Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Sicherheitsmodelle.

Ähnliche Präsentationen


Präsentation zum Thema: "Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Sicherheitsmodelle."—  Präsentation transkript:

1 Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Sicherheitsmodelle Informationsfluss

2 IT-Sicherheit Grundlagen Dr. Wolf Müller 2 Zugriffskontrollmodelle Zugriffsmatrix-Modell Rollenbasierte Modelle Chinese-Wall Modell Bell-LaPadua Modell

3 IT-Sicherheit Grundlagen Dr. Wolf Müller 3 Chinese-Wall Modell Auch Brewer-Nesh Modell Entwickelt, um Ausnutzung von Insiderwissen bei Bank- oder Börsentransaktionen sowie bei Unternehmensberatung zu verhindern. Idee: Zukünftige Zugriffsmöglichkeiten eines Subjekts durch Zugriffe in der Vergangenheit beschränkt. Zulässigkeit von Zugriffen hängt von Zugriffshistorie ab.

4 IT-Sicherheit Grundlagen Dr. Wolf Müller 4 Chinese-Wall Modell (2) Basiert auf Zugriffsmatrix-Methode R = { read, write, execute} S Menge der Berater Zu schützende Objekte werden als Baum strukturiert –Blätter des Baumes sind Objekte, die in unterschiedlichen Unternehmen verwaltet werden. –Zuordnung zu den Unternehmen wird durch nächste Baumebene dargestellt. –Dritte Baumebene: in Konkurrenz stehende Unternehmen Einführung von Sicherheitsmarken: –y(o): Unternehmen, zu dem Objekt o gehört. –x(o): Interessenkonfliktklasse dieses Unternehmens. –Spezielle Markierung y 0 und Interessenkonfliktklasse x 0 für öffentlich zugängliche Information, die allen Subjekten unbeschränkt zugänglich sein kann. x 0 = {y 0 }

5 IT-Sicherheit Grundlagen Dr. Wolf Müller 5 Chinese-Wall Modell: Objektbaum ÖlgesellschaftBank Deutsche BankAral o1 o2 Shell o3 Dresdner Bank o1 Interessenskonfliktklassen Unternehmen Objekte

6 IT-Sicherheit Grundlagen Dr. Wolf Müller 6 Chinese-Wall Modell: Schutzzustand Zusätzlich zu benutzerbestimmbar vergebbaren Rechten gemäß Zugriffsmatrix M t wird der Schutzzustand durch |S|×|O|-Matrix N t bestimmt. N t gibt an, welche Subjekte auf welche Objekte bis zum Zeitpunkt t bereits zugegriffen haben.

7 IT-Sicherheit Grundlagen Dr. Wolf Müller 7 Zugriffshistorie Gegeben System mit Menge der: Subjekte S, Objekte O, Rechte R. Die Zugriffshistorie von Subjekt s S wird durch die Matrix N t beschrieben mit: N t : S×O 2 R. Es gilt N t (s,o) = {r 1, …, r n } Es gibt Zeitpunkte t

8 IT-Sicherheit Grundlagen Dr. Wolf Müller 8 Regel 1 (Leseregel) Ein z-Zugriff, z {read,execute}, auf ein Objekt o O ist für Subjekt s S zum Zeitpunkt t zulässig z M t o O : N t (s,o) ø ( y(o) = y(o) x(o) x(o) y(o) = y 0 ) Subjekt s darf zum Zeitpunkt t nur dann lesend (ausführend) auf das Objekt o zugreifen, wenn es das es prinzipiell das entsprechende Lese-/ Ausführungsrecht besitzt und bis dahin auf kein Objekt o zugegriffen hat, das zu einem fremden Unternehmen gehört aber der gleichen Interessenskonfliktklasse wie o angehört. Regel gewährleistet, dass nach Zugriff auf ein Objekt o durch Subjekt s eine spezifische Mauer (um alle Objekte o von anderen Unternehmen der gleichen Interessenskonfliktklasse) gebaut wird.

9 IT-Sicherheit Grundlagen Dr. Wolf Müller 9 Satz: Lesebeschränkung In einem in Chines-Wall-Modell modellierten System gilt für alle Subjekte s: Hat Subjekt s auf ein Objekt o zugegriffen, so darf es höchstens noch auf Objekte o zugreifen, für die gilt: y(o) = y(o) x(o) x(o) y(o) = y 0

10 IT-Sicherheit Grundlagen Beweis Dr. Wolf Müller 10 (A) Annahme: Für Subjekt s und Objekte o 1, o 2 gelte zum Zeitpunkt t: N t (s,o 1 ) Ø ^ N t (s,o 2 ) Ø ^ y(o 1 ) y(o 2 ) ^ x(o 1 ) = x(o 2 ) ^ y(o 1 ) y 0 ^ y(o 2 ) y 0 O.B.d.A. erster Zugriff von s auf o 1 zum Zeitpunkt t 1 < t, erster Zugriff von s auf o 2 zum Zeitpunkt t 1 < t 2 < t. Somit gilt: N t2 (s,o 1 ) Ø. Nach Regel 1 für zulässigen o 2 –Zugriff muss gelten: y(o 1 ) = y(o 2 ) x(o 1 ) x(o 2 ) Zusammen mit (A): ( y(o 1 ) = y(o 2 ) ^ y(o 1 ) y(o 2 ) ^ x(o 1 ) = x(o 2 ) ) ( x(o 1 ) x(o 2 ) ^ y(o 1 ) y(o 2 ) ^ x(o 1 ) = x(o 2 ) )

11 IT-Sicherheit Grundlagen Dr. Wolf Müller 11 Chinese-Wall Modell: Subjektspezifisch Mauerbildung ÖlgesellschaftBank Deutsche BankAral o1o2 Shell o3 Dresdner Bank o1 s1-spezifische Mauer nach Zugriff auf die Objekte o1 und o2 o1o2

12 IT-Sicherheit Grundlagen Dr. Wolf Müller 12 Chinese-Wall Modell: Unerwünschter Informationsfluss Zugriff von Subjekt s1 lesend auf Objekt o1, danach schreibend auf Bank-Objekt o2. Anschließend liest Subjekt s2 die Informationen aus dem Objekt o2 und schreibt diese in Objekt o3. Informationsfluss von o1 nach o3. (Konkurrenzfirmen) ÖlgesellschaftBank Deutsche BankAral o1o2 Shell o3 Dresdner Bank o1 o2

13 IT-Sicherheit Grundlagen Dr. Wolf Müller 13 Regel 2 (Schreibregel) Schreibzugriff auf Objekt o O durch Subjekt s S ist zum Zeitpunkt t zulässig genau dann, wenn gilt: write M t o O : read N t (s,o) ( y(o) = y(o) y(o) = y 0 ) Schreibzugriff durch s zum Zeitpunkt t auf Objekt o ist zulässig, wenn s das Schreibrecht besitzt und bis zum Zeitpunkt t nur Lesezugriffe auf solche Objekte hatte, die zum gleichen Unternehmen gehören oder die nur unklassifizierte (frei zugängliche) Informationen beinhalten.

14 IT-Sicherheit Grundlagen Dr. Wolf Müller 14 Chinese-Wall Modell: Mit Regel2 Zugriff von Subjekt s1 lesend auf Objekt o1, danach ist Schreiben auf Bank-Objekt o2 unzulässig. Kein Informationsfluss von o1 nach o3. (Konkurrenzfirmen) ÖlgesellschaftBank Deutsche BankAral o1o2 Shell o3 Dresdner Bank o1

15 IT-Sicherheit Grundlagen Dr. Wolf Müller 15 Chinese-Wall Modell: Fazit Grobkörnige Modellierung, aber auch feinkörnige möglich Einfache Rechte: Festlegung einfacher universelle Zugriffsrechte ist vorgeschrieben. Mit Chinese Wall modellierte Systeme legen benutzerbestimmbare Strategie fest, die durch einfache systembedingte Festlegungen erweitert wird. Für Anwendungen ohne strenge Datenintegritätsanforderungen und ohne über die restriktiven Beschränkungen hinausgehenden Vertraulichkeitsanforderungen

16 IT-Sicherheit Grundlagen Dr. Wolf Müller 16 Bell-LaPadula-Modell D. Bell and L- LaPadula. Secure computer systems: A mathematical model. Technical Report MTR-2547, Vol 2, MITRW Corp., Bedford, MA, November 1973 Sehr bekannt Gilt als erstes vollständig formalisiertes Modell Basiert auf dynamischem Zugriffsmatrix-Modell –Menge der universellen Zugriffsrechte: read-only append execute read-write control

17 IT-Sicherheit Grundlagen Dr. Wolf Müller 17 Bell-LaPadula-Modell (2) Erweiterung des Zugriffsmatrix-Modells durch Einführung einer geordneten Menge von Sicherheitsklassen SC –Einordnung in Vertraulichkeitsstufen –Element X SC wird durch Paar X=(A,B) beschrieben. A Sicherheitsmarke B Menge von Sicherheitskategorien (compartments) –Jedem Subjekt s wird Sicherheitsklasse (clearance) sc(s) SC, –Jedem Objekt o eine Sicherheitsklassifikation, die so genannte Classification sc(o) SC zugeordnet. Die Clearance sc(s) ist die maximale Sicherheitsstufe, die ein Subjekt einnehmen darf. Bei Anmeldung muss Subjekt seine aktuelle Clearance sc akt (s)sc(s) angeben. –Partielle Ordnung auf SC: X,Y SC, mit X=(A,B), Y=(A,B): X Y A A B B

18 IT-Sicherheit Grundlagen Dr. Wolf Müller 18 Bell-LaPadula-Modell: Sicherheitsklassen Krankenhaus, Umgang mit Patientenakten –Sicherheitsmarken: {unklassifiziert, vertraulich, geheim, streng geheim} mit Ordnung unklassifiziert vertraulich geheim streng geheim –Sicherheitskategorien: {Arzt, Schwester, Patient, Verwaltung} –Menge der Sicherheitsklassen SC: SC ={(geheim,Ø), (vertraulich,Ø), (vertraulich,{Arzt, Schwester}), (vertraulich,{Schwester}), …, } wegen Ordnungsrelation gilt u.a. (geheim,Ø) (vertraulich,Ø) (vertraulich,{Arzt, Schwester}) (vertraulich,{Schwester})

19 IT-Sicherheit Grundlagen Dr. Wolf Müller 19 Bell-LaPadula-Modell: Systembedingte Zugriffsbeschränkungen no-read-up (Simple-Security)-Regel –Lese- oder Execute-Zugriff auf ein Objekt o durch Subjekt s nur zulässig, wenn s das entsprechende Zugriffsrecht r besitzt und die Objektklassifikation kleiner oder gleich der Subjekt-Clearance ist. r M t (s,o) sc(s) sc(o) no-write-down-Regel (*-Eigenschaft) –append-Zugriff auf ein Objekt o durch Subjekt s nur zulässig, wenn die Objektklassifikation mindestens so hoch wie die Subjekt- Clearance ist. append M t (s,o) sc(s) sc(o) –Lese-Schreib-Zugriff auf ein Objekt o durch Subjekt s nur zulässig, wenn die Objektklassifikation gleich der Subjekt- Clearance ist. read-write M t (s,o) sc(s) = sc(o)

20 IT-Sicherheit Grundlagen Dr. Wolf Müller 20 Bell-LaPadula-Modell: Systembedingte Zugriffsbeschränkungen (2) Die zwei systembedingten Regeln sind leicht zu überprüfende Bedingungen Informationsflüsse höchstens von –unten nach oben gemäß der partiellen Ordnung oder –innerhalb einer Sicherheitsklasse streng geheim geheim vertraulich unklassifiziert S1 S2 O1 O2 O4 O3 O5 append read-write read read-write read, execute append, read-write

21 IT-Sicherheit Grundlagen Dr. Wolf Müller 21 Bell-LaPadula-Modell: trusted process Dynamische Neuklassifizierung von Informationen (insbesondere niedrigere Einstufung): Konzept der vertrauenswürdigen Prozesse (trusted process) Vertrauenswürdiger Prozess = Subjekt, bei dem man davon ausgeht, dass es keine Aktionen durchführt, die Sicherheitseigenschaften des Systems in Frage stellen. –Meist Betriebssystemprozesse

22 IT-Sicherheit Grundlagen Dr. Wolf Müller 22 Bell-LaPadula-Modell: Beispiel UNIX System V/MLS (MLS=Multi Level Security) –Erweiterung von UNIX System V um Sicherheitsklassen und kategorien –Subjekte: Prozesse im Auftrag von Benutzer –Objekte: Dateien, Verzeichnisse, inodes, Signale, Prozesse –Erweiterung des Login um Clearance-Angabe –Bei Zugriffen werden no-write-down-Regel und no-read-up-Regel überprüft. exec(file) sc(s)sc(o)

23 IT-Sicherheit Grundlagen Dr. Wolf Müller 23 Bell-LaPadula-Modell: Probleme Bell-LaPadula-Modell häufig in der Praxis eingesetzt, hat aber gravierende Mängel: –Problem des blinden Schreibens Systembestimmte Regeln erlauben schreiben in ein höher eingestuftes Objekt, aber kein (Kontroll-)Lesen der Veränderungen Integritätsproblem –Problem des entfernten Lesens geheim eingestufter Rechner A mit ebenso eingestuftem Subjekt will lesend auf entfernten Rechner B (vertraulich eingestuft) zugreifen. Nach Bell-LaPadula ist Informationsfluss zulässig. (vertraulich < geheim ) Aber Aufbau einer Verbindung notwendig. –O.B.d.A sendet A Aufforderung zum Verbindungsaufbau an B. –Problem: Verbindungsanfrage impliziert Schreib-Operation auf Rechner B (write- down von A nach B) Lösung: Spezielle Kontrolle der Anfragenachrichten, um sicherzustellen, dass kein unzulässiger Informationsfluss auftritt. –Verdeckte Kanäle?

24 IT-Sicherheit Grundlagen Dr. Wolf Müller 24 Bell-LaPadula-Modell: Fazit Keine Vorgabe für Granularität Zugriffsrechte als universelle Rechte festgelegt Rechtefestlegungen sind kombiniert mit restriktiven systembestimmten Festlegungen des Modells –Einschränkung des Spektrums der mit diesem Modell beschreibbaren IT-Systeme (Vielzahl von Zugriffen wegen systembestimmten Festlegungen verboten, obwohl keine Verletzung der internen Strategie auftreten würde) –MAC-Regeln leicht zu implementieren Hohe Anforderungen an Datenintegrität nicht realisierbar. –Problem: Niedrig eingestufte Subjekte dürfen höher eingestufte Objekte uneingeschränkt schreibend manipulieren.

25 IT-Sicherheit Grundlagen Dr. Wolf Müller 25 Informationsflussmodelle: Verbands-Modell Verbands-Modell D.E. Dennig. A Lattice Model of Secure Information Flow. Communications of ACM, 19(5): ,1976 Verallgemeinerung des Ansatzes von Bell-LaPadula Beschreibung des Informationsflusses zwischen Datenvariablen eines Programms Beschränkungen für Informationsflüsse werden unabhängig von den Objekten, die sie repräsentieren, festgelegt. Es werden nicht Objektzugriffe, sondern der Umgang mit Informationen reglementiert.

26 IT-Sicherheit Grundlagen Dr. Wolf Müller 26 Verbandseigenschaft Ein Verband ist durch das Tupel (SC,,, ) definiert, wobei –SC eine endliche Menge von Sicherheitsklassen beschreibt, –die Flussrelation eine partielle Halbordnung auf SC definiert und –die Operatoren und für je zwei Sicherheitsklassen die kleinste obere bzw. die größte untere Grenze bezeichnen. Die größte untere Grenze von SC kann als unklassifizierte Information interpretieren, auf die jedes Subjekt zugreifen darf. Für gilt: A, B, C SC : a)A A B und B A B und b)A C B C A B C. Für gilt: A, B, C SC : a)A B A und A B B b)A C B C C A B.

27 IT-Sicherheit Grundlagen Dr. Wolf Müller 27 Informationsbeschränkungen Analog zu Bell-LaPadula wird jedem Subjekt s und jedem Objekt o eine Sicherheitsmarke sc(s) bzw. sc(o) aus SC zugeordnet Im Verbandsmodell nur Informationsfluss innerhalb von Sicherheitsklassen oder aufwärts, gemäß der festgelegten partiellen Halbordnung. Informationsfluss von Objekt mit Sicherheitsklasse A zu einem mit B zulässig wenn gilt: A B. Grafische Visualisierung: Hasse-Diagramm –Elemente des Verbandes sind Knoten im Grafen –Kante zwischen zwei Knoten bezeichnet das größte der beiden Elemente am oberen Ende der Kante und das kleinste am unteren Ende.

28 IT-Sicherheit Grundlagen Dr. Wolf Müller 28 Verbandsmodell: Hassediagramm acht Sicherheitsklassen: –SC = { (geheim, Ø}, (geheim, {a}), (geheim, {b}), (geheim, {a, b}), (vertraulich, Ø), (vertraulich, {a}), (vertraulich, {b}), (vertraulich, {Ø}) } Es gilt u.a. : –(geheim, {a}) (geheim, {b}) = (geheim, {a, b}) und –(geheim, {a}) (geheim, {b}) = (geheim, Ø}

29 IT-Sicherheit Grundlagen Dr. Wolf Müller 29 Verbandsmodell: Hassediagramm (2) vertraulich,- vertraulich,a vertraulich,b vertraulich,a,b geheim,a geheim,- geheim,b geheim,a,b acht Sicherheitsklassen: SC = { (geheim, Ø}, (geheim, {a}), (geheim, {b}), (geheim, {a, b}), (vertraulich, Ø), (vertraulich, {a}), (vertraulich, {b}), (vertraulich, {Ø}) } Es gilt u.a. : (geheim, {a}) (geheim, {b}) = (geheim, {a, b}) (geheim, {a}) (geheim, {b}) = (geheim, Ø}

30 IT-Sicherheit Grundlagen Dr. Wolf Müller 30 Verbandstruktur: Bedeutung Transitivität der Relation impliziert, das jeder implizite Fluss X Y von einer Variable X zu einer Variablen Y: der aus einer Folge von Flüssen X=Z 0 Z 1 … Z n = Y resultiert zulässig ist, falls jeder direkte Fluss Z i Z i+1 zulässig ist. Prüfung der direkten Flüsse ausreichend, –für Programme bedeutet dies: Folge von Anweisungen zulässig, wenn jede einzelne zulässig ist. Verbandseigenschaft (Existenz Suprenum Infimum für je zwei Verbandselemente) kann benutzt werden, um Kontrollaufwand zu verringern –Zuweisung: Y X 1, … Y X n z.B. Y:=X 1 +X 2 *X 3 Dann: i : sc(X i ) sc(Y i ), statt für jede Variable X i dies zu überprüfen, ist es ausreichend, die kleinste obere Schranke sc(X 1 ) … sc(X n ) zu berechnen, und für diese die Bedingung zu prüfen. –Operator kann zur Kontrolle von Informationsflüssen zu mehreren Variablen benutzt werden. Y 1 X, … Y n X Falls Sicherheitsklassifikation von Objekten während ihrer Existenz invariant, können bereits zur Compilezeit obere u. untere Schranken berechnet und Fluss kontrolliert werden.

31 IT-Sicherheit Grundlagen Dr. Wolf Müller 31 Verbandstruktur: Fazit Flussrelation (durch partielle Ordnung auf Sicherheitsklassen definiert) legt systembestimmte Informationsfluss-Strategie fest. Benutzer mit gleicher Sicherheitsklasse haben gleiche Rechte zum Informationszugriff. Feinkörnigkeit = große Zahl von Sicherheitsklassen –Aufwändig, skaliert nicht Grobkörnige Modellierung schränkt Möglichkeiten zur differenzierten Festlegung zulässiger Informationskanäle stark ein. Starre Sicherheitsklassifikation –Statische Zuordnung zwischen Objekten und ihren Sicherheitsklassen –Modellierung erfordert in der Regel hohe Einstufung von Objekten in Sicherheitsklassen –Niedrig eingestufte Subjekte haben dann oft ungenügende Rechte, in der Praxis dann oft Hochstufung im Widerspruch zu need to know. Fokus des Modells: Vertraulichkeit der zu verarbeitenden Informationen


Herunterladen ppt "Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen Sicherheitsmodelle."

Ähnliche Präsentationen


Google-Anzeigen