Control de Acceso Discrecional.

Transcripción

1 Control de Acceso Discrecional. Esta estrategia de control de acceso está basada en la idea de que los sujetos acceden a los objetos en base a su identidad y a unas reglas de autorización, que indican para cada sujeto, las acciones que puede realizar sobre cada objeto del sistema. Con esta estrategia, si un usuario desea realizar una operación sobre un objeto, se busca en el sistema una regla de autorización que le dé permiso para realizar esa operación sobre ese objeto, y si no se encuentra se le deniega el acceso. El motivo por el que a este mecanismo de control de acceso se le llama discrecional es porque el usuario puede otorgar la autorización de acceso a otros usuarios. La forma más común de administrar las autorizaciones es aplicando el concepto de propiedad, de forma que cada objeto pertenece a un propietario que es responsable de otorgar o revocar los derechos de acceso sobre los objetos.

2 Variantes: Autorización Positiva y Negativa. Según la autorización positiva, la existencia de la regla de autorización indica que se puede realizar el acceso, mientras que la no existencia de la misma prohíbe el acceso. En cambio mediante la autorización negativa, el acceso se permite sólo cuando no existe una regla de autorización negativa, mientras que la existencia de la regla prohíbe el acceso. La principal diferencia es que en el caso de autorización positiva, si un sujeto no tiene autorización, en algún momento se puede producir una propagación de privilegios de tal forma que otro sujeto le ceda el acceso, en cuyo caso estaría burlando el control de acceso. Eso no puede suceder con el mecanismo de autorización negativa.

3 Autorización Fuerte y Débil. Autorizaciones fuertes, tanto positivas como negativas son aquellas que no pueden ser invalidadas, mientras que las débiles sí pueden ser invalidadas por otras autorizaciones fuertes o débiles, de acuerdo a unas reglas específicas. Autorizaciones Explícitas e Implícitas. Las autorizaciones implícitas son automáticamente derivadas por el sistema desde el conjunto de autorizaciones explícitas, de acuerdo a un conjunto de reglas. Por ejemplo, una regla de derivación puede ser usada para expresar que un sujeto puede acceder a un objeto dado sólo si otro sujeto tiene un acceso explícito denegado. Existen diversas políticas de propagación de autorizaciones dependiendo entre otras cosas del tipo de sujeto de que se trate. Por ejemplo, si se trata de roles que forman una jerarquía, al asignar una autorización positiva, ésta se propagaría hacia todos los roles superiores en la jerarquía, y si la autorización es negativa, se propagaría hacia los roles inferiores en la jerarquía. En cambio, si se trata de grupos, la aproximación más utilizada consiste en la propagación de la autorización, tanto si es positiva como si es negativa a todos los elementos del grupo.

4 Autorizaciones basadas en el contenido. Condicionan el acceso a un objeto dado el contenido de uno o más de sus componentes. Por ejemplo, restringir el acceso de datos de personas que cobre más de 50 millones al año. Las bases de datos que utilizan esta política de control de acceso son susceptibles de recibir ataques por parte de sujetos que aparentemente realicen un acceso correcto a los datos, pero que en realidad han recibido el permiso de acceso por parte de otro sujeto de forma fraudulenta. En una organización, Juan es un gerente de alto nivel que crea un fichero llamado Ventas, que contiene información muy importante para la organización. Esta información, es muy sensible, y de acuerdo con la política de la organización debería ser protegida ante cualquier acceso no autorizado. Consideremos ahora a José, que es uno de los subordinados de Juan, que quiere descubrir la información almacenada en el fichero Ventas.

5 Para conseguirlo, José crea otro fichero, llamado Ilegal, y le da a Juan permisos de escritura sobre el fichero. Notar que Juan puede no ser consciente de la existencia del fichero Ilegal o de que tiene permiso de acceso sobre él. Además, José modifica una aplicación que generalmente es usada por Juan, incluyendo dos operaciones ocultas, una operación de lectura sobre el fichero Ventas y una operación de escritura sobre el fichero Ilegal. Supongamos ahora que Juan ejecuta ahora la aplicación. Puesto que la aplicación es ejecutada en nombre de Juan, todos los accesos son comprobados contra los permisos de acceso de Juan, y tanto las operaciones de lectura y de escritura son permitidas. Como resultado de la ejecución de esa aplicación, información sensible ha sido transferida del fichero Ventas al fichero Ilegal, y está disponible ahora para José.

6 Control de Acceso Obligatorio. Consiste en la clasificación de tanto los sujetos como los objetos en el sistema. Una clase de acceso es asignada a cada objeto y cada sujeto. Una clase de acceso es un elemento de un conjunto de clases parcialmente ordenadas. Mientras que la forma más general de conjunto de clases de acceso es un conjunto de etiquetas, a veces se define como un conjunto formado por dos componentes, un nivel de seguridad y un conjunto de categorías. Cada nivel de seguridad es un elemento de un conjunto jerárquicamente ordenado como alto secreto (TS), secreto (S), confidencial (C) y sin clasificar (U), donde TS > S > C > U. El conjunto de categorías es un subconjunto de un conjunto desordenado, donde los elementos pueden reflejar áreas funcionales o diferentes competencias como por ejemplo finanzas, administración, ventas y compras para sistemas comerciales.

7 Los usuarios pueden conectarse al sistema utilizando cualquier clase de acceso que esté dominado por su clase de acceso, generando de este modo un sujeto con esa clase de acceso (notar la distinción entre usuario y sujeto ). Por ejemplo, un usuario que tenga asignado el nivel de seguridad secreto se podrá conectar al sistema como secreto, confidencial y sin clasificar. Así, cuando un usuario realiza una petición, la clase de acceso que se considera es la del sujeto generado al conectarse al sistema. Los principios de acceso en los que se basa la política de control de acceso obligatoria son los siguientes: Un sujeto podrá tener un acceso de lectura sobre un objeto si la clase de acceso del sujeto domina la clase de acceso del objeto. Un sujeto podrá tener un acceso de escritura sobre un objeto si la clase de acceso del sujeto es dominada por la clase de acceso del objeto.

8 Siguiendo estos principios de acceso, se garantiza que no se produce un flujo de información no autorizado. Si bien la regla de acceso de lectura parece evidente, la regla de acceso de acceso de escritura es poco intuitiva. El objetivo es evitar situaciones de descubrimiento de información confidencial. Si no se cumplen las dos reglas de acceso se podrían producir situaciones como la siguiente: En una organización, Juan es un gerente con un nivel de seguridad secreto, que crea un fichero llamado Ventas, que también tiene un nivel de seguridad secreto y que contiene información muy importante para la organización. Consideremos ahora a José que tiene un nivel de seguridad sin clasificar, y que es uno de los subordinados de Juan que quiere descubrir la información almacenada en el fichero Ventas. Para conseguirlo, José crea otro fichero, llamado Ilegal con un nivel de seguridad sin clasificar y modifica una aplicación que generalmente es usada por Juan, incluyendo dos operaciones ocultas, una operación de lectura sobre el fichero Ventas y una operación de escritura sobre el fichero Ilegal. Supongamos ahora que Juan ejecuta ahora la aplicación. Si Juan se ha conectado con el nivel secreto, y el principio de acceso de escritura no se cumple, tanto la operación de lectura como la de escritura se llevarían a cabo y se estaría descubriendo información sensible, pero si el principio de acceso de escritura se cumple, la operación de lectura será realizada, pero al intentar realizar la operación de escritura el sistema avisaría de que se está intentando realizar un acceso no autorizado.

9 Control de Acceso basado en Roles. En RBAC, los permisos se asocian con roles, y a los usuarios se les hace miembros de los roles. De este modo los usuarios consiguen permisos. Esto simplifica considerablemente la gestión de permisos. Los roles representan a cada grupo funcional de las organizaciones, agrupando en cada uno de ellos a aquellos usuarios que realizan funciones y tienen responsabilidades similares. Por ejemplo, los roles en una entidad bancaria podrían ser Cajero y Contable, donde cada uno de ellos tiene un conjunto de privilegios. Algunos de estos privilegios pueden ser como en este caso jerárquicos y compartidos. Mediante este simple mecanismo es muy sencillo llevar a cabo ciertas acciones, como por ejemplo, intercambiar a los usuarios de un rol a otro, o incluir nuevos permisos en los roles, o sustraer permisos en los roles, etc.

10 Control de Acceso basado en Restricciones. Una técnica de control de acceso mucho más flexible que las anteriores, pero con poca experiencia en su utilización es la conocida como Control de Acceso Basado en Restricciones, donde las restricciones expresadas en un lenguaje formal son usadas para especificar asociaciones generales entre los usuarios y sus autorizaciones. Esta estrategia permite tener tanto restricciones estáticas como dinámicas, por ejemplo considerando factores como las horas del día en las que estará vigente una autorización.

11 Así, el control de acceso basado en restricciones se define a través de los siguientes elementos: U, O, y P (usuarios, recursos y permisos). Auth : U x O x P {sí, no, parcial}, que es una función que responde a la pregunta de si un usuario dado tiene algún permiso para un recurso en particular. La respuesta será parcial cuando el sistema no pueda determinar en ese momento si el usuario puede acceder al recurso. Una restricción de autorización será un predicado con esta forma: Auth (Usuario, Recurso, Permiso) :- C 1, C 2,..., C n. Donde cada C i es una restricción.

12 Consideremos los siguientes ejemplos: Auth (administrador, -, -). Auth (usuario, recurso, -) :- is_dbtable(recurso), own(usuario,recurso). En el primer caso estamos expresando que el usuario administrador tendrá acceso a todos los recursos y con todos los permisos, mientras que el segundo caso expresa el hecho de que un usuario tendrá todos los permisos sobre un determinado recurso siempre que éste sea su propietario.