home *** CD-ROM | disk | FTP | other *** search

---

/ Power Tools 1993 November - Disc 2 / Power Tools Plus (Disc 2 of 2)(November 1993)(HP).iso / hotlines / gsyhl / secwp.txt

< prev

next >

Wrap

Text File  |  1993-04-23  |  40KB  |  827 lines

---

1. General Systems Division
2. Series 800 System Security White Paper
3.  
4. 1.  INTRODUCTION
5.  
6. Information, stored in computers as data, is a vital resource which has
7. become increasingly difficult to protect in today's computing
8. environments.  Among the most significant trends in computing are the
9. proliferation of distributed, desktop computing architectures, local-
10. area and global network access, multi-vendor solutions, and computer
11. literacy.  HP recognizes the threat that all of these trends represent
12. in increasing the vulnerability of its computer systems to security
13. failures. Moreover, HP believes that its continued success in the
14. computing solutions business depends on its ability to address these
15. threats.  In fact, In order to continue to be viewed as a strategic
16. partner to customers, HP must take a leadership role in solving the
17. global enterprise-wide security problem
18.  
19. This paper describes the HP strategy for addressing this challenge and
20. the role that HP 9000 Series 800 family business servers is playing.
21. Additionally, it covers the key security features and customer benefits
22. of both the HP-UX operating environment and an enhanced-security
23. version of HP-UX called HP-UX BLS.  Third-party software packages are
24. described which enhance HP-UX security in areas such as security
25. assessment and management.  Finally, an update is provided on GSY's
26. strategy to address the special security challenges associated with the
27. client-server paradigm of computing.
28.  
29. 2.  BACKGROUND
30.  
31. A trusted system or network is a computing environment that is trusted
32. by its owner to process data in a well understood manner.  With the
33. knowledge of what a particular system or network can and cannot be
34. trusted to do, a system security administrator can assess the risks
35. associated with using a system or network in a particular installation
36. and make the appropriate tradeoffs between data security, data
37. accessibility, and system functionality.
38.  
39. Within the U.S. government the DoD "Trusted Computer System Evaluation
40. Criteria" (TCSEC or "Orange Book") is used as a standard metric for
41. evaluating and comparing operating systems.  Based on a lengthy
42. evaluation by the National Computer Security Center (NCSC), an
43. operating system running on a particular hardware platform is assigned
44. one of the following ratings in order of increasing level of trust:
45. C1, C2, B1, B2, B3 and A1 (see also Appendix A).  The NCSC is beginning
46. to conduct network evaluations based on the "Trusted Networking
47. Interpretation" of the Orange Book called the TNI or "Red Book."
48.  
49. Because the Orange and Red Books are widely accepted and understood
50. criteria, they have represented useful tools for evaluating systems for
51. use in commercial environments as well as federal government and
52. defense-related markets.  For this reason, they have served as
53. important product development models for trusted operating system
54. development at Hewlett-Packard.  However, since the Orange Book does
55. not address many commercial and non-U.S. sector needs, HP is supporting
56. efforts to develop more global and commercially-focused criteria which
57. complement previously established U.S.  metrics.  For example, HP is
58. participating in NIST and X-Open efforts to develop a standard criteria
59. for commercial security.  HP is also supporting U.S. federal government
60. efforts to develop more global evaluation criteria by harmonizing
61. "Orange Book" metrics with those subsequently developed for Europe (eg,
62. Germany's IT Security Criteria).
63.  
64. 3.  STRATEGY AND VISION
65.  
66. Hewlett-Packard has a strategic framework for providing secure open
67. computing and services and GSY's Series 800 family of business servers
68. is the strategic open systems platform in this company-wide program.
69. Based on international standards, this strategy focuses on providing
70. easy-to-manage, interoperable, computing solutions.  As HP continues to
71. deliver on its secure open computing strategy, HP will provide
72. integrated security solutions across the broadest range of scalable
73. systems and devices as well as providing excellent pre- and post-sales
74. security consulting and support.
75.  
76. This strategy is being implemented through the ongoing development of a
77. security reference model which was launched at HP's Research
78. Laboratories in Bristol, England.  HP's model integrates a
79. comprehensive and modular family of current and planned security
80. solutions allowing customers to tailor HP's offering to meet the
81. particular needs of their environment.  The model integrates HP, OSF
82. and other third-party offerings so that customers have a degree of
83. choice to select best-in-class solutions.  Based on the emerging
84. standard OpenView network management technology, HP's security model
85. integrates a common security management framework.
86.  
87. Securing global, open computing environments is an aggressive goal to
88. pursue. HP has technology building blocks such as B1-level secure
89. servers and workstations available today. These capabilities provide a
90. foundation upon which to build. These existing and planned S800 server
91. capabilities are the subject of the remainder of this paper. Please see
92. Appendix B to find out how to learn more about HP's strategic framework
93. for delivering secure open computing.
94.  
95. 4.  OPERATING SYSTEM, NETWORKING, AND DATABASES
96.  
97. This section details the features and benefits of HP's commercial
98. security offering based on the HP-UX operating environment, including
99. secure networking and third-party security application support.  Future
100. directions for enhancing HP-UX commercial security are also described.
101. Further, it describes the key features and customer benefits of the
102. enhanced security version of HP-UX called HP-UX BLS.
103.  
104. 4.1 HP-UX
105.  
106. With the implementation of available security enhancements to HP-UX
107. described below, HP-UX offers an operating environment which meets the
108. majority of commercial customer security requirements.  HP-UX is
109. designed to exceed the US Department of Defense (DoD) "Orange Book"
110. criteria for a C2 rating.  Currently, HP has no plans to pursue an NCSC
111. evaluation of HP-UX at the C2 level of trust since commercial customers
112. typically rely on their own internal certification processes.
113. Nevertheless, some customers request a statement of functional
114. compliance in lieu of a formal NCSC evaluation (see Appendix C).
115.  
116. 4.1.1 Auditing.  HP-UX maintains an audit log of security relevant
117. events.  For maximum accountability auditing can be set to log every
118. time any user on the system issues a system call.  For customers
119. concerned with maximizing performance, auditing can be configured to
120. audit a subset of users for particular events such as failed attempts
121. to login or access files and printers.  Auditing provides customers
122. with two primary benefits.  First, Auditing improves user
123. accountability and deters unauthorized actions.  Second, it provides a
124. tool for assessing damage from security failures.
125.  
126. 4.1.2 Access Control Lists.  ACLs give the end-user increased
127. flexibility in authorizing or restricting file access on the basis of
128. "need to know".  By default the Access Control List for any given file
129. initially consists of the user group assigned by the system
130. administrator when the user was added to the system.  The file owner
131. can add or delete individuals from that list by issuing a simple
132. command. To accomplish the same result in generic UNIX implementations
133. would require some clumsy manipulation of user groups by the system
134. administrator.  Through the implementation of ACLs--a B3-level feature-
135. -HP-UX exceeds the discretionary access control requirement for C2-
136. level systems.
137.  
138. 4.1.3 Protected Password Database.  It is important to protect
139. passwords in order to prevent unauthorized file access, copy,
140. modification, or capture of privileges.  Also, failure to properly
141. authenticate users on the system foils user accountability.  In HP-UX
142. the encrypted password data field can be relocated to a file which is
143. only accessable by the superuser.  In generic versions of UNIX, the
144. "etc/passwd" file containing the encrypted password field is publicly
145. readable.  Users can then copy the encrypted passwords into a personal
146. file and run a program designed to crack easy passwords.
147.  
148. 4.1.4 Documentation.  HP-UX includes a special chapter in the "Guide to
149. HP-UX" which educates the end-user on security policy and user
150. responsibility, security features of the operating system, and how to
151. use new features like ACLs.  In addition, a special system
152. administrator guide called "HP-UX System Security" is provided which
153. explains how to set up and maintain a secure system.  It describes, for
154. example, how to configure the auditing parameters and interpret the
155. audit log data and how to control user access to directories and files.
156.  
157. 4.1.5 Networking.  Today LAN Link and ARPA Services running on the
158. currently available HP-UX operating system are designed to meet the C2-
159. level of trust.
160.  
161. 4.1.6 Third-party Security Management Software.  The success of the
162. S800 in the marketplace has attracted a host of developers of system
163. administration packages for the HP-UX operating environment in general.
164. New security software packages which augment HP-UX functionality in the
165. areas of security management and security assessment include "Security
166. Toolkit" from Raxco, "Usecure" from System Center, "CA-Unicenter" from
167. Computer Associates, and "Security Audit" from Interactive Systems.
168. Appendix D provides company contact information as well general product
169. overviews and detailed feature descriptions.
170.  
171. 4.1.7 HP-UX Commercial Security Direction
172.  
173. Commercial security will be a major design theme in upcoming HP-UX
174. releases.  While HP-UX currently offers a solid base of security
175. functionality for Unix environments, more robust functionality is
176. desirable in environments where the Series 800 serves as a mainframe
177. alternative.  Enhancements to HP-UX commercial security functionality
178. will be primarily in the areas of password management, login
179. restrictions or system access control, and system administrator roles.
180.  
181. Password management features include password generation, password
182. selection/screening, and password aging functionality.  Login
183. restrictions include time-of-day access control, unattended terminal
184. time-out, and terminal ID access control.  Many of these features are
185. available today from third-parties.  However, GSY's direction is to
186. offer these as standard features administered through a consistent
187. easy-to-use system administrator interface (SAM).
188.  
189. The roles capability provides pre-packaged system administrator
190. accounts such as security administrator, system manager, and system
191. operator. This avoids the necessity to assign the superuser privilege
192. to users which are only responsible for a narrowly defined set of tasks
193. such backing-up and restoring a system.  Password management, login
194. restriction, and roles are features which are currently available on
195. HP-UX BLS described next.  Thus, the HP-UX implementation may leverage
196. heavily from the code already developed for HP-UX BLS.
197.  
198. 4.2 HP-UX BLS
199.  
200. HP-UX BLS (B-Level Security) is an enhanced security version of the HP-
201. UX operating system.  HP-UX BLS addresses the more complex "multi-
202. level" security needs typical in federal government and defense-related
203. communities which process sensitive information.  HP-UX BLS is
204. currently under evaluation by the NCSC targeting a B1 rating.  HP is
205. currently in the Design Analysis phase which is the second phase of a
206. three-step evaluation process.  Upon completion of the evaluation
207. process, HP-UX BLS will be placed on the NCSC Evaluated Products List
208. (EPL).
209.  
210. The HP-UX BLS system strategy is based on a commitment to implementing
211. industry standards to facilitate application portability and multi-
212. vendor interoperability.  Accordingly, HP-UX BLS integrates de facto
213. standard secure system technology selected by OSF with HP-UX Release
214. 8.0.  Thus, because both HP-UX BLS and OSF trusted systems strategies
215. are consistent, HP-UX protects customers investment in security for
216. customers which migrate between or interoperate within OSF-based
217. security environments.  In addition, HP-UX BLS complies with the System
218. V Interface Definition, Issue 2 (SVID2) and will comply with IEEE's
219. POSIX (1003.6) once the definition is established for operating system
220. security extensions.
221.  
222. Since HP-UX BLS security enhancements are built into the software
223. architecture described below, unless restricted by the security policy,
224. off-the-shelf commercial applications will run without modification.
225. Similarly, many of the value-added applications, tools, and features,
226. developed for HP-UX will function in a secure fashion.  For example,
227. HP-UX BLS inherits from HP-UX support for Autoconfig; C, Pascal, COBOL,
228. and FORTRAN; and new end-user tools such as Terminal Session Manager.
229.  
230. B1-level security is a superset of the requirements at the C2 level.
231. As a result, some feature and benefit descriptions reference the
232. discussion of HP-UX above.  However, while HP-UX and HP-UX BLS share
233. common security features, their implementations vary since HP-UX BLS
234. incorporates third-party (OSF) security technology.  As a result,
235. depending on the previous level of customer investment in implementing
236. standard HP-UX security features (e.g., ACLs, Auditing) there may be
237. some migration issues in moving to HP-UX BLS with respect to
238. application portability and user/system administration interface
239. consistency.
240.  
241. 4.2.1 Security Architecture.  The core of the HP-UX BLS secure system
242. design is the Trusted Computing Base (TCB), the set of mechanisms
243. responsible for enforcing the system's security policies.  These
244. policies transparently protect information from disclosure to
245. unauthorized individuals.  HP-UX BLS supports sensitivity labeling in
246. conjunction with mandatory and discretionary access control policies to
247. control access to system information.
248.  
249.       Sensitivity Labeling.  Sensitivity labels are assigned to all
250. system subjects (e.g., users, processes) and objects (e.g., files,
251. devices).  The system supports a virtually unlimited number of labels
252. which can be hierarchical (e.g., secret, unclassified) and/or
253. categorical (e.g, NATO, personnel).  The initial assignment of labels
254. is the responsibility of the Systems Administrator.  These labels are
255. subsequently inherited by all files created in the user's session.
256.  
257.       Mandatory Access Control (MAC).  When users attempt to access
258. objects their sensitivity labels are compared using the Bell-LaPadula
259. model of computer security to determine access privileges.  This model
260. supports the concepts of read-down and write-up.  Users can read
261. objects at their own level and lower and write only to objects of the
262. same level.  This policy is referred to as "mandatory" since users can
263. not alter these access permissions at their own discretion.
264.  
265.       Discretionary Access Control (DAC).  This policy allows users to
266. grant or deny access at their own discretion within the limits of MAC.
267. Like HP-UX, HP-UX BLS enforces this policy through the implementation
268. of Access Control Lists (ACLs) which grant or deny a single user access
269. to files.
270.  
271. In combination these policies ensure that users have both the proper
272. clearance to access data as defined by MAC, and a user-controlled
273. "need-to-know" defined by DAC.  Since these security policies are built
274. into the software architecture, unless restricted by these policies,
275. commercial applications will run without modification.  It is the
276. responsibility of the System Administrator to determine whether or not
277. a given application can be trusted to run in a particular installation.
278.  
279. 4.2.2 Password Management.  HP-UX BLS supports an elegant password
280. management mechanism that meets the objectives and recommendations of
281. the Department of Defense Password Management Guideline ("Green Book").
282. This mechanism supports password generation, screening, and aging
283. functionality in order to reliably identify and authenticate users.
284.  
285. 4.2.3 Authentication Database.  The Authentication database consists of
286. a number of separate, secure databases designed to:  protect passwords;
287. control terminal access; ensure system file correctness; keep track of
288. device sensitivity and privilege assignment; and maintain system-wide
289. defaults for some of the entries in other databases so that a global
290. security policy is easy to define and change.
291.  
292. 4.2.4 Least Privilege.  HP-UX BLS supports the principle of least
293. privilege which states that each subject should be given no more
294. privileges than absolutely required to perform its intended function.
295. In HP-UX BLS, the privileges that had been associated with the
296. superuser are divided up into a number of different authorizations.
297. Each privileged operation is associated with a set of authorizations.
298. Only users possessing the required authorization can run the privileged
299. operation.
300.  
301. Administrative tasks can be separated into a number of distinct roles.
302. This reduces the probability that an inadvertent administrator error
303. compromises security.  More importantly, it is no longer necessary to
304. tolerate the risk associated with super-user privilege on the system.
305. HP-UX BLS pre-defines three roles.  The "auth" administrator role
306. establishes and manages all user accounts.  The "audit" administrator
307. controls access to the security auditing mechanism, selects parameters
308. for audit, and assigns MAC labels.  The "sysadm" role is responsible
309. for most other general administration tasks (e.g, backup).
310.  
311. 4.2.5 Trusted Path.  This B-2 Level mechanism provides a direct and
312. distinct communication path between HP-UX BLS and users.  It prevents
313. malicious attempts to capture a users password through the use of
314. programs designed to spoof users into typing passwords at fake login
315. prompts.
316.  
317. 4.2.6 Auditing.  Like HP-UX, HP-UX BLS can maintain an extensive audit
318. log of all security relevant actions beginning with login.  The Audit
319. Administrator can select from a menu the event types, individual users,
320. user groups, sensitivity levels, and time intervals to be audited.
321.  
322. 4.2.7 Import/Export.  This feature enables secure importation and
323. exportation of data so that B1-level of system security is not
324. compromised by the introduction of unlabeled data.
325.  
326. 4.2.8 Multi-level Directories.  This allows processes with different
327. sensitivity labels to access files securely in public directories.
328.  
329. 4.2.8 Documentation.  HP-UX BLS includes a "Security Features User
330. Guide" (SFUG) which educates the end-user on B-level security policy,
331. features, and user responsibility.  In addition, an administrator guide
332. called the "Trusted Facilities Manual" (TFM) is provided which explains
333. how to set up and maintain a multi-level secure system using the
334. intuitive menu-driven security interface to perform tasks.
335.  
336. 4.2.9 BLS Networking.  HP-UX BLS is currently generally available in
337. only a stand-alone Series 800 environment since a multi-vendor standard
338. for B1-level security had not emerged in the planning window for this
339. release.  A second-phase trusted systems release is planned for
340. availability in the second-half 1992 timeframe.  This release will
341. support an emerging standard implementation of multi-vendor B1
342. networking spearheaded by supporters of the SecureWare/OSF operating
343. system technology.  It will feature secure ARPA/Berkeley services,
344. TCP/IP, LAN and NFS.  These networking components will be submitted for
345. Red Book evaluation.
346.  
347. 4.2.10 BLS RDBMS Support.  The "Trusted Database Interpretation", which
348. is currently in draft form, interprets the requirements of the Orange
349. Book as they apply to databases.  HP has formulated agreements with the
350. leading relational database vendors to provide support for trusted
351. database products at the B1 level.  B1-level versions of Oracle and
352. Informix are available on the HP-UX BLS platform at this time.
353.  
354. Leading database vendors are working directly with the NCSC to obtain
355. an evaluation for their products.  Oracle has selected HP-UX BLS and
356. the Series 800 as their reference platform to base their NCSC
357. evaluation. As a result, HP will be among the first to market with
358. support for a B1 trusted version of the Oracle relational database
359. management system.
360.  
361. 5.  SECURE CLIENT-SERVER COMPUTING BASED ON OSF/DCE
362.  
363. OSF's Distributed Computing Environment (DCE) is an integrated set of
364. services that supports the development and implementation of
365. distributed, client-server applications.  Security represents a
366. fundamental component of DCE.  HP was a primary technology contributor
367. and architect of the DCE security solution.  The current plan is to
368. support the DCE Developer's Toolkit in the 1992 timeframe and to
369. support the full end-user environment in 1993.  This section describes
370. the key features and benefits of DCE security services including
371. authentication, authorization, user account management, and secure
372. communications.
373.  
374. 5.1 Kerberos Authentication
375.  
376. DCE incorporates an encryption based authentication service based on
377. the Kerberos system from MIT's Project Athena.  Kerberos has been
378. endorsed by Unix International (UI) as well as OSF.  DCE Kerberos is
379. based on MIT's Kerberos Version 5.  Due to known incompatibilities with
380. previous versions of Kerberos, HP has chosen not to provide general
381. support for non-DCE versions and recommends that most customers wait
382. for the availability of DCE Kerberos before implementing.
383.  
384. 5.1.1 Need for Kerberos.  The security functionality supported by HP-UX
385. and HP-UX BLS (described in Section 4) is sufficient for controlled
386. network environments with well understood network connections and well
387. policed users.  These environments are typically characterized by
388. stand-alone or networked host-terminal configurations.  However,
389. increasingly computing environments are characterized by explosive,
390. out-of-control growth of networks, workstation nodes, local and remote
391. entry points, and unauthorized users or hackers.
392.  
393. In these type of environments it is critical to keep sensitive
394. information such as passwords from being transmitted over the network.
395. The common use of broadcast based network technologies make the
396. interception of network traffic by novice hackers simple.
397.  
398. Another critical vulnerability of today's networks is the reliance on
399. the Berkeley trusted hosts "R" commands (rlogin, rcp, etc.)  which
400. permits the trusting of one host by another.  The "R" commands
401. facilitate cracking by making it easy for a cracker, having broken into
402. one host, to break into other hosts which trust it.  In a highly
403. distributed environment, it is difficult for system administrators to
404. know which hosts their own system trusts and to determine where the
405. trust stops.
406.  
407. Finally, in a client-server environment in which a user may wish to
408. access several specialized servers to perform various services (e.g.,
409. compute, file, print services), it is necessary for administrators to
410. maintain several password databases and for users to remember multiple
411. passwords.  This can become unmanageable for both users and
412. administrators.
413.  
414. 5.1.2 Kerberos Benefits.  Kerberos allows network users to authenticate
415. themselves to network service providers without the use of a trusted
416. host relationship or by transmitting a password in plain text over the
417. network.  Moreover, Kerberos enables a user to provide a password to
418. the network only once.  It is not necessary to maintain a separate
419. password database for every server on the network.
420.  
421. 5.1.3 Kerberos Requirements.  Kerberos requires the use of a dedicated
422. physically-secured authentication server.  The authentication server
423. communicates with the client by generating and authenticating tickets
424. for network services.  Tickets are encrypted in a private key which is
425. a function of the user's password.  The encryption algorithm used is
426. the Data Encryption Standard (DES).  Tickets have limited lifetimes.
427. This limits the damage that could be done by a user attempting to
428. capture and replay kerberos tickets, a threat sometimes referred to as
429. "masquerading".
430.  
431. Kerberos requires that every application or service (e.g., network
432. services) that needs to authenticate a user before granting access to
433. that service be modified or "kerberized" to function securely in a
434. kerberos authentication environment.
435.  
436. 5.2 Authorization Services
437.  
438. After users are authenticated, they must receive authorization to use
439. resources, such as files. The authorization service gives applications
440. the tools they need to determine whether a user should have access to
441. resources. It also provides a simple and consistent way to manage
442. access control information.
443.  
444. DCE authorization services are integrated with the authentication
445. service described above.  Access control information is packaged in a
446. kerberos ticket.  The DCE authorization model currently only supports
447. identities and group membership information to be used in conjunction
448. with the ACL mechanism of a DCE server.  However, the model is
449. extensible and can evolve to accommodate other authorization attributes
450. or privileges such as MAC labels (e.g, HP-UX BLS sensitivity labels;
451. "top secret, project x").
452.  
453. 5.3 User Registry Services
454.  
455. The User Registry Service provides a single, scalable mechanism for
456. dynamically managing user account information in distributed, multi-
457. vendor networks. This component was developed and submitted by HP and
458. is marketed separately as the PassWd Etc registry system (available now
459. on HP/Apollo Domain Servers).
460.  
461. The User Registry ensures the use of unique user names and passwords
462. across a distributed network of systems and services and ensures the
463. accuracy and consistency of this information at all sites.  It also
464. provides security for updates and changes.  Instead of storing account
465. information on multiple files residing on machines throughout the
466. network, it maintains a single, logical database of user account
467. information including user and group naming information, login account
468. information, and general system properties and policies.  It is well
469. integrated with Kerberos to provide a secure, reliable user account
470. management system.
471.  
472. 5.4 Secure RPC
473.  
474. The integrity of all communications must be protected in order to use
475. authentication and authorization services effectively. HP's NCS
476. technology is used to support secure communications in distributed
477. environments by providing message corruption, detection, and privacy of
478. confidential information. Secure RPC uses the Kerberos mechanism to
479. provide secure communications.
480.  
481. APPENDIX A: TRUSTED SYSTEM LEVELS AND NCSC EVALUATION PROGRAM
482.  
483. The NCSC supports a commercial product evaluation program.  The
484. objective of the program is to work with vendors and evaluate trusted
485. systems to help determine whether a given system is sufficient for a
486. given application.  While a vendor's development effort focuses on
487. enhancements or modifications to the operating system, the scope of an
488. Orange Book evaluation is not limited to an examination of the
489. operating system code.  Rather, it is the interaction of a particular
490. operating system with a particular hardware/firmware architecture that
491. is the subject of an evaluation.
492.  
493. The Orange Book includes requirements for DoD security policy,
494. sensitivity labeling of objects for access control, user
495. identification, auditing, and system assurance.  The Orange Book
496. provides a list of metrics upon which the level at which the above
497. requirements are met can be evaluated.  The possible ratings in order
498. of increasing level of trustedness are: C1, C2, B1, B2, B3,  and A1.
499. Generally higher levels are supersets of the requirements of lower
500. levels.  The NCSC publishes an Evaluated Products List (EPL) that lists
501. all products that have been formally evaluated and assigned a rating.
502.  
503. The major characteristics of each level of classification are as
504. follows:
505.  
506. C1:  Discretionary Security Protection.  C1 systems provide rudimentary
507. protections in environments of cooperating users processing data at the
508. same level of sensitivity.  C1 systems have discretionary access
509. control (DAC) policy--which at the file owners discretion, grants or
510. denys file access to the granularity of an individual user rather than
511. group of users.  Most Unix systems could be evaluated at class C1.
512.  
513. C2:  Controlled Access Protection.  C2 adds auditing of security
514. relevant events for individual users.
515.  
516. B1:  Labeled Security Protection.  B1 augments C2 with sensitivity
517. labels and Mandatory Access Control (MAC).  In essence MAC policy
518. compares the sensitivity label of the user (e.g., top secret) to that
519. of the file or device (e.g., sensitive/unclassified) in order to
520. determine access. Since this policy is enforced by the system and not
521. left up to the users discretion it is called "Mandatory."
522.  
523. B2:  Structured Protection.  B2 systems have a system architecture
524. criterion that requires the core of the trusted computing base (TCB)--
525. the collection of system elements responsible for implementing the
526. security policy--be a modular kernel that implements only security-
527. relevant features and the basic protection aspects of the system.  This
528. modular kernel structure would be difficult to retrofit on to an
529. existing system.
530.  
531. B3:  Security Domains.  B3 adds requirements for security policy,
532. accountability, and assurance, the most significant of which is an
533. architectural requirement that the trusted system be small enough to be
534. subjected to thorough analysis and test.
535.  
536. A1:  Verified Design.  A1 requires formal methods to verify that the
537. trusted system implements its stated security policy.
538.  
539. In order to maintain evaluated product ratings in future releases, HP
540. participates in the Rating Maintenance Program (or RAMP) defined by the
541. NCSC.  RAMP integrates a rigorous set of procedures into the the
542. product development process to ensure the system continues to meet the
543. requirements for a given rating across operating system revisions.
544.  
545. APPENDIX B: C2 FUNCTIONAL COMPLIANCE STATEMENT
546.  
547. The security elements of HP-UX have been written to the specifications
548. of the U.S.  National Computer Security Center (NCSC) class C2 level
549. per the U.S.  Department of Defense Trusted Computer Evaluation
550. Criteria (DoD 5200.28-STD).  Previously, HP-UX has been submitted for
551. evaluation. However, HP has chosen not complete the formal evaluation
552. process, electing instead to re-deploy its NCSC evaluation resource on
553. the evaluation of a currently available class B1 version of the HP-UX
554. operating system called HP-UX BLS.  HP-UX BLS is currently in the
555. Design Analysis phase of evaluation.
556.  
557. Although the HP-UX operating system has not been formally evaluated by
558. the NCSC, users have certified that the functionality in the system is
559. sufficient for their use.  As with all Hewlett-Packard products, the
560. security sections of HP-UX have been subjected to the rigorous quality
561. and assurance testing which is carried out on all Hewlett-Packard
562. software and hardware products.  The functional requirements of the
563. class C2 level which have been summarily addressed in the security
564. design enhancements to HP-UX are described below.
565.  
566. 1.    Security Policy
567.  
568. 1.1   Discretionary Access Control
569.  
570. C2 requires that the Trusted Computing Base (TCB) define and control
571. access between users and objects (e.g, files).  The enforcement
572. mechanism must protect objects from unauthorized access and be capable
573. of including and excluding access to the granularity of a single user.
574.  
575. HP-UX meets the C2 Discretionary Access Control criterion through an
576. advanced (B-3 level) implementation called Access Control Lists (ACLs).
577. ACLs give the end-user increased flexibility in authorizing or
578. restricting file access on the basis of "need to know".
579.  
580. 1.2   Object Reuse
581.  
582. C2 requires that all authorizations to information contained within a
583. storage object be revoked prior to initial assignment, allocation or
584. reallocation to a subject from the TCB's pool of unused objects.
585. Additionally, no information produced by a prior user is to be
586. available to any subject that obtains access to an object that has been
587. released back to the system.
588.  
589. HP-UX ensures that no residual data left on a storage object--as a
590. result of writes to and reads from storage media--is available to
591. users.  Unused fragments of storage space are zeroed out.
592.  
593. 2.    Accountability
594.  
595. 2.1   Identification and Authentication
596.  
597. C2 requires users to identify themselves to the TCB using a protected
598. mechanism (e.g, passwords) to authenticate the user's identity.  The
599. TCB must protect authentication data from unauthorized access.
600. Finally, the system must uniquely identify each user and associate this
601. identify with all auditable actions taken by the individual.
602.  
603. HP-UX provides a login and password mechanism so that users can be
604. reliably identified and authenticated.  Authentication data is
605. encrypted and at the administrator's option can be removed from a
606. publicly readable file and placed in a protected file accessible to
607. only privileged users.
608.  
609. 2.2    Audit
610.  
611. The DoD criteria for a C2 level operating system includes a requirement
612. that the system maintain an audit log of security relevant events.  The
613. Audit Administrator can select from a menu the event types, individual
614. users, groups of users, sensitivity levels, and time intervals to be
615. audited.  Auditing can be configured to audit a subset of users for
616. particular events such as failed attempts to login or access files and
617. printers or use of particular system calls and commands.
618.  
619. 3.    Documentation
620.  
621. 3.1   Security Features User's Guide
622.  
623. C2 requires special user and systems administrator documentation.  HP-
624. UX includes a special chapter in the "Guide to HP-UX" which educates
625. the end-user on security policy and user responsibility, security
626. features of the operating system, and how to use new features like
627. ACLs.
628.  
629. 3.2   Trusted Facility Manual
630.  
631. As required, a special systems administrator guide called "HP-UX System
632. Security" is provided which explains how to set up and maintain a
633. secure system.  It describes, for example, how to configure the
634. auditing parameters and interpret the audit log data and how to control
635. user access to directories and files.
636.  
637. APPENDIX C: HP SECURITY COUNCIL
638.  
639. An NSG-wide Security Council (SC) has been formed to coordinate the
640. development of a global enterprise-wide security solution.  Working
641. closely with the SC, GSY will provide a security reference model for
642. implementing secure open computing and services.  For more information
643. on SC plans contact:
644.  
645. Keith Klemba   SC Worldwide Program Coordinator    US 408-447-7513
646.  
647. or
648.  
649. Doug McGowan   SC Coordinator Europe               (49) 7031-141757
650.  
651. or
652.  
653. Wayne Caccamo  GSY Planning/SC Marketing             US 408-447-4020
654.  
655. APPENDIX D: THIRD-PARTY SECURITY SOFTWARE
656.  
657. 1.  Company: RAXCO
658.     Product: Security Toolkit
659.     Order    RAXCO (US Headquarters)
660.     Infor:   2440 Research Blvd.
661.              Rockville, MD 20850
662.     Tel:     US (301) 258-2620
663.     Fax:     US (301) 330-5756
664.  
665. Security Toolkit menu-driven security reporting software is used by the
666. system security managers and auditors to assess and manage the security
667. of standalone or networked HP-UX systems.  Its purpose is to facilitate
668. regular and systematic security checks, and to ensure proper system
669. security implementation on one or more HP-UX systems, thus avoiding the
670. countless hours that would otherwise be required to perform security
671. tasks by manually executing Unix commands.  Security Toolkit collects,
672. interprets and reports on the following areas of HP-UX security:
673.  
674. *  Password safety checks
675.  
676. *  File system security
677.  
678. *  Known Unix vulnerability checks
679.  
680. *  Network set-up
681.  
682. *  Virus, Worm, Trojan Horse detection
683.  
684. *  User environment security (file permission, start-up file, and
685. variable validation)
686.  
687. Features:
688.  
689. *  Executes requests interactively as background or batch mode process
690.  
691. *  Generates shell scripts to automatically correct identified problems
692.  
693. *  Provides easy-to-use GUI implemented according to OSF/MOTIF style
694. guide
695.  
696. *  Includes context sensitive help
697.  
698. *  Implemented in "C" using X/Open's XPG3 interface
699.  
700. 2.  Company: System Center
701.     Product: USECURE
702.     Order    1800 Alexander Bell Drive
703.     Infor:   Reston, VA 22091
704.     Tel:     703-264-8000
705.     Fax:     703-264-7796
706.  
707. USECURE is a system security administration package that delivers a
708. unique combination of user account management, disk utilization
709. management, and file usage reporting with full-screen ease of use.
710. Usecure provides the following security functionality:
711.  
712. *  Limits command access by user (USHELL)
713.  
714. *  Forces specific path name (USHELL)
715.  
716. *  Provides detailed audit trail of command access, logins, and all
717. system changes made with USECURE
718.  
719. *  Notifys administrator after specified number of of unsuccessful
720. logins
721.  
722. *  Sets login time limits on per user basis; can limit after hour login
723. sessions
724.  
725. *  Provides automatic password generation
726.  
727. *  Supports secondary login/password
728.  
729. *  Logs out unattended terminals
730.  
731. *  Provides key admin features without requiring administrator to have
732. superuser privilege
733.  
734. *  Reports on how resources are being used and by whom
735.  
736. *  Lists executable commands by user and vice versa
737.  
738. *  Lets users move or copy their own directories or files in one
739. process rather than one file at a time
740.  
741. *  Performs error checks, user account set-up, password generation,
742. file initialization by menu-driven selection
743.  
744. *  Can automatically clean up system on a regular basis Features:
745.  
746. *  Audit trails information is provided in full-screen format
747.  
748. *  Reports can be run immediately or as background or batch tasks
749.  
750. *  Provides set of tools with menu-driven package so that extensive
751. knowledge of Unix is not required
752.  
753. *  Common interface across different Unix vendor machines
754.  
755. 3.  Company:  Computer Associates
756.     Product:  CA-Unicenter
757.     Order     711 Stewart Ave
758.     Infor:    Garden City, NY 11530
759.     Tel:      516-227-4787; 1-800-645-3003
760.  
761. CA-Unicenter is an integrated system management solution that addresses
762. fundamental requirements in Security, Control and Audit as well as
763. Performance Management, Storage Management, Data Center Administration,
764. and Production Control.  The Security module is not available as a
765. standalone component.  The integration of these otherwise discreet
766. modules makes the complete system a more powerful tool.  The Security,
767. Control and Audit (SCA) module provides the following security
768. functionality:
769.  
770.  
771.  
772. *  Provides system entry validation
773.  
774. *  Provides resource and facility access control
775.  
776. *  Provides user registration
777.  
778. *  Provides user audit
779.  
780. *  Provides system integrity
781.  
782. *  Enforces system entry policies and asset access control
783.  
784. *  Enforces periodic user password change and account suspension
785.  
786. *  Provides security for all system management functions Features:
787.  
788. *  Provides Single-point system administration for all users and
789. systems in the network (for defining and removing user IDs and
790. privileges)
791.  
792. *  Offers Graphical User Interface (Motif and text mode, command line
793. interface
794.  
795. 4.  Company:  Interactive Systems Corporation
796.     Product:  Security Audit
797.     Order     1901 N.  Naper Blvd.
798.     Infor:    Naperville, IL 60540
799.     Tel:      708-505-9100 (x384)
800.     Fax:      703-264-7796
801.  
802. Security Audit is an integrated software product designed to identify
803. security violations and security problems in the HP-UX environment.
804. Major security features are as follows:
805.  
806.  
807.  
808. *  Performs password guessing to prevent intruder breakins
809.  
810. *  Assures Trusted Path
811.  
812. *  Corrects user file permissions to prevent trojan horse attacks
813.  
814. *  Provides setuid/setgid file control
815.  
816. *  Monitors critical system file permissions owner, group, and contents
817.  
818. *  Detects unauthorized superusers
819.  
820. *  Detects idle terminals
821.  
822. *  Provides UUCP security analysis
823.  
824. *  Performs remote login configuration analysis
825.  
826. *  Detects bugs which allow security breaches
827.