Upload
ricarda-wolber
View
110
Download
2
Embed Size (px)
Citation preview
Sicherheitsmodelle, Autorisierung und Zugriffskontrolle
Andre Beunink
1. Einleitung
2. Zugriffskontrolle
3. Sicherheitsmodelle
4. Einbindung der Zugriffskontrollen
Andre BeuninkSicherheitsmodelle, Autorisierung und Zugriffskontrolle
1. Einleitung
• IT-Sektor dient der Effizienzsteigerung• Entwicklung von Sicherheitsmechanismen schritt seit
den 70er Jahren nur langsam voran• Interne und externe Angriffe auf Sicherheitslücken und
somit auf das gesamte System• Datenverluste, Datenmanipulation, Datenspionage etc.• Umfangreiche Sicherheitspolitik ist unumgänglich• Geeignete Zugriffskontrollsysteme für große vernetzte
Systeme fehlen• Notwendigkeit eines Modellwechsels wurde noch nicht
erkannt
Andre BeuninkSicherheitsmodelle, Autorisierung und Zugriffskontrolle
2. Zugriffskontrolle
2.1 Ziele der Zugriffskontrolle
2.2 Grundmodell Zugriffskontrolle
2.3 Zugriffsprotokollierung
2.4 Autorisierung
Andre BeuninkSicherheitsmodelle, Autorisierung und Zugriffskontrolle
2.1 Ziele der Zugriffskontrolle
• Vertraulichkeit: vor unbefugter Preisgabe schützen
• Verfügbarkeit: Informationen stehen jederzeit zur Verfügung
• Integrität: Daten sind vollständig und unverändert
Andre BeuninkSicherheitsmodelle, Autorisierung und Zugriffskontrolle
2.2 Grundmodell Zugriffskontrolle
• Grundlage für die klassischen Sicherheitsmodelle • Objekte (O), Subjekte (S) und Operatoren (P) als
Hauptbestandteile• Ein Zugriffsweg lässt sich nun als Tripel <s, p, o>
darstellen• Verbotene werden explizit genannt
Default permit
• Erlaubte werden explizit erlaubtDefault deny
Andre BeuninkSicherheitsmodelle, Autorisierung und Zugriffskontrolle
2.2 Grundmodell Zugriffskontrolle
Andre BeuninkSicherheitsmodelle, Autorisierung und Zugriffskontrolle
erlaubt
verboten
Subjekte Operatoren Objekte
2.3 Zugriffsprotokollierung
• Erfasst und registriert Benutzer und speichert deren Aktivitäten zur Überprüfung und Analyse
• Daten liefert der Referenz-Monitor, der bestimmten Anforderungen entsprechen muss
• Systemadministrator kann anormale Verhaltensweisen untersuchen
• Intrusion Detection Systeme (passiv oder aktiv)
Andre BeuninkSicherheitsmodelle, Autorisierung und Zugriffskontrolle
2.4 Autorisierung
• Benutzerbestimmte Zugriffskontrolle – Discretionary Access Control (DAC)
• Systembestimmte Zugriffskontrolle – Mandatory Access Control (MAC)
• Rollenbasierte Zugriffskontrolle – Role Based Access Control (RBAC)
Andre BeuninkSicherheitsmodelle, Autorisierung und Zugriffskontrolle
1. Einleitung
2. Zugriffskontrolle
3. Sicherheitsmodelle
4. Einbindung der Zugriffskontrollen
Andre BeuninkSicherheitsmodelle, Autorisierung und Zugriffskontrolle
3. Sicherheitsmodelle
3.1 Anforderungen und Bedeutung
3.2 Klassische Modelle
3.2.1 Zugriffsmatrix
3.2.2 Bell-LaPadula Modell
3.2.3 Rollenbasierte Zugriffskontrolle (RBAC)
Andre BeuninkSicherheitsmodelle, Autorisierung und Zugriffskontrolle
3.1 Anforderungen und Bedeutung
• Sicherheit in IT-Systeme ist nicht zählbar oder messbar
• Angriffe kann man simulieren• Sicherheitseigenschaften formal beweisen• Präzise und eindeutig • genau definiert • einfach und abstrakt• Offensichtliche Abbildung darstellen
Andre BeuninkSicherheitsmodelle, Autorisierung und Zugriffskontrolle
3.1 Anforderungen und Bedeutung
Anforderungen des BSI
• Anforderungskatalog soll den Anforderungen der ITSEC und CC entsprechen
1) Spezifikation
2) Interpretation
3) Verifizierbar
Andre BeuninkSicherheitsmodelle, Autorisierung und Zugriffskontrolle
3.2.1 Zugriffsmatrix
Rechtevergabe über Eigentümer-, Besitzer- oder über das
Administratorprinzip
Speichermethoden
1) Subjektorientierte Speicherung (ausweisorientiert, capability-oriented)
Speicherung beim Stammdatensatz des Subjekts
2) Objektorientierte Speicherung Speicherung im Beschreibungsdatenfeld des Objektes
3) Operatororientierte Speicherung Speicherung im Referenzmonitor
Andre BeuninkSicherheitsmodelle, Autorisierung und Zugriffskontrolle
3.2.1 Zugriffsmatrix
Gruppierung
• Große Objekt- und Subjektgruppen führen zu Schwierigkeiten in der Verwaltung
• Gruppierungen von Subjekten in z.B. in Administrator, Manager, Mitarbeiter und Hilfsarbeiter
• Gruppierungen von Objekten z.B. in Abteilungsdaten, Konzerndaten…
Andre BeuninkSicherheitsmodelle, Autorisierung und Zugriffskontrolle
3.2.1 Zugriffsmatrix
Bewertung• Am häufigsten verwendetes Modell• Flexible Nutzbarkeit• Einschränkung durch komplexe Algorithmen denkbar• Keine Möglichkeit den Informationsfluss von Objekt zu
Objekt (Subjekt) zu beschreiben• Anforderungen zur Vertraulichkeit und Integrität
werden nicht berücksichtigt
Andre BeuninkSicherheitsmodelle, Autorisierung und Zugriffskontrolle
3.2.2 Bell-LaPadula Modell
• Schutz der Vertraulichkeit steht im Vordergrund• Regelt den Informationsfluss• Sicherheitsgruppen:
Andre BeuninkSicherheitsmodelle, Autorisierung und Zugriffskontrolle
Streng geheim
Geheim
Vertraulich
Frei zugänglich
3.2.2 Bell-LaPadula Modell
Andre BeuninkSicherheitsmodelle, Autorisierung und Zugriffskontrolle
Lesezugriff auf Objekte(no-read-up)
Sicherheitsstufen
Streng geheim Objekt o1
Geheim Subjekt s1 Objekt o4
Vertraulich Objekt o3
Frei zugänglich Objekt o2
3.2.2 Bell-LaPadula Modell
Andre BeuninkSicherheitsmodelle, Autorisierung und Zugriffskontrolle
Schreib-zugriff auf
Objekte (no-write-down)
Sicherheitsstufen
Streng geheim Objekt o1
Geheim Subjekt s1 Objekt o4
Vertraulich Objekt o3
Frei zugänglich Objekt o2
3.2.2 Bell-LaPadula Modell
• Bewertung• Sukzessive Höherstufung von Informationen• Blindes Schreiben • Integrität und Verfügbarkeit unberücksichtigt• Anwendungsbereich eng gesteckt• Für Vertraulichkeit in offenen Systemen nicht geeignet,
da für geschlossene Systeme entwickelt
Andre BeuninkSicherheitsmodelle, Autorisierung und Zugriffskontrolle
3.2.4 Rollenbasierte Zugriffskontrolle
• Role-Based Access Control, kurz RBAC• Weiterentwicklung des Gruppenkonzepts• Rechtezuordnung unabhängig von Benutzerzuordnung• Rechte werden in Rollen zusammen gefasst• Sicherheitsadministrator vergibt Rechte• System wird zeitstabiler• Minimales Rechteprinzip• Eine Rolle kann mehreren Subjekten und einem
Subjekt können mehrere Rollen zugeordnet werden• Hierarchische RBAC (Rollenhierarchie)
Andre BeuninkSicherheitsmodelle, Autorisierung und Zugriffskontrolle
3.2.4 Rollenbasierte Zugriffskontrolle
Role-Engineering
Andre BeuninkSicherheitsmodelle, Autorisierung und Zugriffskontrolle
Rollenklasse Beispiele
Unternehmensbereichs-Rollen
Einkaufsabteilungs-, Verkaufsabteilungs-Rolle, …
Mitarbeiterhierarchie-Rollen
Abteilungsleiter-, Geschäftsleitungsassistenz-Rolle
Personenstatus-Rollen Mitarbeiter-, Berater-, Kunde-Rolle, …
Funktions-Rollen Kundenberatungs-, Systemadministrator-Rolle, …
Temporär-Rollen Projektmitarbeiter-, Projektleiter-Rolle, …
3.2.4 Rollenbasierte Zugriffskontrolle
Bewertung• Zielsetzung nicht klar definiert• Sowohl auf Integrität als auch auf Vertraulichkeit
ausgerichtet• Lässt sich in eine Vielzahl von Systemen mit
Zugriffsmatrix integrieren• Rollen können benutzt werden, um abstrakte
Beschreibungen der Zugriffsrechte in Form von Zertifikaten und Autorisierungsschlüssel zu bilden
Andre BeuninkSicherheitsmodelle, Autorisierung und Zugriffskontrolle
1. Einleitung
2. Zugriffskontrolle
3. Sicherheitsmodelle
4. Einbindung der Zugriffskontrollen
4. Einbindung der Zugriffskontrollen
4.1 Einbindung in Client-Server Architekturen
4.1.1 Server-Pull Zugriffskontrolle4.1.2 Client-Pull Zugriffskontrolle4.1.3 Proxy-basierte Zugriffskontrolle4.1.4 Zugriffskontrolle durch Remote-
Administration
4.2 Apache-Web Server
Andre BeuninkSicherheitsmodelle, Autorisierung und Zugriffskontrolle
4.1 Einbindung in Client-Server Architekturen
• Schwierig in Altsysteme geeignete, auf große Netzwerke ausgerichtete Zugriffskontrollsysteme einzubinden
• Unterschiedlichste Zugriffskontrollen auf unterschiedlichster Weise implementiert
• Zukunftssicherheit ist zu gewährleisten• Alle hier vorgestellten Beispiele gehen von einem
zentralen Access Control Service aus
Andre BeuninkSicherheitsmodelle, Autorisierung und Zugriffskontrolle
4.1.1 Server-Pull Zugriffskontrolle
Andre BeuninkSicherheitsmodelle, Autorisierung und Zugriffskontrolle
Monolithisches AWS
Client Server
Dienstanfragen
Access Control Server
ACP Zugriffskontrollanfragen
Monolithisches AWS
Client Server
Dienstanfragen
Access Control Server
ACP Zugriffskontrollanfrage
4.1.2 Client-Pull Zugriffskontrolle
Andre BeuninkSicherheitsmodelle, Autorisierung und Zugriffskontrolle
Client Server
Dienstanfragen
Access Control Server
Zertifikat Generierung
Zertifikatübergabe
4.1.3 Proxy-basierte Zugriffskontrolle
Andre BeuninkSicherheitsmodelle, Autorisierung und Zugriffskontrolle
Client Server
Access Control Server
ACP Zugriffskontrollanfragen
Proxy Server
4.1.4 Zugriffskontrolle durch Remote-Administration
Andre BeuninkSicherheitsmodelle, Autorisierung und Zugriffskontrolle
Monolithisches AWS
Client Server
Dienstanfragen
Access Control Server
Administration der Zugriffskontrolle
AC-Translation Modul
4.2 Apache-Web Server
• Daten sind im Internet nicht für jedermann bestimmt, daher Zugriffskontrollprozeduren durchlaufen
• Schutzobjekte des Web-Servers sind eng an das vom Betriebssystem zur Verfügung gestellte Dateisystem gekoppelt
• Apache-Web-Server stellt allerdings ein eigenes Zugriffskontrollsystem bereit
• Zugang lässt sich für bestimmte Nachfrager (Nutzer, Gruppen) freischalten
• Zugriffskontrolle folgt dem Grundmodell des Zugriffsmatrixansatzes, erweitert durch Gruppenbildung und Vererbung von Gruppenrechten
Andre BeuninkSicherheitsmodelle, Autorisierung und Zugriffskontrolle
Fazit
• Sicherheitsmodelle sind nicht wirklich geeignet für vernetzte Systeme
• Hoher Entwicklungsbedarf
• E-commerce
• Wirtschaft muss umdenken