Sicherheitsparadigmen

(Unter "Paradigma" wird hier ein grundlegendes Muster, Konzept und wichtige Prinzipien verstanden, die unterschiedlich implementiert werden können.)

DAC Discretionary Access Control/Benutzerbestimmbare Zugriffskontrolle

Vorkommen

Probleme:

• Nutzer sehen nur ihren Ausschnitt [Tu Ilmenau BS WS12/13]
• Nutzer machen fahrlässige Fehler, oft aus Unwissenheit
• Anwendungen, insbesondere durch Schadsoftware modifiziert, machen etwas arglistig im Namen des Nutzers aber ohne Wissen des Nutzers, z.B. ändern Rechte
• Durch ungeeignete Rechte können Informationen durchsickern. Diese Informationsflüsse (lesend→schreibend→lesend→...) kann man durch informationsflußgraphen untersuchen. Ein solcher Graph kann durch Zyklensuche in informationelle &Auuml;quivalenzklassen unterteilt werden und so vereinfacht werden. Durch Wegesuche wird das Informationsflußpotential aufgedeckt. [Tu Ilmenau BS WS12/13]

RBAC Role Based Access Control

ein Subjekt hat eine Rolle, eine Rolle hat die Rechte an Objekten.
Erweiterung von DAC, vor allem, weil es zuviele Subjekte gibt.

MAC Mandatory Access-Control - erzwungene Sicherheit

Administrator legt die Politiken (Regeln) fest

• straff durch den Administrator kontrollierte Sicherheitspolitiken
• Krypographie, Authentifizierung

Ziele der erzwungenen Sicherheit (Mandtory Security)

entscheidende Hilfestellung der Applikationssicherheit

• durch Schutz vor Verfäschungen mit sicheren Applikationen
• durch Schutz vor Umgehung der sicheren Applikationen
• Es könen Informationen über die Vertrauenswürdigkeit der Applikation, die Rolle des Nutzers sowie die Sicherheitsempfindlichkeit der Daten berücksichtigt werden im gegensetz zu DAC [Redhat]

strenge Trennung der Applikationen

• erlaubt sichere Ausführung von nicht vertrauenswürdigen Applikationen
• beschränkt den potentiellen Schaden, der beim Angriff auf eine Applikation entsteht
• erlaubt isolierte Testumgebungen oder isolierte Entwcklungsumgebungen

Schutz von Informationen vor

• legitimierten Nutzern mit begrenzeten Rechten
• authorisierte Nutzer die unwissentlich arglistge Applikationen Nutzen

Verfahren

MLS Multilevel Security

• soll nach dem Bell LaPadula-Modell das Durchsickern von Informationen von Berechtigten zu unberechtigten Subjekten verhindern, dieses muß das System erzwingen trotz Operationen der Administratoren und Nutzer.
• Seit 1960er Jahren
• multi level: ist die Geheimniseinstufung auf mehren Ebenen: offen,vertraulich, geheim, streng geheim
• Bedrohung Trojanisches Pferd: eine höhere Ebene führt unbeabsichtigt Code von einer niedrigen Schutzebene aus

Probleme:

• Haben oft doch nicht den Grad der gewünschten Sicherheit, hohe Kosten und kleine Nutzergruppen, daher selten kommerziell vorhanden.
• Schwierig wenn nicht unmöglich den Informationsfluß zwischen verschiedenen Hierachieebenen zu verhindern (Assurance)
• Viren und andere Schadprogramme können von niedrigen zu höhreren Ebenen übertragen werden
• Es gibt Anwendungsprobleme, in denen das BellLapadula-Modell nicht die operationellen und Sicherheitsbedürfnisse erfüllt:
  • Sammlung von zu hoch klassifizierter Information, man braucht einen Mechanismus zur Herunterstufung
  • Militärische Software: Auswertungsdaten sind geheimer als die Kommendodaten - hier müssen die Datenen regelmässig heruntergestuft werden. Daher haben die Militärs das Interesse an MLS verloren.

Literatur: Multilevel Security
Multilevel Security
J.M.:" An Overview of Multilevel Security and LSPP under Linux"

MCS Multi Category Security : Verschiedene Kategorien, aber nicht für Objekte. [gentoo]

J.M."A Brief Introduction to Multi-Category Security (MCS)

BiBa

Clark-Wilson

erzwungene Typsicherheit

dynamic RBAC

Vorkommen

• Prototyp in DTMach,DTOS, und Flask
• SELinux

TCSEC war die enge Definition des US DoD. Folgende Punkte seien nicht ausreichent: Intransitivity, dynamische Trennung der Aufgaben.
[59]: straff durch den Administrator kontrollierte Sicherheitspolitiken, kann sich so über eine gesamte Organisation erstrecken.
Andere Begriffswörter: nicht beliebige Sicherheit (non discretionary security) im Kontext Rollenbasierter Zugriffskontrolle und Typerzwingung (type enforcement)