bezpecnost urovne C2

Michal Dobes dobes na tesnet.cz
Středa Říjen 4 09:32:05 CEST 2000 

"Ing. Pavel PaJaSoft Janousek" wrote:
> 
> > mel bych jednoduchy dotaz: vyhovuje Linux bezpecnosti urovne C2?
> > Popripade co je ke splneni teto bezpecnosti zapotrebi ucinit.
> 
>         Necetl jsem nikde presny popis C2, ale vhledem k tomu, ze tento
> certifikat ziskaly MS WindowsNT (tusim 3.5 nebo 4.0?) s tim, ze stroj,
> ktery nema sitove propojeni (rozumej, nesmi byt ani v siti MS network),
> nema zadne sdilene prostreky (tj. vcetne sitoveho tisku) tento
> certifikat muze obdrzet, tak si myslim, ze po strance bezpecnosti a
> funkcnosti __muze__ linux tuto sluzbu nabidnout srovnatelnym (IMHO
> dokonce spolehlivejsim) zpusobem.

NT maji C2 certifikat, ale pokud si vzpominam, tak podle oranzove 
knihy. To je pro stand-alone systemy, C2 pro sitove je popsano 
v cervene knize.
Linux asi nebyl nikdy certifikovan treti stranou (nejlepe US vlada),
protoze dneska v nem chybi spousta veci ke splneni zakladnich veci.
Napriklad nutna podpora ACL, velmi silneho logovaciho systemu. To
je hodne velky problem v provozu, provozni logy v C2 systemu muzou
na zatizenem systemu narustat v radech stovek i vice MB za den, pak
potrebujete hodne dobry redukcni nastroj, pokud v tom chcete neco
hledat. Ten neni kolikrat soucasti ani komercnich systemu s C2, 
protoze norma to nepozaduje. Dale je tam cela rada dalsich pozadavku,
na nektere pro linux vznikly nastroje, ale ne pro vsechny.

Dalsi neprijemnosti je, ze C2 je certifikat celeho systemu. To znamena,
ze v certifikatu je uvedeno, ze se tyka rekneme distribuce RH6.2 
s temito vyslovne pridanymi baliky a cele je to provozovano na tomto
vyslovne uvedem hardwaru. Pokud jakoukoliv polozku z toho zmenite
(treba upgrade named), tak system uz samozrejme certifikovany neni.
Napr C2 ceritifikat pro Win NT od NSA je pro toto:
Windows NT 3.5 with Service Pack 3 on the Compaq ProLiant 2000 
and ProLiant 4000 Pentium systems, and on a DECpc AXP/150. 
The LSEL diagnostics software was used as part of the configuration. 
The systems were certified only in a stand-alone configuration 
(no network).
Existuje pak jeste nekolik dalsich certifikatu, ale pokud si
vzpominam, tak nepochazi od NSA a maji omezenou platnost. Treba
NT3.51 maj certifikat z Anglie. Pro Win NT4.0 nevim, asi neco take
maji.

	Majkl (majkl na tesnet.cz)

Další informace o konferenci Linux