Professional Documents
Culture Documents
SECURITY ENGINEERING
GÜVENLİK MÜHENDİSLİĞİ
GÜVENLİK MODELLERİ
Temel Erişim Güvenlik Kavramları
• Subject: Bir kaynağa erişen aktif bir aktördür (ör: bir kullanıcı, bir uygulama, v.b.)
• Object: Subject tarafından erişilen kaynaktır (ör: bir servis, bir dosya, bir dizin,
v.b.). Bazen bir kaynak hem object hem de subject olabilir, örneğin bir kullanıcı bir
uygulamaya erişirken uygulama da bir başka uygulamanın servisine erişebilir.
• Mandatory Access Controls (MAC): Statik erişim kontrollerine dayanır.
Subject’lerin object’lere erişim kuralları bir otorite tarafından tanımlıdır ve tüm
kullanıcılar (subject’ler) bu kurallara uymak zorundadır. MAC modellerinde
subject’lerin attribute’leri (yani clearance’ları) object’lerin attribute’leri (yani
classification’ları) ile karşılaştırılır. Eğer subject’in (ör: kullanıcının) clearance
seviyesi object’in (ör: dosyanın) classification seviyesine uyumlu ise erişim
sağlayabilir. Buna aynı zamanda Rule Based Access Control (RBAC) adı verilir.
• Discretionary Access Controls (DAC): Subject’ler dinamik olarak (yani
istediklerinde) sahibi oldukları object’ler için erişim yetkileri tanımlayabilir ve
yetkileri düzenleyebilirler.
GÜVENLİK MODELLERİ
Temel Güvenli Sistem Kavramları
• Trusted Computing Base (TCB): Orange Book olarak bilinen US
DoD standardında TCB güvenlik politikasının uygulanmasını
destekleyen donanım, yazılım ve kontrollerin bütünü olarak
tanımlanır (TCSEC – Orange Book’tan daha sonra bahsedeceğiz).
TCB sistemin tümünü oluşturmak zorunda değildir, ancak tüm
bileşenleri ile birlikte güvenlik değerlendirmesine (evaluation)
tabi tutulacak bölümüdür.
• Security Perimeter: Trusted Computing Base’i sistemin geri
kalanından ayıran sınırdır. Bu sınır üzerinden güvensiz herhangi
bir iletişim veya işlemin yapılmaması hedeflenir.
• Trusted Paths: Security perimeter üzerinden TCB ile sistemin geri
kalanı arasındaki güvenli iletişim ve işlem kanallarıdır.
GÜVENLİK MODELLERİ
Temel Güvenli Sistem Kavramları (devamı)
• Reference Monitor ve Security Kernel: TCB içindeki kaynaklara
erişimi kontrol eden TCB bölümüne Reference Monitor adı verilir.
Reference Monitor işlevini yerine getiren bileşenler de Security
Kernel’ı oluşturur.
• Tokens, Capabilities, Labels: Reference Monitor’ün koruduğu
subject’lere ilişkin ihtiyaç duyduğu classification ve erişim kontrol
verileri belirtilen isimlerde saklanabilir. Token’lar object’lerle ilgili
farklı object’ler olarak saklanır. Capability’ler listeler halinde
saklanır. Label’ları object’lerin sınıflarına ilişkin bilgi barındıran
daha basit verilerdir ve genellikle object’lerin bir parçasıdır.
GÜVENLİK MODELLERİ
Temel Güvenli Sistem Kavramları (devamı)
• State Machine Model: Güvenlik modelleri genellikle secure state
kavramına dayanır. Sistem belli bir zamanda bir state’te (durumda)
bulunur. Eğer sistemin yaşayabileceği tüm yeni durum geçişlerinde
(state transition) ulaşacağı durumlar güvenli ise bu sistem Secure
State Machine olarak adlandırılabilir.
• Information Flow Model: Yetkisiz, güvensiz veya sınırsız veri akışının
(okuma veya yazma şeklinde) farklı güvenlik seviyeleri arasında
yapılmasını engelleyen modellerdir. Bell Lapadula ve Biba modelleri
information flow modelleridir.
• Noninterference Model: Üst güvenlik seviyesinde bulunan bir
subject’in davranışları sonucu alt güvenlik seviyesinde bulunan bir
subject’in hassas veriye erişmesi (yani bir covert channel oluşması)
riskini önlemeye yönelik modellerdir.
GÜVENLİK MODELLERİ
Temel Güvenli Sistem Kavramları (devamı)
• Take-Grant Model: Bu modellerde subject’lerin subject’lere veya
object’lere yetki verme veya onlardan yetki alma hakları yönetilir.
• Access Control Matrix: Her bir subject’in her bir object
üzerindeki yetkilerini gösteren tablo yaklaşımıdır. Tablonun her
kolonu bir access control list (ACL), her bir satırı da bir
capabilities list’tir. Dolayısıyla her bir ACL bir object’e bağlıdır, her
bir capability list’de bir subject’e bağlıdır.
GÜVENLİK MODELLERİ
Temel Güvenli Sistem Kavramları (devamı)
Yukarıdaki tablo bir Discretionary Access Control (DAC) sistemine ait olabilir. Eğer böyle
bir tablonun Mandatory Access Control (MAC ya da Rule Based Access Control) için
geçerli olması gerekse idi subject kolonunda classification veya role isimleri yer almalıydı.
GÜVENLİK MODELLERİ
Bell-LaPadula Model
US DoD tarafından 1970 yılında geliştirilmiş olup confidentiality’nin
(gizliliğin) korunmasını hedefler. Amaç classified bilgilerin daha
düşük seviyelere sızmasının engellenmesidir. Ancak bütünlük ve
erişilebilirlik bu model tarafından hedeflenmez.
CISSP sınavı açısından güvenlik modelleri içinde kullanılan sınıflar
(classifications) top secret, secret, confidential, sensitive but
unclassified, unclassified olarak sayılabilir (ABD kamu
sınıflandırmaları ve ticari şirketlerde kullanılan veri sınıflarına
değineceğiz).
GÜVENLİK MODELLERİ
Bell-LaPadula Model (devamı)
Bu model state machine konsepti ve information flow modeli
üzerine kurulmuştur. Bu state machine modelinin 3 temel özelliği
(property) vardır:
• Simple Security (SS) Property: Bir subject kendi classification
seviyesinden daha yukarıdaki bir bilgiyi okuyamaz (No Read Up).
• * (star) Security Property: Bir subject kendi classification
seviyesinden daha aşağıdaki bir seviyeye yazamaz (No Write
Down). Örneğin gizli bir yazışmanın bir bölümünü kopyalayarak
daha düşük seviyedeki bir dokümana yapıştıramaz.
• Discretionary Security Property: Bir subject kendi classification
seviyesindeki bilgilere ancak kendisine erişim hakkı verilmişse
(yani need to know durumu varsa) erişebilir.
GÜVENLİK MODELLERİ
Bell-LaPadula Model (devamı)
GÜVENLİK MODELLERİ
Biba Model
Bell-LaPadula gizliliğe odaklanırken Biba ve Clark-Wilson gibi ticari
modeller bütünlüğe (yani verinin istenmeyen biçimde
değiştirilmemesine ve bozulmamasına) odaklanır. Bunun dışında
Biba’da state machine konseptinde, information flow modeli üzerine
kurulmuş ve multilevel bir modeldir.
GÜVENLİK MODELLERİ
Biba Model (devamı)
Biba’nın temel property’leri (ya da axiom’ları yani ilkeleri) şunlardır:
• Simple Integrity (SI) Property: Bir subject kendisinden daha alt
integrity seviyesindeki bir object’i okuyamaz (No Read Down).
• * (star) Integrity Property: Bir subject kendisinden daha üst
integrity seviyesindeki bir object’e yazamaz (No Write Up)
GÜVENLİK MODELLERİ
Biba Model (devamı)
GÜVENLİK MODELLERİ
Bell LaPadula X Biba
Hem Bell-LaPadula hem de Biba modelinde simple rule okumayla
ilgili, (*) star rule yazma ile ilgilidir. Her iki kural da neyin
yapılamayacağını belirtir.
Bell-LaPadula confidentiality’ye, Biba ise integrity’ye odaklandığından
simple ve star kuralları birbirlerinin tersi gibi görünmektedir:
• Bell-LaPadula’da üst gizlilik seviyesinden okunamaz, Biba’da alt
bütünlük seviyesinden okunamaz
• Bell-LaPadula’da alt gizlilik seviyesine yazılamaz, Biba’da üst
bütünlük seviyesine yazılamaz
Ticari kurumlar gizlilikten daha çok verinin doğruluğu ile
ilgilendiğinden Biba ticari güvenlik modeli olarak daha çok tercih
edilmiştir.
GÜVENLİK MODELLERİ
Clark Wilson Model
Clark Wilson 1987 yılında özellikle ticari ortamlar için geliştirilmiştir.
Biba gibi bütünlüğün korunmasını hedefler ancak Biba veya Bell-
LaPadula gibi bir lattice (katmanlı) yapı benimsemez.
Erişim kontrolleri her duruma özel subject / program / object üçlü
ilişki olarak tanımlanır.
GÜVENLİK MODELLERİ
Clark Wilson Model (devamı)
Bu modelin özelliği subject’lerin doğrudan object’lere erişememesi,
sadece kontrollü bir erişim sağlayan programlar aracılığı ile
erişmeleridir. Bu program arayüzleri sayesinde aşağıdaki iki güvenlik
prensibi sağlanır:
• Well-formed transactions (programlar tarafından uygulanan
kontrol mantığı ile)
• Seperation of Duties (SOD)
GÜVENLİK MODELLERİ
Brewer and Nash Model (Chinese Wall)
Bu model tek bir entegre veritabanına yönelik olarak uygulanabilir.
Model’e chinese wall denilmesinin nedeni yönetim danışmanlığı gibi
hizmet alanlarında kullanılabilmesidir. Örneğin A müşterisi için
danışmanlık veren ekibin bir üyesinin bu müşterinin rakibi olan B
müşterisinin verilerine erişmemesi gerekir. Yani belli bir subject’in
gerçekleştirdiği bir aktivite (A müşterisinin verileri üzerinde çalışma)
sonrasında dinamik olarak tanımlanmış bir kural gereği bir diğer
aktiviteyi (B müşterisinin verilerine erişme veya üzerinde çalışma)
gerçekleştirmesinin engellenmesini ifade eder.
Modeli uygulamak için çıkar çatışması (conflict of interest) göz
önüne alınarak oluşturulmuş güvenlik grupları (security domains)
oluşturulması gerekir.
GÜVENLİK MODELLERİ
Diğer modeller
• Goguen-Meseguer Model: Bir integrity modelidir,
noninterference’a odaklanmıştır.
• Sutherland Model: Bir integrity modelidir, noninterference’a
odaklanmıştır.
• Graham-Denning Model: Subject ve object’lerin güvenli
oluşturulması ve silinmesine odaklanmıştır.
GÜVENLİK DEĞERLENDİRME MODELLERİ
TCSEC (Trusted Computer System Evaluation Criteria)
Bilgisayar kullanımının yaygınlaşmasıyla 1980’lerden başlayarak bir
güvenlik değerlendirme model ihtiyacı ortaya çıkmıştır. Bugün
Common Criteria tarafından geçerliliği sonlandırılmış olsa bile bu
modellerden ilki TCSEC’tir.
1985 yılında National Computer Security Center (NCSC) TCSEC’i
geliştirdi. TCSEC ağa bağlanmamış stand alone bilgisayarlara
yöneliktir. Bu dokümana verilen bir diğer isim de Orange Book’tur,
çünkü bu doküman Rainbow Serisi adı verilen güvenlikle ilgili diğer
renklere sahip dokümanların bulunduğu bir serinin parçasıydı.
GÜVENLİK DEĞERLENDİRME MODELLERİ
TCSEC (Trusted Computer System Evaluation Criteria) (devamı)
TCSEC 4 ana kategori tanımlar:
• Category A - Verified protection. The highest level of security.
• Category B - Mandatory protection.
• Category C - Discretionary protection.
• Category D - Minimal protection. Reserved for systems that have
been evaluated but do not meet requirements to belong to any
other category.
GÜVENLİK DEĞERLENDİRME MODELLERİ
TCSEC (Trusted Computer System Evaluation Criteria) (devamı)
Bu ana kategorilerin bir kısmı da kendi içinde detaylandırılmıştır:
GÜVENLİK DEĞERLENDİRME MODELLERİ
Rainbow Serisi İçindeki Diğer Dokümanlar
Bu serideki dokümanların çoğunun geçerliliği ortadan kalkmış olmakla
birlikte CISSP sınavı açısından fikir sahibi olmakta fayda vardır. Aşağıda
bunlardan ikisinden bahsedilmiştir.
• Red Book: Orange Book ağa bağlanmamış bilgisayarlara yönelik
olduğundan ancak 1980’lerde dahi çok sayıda ağa bağlı bilgisayar
bulunduğundan TCSEC’in ağ risklerine göre düzenlenmiş hali
diyebileceğimiz dokümandır. Resmi adı Trusted Network
Interpretation of the TCSEC’tir. Red Book hızlı bir şekilde daha
popüler hale gelmiştir.
• Green Book: Department of Defense Password Management
Guidelines dokümanıdır. Adından da anlaşılacağı gibi parola
oluşturma ve yönetimiyle ilgili rehber dokümandır.
Rainbow series içindeki toplam doküman sayısı 30 civarındadır.
GÜVENLİK DEĞERLENDİRME MODELLERİ
ITSEC (Information Technology Security Evaluation Criteria)
TCSEC’in Avrupa karşılığı diyebileceğimiz ITSEC’in farklılıklarından bir
kaçı aşağıdaki gibidir:
• Trusted Computing Base (TCB) gibi sınırları çizilmiş bir sistem
gerektirmez, değerlendirilecek olan sistem target of evaluation (TOE)
olarak adlandırılır.
• TOE değerlendirmeleri Functionality ve Assurance olmak üzere iki
başlık altında yapılır. Yani sadece güvenlik değil sistemin fonksiyonel
ihtiyaçları karşılaması da ITSEC’te dikkate alınmıştır.
• Functionality değerleri [F-D] – [F-B3] arasındadır (F-A1 yoktur).
• Assurance değerleri [E0] – [E6] arasındadır.
• TCSEC sadece gizliliğe odaklanmışken ITSEC bütünlük ve erişilebilirliği
de dikkate alarak tüm yönleri ile güvenlik ihtiyaçlarını değerlendirir.
GÜVENLİK DEĞERLENDİRME MODELLERİ
Common Criteria
Common Criteria (Ortak Kriterler) için uluslararası bir model diyebiliriz. Ayrıca
ISO 15408 standardına da dönüştürülmüştür.
Common Criteria kavramları aşağıdaki gibidir:
• Protection Profile (PPro): Belli bir ürüne özel hazırlanmış standart güvenlik
gereksinimleridir. Bir firewall için, bir işletim sistemi için, v.d. ürün tipleri
için kendi işlevlerine uygun test edilecek kriterler geliştirilmelidir.
• Security Target (ST): Ürününü güvenlik değerlendirmesine gönderen
organizasyon tarafından hazırlanır ve ürünün tanımı, güvenlik özellikleri,
ürününün belli bir protection profile’a uyumu ile ilgili seçilen EAL
seviyesine göre kendi yaptığı değerlendirmesinin sonuçlarını içerir.
• Evaluation Assurance Level (EAL): Tahmin edilebileceğinin aksine güvenlik
seviyesini ifade etmez, yapılan testin ne kadar detaylı olduğuna dair bir
güvence verir.
GÜVENLİK DEĞERLENDİRME MODELLERİ
Common Criteria
Evaluation Assurance Level’lar (ürünün test edilme detay seviyesi)