Hozzáférés ellenőrzése

Mi a hozzáférés jogosultság
ellenőrzés?
A hozzáférési jogosultság ellenőrzése (access
control) valamilyen védett objektum (számítógép
vagy számítógép-hálózat) biztonságát szolgáló
különböző védelmi eljárások összessége. Az
informatikában a hozzáférési jogosultság feladata
a számítógép erőforrásainak vagy magának a
számítógépes hálózatnak illetéktelen
felhasználástól való védelme.
 Miben különbözik az
autentikációtól?
Ezért gyakran összekeverik a
felhasználóazonosítással (autentikáció,
authentication). A hozzáférési jogosultság
dönti el, hogy egy személynek, vagy egy a
számítógépen futó eljárásnak van-e
lehetősége valamilyen objektum elérésére.
 Miben különbözik az
autentikációtól?...

Ez lehet egy fájl vagy valamilyen hardver

eszköz stb. A felhasználóazonosítás ezzel
szemben egy személy, vagy számítógépen
futó eljárás identitásának az ellenőrzését
jelenti.
 Ellenőrző eljárások
A hozzáférési jogosultsági lista
megvalósításától függetlenül a hozzáférést
ellenőrző eljárások meghatározott modell
alapján működnek. A 4 legelterjedtebb
modell: a diszkrecionális (Discretionary
Access Control (DAC)), elrendelő
(Mandatory Access Control (MAC)),
szerepalapú (Role-Based Access Control),
és a szabályalapú (Rule-Based Access
Control) hozzáférésijogosultság-kezelés.
 Hozzáférés-jogosultsági lista
(ACL)

A hozzáférési jogosultság ellenőrzése

különböző eljárásokkal valósítható meg. A
legismertebb eljárás a hozzáférés-
jogosultsági lista (access control lists, ACL)
használata. Ez nem más, mint egy lista, ami
tartalmazza, hogy egy-egy konkrét objektum
eléréséhez kinek, vagy minek van joga.
Hozzáférés-jogosultsági lista
(ACL)….

A hozzáférési jogosultsági lista nem csak

az objektum elérésére jogosultakat
sorolja fel, hanem azt is, hogy a listán
szereplők mit tehetnek az adott
objektummal. Tipikus hozzáférési jogok
az olvasás, írás, és futtatás.
 Diszkrecionális hozzáférés-
kezelési modell (DAC)

A diszkrecionális hozzáférés-kezelési modell

(Discretionary Access Control, DAC) talán a
legismertebb. A diszkrecionális hozzáférési
jogosultság vizsgálatának az alapja a
felhasználónak vagy a felhasználó
csoportjának az azonosítása.
 Diszkrecionális hozzáférés-
kezelési modell (DAC)..

Az eljárást azért nevezzük

diszkrecionálisnak mert legfontosabb
jellemzője, hogy amennyiben egy
felhasználó rendelkezik az objektumhoz
hozzáférési jogosultsággal, ezt a
jogosultságot tovább adhatja más
felhasználónak.
 Diszkrecionális hozzáférés-
kezelési modell (DAC)…

Tipikus megvalósítása a diszkrecionális

hozzáférés kezelésnek az UNIX (Linux) alapú
rendszerekben használt hozzáférési bitek.
UNIX alapú rendszerben egy fájl tulajdonosa
eldöntheti, hogy milyen jogosultságot ad a
saját csoportjának illetve más felhasználóknak.
 Elrendelő hozzáférés-kezelési
modell (MAC)

Az elrendelő hozzáférés-kezelési modell

(Mandatory Access Control, MAC)
lényegesen kevésbé elterjedt eljárás. Csak
olyan környezetben alkalmazzák, ahol a
biztonsági minősítésnek különböző szintjei
léteznek. Ez az eljárás sokkal szigorúbb
korlátozással él a felhasználókkal szemben.
 Elrendelő hozzáférés-kezelési
modell (MAC)..

A objektumhoz való hozzáférési jogosultság az

objektum által tartalmazott információhoz
kapcsolódik, és ezt általában egy címke jeleníti
meg. Ebben az esetben az objektum
tulajdonosa nem határozhatja meg, hogy ki és
milyen formában érheti el az objektumot.
 Elrendelő hozzáférés-kezelési
modell (MAC)…

Ez az operációs rendszer feladata. A

biztonsági mechanizmus ellenőrzi minden
objektum hozzáférési jogosultságát, és azt
egyetlen felhasználó sem tudja ezt
megváltoztatni. Az objektum címkéje
tartalmazza az objektum biztonsági
besorolási szintjét. Gondoljunk a bizalmas,
titkos, szigorúan titkos stb. minősítésekre.
 Elrendelő hozzáférés-kezelési
modell (MAC)….

Egy titkos dokumentumok elérésére

jogosított felhasználó nem érhet el szigorúan
titkos dokumentumot, de arra sincs
lehetősége, egy titkos dokumentumot
bizalmas szintre átminősítsen.
Szerep alapú hozzáférés-jogosultság
kezelés (RBAC)

A szerep alapú (Role-Based Access Control)

hozzáférés-jogosultság kezelés, mint az
elnevezésből következik, a hozzáférés
ellenőrzésére egy adott szerepkörhöz kapcsolt
szabályrendszert használ.
Szerep alapú hozzáférés-jogosultság
kezelés (RBAC)..
A szerepalapú hozzáférés-jogosultsági
modellben ahelyett, hogy minden
felhasználóhoz specifikus, az adott
objektumhoz elérést biztosító vagy tiltó
jogosultságokat kapcsolnánk, szerepeket
határozunk meg. Minden felhasználóhoz
szerepek különböző csoportja rendelhető. A
szerepek meghatározzák, leírják, hogy adott
szerepkörben milyen objektumon milyen
műveletek végezhetők.
Szerep alapú hozzáférés-jogosultság
kezelés (RBAC)…

Azaz az objektumok eléréséhez szükséges

jogosultságok nem a felhasználóhoz
kapcsoltak, hanem a szerepekhez. Egy-egy
felhasználó több szerepet is elláthat. A
felhasználó számára az objektumokhoz
kapcsolt engedélyek az általa végzendő
konkrét feladatokhoz és nem a egyes
objektumok biztonsági besorolásához
kapcsolódnak.
Szerep alapú hozzáférés-jogosultság
kezelés (RBAC)…..

Könnyű belátni, hogy egy vállalatirányítási

információs rendszerben mások a feladatai
egy raktárosnak, egy könyvelőnek, esetleg egy
kontrollernek. Ezek különböző szerepek, és a
jogosultságok nem a személyekhez, hanem a
vállalat életében játszott szerepek szerint
kerülnek definiálásra.
 Szabály alapú hozzáférés-
jogosultság kezelés
A szabály alapú hozzáférés-ellenőrzés
leggyakrabban a fentebb ismertetett
hozzáférés-jogosultsági listát (ACL)
használja. Ilyenkor az ACL különböző
kiegészítő szabályokat is tartalmaz, és ezek
a szabályok határozzák meg, hogy a
felhasználó megkapja-e az objektum
eléréséhez, használatához az engedélyt
vagy nem.
 Szabály alapú hozzáférés-
jogosultság kezelés..

Ilyen példa lehet, hogy bizonyos adatok

nem érhetők el munkaidőn kívül, vagy a
Wikipédia nem szerkeszthető egy letiltott
IP-címről stb. A szabályalapú hozzáférés-
ellenőrzés önállóan nem fordul elő, csak a
fent ismertetett hozzáférési modellek
kiegészítésére, finomítására alkalmazzák.
Köszönöm a figyelmet !