Sicherheitsmodelle, Autorisierung und Zugriffskontrolle Andre Beunink

Sicherheitsmodelle, Autorisierung und Zugriffskontrolle

Andre Beunink

1. Einleitung

2. Zugriffskontrolle

3. Sicherheitsmodelle

4. Einbindung der Zugriffskontrollen

Andre BeuninkSicherheitsmodelle, Autorisierung und Zugriffskontrolle

1. Einleitung

• IT-Sektor dient der Effizienzsteigerung• Entwicklung von Sicherheitsmechanismen schritt seit

den 70er Jahren nur langsam voran• Interne und externe Angriffe auf Sicherheitslücken und

somit auf das gesamte System• Datenverluste, Datenmanipulation, Datenspionage etc.• Umfangreiche Sicherheitspolitik ist unumgänglich• Geeignete Zugriffskontrollsysteme für große vernetzte

Systeme fehlen• Notwendigkeit eines Modellwechsels wurde noch nicht

erkannt



2.1 Ziele der Zugriffskontrolle

2.2 Grundmodell Zugriffskontrolle

2.3 Zugriffsprotokollierung

2.4 Autorisierung


2.1 Ziele der Zugriffskontrolle

• Vertraulichkeit: vor unbefugter Preisgabe schützen

• Verfügbarkeit: Informationen stehen jederzeit zur Verfügung

• Integrität: Daten sind vollständig und unverändert



• Grundlage für die klassischen Sicherheitsmodelle • Objekte (O), Subjekte (S) und Operatoren (P) als

Hauptbestandteile• Ein Zugriffsweg lässt sich nun als Tripel <s, p, o>

darstellen• Verbotene werden explizit genannt

Default permit

• Erlaubte werden explizit erlaubtDefault deny




erlaubt

verboten

Subjekte Operatoren Objekte

2.3 Zugriffsprotokollierung

• Erfasst und registriert Benutzer und speichert deren Aktivitäten zur Überprüfung und Analyse

• Daten liefert der Referenz-Monitor, der bestimmten Anforderungen entsprechen muss

• Systemadministrator kann anormale Verhaltensweisen untersuchen

• Intrusion Detection Systeme (passiv oder aktiv)


2.4 Autorisierung

• Benutzerbestimmte Zugriffskontrolle – Discretionary Access Control (DAC)

• Systembestimmte Zugriffskontrolle – Mandatory Access Control (MAC)

• Rollenbasierte Zugriffskontrolle – Role Based Access Control (RBAC)


1. Einleitung






3.1 Anforderungen und Bedeutung

3.2 Klassische Modelle

3.2.1 Zugriffsmatrix

3.2.2 Bell-LaPadula Modell

3.2.3 Rollenbasierte Zugriffskontrolle (RBAC)



• Sicherheit in IT-Systeme ist nicht zählbar oder messbar

• Angriffe kann man simulieren• Sicherheitseigenschaften formal beweisen• Präzise und eindeutig • genau definiert • einfach und abstrakt• Offensichtliche Abbildung darstellen



Anforderungen des BSI

• Anforderungskatalog soll den Anforderungen der ITSEC und CC entsprechen

1) Spezifikation

2) Interpretation

3) Verifizierbar



Rechtevergabe über Eigentümer-, Besitzer- oder über das

Administratorprinzip

Speichermethoden

1) Subjektorientierte Speicherung (ausweisorientiert, capability-oriented)

Speicherung beim Stammdatensatz des Subjekts

2) Objektorientierte Speicherung Speicherung im Beschreibungsdatenfeld des Objektes

3) Operatororientierte Speicherung Speicherung im Referenzmonitor



Gruppierung

• Große Objekt- und Subjektgruppen führen zu Schwierigkeiten in der Verwaltung

• Gruppierungen von Subjekten in z.B. in Administrator, Manager, Mitarbeiter und Hilfsarbeiter

• Gruppierungen von Objekten z.B. in Abteilungsdaten, Konzerndaten…



Bewertung• Am häufigsten verwendetes Modell• Flexible Nutzbarkeit• Einschränkung durch komplexe Algorithmen denkbar• Keine Möglichkeit den Informationsfluss von Objekt zu

Objekt (Subjekt) zu beschreiben• Anforderungen zur Vertraulichkeit und Integrität

werden nicht berücksichtigt



• Schutz der Vertraulichkeit steht im Vordergrund• Regelt den Informationsfluss• Sicherheitsgruppen:


Streng geheim

Geheim

Vertraulich

Frei zugänglich



Lesezugriff auf Objekte(no-read-up)

Sicherheitsstufen

Streng geheim Objekt o1

Geheim Subjekt s1 Objekt o4

Vertraulich Objekt o3

Frei zugänglich Objekt o2



Schreib-zugriff auf

Objekte (no-write-down)

Sicherheitsstufen

Streng geheim Objekt o1

Geheim Subjekt s1 Objekt o4

Vertraulich Objekt o3

Frei zugänglich Objekt o2


• Bewertung• Sukzessive Höherstufung von Informationen• Blindes Schreiben • Integrität und Verfügbarkeit unberücksichtigt• Anwendungsbereich eng gesteckt• Für Vertraulichkeit in offenen Systemen nicht geeignet,

da für geschlossene Systeme entwickelt


3.2.4 Rollenbasierte Zugriffskontrolle

• Role-Based Access Control, kurz RBAC• Weiterentwicklung des Gruppenkonzepts• Rechtezuordnung unabhängig von Benutzerzuordnung• Rechte werden in Rollen zusammen gefasst• Sicherheitsadministrator vergibt Rechte• System wird zeitstabiler• Minimales Rechteprinzip• Eine Rolle kann mehreren Subjekten und einem

Subjekt können mehrere Rollen zugeordnet werden• Hierarchische RBAC (Rollenhierarchie)



Role-Engineering


Rollenklasse Beispiele

Unternehmensbereichs-Rollen

Einkaufsabteilungs-, Verkaufsabteilungs-Rolle, …

Mitarbeiterhierarchie-Rollen

Abteilungsleiter-, Geschäftsleitungsassistenz-Rolle

Personenstatus-Rollen Mitarbeiter-, Berater-, Kunde-Rolle, …

Funktions-Rollen Kundenberatungs-, Systemadministrator-Rolle, …

Temporär-Rollen Projektmitarbeiter-, Projektleiter-Rolle, …


Bewertung• Zielsetzung nicht klar definiert• Sowohl auf Integrität als auch auf Vertraulichkeit

ausgerichtet• Lässt sich in eine Vielzahl von Systemen mit

Zugriffsmatrix integrieren• Rollen können benutzt werden, um abstrakte

Beschreibungen der Zugriffsrechte in Form von Zertifikaten und Autorisierungsschlüssel zu bilden


1. Einleitung





4.1 Einbindung in Client-Server Architekturen

4.1.1 Server-Pull Zugriffskontrolle4.1.2 Client-Pull Zugriffskontrolle4.1.3 Proxy-basierte Zugriffskontrolle4.1.4 Zugriffskontrolle durch Remote-

Administration

4.2 Apache-Web Server


4.1 Einbindung in Client-Server Architekturen

• Schwierig in Altsysteme geeignete, auf große Netzwerke ausgerichtete Zugriffskontrollsysteme einzubinden

• Unterschiedlichste Zugriffskontrollen auf unterschiedlichster Weise implementiert

• Zukunftssicherheit ist zu gewährleisten• Alle hier vorgestellten Beispiele gehen von einem

zentralen Access Control Service aus


4.1.1 Server-Pull Zugriffskontrolle


Monolithisches AWS

Client Server

Dienstanfragen

Access Control Server

ACP Zugriffskontrollanfragen

Monolithisches AWS

Client Server

Dienstanfragen


ACP Zugriffskontrollanfrage

4.1.2 Client-Pull Zugriffskontrolle


Client Server

Dienstanfragen


Zertifikat Generierung

Zertifikatübergabe

4.1.3 Proxy-basierte Zugriffskontrolle


Client Server


ACP Zugriffskontrollanfragen

Proxy Server

4.1.4 Zugriffskontrolle durch Remote-Administration


Monolithisches AWS

Client Server

Dienstanfragen


Administration der Zugriffskontrolle

AC-Translation Modul

4.2 Apache-Web Server

• Daten sind im Internet nicht für jedermann bestimmt, daher Zugriffskontrollprozeduren durchlaufen

• Schutzobjekte des Web-Servers sind eng an das vom Betriebssystem zur Verfügung gestellte Dateisystem gekoppelt

• Apache-Web-Server stellt allerdings ein eigenes Zugriffskontrollsystem bereit

• Zugang lässt sich für bestimmte Nachfrager (Nutzer, Gruppen) freischalten

• Zugriffskontrolle folgt dem Grundmodell des Zugriffsmatrixansatzes, erweitert durch Gruppenbildung und Vererbung von Gruppenrechten


Fazit

• Sicherheitsmodelle sind nicht wirklich geeignet für vernetzte Systeme

• Hoher Entwicklungsbedarf

• E-commerce

• Wirtschaft muss umdenken

Documents

Sicherheitsmodelle, Autorisierung und Zugriffskontrolle Andre Beunink