17
Introduktion til sikkerhed i .NET Mark S. Rasmussen iPaper ApS [email protected] http://improve.dk Part 2

Introduktion til sikkerhed i .NET

  • Upload
    liona

  • View
    34

  • Download
    2

Embed Size (px)

DESCRIPTION

Introduktion til sikkerhed i .NET. Part 2. Mark S. Rasmussen iPaper ApS [email protected] http://improve.dk. whois. Technical Lead @ iPaper ApS Backend udvikling MSSQL Database administration Bløde opgaver (sysadm) AS3 / Flex efter behov. Tidligere MSP MDIP. agenda. - PowerPoint PPT Presentation

Citation preview

Page 1: Introduktion til sikkerhed i .NET

Introduktion til sikkerhed i .NET

Mark S. RasmusseniPaper [email protected]://improve.dk

Part 2

Page 2: Introduktion til sikkerhed i .NET

whois• Technical Lead @ iPaper ApS• Backend udvikling• MSSQL Database administration• Bløde opgaver (sysadm)• AS3 / Flex efter behov

• Tidligere MSP• MDIP

Page 3: Introduktion til sikkerhed i .NET

agenda• Native code tilgang• Custom permissions• Custom evidence & membership condition• Sandboxing• Transparent security• CoreCLR security model• Silverlight

Page 4: Introduktion til sikkerhed i .NET

spørgsmål

Page 5: Introduktion til sikkerhed i .NET

native code tilgang• Manglende granularitet• Gateway classes

– Begrænser mængden af unmanaged kode der kan kaldes– Løser ikke umiddelbart granuleritets problemet

• Implicit LinkDemand for FullTrust– APTCA

• Eksempel på gateway behov

Page 6: Introduktion til sikkerhed i .NET

custom permissions• Design af permission klassen

– Overlap af permissions– Granularitet– Minimer dependencies – bør være eget assembly– Bør seales (eller InheritanceDemand)

• Ipermission– Copy, Demand (CodeAccessSecurityPermission), FromXml, Intersect, IsSubsetOf, ToXml, Union

• IUnrestrictedPermission– Valgfri, bør benyttes til alle CAS permissions

• Eksempel på permission implementation

Page 7: Introduktion til sikkerhed i .NET

custom permissions• Deklarativ sikkerhed via en Attribute klasse

– Nedarves fra CodeAccessSecurityAttribute– Krævet for LinkDemand & InheritanceDemand– TypeLoadException hvis deklareret I samme assembly som det bruges I

• Eksempel på permission attribut implementation

Page 8: Introduktion til sikkerhed i .NET

custom permissions• Opdatering af security policy

– Everything er ikke alting!– Fortæl policy om din permission

• Tilføj til GAC – fulltrust foræres• Lav en permission XML til import brug• Opret permission set & import permission XML

• Eksempel på tildelingaf custom permission

Page 9: Introduktion til sikkerhed i .NET

custom evidence• Evidence klasse (GAC)• Serializer evidence i binært format• Test app fra LocalIntranet• Custom membership condition• Opret IMembershipCondition xml snippet• Opsæt membership condition i caspol• Kør app

Page 10: Introduktion til sikkerhed i .NET

sandboxing• Isolering af 3. parts kode• Runtime policy oprettelse & permission tildeling• Hvordan?

– Oprettelse af selvstændigt AppDomain– Opret custom app domain level policy– Opsætning af codegroup m/ membership conditions– Tildeling af permission set– Opsætning af policy hierarki– Afvikling af sandboxed assemblies / typer

• Eksempel

Page 11: Introduktion til sikkerhed i .NET

sandboxing• Gotcha’s

– Hvis type ikke er MarshalByRefObject så kopieres den til det oprindelige AppDomain– Hvis non-MarshalByRefObject typer skal bruges (eller f.eks. Ved loading af andre assemblies) kan det løses via en intermediary loader klasse– Send ikke referencer til andre typer/instancer i sandkassen tilbage til det oprindelige domæne

• System.Addin indeholder sandboxing funktionalitet

Page 12: Introduktion til sikkerhed i .NET

transparent security• Simplificerer sikkerhedsmodellen, begrænser muligheden for fejl & behovet for reviews

• Kan ikke ændre CAS stack walks – dvs. Ingen Assert• Kan ikke opfylde LinkDemands , blot Demands• Kan ikke afvikle unverifiable kode, uanset SkipVerification• Kan ikke kalde unmanaged kode via P/I eller COM Interop• Kan ikke tilgå kritisk kode som ikke specifikt tillader det

• Vil have MIN(TranspSecAssemblyPermSet, CallerPermSet) permissions – I praksis callees security kontekst

Page 13: Introduktion til sikkerhed i .NET

transparent security• Ikke mere transparent end at vi kan få stack walks til at fejle

• Kører med callees permissions

Evil.dll FullTrust

Framework.dll FullTrust

Transparent.dll LocalIntranet (Transparent)

Host.exe FullTrust

Evil.dll FullTrust

Framework.dll FullTrust

Transparent.dll FullTrust (Transparent)

Host.exe LocalIntranet

Page 14: Introduktion til sikkerhed i .NET

transparent security• Hvordan laver vi transparent kode?

– Kritisk som standard– [SecurityTransparent]– [SecurityCritical]

• Transparent som standard!– [SecuritySafeCritical]

Page 15: Introduktion til sikkerhed i .NET

coreclr security model• Al kode kørende under CoreCLR er 100% transparent

– Påhæftning af SecurityTransparent, SafeCritical & Critical ignoreres• Transparent vs. Critical code• Transparent kode kan ikke kalde critical kode• Gateway klasser som er safe critical• Kun platform assemblies kan være (safe)critical

– Hvad er platform kode?

Page 16: Introduktion til sikkerhed i .NET

silverlight• CAS eksisterer ikke!

– Kan ikke opfylde en LinkDemand– Kan ikke udføre en CAS assert

• Injection af UnmanagedCodePermission demand– Umuliggør unverifiable kode– Umuligør P/I & COM interop

• Kan ikke tilgå kritisk kode– Kan ikke tilgå standard CLR klasser– SecuritySafeCritical gateway klasser som del af CoreCLR platformen

Page 17: Introduktion til sikkerhed i .NET

[email protected]://improve.dk

mailto:[email protected]

F1 - Introduktion

F1 - Introduktion

Documents
Thomas Holme Hansen • Marie Lund • Henrik …library.au.dk/fileadmin/... fagportaler/arts/studieordninger/. INTRODUKTION 1. introduktion 6 INTRODUKTION I studieordningen finder

Thomas Holme Hansen • Marie Lund • Henrik …library.au.dk/fileadmin/... fagportaler/arts/studieordninger/. INTRODUKTION 1. introduktion 6 INTRODUKTION I studieordningen finder

Documents
Hesseloe | Introduktion

Hesseloe | Introduktion

Documents
TDC Perspektiv - Tema om IT-Sikkerhed

TDC Perspektiv - Tema om IT-Sikkerhed

Documents
Sikkerhed Denne præsentation handler om Netværkssikkerhed

Sikkerhed Denne præsentation handler om Netværkssikkerhed

Documents
27. FEBRUAR 2019 - juc.dk Managing Partner, Wired Relations SIKKERHED OG DESIGN Henning Mortensen, Formand, Rådet for Digital Sikkerhed IT-sikkerhed i lyset af GDPR 08.30 ANKOMST

27. FEBRUAR 2019 - juc.dk Managing Partner, Wired Relations SIKKERHED OG DESIGN Henning Mortensen, Formand, Rådet for Digital Sikkerhed IT-sikkerhed i lyset af GDPR 08.30 ANKOMST

Documents
CYBER- SIKKERHED I 2020 - BDO

CYBER- SIKKERHED I 2020 - BDO

Documents
Særlige krav til foreninger i svømmehaller …. Sikkerhed

Særlige krav til foreninger i svømmehaller …. Sikkerhed

Documents
SMÅ BØRNS SIKKERHED

SMÅ BØRNS SIKKERHED

Documents
Vejledning om informations- sikkerhed i sundhedsvæsenet

Vejledning om informations- sikkerhed i sundhedsvæsenet

Documents
Ulykkesforebyggelse eller sikkerhed

Ulykkesforebyggelse eller sikkerhed

Documents
Seo Introduktion

Seo Introduktion

Education
Arbejdstoej og sikkerhed oktober 2015 pco

Arbejdstoej og sikkerhed oktober 2015 pco

Documents
IT-SIKKERHED - di.dk · IT-sikkerhed er af stor betydning for alle danske virk-somheder. Desværre får IT-sikkerhed i den enkelte virk-somhed først ledelsens opmærksomhed på

IT-SIKKERHED - di.dk · IT-sikkerhed er af stor betydning for alle danske virk-somheder. Desværre får IT-sikkerhed i den enkelte virk-somhed først ledelsens opmærksomhed på

Documents
IT-sikkerhed som et byggeprojekt? - umbraco dk festival · IT-sikkerhed –som et byggeprojekt? IT-sikkerhed –hvem har ansvaret hvornår? Morten von Seelen, 2016-09-20

IT-sikkerhed som et byggeprojekt? - umbraco dk festival · IT-sikkerhed –som et byggeprojekt? IT-sikkerhed –hvem har ansvaret hvornår? Morten von Seelen, 2016-09-20

Documents
AVG Internet-sikkerhed 2012af-download.avg.com/filedir/doc/AVG_Internet_Security/...sikkerhed 2012

AVG Internet-sikkerhed 2012af-download.avg.com/filedir/doc/AVG_Internet_Security/...sikkerhed 2012

Documents
GomSpace introduktion

GomSpace introduktion

Technology
Projekt sikkerhed på legepladser i

Projekt sikkerhed på legepladser i

Documents
En introduktion

En introduktion

Documents
Dansk It Neupart Cloud Sikkerhed Risikovurdering

Dansk It Neupart Cloud Sikkerhed Risikovurdering

Documents
Brugervejledning Kontrol konsol ПУ-27 - AUTOTERM · ПУ-27 DK . 2 Indhold 1 Introduktion 3 2 Garanti og ansvar 3 3 Sikkerhed 4 4 Anvendelse 4 5 Kontrol konsol beskrivelse 5 6 Start

Brugervejledning Kontrol konsol ПУ-27 - AUTOTERM · ПУ-27 DK . 2 Indhold 1 Introduktion 3 2 Garanti og ansvar 3 3 Sikkerhed 4 4 Anvendelse 4 5 Kontrol konsol beskrivelse 5 6 Start

Documents
Introduktion til sikkerhed i .NET

Introduktion til sikkerhed i .NET

Documents
Pallereoler og sikkerhed på lagret

Pallereoler og sikkerhed på lagret

Documents
Sikkerhed på nettet

Sikkerhed på nettet

Technology
Til ledelsen it-sikkerhed for forretningen

Til ledelsen it-sikkerhed for forretningen

Business
Introduktion gymnasiet

Introduktion gymnasiet

Documents
SOS Insights Sikkerhed på storbyrejsen

SOS Insights Sikkerhed på storbyrejsen

Documents
It i alting - sikkerhed i ingenting?

It i alting - sikkerhed i ingenting?

Documents
Sikkerhed pp

Sikkerhed pp

Documents
Vintergatan introduktion

Vintergatan introduktion

Business