Adresseert de kernel afzonderlijke fysieke geheugenbereiken met een enkele paginatabel?

De vraag of de kernel afzonderlijke fysieke geheugenbereiken adresseert met één paginatabel, heeft betrekking op de kernprincipes van virtueel geheugenbeheer, hardware-isolatiemechanismen en de handhaving van software-isolatie in moderne besturingssystemen. Om deze vraag nauwkeurig te beantwoorden, is het noodzakelijk om de architectuur van paginatabellen, de ontwerpfilosofieën van kernel- en gebruikersgeheugenscheiding, de praktische implementatie van geheugenbeheer in veelgebruikte besturingssystemen en de beveiligingsimplicaties van deze ontwerpen te onderzoeken.

Virtueel geheugen en paginatabellen

Moderne besturingssystemen gebruiken virtueel geheugen om de fysieke geheugenindeling te abstraheren van actieve processen, waardoor elk proces de illusie krijgt van een aaneengesloten en privé adresruimte. Deze abstractie wordt mogelijk gemaakt door de Memory Management Unit (MMU), die virtuele adressen vertaalt naar fysieke adressen met behulp van paginatabellen. De paginatabel is een cruciale datastructuur in dit vertaalproces. In een typisch scenario bevat een paginatabelitem (PTE) informatie over de toewijzing, inclusief het fysieke frameadres, toegangsrechten en statusvlaggen.

Paginatabellen zelf zijn hiërarchisch georganiseerd in de meeste hedendaagse architecturen. X86-64-systemen gebruiken bijvoorbeeld een hiërarchie met vier niveaus: Page Map Level 4 (PML4), Page Directory Pointer Table (PDPT), Page Directory en Page Table. Elk niveau indexeert een subset van de virtuele adresruimte, waardoor de paginatabelstructuur wordt geschaald naar grote adresruimten.

Kernel versus gebruikersadresruimten

Het concept van software-isolatie vereist dat processen in de gebruikersmodus geen willekeurige toegang hebben tot het kernelgeheugen of dit kunnen manipuleren. Om dit te waarborgen, wordt de virtuele adresruimte opgedeeld in twee hoofdgebieden:

1. Gebruikersruimte: Dit gebied is toegankelijk voor processen in de gebruikersmodus en bevat hun code, gegevens, stack, heap en toegewezen bestanden.
2. Kernelruimte: Dit gebied is gereserveerd voor de kernel van het besturingssysteem, apparaatstuurprogramma's en kritieke systeemstructuren. Code in de gebruikersmodus heeft geen directe toegang tot dit gebied; pogingen daartoe resulteren meestal in een beveiligingsfout.

Besturingssystemen implementeren deze verdeling op verschillende manieren, maar het is gebruikelijk om het bovenste gedeelte van de virtuele adresruimte (bijvoorbeeld het bovenste 1/4 of 1/2) te reserveren voor kernelgebruik, terwijl de rest wordt toegewezen aan gebruikersprocessen.

Tabellen met één of meerdere pagina's

Of de kernel afzonderlijke fysieke geheugenbereiken adresseert met een enkele paginatabel, hangt af van de definitie van "enkele paginatabel" en de context van het ontwerp van het besturingssysteem.

- Enkele paginatabel per proces (met kerneltoewijzing):

In de meeste gangbare besturingssystemen (zoals Linux, Windows en macOS) heeft elk proces zijn eigen paginatabel (of set paginatabellen) die de toewijzing voor de volledige virtuele adresruimte definieert, zowel voor de gebruikers- als de kernelregio. Dit betekent dat, hoewel het gebruikersgedeelte uniek is voor elk proces, het kernelgedeelte over het algemeen identiek is voor alle processen. Het kernelgeheugen wordt toegewezen aan de paginatabel van elk proces op dezelfde hoge virtuele adressen, maar met verschillende toegangsrechten: alleen code in de kernelmodus heeft toegang tot deze adressen, terwijl code in de gebruikersmodus dat niet kan.

Dit ontwerp zorgt ervoor dat de kernel snel van gebruikersmodus naar kernelmodus kan overschakelen (bijvoorbeeld tijdens een systeemaanroep of interrupt) zonder dat er van paginatabel hoeft te worden gewisseld, omdat de kernelcode en kritieke gegevens altijd worden toegewezen en direct toegankelijk zijn. De paginatabel van het proces adresseert daarom zowel gebruikerspecifieke fysieke geheugenbereiken als door de kernel gedeelde fysieke geheugenbereiken binnen één logische paginatabelstructuur.

- Kernel-Only Pagina Tabel (Geïsoleerd):

Sommige op beveiliging gerichte ontwerpen implementeren een aparte paginatabel exclusief voor de kernel. In deze systemen houdt een contextswitch naar de kernelmodus in dat er wordt overgeschakeld naar een andere paginatabel, uitsluitend voor de kernel, die helemaal geen gebruikersgeheugen toewijst. Deze aanpak verbetert de isolatie, omdat het voorkomt dat de kernel onbedoeld toegang krijgt tot gebruikersgeheugen met verhoogde rechten en bepaalde soorten aanvallen elimineert, zoals Kernel Address Space Layout Randomization (KASLR)-bypasses en geheugenlekken in de kernel als gevolg van toewijzingen van gebruikersgeheugen.

Deze aanpak brengt echter prestatieverlies met zich mee vanwege de hogere overhead die gepaard gaat met het wisselen van paginatabellen bij elke overgang tussen gebruikers- en kernelmodus. Het is daarom minder gebruikelijk in algemene besturingssystemen, maar kan wel worden toegepast in kernels met een hoge betrouwbaarheid of geharde kernels.

Het adresseren van afzonderlijke fysieke geheugenbereiken

Een belangrijk aspect van de vraag is hoe de kernel de paginatabel gebruikt om afzonderlijke fysieke geheugenbereiken te adresseren. Binnen de paginatabel kan elk item een ​​virtuele pagina toewijzen aan elk fysiek frame. Zo kan een enkele paginatabelstructuur niet-aaneengesloten fysieke geheugengebieden toewijzen aan aaneengesloten virtueel geheugen, of vice versa. Dit is een essentiële functie voor zowel de kernel als de gebruikersprocessen.

- Voorbeeld: kernelcode en apparaatbuffers toewijzen

Stel dat de kernel meerdere niet-aaneengesloten fysieke geheugengebieden inneemt: één voor de kernelcode, één voor apparaatstuurprogramma's en een derde voor DMA-buffers. Het kernelgedeelte van de paginatabel (gedeeld door alle processen) zal elk van deze gebieden toewijzen aan aaneengesloten (vanuit het perspectief van de kernel) virtuele adressen, ook al zijn de onderliggende fysieke adressen niet aaneengesloten. Paginatabellen zijn specifiek ontworpen om deze toewijzingsflexibiliteit te verwerken, waardoor de kernel elk fysiek geheugenbereik kan adresseren dat hij beheert.

- Voorbeeld: Gebruikersprocesgeheugen

Gebruikersprocessen kunnen op dezelfde manier dynamisch geheugen toewijzen, wat resulteert in niet-aaneengesloten fysieke geheugentoewijzingen. De paginatabel van het proces wijst elke toegewezen geheugenpagina toe aan het juiste fysieke frame, ongeacht de fysieke aaneengeslotenheid.

Beveiligingsimplicaties en software-isolatie

Het ontwerp van het toewijzen van kernelgeheugen aan de paginatabel van elk proces brengt zowel prestatie- als beveiligingsoverwegingen met zich mee. De voordelen zijn onder andere efficiënte afhandeling van systeemaanroepen en snelle contextwisselingen, maar het betekent ook dat als er een kwetsbaarheid bestaat (zoals een privilege-escalatie-exploit of een fout in geheugenisolatie), een aanvaller mogelijk de aanwezigheid van kerneltoewijzingen kan misbruiken om de indeling van het kernelgeheugen af ​​te leiden of onder bepaalde omstandigheden toegang te proberen te krijgen tot het kernelgeheugen.

Maatregelen tegen dergelijke kwetsbaarheden zijn onder meer:

- Strikte toegangsrechten: Kernelpagina's zijn in de paginatabelitems gemarkeerd als alleen-supervisor. De MMU zorgt ervoor dat code in de gebruikersmodus geen toegang heeft tot deze pagina's.
- Kernel Page-Table-isolatie (KPTI): Als reactie op speculatieve uitvoeringskwetsbaarheden (bijvoorbeeld Meltdown) hebben sommige systemen (met name Linux) Kernel Page-Table Isolation geïmplementeerd. Hierbij wordt de kernel helemaal niet toegewezen aan de adresruimte van gebruikersprocessen, behalve wanneer deze in kernelmodus draait. Deze aanpak gebruikt aparte paginatabellen voor gebruikers- en kernelmodus, wat de isolatie verbetert ten koste van extra overhead.
- Randomisatie van adresruimte-indeling (ASLR): De geheugentoewijzingen van de kernel worden tijdens het opstarten willekeurig gemaakt, zodat aanvallers moeilijker de locatie van de kernelcode en gegevensstructuren kunnen voorspellen.
- Geheugen op nul zetten en opschonen: Bij het wisselen van context of het vrijmaken van geheugen zorgt het besturingssysteem ervoor dat de resterende gegevens niet toegankelijk zijn voor ongeautoriseerde processen.

Paginatabelstructuur in de praktijk

Om het verder te verduidelijken, bekijken we hoe de paginatabel van een typisch proces eruitziet in een gangbaar besturingssysteem zoals Linux op x86-64:

– Het onderste gedeelte van de virtuele adresruimte (bijvoorbeeld 0x0000000000000000 – 0x00007ffffffffff) wordt toegewezen aan het procesgeheugen van de gebruiker.
– Het bovenste gedeelte (bijv. 0xffff800000000000 – 0xffffffffffffffff) wordt toegewezen aan het kernelgeheugen. Dit gebied is identiek in alle paginatabellen voor alle processen.

Eén logische paginatabel (per proces) adresseert dus zowel de fysieke geheugengebieden van de gebruiker als die van de kernel en koppelt deze aan hun respectievelijke virtuele adresruimtes. De kernelkoppelingen binnen elk proces zijn consistent en verwijzen naar dezelfde fysieke locaties, terwijl de gebruikerskoppelingen per proces verschillen.

Gespecialiseerde scenario's

- Hypervisors en virtuele machines: In gevirtualiseerde omgevingen beheert de hypervisor de toewijzing van fysiek geheugen aan machinegeheugen, terwijl de gastkernel zijn eigen fysieke gastgeheugen beheert via paginatabellen. De principes blijven vergelijkbaar, met meerdere toewijzingsniveaus.
- Microkernels en minimalistische kernels: Deze kernels kunnen alternatieve strategieën gebruiken om de isolatie te maximaliseren, zoals het gebruiken van aparte paginatabellen voor kernel- en gebruikerscode. Zo wordt het aanvalsoppervlak verkleind en worden toegangspaden beperkt.

Samenvattingsparagraaf

De kernel kan en zal afzonderlijke fysieke geheugenbereiken adresseren met behulp van een enkele paginatabelstructuur zoals geïmplementeerd per proces, waarbij gedeelde kerneltoewijzingen en gebruikerspecifieke toewijzingen naast elkaar in dezelfde tabel bestaan. Dit ontwerp biedt een evenwicht tussen prestaties en beveiliging. De handhaving van toegangsrechten door de MMU en het beveiligingsbeleid van het besturingssysteem zorgt ervoor dat, hoewel de kernel en het gebruikersgeheugen in dezelfde paginatabel zijn toegewezen, ze onder normale omstandigheden van elkaar geïsoleerd blijven.

Andere recente vragen en antwoorden over EITC/IS/CSSF Basisprincipes van beveiliging van computersystemen:

• Kan het opschalen van een veilig dreigingsmodel gevolgen hebben voor de beveiliging ervan?
• Wat zijn de belangrijkste pijlers van computerbeveiliging?
• Waarom moet de klant de monitor vertrouwen tijdens het attestatieproces?
• Is het doel van een enclave om een ​​gecompromitteerd besturingssysteem aan te pakken en toch veiligheid te bieden?
• Kunnen machines die door leveranciers worden verkocht een beveiligingsrisico op een hoger niveau vormen?
• Wat is een mogelijke use-case voor enclaves, zoals blijkt uit het Signal-berichtensysteem?
• Wat zijn de stappen voor het opzetten van een veilige enclave en hoe beschermt de page GB-machine de monitor?
• Wat is de rol van de pagina-DB in het creatieproces van een enclave?
• Hoe zorgt de monitor ervoor dat hij niet wordt misleid door de kernel bij de implementatie van veilige enclaves?
• Wat is de rol van de enclave Chamorro bij de implementatie van veilige enclaves?

Bekijk meer vragen en antwoorden in EITC/IS/CSSF Computer Systems Security Fundamentals

Meer vragen en antwoorden:

• Veld: Cybersecurity
• Programma EITC/IS/CSSF Basisprincipes van beveiliging van computersystemen (ga naar het certificeringsprogramma)
• Les: Beveiligingskwetsbaarheden schade beperken in computersystemen (ga naar gerelateerde les)
• Topic: Software-isolatie (ga naar gerelateerd onderwerp)