Journal of KIISE:Computing Practices and Letters (한국정보과학회논문지:컴퓨팅의 실제 및 레터)

Korean Institute of Information Scientists and Engineers (한국정보과학회)
권호 표지

Implementation and Evaluation of Multi-level Secure Linux

다중등급 보안 리눅스 구현 및 시험평가

  • 손형길 (행정자치부 행정망운영) ;
  • 박태규 (한서대학교 컴퓨터정보학과) ;
  • 이금석 (동국대학교 컴퓨터공학과)
  • Published : 2003.06.01
Download PDF
⟨ Previous Next ⟩

Abstract

A current firewall or IDS (intrusion detection system) of the network level suffers from many vulnerabilities in internal computing servers. For a secure Linux implementation using system call hooking, this paper defines two requirements such as the multi-level security function of TCSEC B1 and a prevention of hacking attacks. This paper evaluates the secure Linux implemented in terms of the mandatory access control, anti-hacking and performance overhead, and thus shows the security, stability and availability of the multi-level secure Linux. At the kernel level this system protects various hacking attacks such as using Setuid programs, inserting back-door and via-attacks. The performance degradation is an average 1.18% less than other secure OS product.

기존 침입차단시스템과 침입탐지시스템과 같은 외곽방어 개념의 보안대책은 전산망 내의 중요 서버를 보호함에 있어서 그 한계를 갖는다. 본 논문에서는 보안 리눅스 운영체제를 구현함에 있어 중요 요구사항으로 TCSEC B1급의 다중등급 보안 기능과 해킹 방어 기능을 정의하고, 이를 시스템 후킹을 통한 리눅스 커널 모듈로 구현하였다 본 구현 시스템의 시험 평가로서 강제적 접근제어 및 해킹 방어 시험, 성능 측정을 실시하여 보안성 및 안정성, 가용성을 입증하였다. 구현된 보안 커널 기반의 리눅스 운영체제는 Setuid 이용 공격, 버퍼 오버플로우 공격, 백도어 설치 공격, 경유지 이용 공격 둥의 해킹을 커널 수준에서 원천적으로 차단하며, 평균 1.18%의 성능 부하율을 나타내어 타 시스템보다 우수하다.

Keywords

References

  1. Peter A. Loscocco et al., The Inevitability of Failure: The Flawed Assumption of Security in Modem Computing Environments, 21st NISSC, 1998
  2. Dixie B. Baker, Fortresses Built Upon Sand, ACM Proc. of the New Security Paradigms Work-shop, 1996 https://doi.org/10.1145/304851.304886
  3. Sue Hildreth, ASP Security: Why Firewall Are Not Enough, http://www.ebizQ.net, 2001.2
  4. Thomas H. Ptacek et al., Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection, NAI Lab., 1998.1
  5. Http://www.police.go.kr 경찰청 사이버테러 대응센터 보도자료
  6. ISO/lEC 15408 Common Criteria, commoncriteria.org 1999. 8
  7. D. D. Downs et al., 'Issues in Discretionary Access Control,' Proc. of IEEE Symposium on Security and Privacy, pp. 208-218, 1985 https://doi.org/10.1109/SP.1985.10014
  8. Charles P. Pfleeger, Security in Computing, PTR, 1997
  9. DoD, Trusted Computer System Evaluation Criteria, DoD 5200.28. STD, 1985
  10. ISO/IEC lTCl/SC27, Information Technology-Security Techniques - Security Information Object, N2315, 1999
  11. http://www.radium.ncsc.mil/tpep/epl
  12. http://www.cs.utah.edu/flux/fluke
  13. Charles W. Flink II et al., 'System V/MLS Labeling and Mandatory Policy Alternatives,' Proc. of USENIX-Winter'89, pp. 413-427, 1989
  14. Security Enhanced Linux, http://www.nsa.gov/selinux
  15. Paul C. Clark, Policy-Enhanced Linux, 23rd NISSC, 2000
  16. Immunix, http://immunix.org/
  17. Federal Register/Vol.65, No.10/Rules & Regulationt(Part III: Dept. of Commerce, Bureau of Export Administration, Revision to Encryption Items;Interim Final Rule, Jan. 14, 2000)
  18. Computer Associates, eTrust Access Control for UNIX, 2001
  19. IEEE Std 1003.2c-Draft standard fot Information Technology Portable Operating System Interface(POSIX) Part 2: Shell and Utilities : Protection and Control Interfaces
  20. Bell. D. and Lapadula, 'Secure Computer System: Mathematical Foundations and Model,' MITRE Report MTR 2547, v2 Nov 1973
  21. R. Magnus et al, LINUX KERNEL INTERNALS, 1999