Notas de Aula - MAC 5759 - Sistemas de Objetos Distribuídos

Aula 15 - 6/5/2002

Segurança em Sistemas de Objetos Distribuídos

• Segurança é um dos aspectos mais importantes de sistemas distribuídos pois tem a ver com a usabilidade dos sistemas
• Por outro lado, é um dos aspectos sobre o qual temos menos conhecimento e controle
• Nunca podemos dizer que um determinado sistema é 100% seguro. Provavelmente, nunca poderemos
• Em sistemas distribuídos, o conceito de confiança ( trust) torna-se muito nebuloso: em quem podemos confiar?
  

• É um tópico que já foi muito estudado, então é preciso tomar cuidado para não "reinventar a roda"
• Se o seu sistema precisa de segurança, o melhor é estudar as tecnologias existentes e escolher uma (ou algumas) delas
• Só em último caso é que se deve pensar em utilizar uma nova técnica ou metologia

• Mesmo que você não precise controlar a segurança em seu sistema, talvez você seja forçado a estudar o assunto para fazer com que o seu sistema funcione em ambientes que utilizam mecanismos de segurança (p.ex. firewalls, applets)

Aspectos a se considerar em Segurança

• criptografia (é uma ferramenta que ajuda a implementar os itens seguintes)
• autenticação (de usuários e objetos)
• controle de acesso
• isolamento (estilo Java sandbox e Janus sandbox para C++)
• auditoria
• geração de provas (non-repudiation)

Segurança em Applets e CORBA

• Applets Java utilizam um areião (sandbox) para proteger as máquinas dos clientes do código móvel que vem da Internet
• O areião limita muito o que a applet pode fazer (p.ex., o acesso a arquivos locais é muito limitado, o acesso a impressoras e outros periféricos não  permitido)
• Em termos de conexões de rede, uma applet só pode abrir conexões para a máquina de onde o seu código foi baixado.
• PROBLEMA: uma applet só pode enviar requisições CORBA para a máquina de onde o código foi baixado
• SOLUÇÃO: colocar um IIOP gateway na mesma máquina do servidor HTTP de onde a applet veio
• Esse gateway redireciona as requisições CORBA que recebe para outras máquinas
• BVD, Figura 12.1, pag., 534
  
• Muitos ORBs vem com uma ponte desse tipo:
• Appligator do JacORB
  
• Gatekeeper da Visigenic
• Wonderwall da Iona
  

• Outra alternativa que depende de configuração manual do navegador do cliente: Applets Assinadas Digitalmente
• O usuário precisa definir em um arquivo local de políticas quais as permissões que applets assinadas por cada entidade receberão
• Vantagem: maior poder e flexibilidade
• Desvantagem: exige configuração manual

Portas Corta-Fogo (Firewalls)

• Um mecanismo altamente difundido mas pouco eficaz
• Serve para eliminar ataques e tentativas de invasão grosseiras
• São muito pouco eficazes em proteger um sistema de ataques sofisticados
• outbound e inbound firewalls: BVD, Figura 12.2, pag., 536
  
• Tipos de firewalls
• Filtragem de Pacotes
• Uma tabela definida manualmente pelo administrador de sistema define quais pacotes podem passar
• Exemplos: 
• pacotes UDP/IP só podem entrar se forem destinados à maquina pateta.xpto.org.br nas portas 10 a 20
• conexões TCP/IP podem ser enviadas para qualquer máquina www*.xpto.org.br na porta 80
• todos pacotes IP vindos das máquinas *.xpto.org.es podem entrar
  
• Note que os dois primeiros exemplos limitam MUITO o tipo de serviço que pode ser oferecido por este domínio
• Note que o terceiro exemplo não garante muita coisa pois é relativamente fácil forjar o endereço de origem dos pacotes
  
• Pontes no nível das Aplicações (Application-Level Gateways)
• permite uma filtragem mais fina que "olha" dentro de cada pacote
• o programador da aplicação escreve a ponte e a instala no firewall
• esta ponte pode autenticar os pacotes e redirecioná-los para as máquinas apropriadas da Intranet
• Artigo sobre Firewalls no Linux
  
• Problemas de CORBA com firewalls
• A configuração dos firewalls é muito estática. Em geral, não se sabe a qual porta um servidor CORBA será associado.
• Paleativo: ORBs permitem especificar na linha de comando qual porta a ser utilizada.
• Problema: só um processo pode abrir uma conexão em uma determinada máquina. E se eu quiser várias réplicas do meu servidor? E se eu quiser executar o servidor em várias máquinas.

Tunelamento via HTTP (HTTP Tunneling)

• Solução meia-boca para fazer CORBA passar por portas corta-fogo
• Como a web é um dos serviços mais populares da Internet, praticamente toda firewall deixa passar as conexões para a porta 80 de TCP/IP
• Então, envia-se as requisições CORBA disfarçadas de reqisições HTTP para essa porta
• Uma ponte específica (p.ex. Gatekeeper e wonderwall) verifica se é uma requisição para um servidor HTTP ou para um ORB e a redireciona
• Um GIOP Proxy é parecido mas as requisições GIOP não vem disfarçadas de HTTP. Tanto as requisições GIOP quanto as HTTP vem para o mesmo processo e o GIOP proxy as processa.
  

SSL e CORBA

• SSL é um protocolo para conexões seguras implementado em cima de TCP/IP
• A OMG agora possui um padrão de como permitir conexões IIOP em cima de SSL
• Não existe uma interface CORBA padrão para configuração do SSL, cada ORB tem o seu. A configuração pode ser tanto através de arquivos de configuração quanto programática.
• A principal dificuldade com SSL é manter as chaves públicas (Public Key Infrastructure ou PKI)
• usuários podem receber chaves públicas por "chamadas telefônicas" ou outros meios seguros e configurar os seus sistemas manualmente
  
• outra alternativa é fazer como o Netscape que usa certificados emitidos por empresas como Verisign ou Thawte
• Existe uma especificação da OMG de 2000 de uma interface IDL para lidar com Autoridades de Certificação (Certification Authorities)
  

SSL e Java RMI

• A partir da JDK 1.2 é possível definir uma custom RMI socket factory que cria os soquetes para a comunicação RMI
• Usando a Java Secure Socket Extension (JSSE) 1.0 é possível criar uma fábrica de soquetes SSL.
• Maiores detalhes podem ser encontrados na página da Sun sobre RMI e SSL
  

O Serviço de Segurança de CORBA

• É uma especificação enorme, super-completa de um serviço de segurança
• É tão poderoso que muito poucos ousaram implementá-lo
• Nem sei se alguém implementou todo o padrão, provavelmente não
• Outro grande problema é a interoperabilidade entre 2 implementações diferentes do padrão
• se o padrão é implementado usando mecanismos incompatíveis, fica difícil interoperar
  

• Requisitos abordados pelo serviço
• Confidencialidade - a informação só está disponível para quem deve estar
• Integridade - a informação só é alterada por quem é autorizado a fazer isso
• Responsabilização (accountability) - as ações dos usuários envolvendo segurança são guardadas para posterior verificação e responsabilização dos usuários pelos seus atos
• Disponibilidade - Usuários autorizados conseguem acessar o serviço quando querem (é o mais difícil de implementar)
• Ameaças a Segurança
• usuários acessando serviços aos quais eles não tem acesso
• um usuário fingindo que é outro usuário ou assumindo um papel ao qual ele não tem direito
• monitoramento de canais de comunicação confidenciais
• modificar, apagar ou re-enviar mensagens em canais de comunicação
• um usuário (p.ex. com super-poderes) realizando operações que não são registradas em um log
• um usuário negando que tenha assinado um contrato
  

• O Serviço de Segurança de CORBA oferece as seguintes funcionalidades
• Identificação (de usuários, objetos, etc.) e Autenticação
• Autorização e Controle de Acesso
• Delegação
  
• Auditoria - mantendo registros das atividades, quais atividades devem ser registradas, quais não
• Segurança da Comunicação
• autenticação dos 2 extremos
• garantia de integridade
• garantia de confidenciabilidade
• Geração de Provas (Non-repudiation) - usado para:
• oferecer uma prova da origem de certos dados para o destinatário dos dados.
• oferecer ao remetente uma prova de recebimento dos dados pelo destinatário
• desta forma, é possível evitar que destinatários ou remetentes neguem as suas ações
• Exemplo: compra de produtos via Internet.
• Muito bom para comércio eletrônico.
• Administração de Políticas de Segurança
• ferramentas para determinar as políticas em cada domínio

Níveis de Segurança

• Security Level 1 - transparente para as aplicações
• a segurança é configurada através de meta-interfaces
• suporte para autenticação, integridade e confidenciabilidade de mensagens, controle de acesso e auditoria
• Security Level 2 - interfaces específicas para as aplicações lidarem com segurança
• toda a funcionalidade do nível 1 mais controle mais fino da integridade, confiança (trust) e auditoria

Modelo de Segurança

• Elementos do Modelo
  
• BVD, Figura 12.8, pag., 552
  
• Controle de acesso
• Chamada remota segura
• objeto Current
• objetos Credentials
  

• O objeto Current é enviado de forma transparente à aplicação (ou não) e contém informações sobre o contexto daquela chamada
• Entre elas, está as credenciais do cliente.
• Uma credencial é assinada digitalmente e contém os atributos de privilégios do cliente, i.e., diz o que o cliente tem direito de fazer
• Baseado na credencial e, por exemplo, em listas de controle de acesso, o ORB do servidor decide se a operação pode ser executada ou não

Interfaces de programação

• O padrão do serviço de segurança define muitas interfaces complicadas, discute possíveis maneiras de implementar mas não determina muito as coisas
  
• Uma operação do pseudo-objeto ORB diz quais os serviços e mecanismos de segurança disponíveis para a aplicação:
• public boolean get_service_information(short service_type,
                                         ServiceInformationHolder service_info)
• (ainda não implementado na JDK 1.4, por exemplo)
• Credenciais

• module SecurityLevel2 {
    interface Credentials {// Locality Constrained
          Credentials copy ();
          void destroy();
          void set_security_features (                
              in   Security::CommunicationDirection   direction,
              in   Security::SecurityFeatureValueList security_features); //
              veja abaixo
           Security::SecurityFeatureValueList get_security_features (
              in   Security::CommunicationDirection   direction);
           boolean set_privileges (
              in   boolean                            force_commit,
              in   Security::AttributeList            requested_privileges,
              out  Security::AttributeList            actual_privileges);
           Security::AttributeList get_attributes (
              in   Security::AttributeTypeList attributes);
              boolean is_valid (out  Security::UtcT expiry_time); // note o out
              boolean refresh(); // permite que a aplicação renove a credencial
      };
  
      typedef sequence <Credentials>  CredentialsList;

• As security_features possíveis são:

• enum SecurityFeature {
      SecNoDelegation, 
      SecSimpleDelegation, 
      SecCompositeDelegation, 
      SecNoProtection, 
      SecIntegrity, 
      SecConfidentiality, 
      SecIntegrityAndConfidentiality, 
      SecDetectReplay, 
      SecDetectMisordering, 
      SecEstablishTrustInTarget
    }; 
  

• Geração de Provas:
• generate_token (output_token, ...)
• verify_evidence (input_token, ...)
• form_complete_evidence (input_token, output_token)
  

Pesquisa atual em Segurança em Sistemas de Objetos Distribuídos

• MicoSec é uma implementação aberta do padrão
• Esta apresentação PPT mostra um trabalho interessante de pesquisa em segurança para middleware realizado na Universidade de Cambridge, na Inglaterra, realizado por Ulrich Lang. (Pode ser aberta em StarOffice).
  

Referências:

• Para conhecer os avancos recentes das pesquisas em Seguranca, a melhor fonte é o USENIX Security Symposium.

• Brose, Vogel e Duddy capítulo 12.
• A página  CORBA Security Services do OMG