Sicherheitsparadigmen und Modelle
Sicherheitsparadigmen
(Unter "Paradigma" wird hier ein grundlegendes Muster, Konzept und wichtige Prinzipien verstanden, die unterschiedlich implementiert werden können.)
Zugriff auf ein Objekt wird nach Subjekt festgelegt
Subjekte können Rechte weitergeben, bzw. bestimmen.
Vorkommen
Die klassische Unix Rechtsverwaltung der Objekte/Dateien ist DAC
[TS]
Probleme:
- Nutzer sehen nur ihren Ausschnitt [Tu Ilmenau BS WS12/13]
- Nutzer machen fahrlässige Fehler, oft aus Unwissenheit
- Anwendungen, insbesondere durch Schadsoftware modifiziert, machen etwas arglistig im Namen des Nutzers aber ohne Wissen des Nutzers, z.B. ändern Rechte
- Durch ungeeignete Rechte können Informationen durchsickern.
Diese Informationsflüsse (lesend→schreibend→lesend→...) kann man durch informationsflußgraphen untersuchen. Ein solcher Graph kann durch Zyklensuche in informationelle &Auuml;quivalenzklassen unterteilt werden und so vereinfacht werden. Durch Wegesuche wird das Informationsflußpotential aufgedeckt.
[Tu Ilmenau BS WS12/13]
ein Subjekt hat eine Rolle, eine Rolle hat die Rechte an Objekten.
Erweiterung von DAC, vor allem, weil es zuviele Subjekte gibt.
Administrator legt die Politiken (Regeln) fest
- straff durch den Administrator kontrollierte Sicherheitspolitiken
- Krypographie, Authentifizierung
Ziele der erzwungenen Sicherheit (Mandtory Security)
(aus [LSMTTF1998] )
- entscheidende Hilfestellung der Applikationssicherheit
-
- durch Schutz vor Verfäschungen mit sicheren Applikationen
- durch Schutz vor Umgehung der sicheren Applikationen
- Es könen Informationen über die Vertrauenswürdigkeit der Applikation, die Rolle des Nutzers sowie die Sicherheitsempfindlichkeit der Daten berücksichtigt werden im gegensetz zu DAC [Redhat]
- strenge Trennung der Applikationen
-
- erlaubt sichere Ausführung von nicht vertrauenswürdigen Applikationen
- beschränkt den potentiellen Schaden, der beim Angriff auf eine Applikation entsteht
- erlaubt isolierte Testumgebungen oder isolierte Entwcklungsumgebungen
- Schutz von Informationen vor
-
- legitimierten Nutzern mit begrenzeten Rechten
- authorisierte Nutzer die unwissentlich arglistge Applikationen Nutzen
Verfahren
- MLS Multilevel Security
-
- soll nach dem Bell LaPadula-Modell das Durchsickern von Informationen von Berechtigten zu unberechtigten Subjekten verhindern, dieses muß das System erzwingen trotz Operationen der Administratoren und Nutzer.
- Seit 1960er Jahren
- multi level: ist die Geheimniseinstufung auf mehren Ebenen: offen,vertraulich, geheim, streng geheim
- Bedrohung Trojanisches Pferd: eine höhere Ebene führt unbeabsichtigt Code von einer niedrigen Schutzebene aus
Probleme:
- Haben oft doch nicht den Grad der gewünschten Sicherheit, hohe Kosten und kleine Nutzergruppen, daher selten kommerziell vorhanden.
- Schwierig wenn nicht unmöglich den Informationsfluß zwischen verschiedenen Hierachieebenen zu verhindern (Assurance)
- Viren und andere Schadprogramme können von niedrigen zu höhreren Ebenen übertragen werden
- Es gibt Anwendungsprobleme, in denen das BellLapadula-Modell nicht die operationellen und Sicherheitsbedürfnisse erfüllt:
- Sammlung von zu hoch klassifizierter Information, man braucht einen Mechanismus zur Herunterstufung
- Militärische Software: Auswertungsdaten sind geheimer als die Kommendodaten - hier müssen die Datenen regelmässig heruntergestuft werden. Daher haben die Militärs das Interesse an MLS verloren.
Literatur:
Multilevel Security
Multilevel Security
J.M.:" An Overview of Multilevel Security and LSPP under Linux"
- MCS Multi Category Security : Verschiedene Kategorien, aber nicht für Objekte. [gentoo]
-
J.M."A Brief Introduction to Multi-Category Security (MCS)
- BiBa
- Clark-Wilson
- erzwungene Typsicherheit
- dynamic RBAC
Vorkommen
TCSEC war die enge Definition des US DoD. Folgende Punkte seien nicht ausreichent: Intransitivity, dynamische Trennung der Aufgaben.
[59]: straff durch den Administrator kontrollierte Sicherheitspolitiken, kann sich so über eine gesamte Organisation erstrecken.
Andere Begriffswörter: nicht beliebige Sicherheit (non discretionary security) im Kontext Rollenbasierter Zugriffskontrolle und Typerzwingung (type enforcement)
Informatik- und Netzwerkverein Ravensburg e.V
Rudolf Weber