Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Sicherheitsmodelle, Autorisierung und Zugriffskontrolle

Veröffentlicht von:Ricarda Wolber Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Sicherheitsmodelle, Autorisierung und Zugriffskontrolle"—  Präsentation transkript:

1 Sicherheitsmodelle, Autorisierung und Zugriffskontrolle
Andre Beunink

2 Einbindung der Zugriffskontrollen
Einleitung Zugriffskontrolle Sicherheitsmodelle Einbindung der Zugriffskontrollen Sicherheitsmodelle, Autorisierung und Zugriffskontrolle Andre Beunink

3 1. Einleitung IT-Sektor dient der Effizienzsteigerung
Entwicklung von Sicherheitsmechanismen schritt seit den 70er Jahren nur langsam voran Interne und externe Angriffe auf Sicherheitslücken und somit auf das gesamte System Datenverluste, Datenmanipulation, Datenspionage etc. Umfangreiche Sicherheitspolitik ist unumgänglich Geeignete Zugriffskontrollsysteme für große vernetzte Systeme fehlen Notwendigkeit eines Modellwechsels wurde noch nicht erkannt Sicherheitsmodelle, Autorisierung und Zugriffskontrolle Andre Beunink

4 2. Zugriffskontrolle 2.1 Ziele der Zugriffskontrolle
2.2 Grundmodell Zugriffskontrolle 2.3 Zugriffsprotokollierung 2.4 Autorisierung Sicherheitsmodelle, Autorisierung und Zugriffskontrolle Andre Beunink

5 2.1 Ziele der Zugriffskontrolle
Vertraulichkeit: vor unbefugter Preisgabe schützen Verfügbarkeit: Informationen stehen jederzeit zur Verfügung Integrität: Daten sind vollständig und unverändert Sicherheitsmodelle, Autorisierung und Zugriffskontrolle Andre Beunink

6 2.2 Grundmodell Zugriffskontrolle
Grundlage für die klassischen Sicherheitsmodelle Objekte (O), Subjekte (S) und Operatoren (P) als Hauptbestandteile Ein Zugriffsweg lässt sich nun als Tripel <s, p, o> darstellen Verbotene werden explizit genannt Default permit Erlaubte werden explizit erlaubt Default deny Sicherheitsmodelle, Autorisierung und Zugriffskontrolle Andre Beunink

7 2.2 Grundmodell Zugriffskontrolle
Subjekte Operatoren Objekte erlaubt verboten Sicherheitsmodelle, Autorisierung und Zugriffskontrolle Andre Beunink

8 2.3 Zugriffsprotokollierung
Erfasst und registriert Benutzer und speichert deren Aktivitäten zur Überprüfung und Analyse Daten liefert der Referenz-Monitor, der bestimmten Anforderungen entsprechen muss Systemadministrator kann anormale Verhaltensweisen untersuchen Intrusion Detection Systeme (passiv oder aktiv) Sicherheitsmodelle, Autorisierung und Zugriffskontrolle Andre Beunink

9 2.4 Autorisierung Benutzerbestimmte Zugriffskontrolle
Discretionary Access Control (DAC) Systembestimmte Zugriffskontrolle Mandatory Access Control (MAC) Rollenbasierte Zugriffskontrolle Role Based Access Control (RBAC) Sicherheitsmodelle, Autorisierung und Zugriffskontrolle Andre Beunink

10 Einbindung der Zugriffskontrollen
Einleitung Zugriffskontrolle Sicherheitsmodelle Einbindung der Zugriffskontrollen Sicherheitsmodelle, Autorisierung und Zugriffskontrolle Andre Beunink

11 3. Sicherheitsmodelle 3.1 Anforderungen und Bedeutung
3.2 Klassische Modelle 3.2.1 Zugriffsmatrix 3.2.2 Bell-LaPadula Modell 3.2.3 Rollenbasierte Zugriffskontrolle (RBAC) Sicherheitsmodelle, Autorisierung und Zugriffskontrolle Andre Beunink

12 3.1 Anforderungen und Bedeutung
Sicherheit in IT-Systeme ist nicht zählbar oder messbar Angriffe kann man simulieren Sicherheitseigenschaften formal beweisen Präzise und eindeutig genau definiert einfach und abstrakt Offensichtliche Abbildung darstellen Sicherheitsmodelle, Autorisierung und Zugriffskontrolle Andre Beunink

13 3.1 Anforderungen und Bedeutung
Anforderungen des BSI Anforderungskatalog soll den Anforderungen der ITSEC und CC entsprechen Spezifikation Interpretation Verifizierbar Sicherheitsmodelle, Autorisierung und Zugriffskontrolle Andre Beunink

14 3.2.1 Zugriffsmatrix Rechtevergabe über Eigentümer-, Besitzer- oder über das Administratorprinzip Speichermethoden Subjektorientierte Speicherung (ausweisorientiert, capability-oriented) Speicherung beim Stammdatensatz des Subjekts Objektorientierte Speicherung Speicherung im Beschreibungsdatenfeld des Objektes Operatororientierte Speicherung Speicherung im Referenzmonitor Sicherheitsmodelle, Autorisierung und Zugriffskontrolle Andre Beunink

15 3.2.1 Zugriffsmatrix Gruppierung
Große Objekt- und Subjektgruppen führen zu Schwierigkeiten in der Verwaltung Gruppierungen von Subjekten in z.B. in Administrator, Manager, Mitarbeiter und Hilfsarbeiter Gruppierungen von Objekten z.B. in Abteilungsdaten, Konzerndaten… Sicherheitsmodelle, Autorisierung und Zugriffskontrolle Andre Beunink

16 3.2.1 Zugriffsmatrix Bewertung Am häufigsten verwendetes Modell
Flexible Nutzbarkeit Einschränkung durch komplexe Algorithmen denkbar Keine Möglichkeit den Informationsfluss von Objekt zu Objekt (Subjekt) zu beschreiben Anforderungen zur Vertraulichkeit und Integrität werden nicht berücksichtigt Sicherheitsmodelle, Autorisierung und Zugriffskontrolle Andre Beunink

17 3.2.2 Bell-LaPadula Modell Streng geheim Geheim Vertraulich
Schutz der Vertraulichkeit steht im Vordergrund Regelt den Informationsfluss Sicherheitsgruppen: Streng geheim Geheim Vertraulich Frei zugänglich Sicherheitsmodelle, Autorisierung und Zugriffskontrolle Andre Beunink

18 Lesezugriff auf Objekte
3.2.2 Bell-LaPadula Modell Lesezugriff auf Objekte (no-read-up) Sicherheitsstufen Streng geheim Objekt o1 Geheim Subjekt s1 Objekt o4 Vertraulich Objekt o3 Frei zugänglich Objekt o2 Sicherheitsmodelle, Autorisierung und Zugriffskontrolle Andre Beunink

19 Schreib-zugriff auf Objekte (no-write-down)
3.2.2 Bell-LaPadula Modell Schreib-zugriff auf Objekte (no-write-down) Sicherheitsstufen Streng geheim Objekt o1 Geheim Subjekt s1 Objekt o4 Vertraulich Objekt o3 Frei zugänglich Objekt o2 Sicherheitsmodelle, Autorisierung und Zugriffskontrolle Andre Beunink

20 3.2.2 Bell-LaPadula Modell Bewertung
Sukzessive Höherstufung von Informationen Blindes Schreiben Integrität und Verfügbarkeit unberücksichtigt Anwendungsbereich eng gesteckt Für Vertraulichkeit in offenen Systemen nicht geeignet, da für geschlossene Systeme entwickelt Sicherheitsmodelle, Autorisierung und Zugriffskontrolle Andre Beunink

21 3.2.4 Rollenbasierte Zugriffskontrolle
Role-Based Access Control, kurz RBAC Weiterentwicklung des Gruppenkonzepts Rechtezuordnung unabhängig von Benutzerzuordnung Rechte werden in Rollen zusammen gefasst Sicherheitsadministrator vergibt Rechte System wird zeitstabiler Minimales Rechteprinzip Eine Rolle kann mehreren Subjekten und einem Subjekt können mehrere Rollen zugeordnet werden Hierarchische RBAC (Rollenhierarchie) Sicherheitsmodelle, Autorisierung und Zugriffskontrolle Andre Beunink

22 3.2.4 Rollenbasierte Zugriffskontrolle
Role-Engineering Rollenklasse Beispiele Unternehmensbereichs-Rollen Einkaufsabteilungs-, Verkaufsabteilungs-Rolle, … Mitarbeiterhierarchie-Rollen Abteilungsleiter-, Geschäftsleitungsassistenz-Rolle Personenstatus-Rollen Mitarbeiter-, Berater-, Kunde-Rolle, … Funktions-Rollen Kundenberatungs-, Systemadministrator-Rolle, … Temporär-Rollen Projektmitarbeiter-, Projektleiter-Rolle, … Sicherheitsmodelle, Autorisierung und Zugriffskontrolle Andre Beunink

23 3.2.4 Rollenbasierte Zugriffskontrolle
Bewertung Zielsetzung nicht klar definiert Sowohl auf Integrität als auch auf Vertraulichkeit ausgerichtet Lässt sich in eine Vielzahl von Systemen mit Zugriffsmatrix integrieren Rollen können benutzt werden, um abstrakte Beschreibungen der Zugriffsrechte in Form von Zertifikaten und Autorisierungsschlüssel zu bilden Sicherheitsmodelle, Autorisierung und Zugriffskontrolle Andre Beunink

24 Einleitung Zugriffskontrolle Sicherheitsmodelle Einbindung der Zugriffskontrollen

25 4. Einbindung der Zugriffskontrollen
4.1 Einbindung in Client-Server Architekturen 4.1.1 Server-Pull Zugriffskontrolle 4.1.2 Client-Pull Zugriffskontrolle 4.1.3 Proxy-basierte Zugriffskontrolle 4.1.4 Zugriffskontrolle durch Remote- Administration 4.2 Apache-Web Server Sicherheitsmodelle, Autorisierung und Zugriffskontrolle Andre Beunink

26 4.1 Einbindung in Client-Server Architekturen
Schwierig in Altsysteme geeignete, auf große Netzwerke ausgerichtete Zugriffskontrollsysteme einzubinden Unterschiedlichste Zugriffskontrollen auf unterschiedlichster Weise implementiert Zukunftssicherheit ist zu gewährleisten Alle hier vorgestellten Beispiele gehen von einem zentralen Access Control Service aus Sicherheitsmodelle, Autorisierung und Zugriffskontrolle Andre Beunink

27 4.1.1 Server-Pull Zugriffskontrolle
Monolithisches AWS Client Server Dienstanfragen Access Control Server ACP Zugriffskontrollanfrage Monolithisches AWS Client Server Dienstanfragen Access Control Server ACP Zugriffskontrollanfragen Sicherheitsmodelle, Autorisierung und Zugriffskontrolle Andre Beunink

28 4.1.2 Client-Pull Zugriffskontrolle
Server Dienstanfragen Access Control Server Zertifikat Generierung Zertifikatübergabe Sicherheitsmodelle, Autorisierung und Zugriffskontrolle Andre Beunink

29 4.1.3 Proxy-basierte Zugriffskontrolle
Client Server Access Control Server ACP Zugriffskontrollanfragen Proxy Server Sicherheitsmodelle, Autorisierung und Zugriffskontrolle Andre Beunink

30 4.1.4 Zugriffskontrolle durch Remote-Administration
Monolithisches AWS Client Server Dienstanfragen Access Control Server Administration der Zugriffskontrolle AC-Translation Modul Sicherheitsmodelle, Autorisierung und Zugriffskontrolle Andre Beunink

31 4.2 Apache-Web Server Daten sind im Internet nicht für jedermann bestimmt, daher Zugriffskontrollprozeduren durchlaufen Schutzobjekte des Web-Servers sind eng an das vom Betriebssystem zur Verfügung gestellte Dateisystem gekoppelt Apache-Web-Server stellt allerdings ein eigenes Zugriffskontrollsystem bereit Zugang lässt sich für bestimmte Nachfrager (Nutzer, Gruppen) freischalten Zugriffskontrolle folgt dem Grundmodell des Zugriffsmatrixansatzes, erweitert durch Gruppenbildung und Vererbung von Gruppenrechten Sicherheitsmodelle, Autorisierung und Zugriffskontrolle Andre Beunink

32

33

34 Fazit Sicherheitsmodelle sind nicht wirklich geeignet für vernetzte Systeme Hoher Entwicklungsbedarf E-commerce Wirtschaft muss umdenken

Herunterladen ppt "Sicherheitsmodelle, Autorisierung und Zugriffskontrolle"

Ähnliche Präsentationen

Be.as WEB Technologie 25.03.2017.

Be.as WEB Technologie
Eine Frage der Sichtweise

Eine Frage der Sichtweise
Integrations- und Funktionstests im Rahmen des V-Modelles

Integrations- und Funktionstests im Rahmen des V-Modelles
A CORBA Domain Management Service

A CORBA Domain Management Service
Thema: Sicherheitsarchitektur für mobiles Arbeiten

Thema: Sicherheitsarchitektur für mobiles Arbeiten
„Ansicht Arbeitsbereich“ ist die nutzerspezifische Ansicht, in der alle Dokumente aufgelistet sind, die dem angemeldeten Benutzer zugeordnet sind. D.h.

„Ansicht Arbeitsbereich“ ist die nutzerspezifische Ansicht, in der alle Dokumente aufgelistet sind, die dem angemeldeten Benutzer zugeordnet sind. D.h.
Systemverwaltung wie es Ihnen gefällt.

Systemverwaltung wie es Ihnen gefällt.
Firewalls.

Firewalls.
Soziale Vernetzung & kollektives Wissen

Soziale Vernetzung & kollektives Wissen
Basis-Architekturen für Web-Anwendungen

Basis-Architekturen für Web-Anwendungen
Ontologien- Query 1 Teil2

Ontologien- Query 1 Teil2
Kapitel 4 Datenstrukturen

Kapitel 4 Datenstrukturen
Authentifizierung, Autorisierung und Rechteverwaltung Einsatz und Funktion des Rechteservers 2. Shibboleth-Workshop Freiburg, 23. März 2006 Gerald Schupfner,

Authentifizierung, Autorisierung und Rechteverwaltung Einsatz und Funktion des Rechteservers 2. Shibboleth-Workshop Freiburg, 23. März 2006 Gerald Schupfner,
Einbindung des Service Providers: Einfache Web-Applikation, Überwachungssystem NAGIOS 2. Shibboleth-Workshop, Freiburg, 23.03.2006 Franck Borel, UB Freiburg.

Einbindung des Service Providers: Einfache Web-Applikation, Überwachungssystem NAGIOS 2. Shibboleth-Workshop, Freiburg, Franck Borel, UB Freiburg.
Netzwerke im Dialogmarketing

Netzwerke im Dialogmarketing
Anwendungsfalldiagramm

Anwendungsfalldiagramm
Anwendungsfalldiagramm

Anwendungsfalldiagramm
Präsentation zum Thema Netzwerk Von Jan Metz.

Präsentation zum Thema Netzwerk Von Jan Metz.
Konzeption und prototypische Implementierung eines zentralen Informationssystems für Systemmanagement Motivation Oft wird es schwierig, die benötigten.

Konzeption und prototypische Implementierung eines zentralen Informationssystems für Systemmanagement Motivation Oft wird es schwierig, die benötigten.
On a Buzzword: Hierachical Structure David Parnas.

On a Buzzword: Hierachical Structure David Parnas.

Ähnliche Präsentationen

Google-Anzeigen