisateurs, objetsobjets: métodes d'accès aux objets
M1
R W E Create DestroyP1 1 1 1P2S1 1 1 1 1 1
EVOLUTION DE LA MATRICE DE CONTRÔLE D ’ACCES
La matrice des droits évolue en fonction des évènementssuivants: création et destruction des sujets et des objets création et destruction des droits propagation des droits
ExempleDans UNIX les droits d'un processus sont hérités de son père etdonc originellement de l'utilisateur (fork du login)Lorqu'un processus exécute un programme il hérite (SUID=vrai)en général des droits du possesseur du programme.
2-Authentificationdes
personnes
AUTHENTIFICATION DES PERSONNES
L'authentification = vérification de l'identité d'une entité.
L'une des mesures les plus importantes de la sécurité:- Impossible d'assurer la confidentialité, l'intégrité, la non répudiation sans la garantie de l'identité de l'entité soumettant une requête.- L'authentification devrait être assurée en continu. (pas une fois pour toutes à l'ouverture d'un objet (en début de session) Personne :elle peut quitter son poste en le laissant ouvert=> procédure de déconnexion automatique, procédure d ’authentificationpériodique.Entité informatique:une substitution peut avoir lieu (surtout en réseau, nécessité de protocoles de sécurité)
L'authentification des personnes peut se faire par trois méthodes: Ce que connaît l ’utilisateur (Mot de passe),ce que détient l ’utilisateur (carte…), ce qu ’est l ’utilisateur (Méthode biométrique)
CE QUE CONNAÎT L ’UTILISATEUR
Le mot de passe, le code confidentiel.Technique la plus simple et la plus répandue
Problèmes bien connus:- Si le mot de passe est simple il peut être trouvé par une attaque pardictionnaire- Si le mot de passe est compliqué l’utilisateur le note pour s’ensouvenir !Quelques parades:
- Ne jamais utiliser son login, son nom, le nom de son chien, son n°de tél., un mot d’un dictionnaire…Utiliser chiffres et lettres avec des caractères spéciaux au moins 6 à 7 caractères, mais trouver un mémotechnique- Obliger l'usager à changer régulièrement de mot de passe.- Surveiller les tentatives d'accès illicite par comptage (les afficher).- Prévenir l'usager des connexions précédentes sur son compte en affichant la date et l'heure (par exemple du dernier accès).
CE QUE DETIENT L ’UTILISATEUR
Un secret matérialisé physiquement
La clé traditionnelle, la carte (magnétique, à code barre, à puce)
Technique simple, répandue.
Les problèmes :
- la perte, le vol du support- la duplication (plus ou moins facile mais toujours possible)
CE QU ’EST L ’UTILISATEUR
les méthodes bio métriques
Une solution en rapide développement, peut-être très efficace,souvent onéreuse,peut-être difficile à accepter dans certains cas par l'utilisateur
Nécessité d'études approfondies (analyse de la variabilité) du caractère utilisé- à l'intérieur du groupe humain des usagers autorisés.- ou dans une population quelconque
Incertitudes des techniques bio métriques- La variabilité intra-individuelle.- La variabilité inter-individuelle.
conduisant à deux types d'erreurs possibles:- Le rejet à tort d'un individu autorisé- L'acceptation à tort d'une personne non autorisée.
QUELQUES TECHNIQUES BIOMÉTRIQUES À L'ÉTUDE
- L'empreinte digitale
- La vascularisation de la rétine
- La voix
- La géométrie de la main
- Dynamique de la signature
- Dynamique de la frappe clavier
- Empreinte génétique
3 Architecture des systèmes de protection
IMPLANTATION DE LA MATRICE DE CONTRÔLE D'ACCÈS:
SYSTÈMES À CAPACITÉS
On appelle liste de capacités (Capability) une structure décrivant pour chaque objet O’ la liste des méthodes MO de O que O’ peut exécuter.
Ceci revient à stocker les droits dans l’environnement de l’objet O qui demande l’opération et donc à stoker la matrice de protection en ligne.
IMPLANTATION DE LA MATRICE DE CONTRÔLE D'ACCÈS:
LISTES DE CONTRÔLE D ’ACCÈS
On appelle liste de contrôle d’accès (ACL : Access Control List) associées à un objet O, une structure décrivant pour chaque objet O’ la liste des méthodes MO de O que O’ peut exécuter.
Ceci revient à stocker les droits dans l’environnement de l’objet O qui exécute l’opération demandée et donc à stoker la matrice de protection en colonne.
COMPARAISON DESSTRATEGIES (1)
Les listes de contrôle vision "centralisée" : ce sont les objets considérés comme serveurs de méthodes qui connaissent les objets client habilités à demander l’exécution d’une méthode.
• Pour créer, modifier ou révoquer un droit il suffit de s’adresser à ce serveur.
• Le serveur doit connaître tous les clients potentiels et tout processus de propagation d’un droit passe par le serveur .
COMPARAISON DESSTRATEGIES (2)
Les capacités stockent les droits dans l’environnement des objets appelant une méthode ( clients). Un tel objet montre au serveur, lors d’une demande de service, qu’il possède une capacité à faire cette demande.
• Version facilitant la répartition: laisse à chaque objet une capacité de créer et gérer ses droits.
• La révocation d’un droit est une opération complexe, puisqu’il faut à priori invalider le droit dans l’environnement de tous les objets qui le détiennent.
NOTION DE TICKET (PRIVILEGE, CLEF D’ACCES)
Un ticket est une structure qui représente à chaque instant les rôles que joue un objet dans le système.
• Comme une capacité, un ticket est intègre et a une durée de vie limité. Il est stocké dans l’environnement de l’appelant.
• Ce n’est pas un droit.
• L’appelé qui, recevant un ticket, consulte une ACL liant les rôles et les droits d’accès. Ceci détermine si l’appelant à ou n’a pas un droit d’exécution.
HIERARCHIE DES MECANISMES DE PROTECTIONUN EXEMPLE (1)
Un utilisateur ouvre un fichier de texte sous un éditeur, procède à diverses modifications et écrit (opération enregistrer) une nouvelle version du fichier.
• L’utilisateur doit pouvoir éditer son fichier et donc lire et écrire sur le disque lorsque cela est nécessaire
• Il ne doit pas pouvoir lire ou écrire sur des fichiers qui ne lui sont pas accessibles et de façon plus générale accéder à toute zone du disque sans contrôle d’accès.
• Les mécanismes mis en place ne doivent pas pouvoir être contournés pour donner à un autre utilisateur non autorisé un accès un fichier F
HIERARCHIE DES MECANISMES DE PROTECTION UN EXEMPLE (2)
Programme utilisateur
Write (F)
Calcul des adresses physique,Préparation des tampons E/SEcriture du tampon
Lecture du tampon,Ecriture sur disque
Procédures du système de gestion des fichiers
Processus pilote de gestion du disque
Unité de contrôle du disque et disque
Tampon
CONTRÔLES À RÉALISER (1)
• Vérifier lors de l’appel au système de fichiers, que l’utilisateur a le droit d’écriture sur le fichier.
Un pirate peut essayer de déposer directement une requête dans le tampon ou exécuter directement une entrée sortie sur le disque.
• Vérifier que seul une procédure système E/S peut écrire sur le tampon et que seul le gestionnaire de périphérique peut faire des E/S physiques
CONTRÔLES À RÉALISER (2)
Un pirate peut tenter de modifier la structure de donnée qui définissent les différents droits. Soit en appelant la procédure qui est normalement utilisée pour modifier les droits, soit en essayant d’accéder directement à cette structure en mémoire.
• Contrôler le droit d’exécuter les procédures système et contrôler que seules les procédures systèmes ayant des droits adéquats peuvent accéder en lecture ou en modification aux descripteurs des droits.
Le pirate peut essayer de modifier le code exécutable qui assure l’un des contrôles pour le rendre plus permissif.
• Contrôler que tous les éléments de code critique ne peuvent être modifiés en mémoire.
NECESSITE DE LA HIERARCHIE DES MECANISMES
Si (Condition) Alors autoriser action
Un virus pourrait modifier un tel programme de contrôle d ’accès:
Si c ’est moi Alors autoriser l ’action
Le maillon faible est l’élément le plus bas : celui qui peut modifier les mécanismes qui servent à contrôler tous les contrôles peut tout modifier.
Ces mécanismes ne doivent pas pouvoir être modifiés par une opération logicielle : seule une intervention physique sur le matériel doit permettre
d’altérer ces mécanismes. On est ramené à des problèmes de sécurité physique et organisationnelle : qui
a accès aux ordinateurs.
HIERARCHIE DES MECANISMES
RessourceRessource
Mécanisme de contrôle d ’accès
Structure de droits
Ressource
Mécanisme de contrôle d ’accès
Structure de droits
Ressource
Mécanisme de contrôle d ’accès
Structure de droits
NOYAU DE SECURITEET
MONITEUR DE REFERENCE (1)
L'implantation des mécanismes de sécurité est basé sur une hiérarchie des fonctions (ITSEC)
Environnement opérationnel réel
Composants dédiés à la sécurité
Composants touchant à la sécurité
Autres composants
Limites de la TCB
Limites du système
NOYAU DE SECURITEET
MONITEUR DE REFERENCE (2)
Les composants dédiés à la sécurité reposent sur un moniteur de sécurité qui
va assurer le contrôle d'accès. Celui ci constitue les niveaux de contrôle de la hiérarchie de protection
Le moniteur doit être inviolable, incontournable, correct (par rapport à un ensemble de propriété permettant
d'implanter des politiques de sécurité)
Le moniteur de référence est le "méta guichet" qui permet de gérer des guichets et les droits d'accès aux guichets
NOYAU DE SECURITEET
MONITEUR DE REFERENCE (3)
Un moniteur de référence est construit selon une hiérarchie demécanismes dont l'étanchéité dépend du type d'attaque:
Sur chaque machine il s'agit de mécanismes matériels liés àl'adressage et à l'exécution de certaines instructions. Pourcontourner ces mécanismes il faut modifier le matériel: Gestion de la mémoire Mode d'exécution des processus et contrôle d'accès aux
instructions privilégiées Code en mémoire morte Système matériel d'authentification (lecteur de carte à puces
par exemple)
En outre ans un système réparti, une partie du moniteur estcomposé de protocoles de sécurité
MECANISMES MATERIELS POUR LE NIVEAU BAS
Les instructions de base de la machine et des périphériques ne doivent pas pouvoir être modifiées. Plus cette notion sera étendue plus facile sera la protection. ( utiliser des périphériques spéciaux pour réaliser les opérateurs cryptographiques.)
Le code d’initialisation du système et les structures définissant les droits de base non modifiables implantés en mémoire morte.
La mémoire centrale doit être segmentée. Lors de l’exécution de chaque instruction le processeur doit vérifier, selon la nature de l’instruction, si le processus appelant a le droit d’ exécuter, lire ou écrire sur chaque segment de mémoire référencé.
Le droit d’exécuter certaines instructions de base de la machine (comme les accès physique au périphériques) peut être également contrôlé lors de chaque appel (peut être remplacé par une utilisation fine de la mémoire et du chargement: n’accorder le droit d’exécution sur un segment de mémoire contenant des instructions privilégiées qu’à des processus privilégiés).
MACHINES A ANNEAUX DE PROTECTION (1)
A chaque instant un processus s'exécute dans un contexte donné,les contexte étant hiérachisés (Anneaux de protection)Un niveau est associé à chaque instruction machine et à chaqueréférence mémoire (segment ou page)
Certaines instructions ne sont exécutables que dans le domainele plus privilégié, en particulier celles qui définissent le droitd'accès à une référence mémoire en lecture, écriture ouexécution.
MACHINES A ANNEAUX DE PROTECTION (2)
• L'appel d'une opération (type d'instruction, référence mémoire) implique le contrôle du droit d'accès à l'instruction ou à la référence (le niveau d'appel doit être supérieur ou égal à celui de l'objet référencé). Sinon il y a déroutement.
• Le déroutement provoque un accès à un guichet : Il doit s'agir d'un appel à une instruction privilégiée de changement d'anneau, qui va provoquer l'exécution d'un code de contrôle du droit dans le domaine appelé et une acceptation ou un rejet.
MACHINES A ANNEAUX DE PROTECTION (3)
Processus utilisateur
Programme utilisateur(Lec,4), (Ecr,4),(Exe 4)
Write (F)Procédure Write(Lec,2), (Ecr,2), (Exe 2)Contrôle des droits fichiersEcriture du tampon
Programme du gestionnaire de disque(Lec,0),(Ecr,0) ,(Exe,0)
Lecture du tampon,Ecriture sur disque
Procédures du système de gestion des fichiers
Processus pilote de gestion du disque
Unité de contrôle du disque et disque
Tampon (Lec,1), (Ecr,1)
Droits fichiers(Lec,2), (Ecr,1)
Code de lecture et Ecriture du tampon(Lec,0),(Ecr,0) ,(Exe,1)
4 2
1
2
4
0
MACHINES A DOMAINES
A un objet est associé un espace qui lui soit propre : son domaine de protection.
• Tant que l’exécution du code de cet objet référence des adresses qui sont situées dans son espace propre, il ne se passe rien de particulier.
• Dès que l’objet référence une adresse à l’extérieur de son espace, il y a déroutement de l’exécution et vérification du fait que la référence externe est une demande d’exécution d’une méthode d’un autre objet. Si ce n’est pas l’instruction n’est pas réalisée.
• Dans le cas contraire, il y a copie des paramètres d’appel du domaine de l’appelant vers le domaine de l’appelé. Et d ’une capacité à exécuter la méthode.
• La première opération que réalise la méthode appelée est de vérifier la validité de la capacité. Si celle si est valide la méthode est exécutée.
PROPRIETES DES CAPACITES
Elle doit être intègre : seul l’objet qui peut donner un droit doit être capable de la fabriquer ou de la modifier,
Elle doit avoir une portée limitée soit en terme du nombre d’exécutions de la méthode qu’elle autorise soit en terme de durée.
Elle doit permettre de déterminer si le détenteur de la capacité a le droit de propager le droit contenu dans la capacité et dans quelle limite.
En principe elle ne doit pas pouvoir être copiée.
IMPLANTATION DES CAPACITES
• Dans les machines à capacités propriétés sont assurées par un mécanisme partiellement matériel et partiellement logiciel qui gère les capacités dans un domaine propre.
• Dans un système réparti une capacité est un élément du message transmis par l’appelant signé par l’objet qui est habilité à délivrer les droits. Peut comporter des indications de limite de validité et de droit de
propagation.
L’appelant peut également signer le message complet permettant son authentification par l’appelé.
Cette solution a pratiquement toutes les propriétés requises, mais ne permet pas d’éviter la copie.
L ’APPEL DE PROCEDURE A DISTANCE SECURISE
Le service d ’appel de procédure à distance (APD/RPC)
• Présentation syntaxique et sémantique du mécanisme précédent en terme d'appel de procédure distante.
• A travers un API simulant l ’appel de procédure local:– synchrone– sans mémoire
Les API client/serveur
Programme client
Interprèteur de requêtes
IPA API
Communications
SGBD
Serveur de requêtes
IPA API
Communications
Fonctionnement de l ’APD
CLIENT SERVEUR
Debut
Fin
n_proc(p_in, p_out);
procedure n_proc (p_in,p_out)
Appel(p_in)
Retour(p_out)
La souche client
C’est la procédure d’interface du site client:
• qui reçoit l’appel en mode local
• le transforme en appel distant
• en envoyant un message.
• reçoit les résultats après l'exécution
• retourne les paramètres résultats comme dans un retour de procédure.
La souche serveur
C’est la procédure sur le site serveur qui:
• reçoit l’appel sous forme de message,
• fait réaliser l’exécution sur le site serveur par la procédure serveur
• retransmet les résultats par message.
Implantation de l ’APD par souches (STUB) (1)
transport client
souche client
client
transport serveur
souche serveur
serveur
1
2
10
9
3
8
6 5
7 4
Détails des étapes (1)Étape 1
- Le client réalise un appel procédural vers la procédure souche client.
- La souche client collecte les paramètres , les assemble dans un message (“parameter marshalling”).
Étape 2
- La souche client détermine l’adresse du serveur.
- La souche client demande à une entité de transport locale la transmission du message d'appel.
Étape 3
- Le message est transmis sur un réseau au site serveur.
Détails des étapes (2)
Étape 4
- Le message est délivré à la souche du serveur.
Étape 5
- La souche serveur désassemble les paramètres, et réalise l’appel effectif de la procédure serveur.
Étape 6
- La procédure serveur ayant terminé son exécution transmet à la souche serveur dans son retour de procédure les paramètres résultats.La souche serveur collecte les paramètres retour, les assemble dans un message (“parameter marshalling”).
Détails des étapes (3)
Étape 7
- La procédure souche serveur demande à l’entité de transport locale la transmission du message.
Étape 8
- Le message est transmis sur un réseau au site client.
Étape 9
- Le message est délivré à la souche du client. La souche client désassemble les paramètres retour.
Étape 10
- La procédure souche client transmet les résultats au client en effectuant le retour final de procédure.
Objets répartis
Données
Méthode M1Méthode M2
Données
Méthode M3
M3
Site S1 Site S2Objet O1 Objet O2
Objectifs de l ’APD sécurisée
• Répartir la notion de machine à domaines
• En utilisant des messages de capacités ou de ticket
• Eventuellement dans un contexte d ’objets répartis
• Les étapes de l ’APD incluent des fonctions de sécurité
Etapes 1 de l ’APD Sécurisé
Etape 1: L ’appel provoque un déroutement local car c ’est une référence hors du domaine de l ’appelant.
L ’appelant passe une capacité (ou un ticket) avec les paramètres d ’appel
Etape 2, 3 et 4 de l ’APD Sécurisé
La souche client ouvre une connexion sécurisée avec la souche serveur, avec authentification des deux entités, protection en intégrité et éventuellement en confidentialité (SSL par exemple)
Les paramètres et la capacités sont transmis sur cette connexion
Etapes 5 et 6de l ’APD Sécurisé
La souche serveur appelle l’objet local en passant la capacité ou le ticket
L ’objet local contrôle les droits et exécute la méthode
Etapes 8, 9 et 10 de l ’APD Sécurisé
La souche serveur ouvre une connexion sécurisée avec la souche client, et retourne les paramètres
Mécanismes de protection
DCEarchitecture générale
Ordinateur
Système d’exploitation local
Gestion des processus légers
Appel de procédure à distance
Gestion du temps
Service d’annuaire
Protection
Système de fichiers répartis
Administration
Application DCE
Protection dans DCE
Tâche de l’administrateur
Mise à jour de la base d’enregistrement
Mise à jour des ACL
Serveurs de sécurité
Registery
Serveur d’enregistrement
Serveurd’authentificatio
n
Serveur de privilèges
Tâche de l’utilisateur
Connexion
ApplicationCliente
Serveur d’application
Serveur
Gestionnaired'ACL
ACL
1
2
34
5
67
Windows NT/2000/XP (1)
Utilisateurs: Un utilisateur est associé à compte dont les principaux attributs sont un non unique, un identifiant (SID: Security Identificator), un authentifiant qui est en standard un mot de passe avec une stratégie de gestion de cet authentifiant, les groupes auquel appartient l'utilisateur, les droits et permissions qui lui sont propre.
Droits: Un droit est l'autorisation pour un utilisateur ou un groupe d'utilisateur d'exécuter une opération donnée sur une classe de ressources particulières du système. Les droits existant dans NT sont prédéfinis.
Permissions:Une permission est une règle associée à des ressources particulières (fichiers, répertoires, imprimantes) définissant quels ou quels groupes d'utilisateurs ont accès aux ressources et de quelle manière.Les droits outrepassent toujours les permissions.
Windows NT/2000/XP (2)Listes de contrôle d'accès : Dans NT la plus grande partie des droits et permissions
sont stockés dans l'environnement des ressources protégées La liste des droits associés à une ressource est une ACL.
Groupes : NT permet de créer facilement des groupes d'utilisateurs ayant certains droits, les groupes peuvent être hiérarchisés et un compte utilisateur peut appartenir à plusieurs groupes.
Trois types de groupes: les groupes locaux , les groupes globaux, les groupes spéciaux. Un groupe local est constitué à partir de comptes utilisateurs et de groupes globaux. Un groupe global n'est constitué qu'à partir de comptes utilisateurs membre du domaine de définition.
Groupes locaux prédéfinis :– Le groupe opérateur de compte. – Le groupe des administrateurs. – Le groupe des opérateurs de sauvegarde– Le groupe invité. – Le groupe utilisateur.
Windows NT/2000/XP (3)Domaines qualifie un ensemble de machines ayant un espace de compte centralisé
commun, géré par un contrôleur de domaine. • Pour définir un groupe global à un domaine qui a des droits donnés, on crée des
groupes locaux ayant les droits donnés et on intègre le groupe global dans chaque groupe local ayant les droits choisis.
• L'authentification d'un utilisateur (et donc ses droits) n'est reconnu que dans son domaine. Un mécanisme permettant d'utiliser d'être reconnu et donc d'utiliser les relations d'approbation. Le domaine "approbateur" fera contrôler l'authentification d'un utilisateur du domaine "approuvé" par celui ci et honorera les demandes de cet utilisateur dans la limite des droits définis par des groupes globaux approuvés.
Audit: NT permet de spécifier une stratégie très subtile et complète d'audit de sécurité (et de façon plus générale d'administration).
Implantation de la protection : Très voisine de celle utilisée dans DCELe système n’ayant que deux niveaux de protection (utilisateur / noyau), le moniteur de
référence local est exécuté en mode noyau. Il est appelé à chaque accès en ouverture à une ressource. Il contrôle que le demandeur dispose des droits suffisant en comparant un Ticket à l’ACL de la ressource.
Service de sécurité CorbaUn service d’authentification (objets représentant des utilisateurs (objets
principaux) autres objets.) Un service de propagation des droits. Ceux ci sont liés à la gestion des
crédits (Credentials). Des listes de contrôle d’accès. Les listes de contrôle d’accès peuvent porter sur
une méthode, un objet, un groupe d’objet (une classe et toutes les classes dérivées, par exemple).
Un service d’audit. Un service de non-répudiation. Un service permettant de protéger les communications entre objets en intégrité et
confidentialité.Une notion de domaine, unité d’administration d’une politique de sécurité.Une interface d’administration de la sécurité.
Protection dans l’internet
• Protéger dans un environnement ouvert
• Avec peu ou pas d’authentification
Règlement de sécurité Java
Exemple: Une applet ne peut exécuter aucune opération du système de fichier local
Une applet ne peut utiliser des fonction de communication réseau qu’avec l’ordinateur à partir duquel elle a été chargée. Les communications doivent s’exécuter en utilisant TCP et un port de numéro supérieur à 1024 (c’est à dire en dehors des ports réservés aux applications Internet classiques)
Une applet ne peut accéder à toutes les fonctions de l’interface homme/machine. Toute fenêtre de dialogue créé par un applet doit donner lieu à un message prévenant l’utilisateur du caractère "non sécurisé" de l’opération.Une applet ne doit pas pouvoir accéder aux fonctions du système d’exploitation local qui permettent d’identifier l’utilisateur ou son compte ou les propriétés de son compte.
Mécanismes de protection Java
• Le contrôle statique réalisé par le JDK est destiné surtout à détecter les erreurs de programmation.
• La protection mémoire repose sur une architecture logicielle à domaines (au sens classique du terme). Lorsqu’une applet fait appel à un classe de l’API java, ceci est détecté par le chargeur de classes qui appelle le moniteur de sécurité de la JVM. En fonction des capacités du règlement de l’applet l’appel est autorisé ou interdit.
• Java peut également utiliser un mécanisme permettant de signer une applet lors de sa création ou se son installation sur le serveur. La signature, basée sur un certificat, est contrôlée lors du téléchargement.
Limites de la protection Java
• Erreur de programmation JVM et navigateurs
• Pas de protection matérielle
• Règlements de sécurités adaptés en environnement ouvert
Firewalls(Coupe feux)
Domaine IP privé
Firewall
Internet
Accès
réseau
filtrage
ACL
Accès
réseau
Fonctions
• Translations d’adresse
• Filtrage
• Administration
Règles de filtrageRègles de filtrage pour le port externe
action Source Port sour
Dest Port dest Protocole Flag, option
description
Bloquer 144.19.0.0 * * 70 tcp Bloquer l'accès en sortie vers Gopher
Bloquer 144.19.0.0 * * 80 Tcp Bloquer l'accès en sortie vers le Web
Passer 144.19.0.0 * * * tcp Autoriser tous les autres accès tcp
Règles de filtrage pour le port interne
action source Port sour
Dest Port dest Protocole Flag, option
description
Passer * * 144.19.0.0 * Tcp ACK=1
Accès autorisé sur connexion établie
Passer * * 144.19.74.200 25 Tcp Accès e-mail autorisé Passer * * 144.19.74.201 25 Tcp Accès e-mail autorisé Passer * * 144.19.74.200 119 Udp Accès NNTP autorisé Passer * * 144.19.74.201 119 Udp Accès NNTP autorisé Passer * * 144.19.74.202 53 Udp Accès DNS autorisé