אבטחת מידעOpenVMS

עפר שיינקין

שיינקין ייעוץ בע"מ

2שיינקין ייעוץ בע”מ

אבטחה בתוכנהאבטחה בתוכנה -תהליך הLoginגישה למשאבים

3שיינקין ייעוץ בע”מ

מטרות אבטחת מידעסודיות המידעאמינות ושלימות המידעזמינות המידע

4שיינקין ייעוץ בע”מ

מודל הייחוס

Subjects: Users Programs

ReferenceMonitor

Objects: Files Resources

AccessRules DB

AuditTrail

5שיינקין ייעוץ בע”מ

בסיס נתוני משתמש נקרא גםUser Authorization File -- UAF מנוהל על ידי תוכנית בשםAuthorize קיים ממשק תכנותיAPI לניהול המשתמשים ממומש כקובץsys$system:sysuaf.dat

6שיינקין ייעוץ בע”מ

Loginתהליך המשתמש נדרש להזדהות באמצעות

קוד משתמשסיסמה)סיסמה שניה )אופציונלית

:המשתמש מקבל דיווח עלמועד כניסה תקינה אחרונהמספר כישלונות בכניסה מאז הכניסה האחרונה

7שיינקין ייעוץ בע”מ

דיווח על כשלון בכניסה המשתמש מקבל דיווח כשלון בכניסה לאחר סיום

כל שלבי ההזדהות המשתמש אינו מקבל דיווח מהי סיבת הכשלון

האם קוד המשתמש שגוי)האם סיסמה שגויה )ואיזו

8שיינקין ייעוץ בע”מ

התגוננות מפני פריצה מוגדרים שלושה מצבים לגבי כל משתמש ואו

מסוףלא-חשוד -- לא התבצעה שגיאה בכניסהחשוד -- התבצעה שגיאה אחת לפחותפורץ -- מספר השגיאות עלה על סף מסויים

בדיקת מצב החשודים על ידיshow intrusionחשבון או מסוף המוגדרים כפורצים

יושעו לפרק זמןניתן לבקש השעיית משתמש

9שיינקין ייעוץ בע”מ

מצבי גישהLOCALמסוף מקומי

DIALUPקו חיוגREMOTEרשת )מסוף מרוחק(

NETWORKרשת )הפעלה מרוחקת(BATCHעבודות אצווה

DETACHEDג'וב מנותק

10שיינקין ייעוץ בע”מ

הגבלת שעות עבודהלכל משתמש עבור כל מצב גישהניתן להגדיר בנפרד שעות עבודה עבור

ימי עבודהסוף שבוע

11שיינקין ייעוץ בע”מ

הגדרת חשבוןתאריך פקיעת חשבון

המשתמש מקבל התראה לקראת התאריךשייכות לקבוצה ולחשבון חיוב משותףהגדרת משאביםספריית ברירת - מחדלקובץ פקודות אתחולסיסמה ראשונה חד-פעמית

12שיינקין ייעוץ בע”מ

סיסמהאורך מינימליתדירות החלפת סיסמה מינימאלית

המשתמש מקבל התראה לקראת פקיעת הסיסמהשימוש אופציונלי במחולל סיסמאותמניעת שימוש חוזר בסיסמהמילון סיסמאות אסורות

13שיינקין ייעוץ בע”מ

החלפת סיסמהכניסה למערכת לאחר פקיעת סיסמה

מבוצע אוטומטיתהחלפת סיסמה על ידי המשתמש

set password החלפת סיסמה על ידי מנהל המערכת

הסיסמה חד-פעמיתהחלפת סיסמה על ידי מנהל הפרוייקט

מחייב פיתוח קוד

14שיינקין ייעוץ בע”מ

משתמש מוגבל:נועד למשתמשי קצה או לפעולות ניהול מוגבלות

הורדת תחנת עבודהביצוע גיבוי

קיימות שתי רמותCaptiveRestricted

מחייב קובץ פקודות אתחול -אינו מורשה לצאת לDCL

15שיינקין ייעוץ בע”מ

Privilegesזכויות יתר NONEללא הרשאות מיוחדותNORMALמשתמש רגילGROUPהרשאות ניהול קבוצהDEVOURצבירת משאביםSYSTEMניהול מערכתFILEגישה לכל הקבציםALLשליטה מלאה

16שיינקין ייעוץ בע”מ

UICגישה למשאבים לפי לכל משתמש מוגדר קודUIC אוקטלי

UIC = [Group, Member] קודUIC

קוד קבוצת משתמשיםקוד חבר בקבוצה

ניתן להגדיר שמות לערכיםדוגמאות

[110, 34]

[Consult, Ofer]

17שיינקין ייעוץ בע”מ

ארבעה סוגי הגנה קריאהREAD כתיבהWRITE ביצועEXECUTE

הרשאה לבצע תכנית הרשאה לראות תוכן ספריה לקובץ מסוים

ביטולDELETE

18שיינקין ייעוץ בע”מ

חלוקה לקבוצות

קבוצת הבעלים

הבעלים

שאר העולם

מנהל המערכת

19שיינקין ייעוץ בע”מ

חלוקה לקבוצותבעליםUICמשתמש= UIC משאב

קבוצהGroupמשתמש= Groupמשתמש

SYSTEMGroup10> משתמש

נועד למנהל המערכת וצוות הפעלהכל האחריםשאר העולם

20שיינקין ייעוץ בע”מ

UICפריבילגיות עוקפות SYSPRVשקול למשתמש מנהל המערכתGRPPRV שקול למנהל המערכת עבור

משאבים בבעלות אותה קבוצהBYPASSמקנה גישה בלתי מוגבלתREADALL מקנה גישה בלתי מוגבלת לקריאה

בלבדבגרסאות ישנות אפשר שינוי הגדרות גישה

21שיינקין ייעוץ בע”מ

ACLגישה למשאבים לפי Access Control Listהמנגנון מאפשר הגדרות פרטניותמוגדרים מזהים, הרשאות גישה ואופציותחשיבות לסדר רישום ההרשאותניתן להגדיר הרשאות גישה בנוסח

לכל מי שלא אסור מותר לגשתלכל מי שלא מותר אסור לגשת

ניתן להגדיר באמצעות המנגנון מעקב אחר גישה”Security Alarmלקבצים רגישים “

22שיינקין ייעוץ בע”מ

סוגי מזהים שם משתמש או מספרUICמצב גישה

LOCALDIALUPREMOTENETWORKBATCHDETACH

מזהים מיוחדים לפי הגדרת מנהל המערכת

23שיינקין ייעוץ בע”מ

אופציותDEFAULT

מוגדר עבור ספריות כברירת מחדל לקבצים חדשיםבספריה

PROTECTED ניתן למחיקה רק באופן פרטני ולא כחלק ממחיקה

גורפתPROPAGATE

יועתק לגרסאות חדשותNONE

ללא תכונות מיוחדות

24שיינקין ייעוץ בע”מ

ACLדוגמה לשימוש ב- $set file dua0:[users]ofer.dir /acl=

(identifier=[210,*],options=default+protected,access=read+write+control)

25שיינקין ייעוץ בע”מ

מעקב ודיווחמעקב אירועים

גישה מוצלחת כשלון בגישה

דיווח בזמן אמת לקב”ט / נאמן בטחון

26שיינקין ייעוץ בע”מ

מעקב אירועיםקביעת חתך אירועים על ידי הפקודה

set audit /alarm /enable=)…(סוגי אירועים

כניסה למערכתגישה לקבציםשינוי הגדרות משתמשיםשינוי הגדרות ותצורת מערכתהחלפת סיסמה -התקנת תוכניות בInstall

27שיינקין ייעוץ בע”מ

דיווח בזמן אמתהגדרת מסוף לקבלת דיווח בזמן אמת

reply /enable=SECURITYבדרך כלל יוגדר עבור

)מנהל האבטחה )קב”ט / נאמן בטחוןמפעיל

28שיינקין ייעוץ בע”מ

מניעת שימוש חוזר בדיסק הגנה על מידע “מחוק” בדיסק מפני שימוש לא

מורשהנדרשת הגנה על המידע בשתי רמות

בזמן עבודת המערכתבקריאה על ידי מתקן מיוחד

מבוצע על ידי כתיבה מחדש של אפסים עלהדיסק

שני סוגי מחיקה מחיקה בעת ביטול הקובץERASE מחיקה בעת הקצאה מחדשHigh Water Marking

29שיינקין ייעוץ בע”מ

הגדרת מחיקה בפועל מחיקה בעת ביטול הקובץErase on Delete

מתבצעת ברמת הדיסק או הקובץניתנת להגדרה כמאפיין לפקודת המחיקה

מחיקה בהקצאה מחדשHighWater Markingמוגדרת ברמת הדיסקלא מתבצעת עד שהבלוק אינו מוקצה מחדש

30שיינקין ייעוץ בע”מ

מחיקה בפועל - אזהרהלמחיקה בפועל מספר חסרונות

תלויה בהגדרות אינה מספקת הגנה אמיתית מפני קריאה במתקן

מיוחדפוגעת בביצועי הדיסק והמחשב

אין להסתמך על מחיקה בפועל בעת הוצאת דיסקמהמתקן !