Sicherheitsmodelle Informationsfluss Grundlagen Sicherheitsmodelle Informationsfluss
Zugriffskontrollmodelle Zugriffsmatrix-Modell Rollenbasierte Modelle Chinese-Wall Modell Bell-LaPadua Modell Dr. Wolf Müller
Chinese-Wall Modell Auch Brewer-Nesh Modell Idee: Entwickelt, um Ausnutzung von Insiderwissen bei Bank- oder Börsentransaktionen sowie bei Unternehmensberatung zu verhindern. Idee: Zukünftige Zugriffsmöglichkeiten eines Subjekts durch Zugriffe in der Vergangenheit beschränkt. Zulässigkeit von Zugriffen hängt von Zugriffshistorie ab. Dr. Wolf Müller
Chinese-Wall Modell (2) Basiert auf Zugriffsmatrix-Methode R = { read, write, execute} S Menge der Berater Zu schützende Objekte werden als Baum strukturiert Blätter des Baumes sind Objekte, die in unterschiedlichen Unternehmen verwaltet werden. Zuordnung zu den Unternehmen wird durch nächste Baumebene dargestellt. Dritte Baumebene: in Konkurrenz stehende Unternehmen Einführung von Sicherheitsmarken: y(o): Unternehmen, zu dem Objekt o gehört. x(o): Interessenkonfliktklasse dieses Unternehmens. Spezielle Markierung y0 und Interessenkonfliktklasse x0 für öffentlich zugängliche Information, die allen Subjekten unbeschränkt zugänglich sein kann. x0 = {y0 } Dr. Wolf Müller
Chinese-Wall Modell: Objektbaum Ölgesellschaft Bank Interessenskonfliktklassen Aral Shell Deutsche Bank Unternehmen Dresdner Bank Objekte o1 o3 o2 o1 Dr. Wolf Müller
Chinese-Wall Modell: Schutzzustand Zusätzlich zu benutzerbestimmbar vergebbaren Rechten gemäß Zugriffsmatrix Mt wird der Schutzzustand durch |S|×|O|-Matrix Nt bestimmt. Nt gibt an, welche Subjekte auf welche Objekte bis zum Zeitpunkt t bereits zugegriffen haben. Dr. Wolf Müller
Zugriffshistorie Gegeben System mit Menge der: Subjekte S, Objekte O, Rechte R. Die Zugriffshistorie von Subjekt sS wird durch die Matrix Nt beschrieben mit: Nt: S×O 2R. Es gilt Nt(s,o) = {r1, …, rn} Es gibt Zeitpunkte t‘<t, zu denen das Subjekt s gemäß der Berechtigungen r1, …, rn auf das Objekt o zugegriffen hat. Zugriff auf Objekt durch zwei systembedingte Regeln: Regel 1: Leseregel (nicht modifizierend) Regel 2: Schreibregel (modifizierende Zugriffe) Dr. Wolf Müller
Nt(s,o‘)≠ ø ( y(o’) = y(o) x(o’) ≠ x(o) y(o’) = y0 ) Regel 1 (Leseregel) Ein z-Zugriff, z{read,execute}, auf ein Objekt oO ist für Subjekt sS zum Zeitpunkt t zulässig z Mt o‘O : Nt(s,o‘)≠ ø ( y(o’) = y(o) x(o’) ≠ x(o) y(o’) = y0 ) Subjekt s darf zum Zeitpunkt t nur dann lesend (ausführend) auf das Objekt o zugreifen, wenn es das es prinzipiell das entsprechende Lese-/ Ausführungsrecht besitzt und bis dahin auf kein Objekt o‘ zugegriffen hat, das zu einem fremden Unternehmen gehört aber der gleichen Interessenskonfliktklasse wie o angehört. Regel gewährleistet, dass nach Zugriff auf ein Objekt o durch Subjekt s eine spezifische Mauer (um alle Objekte o‘ von anderen Unternehmen der gleichen Interessenskonfliktklasse) gebaut wird. Dr. Wolf Müller
Satz: Lesebeschränkung In einem in Chines-Wall-Modell modellierten System gilt für alle Subjekte s: Hat Subjekt s auf ein Objekt o zugegriffen, so darf es höchstens noch auf Objekte o‘ zugreifen, für die gilt: y(o’) = y(o) x(o’) ≠ x(o) y(o’) = y0 Dr. Wolf Müller
( y(o1) = y(o2) ^ y(o1) ≠ y(o2 ) ^ x(o1) = x(o2) ) Beweis Annahme: Für Subjekt s und Objekte o1, o2 gelte zum Zeitpunkt t: Nt(s,o1) ≠ Ø ^ Nt(s,o2) ≠ Ø ^ y(o1) ≠ y(o2 ) ^ x(o1) = x(o2) ^ y(o1) ≠ y0 ^ y(o2) ≠ y0 O.B.d.A. erster Zugriff von s auf o1 zum Zeitpunkt t1 < t, erster Zugriff von s auf o2 zum Zeitpunkt t1 < t2 < t. Somit gilt: Nt2(s,o1) ≠ Ø. Nach Regel 1 für zulässigen o2–Zugriff muss gelten: y(o1) = y(o2) x(o1) ≠ x(o2) Zusammen mit (A): ( y(o1) = y(o2) ^ y(o1) ≠ y(o2 ) ^ x(o1) = x(o2) ) ( x(o1) ≠ x(o2) ^ y(o1) ≠ y(o2 ) ^ x(o1) = x(o2) ) (A) Dr. Wolf Müller
Chinese-Wall Modell: Subjektspezifisch Mauerbildung Ölgesellschaft Bank Aral Shell Deutsche Bank Dresdner Bank o1 o1 o3 o2 o2 o1 s1-spezifische Mauer nach Zugriff auf die Objekte o1 und o2 Dr. Wolf Müller
Chinese-Wall Modell: Unerwünschter Informationsfluss Ölgesellschaft Bank Aral Shell Deutsche Bank Dresdner Bank o1 o1 o3 o2 o2 o1 Zugriff von Subjekt s1 lesend auf Objekt o1, danach schreibend auf Bank-Objekt o2. Anschließend liest Subjekt s2 die Informationen aus dem Objekt o2 und schreibt diese in Objekt o3. Informationsfluss von o1 nach o3. (Konkurrenzfirmen) Dr. Wolf Müller
Regel 2 (Schreibregel) Schreibzugriff auf Objekt oO durch Subjekt s S ist zum Zeitpunkt t zulässig genau dann, wenn gilt: write Mt o‘O : read Nt (s,o‘) ( y(o’) = y(o) y(o’) = y0 ) Schreibzugriff durch s zum Zeitpunkt t auf Objekt o ist zulässig, wenn s das Schreibrecht besitzt und bis zum Zeitpunkt t nur Lesezugriffe auf solche Objekte hatte, die zum gleichen Unternehmen gehören oder die nur unklassifizierte (frei zugängliche) Informationen beinhalten. Dr. Wolf Müller
Chinese-Wall Modell: Mit Regel2 Ölgesellschaft Bank Aral Shell Deutsche Bank Dresdner Bank o1 o3 o2 o1 Zugriff von Subjekt s1 lesend auf Objekt o1, danach ist Schreiben auf Bank-Objekt o2 unzulässig . Kein Informationsfluss von o1 nach o3. (Konkurrenzfirmen) Dr. Wolf Müller
Chinese-Wall Modell: Fazit Grobkörnige Modellierung, aber auch feinkörnige möglich Einfache Rechte: Festlegung einfacher universelle Zugriffsrechte ist vorgeschrieben. Mit Chinese Wall modellierte Systeme legen benutzerbestimmbare Strategie fest, die durch einfache systembedingte Festlegungen erweitert wird. Für Anwendungen ohne strenge Datenintegritätsanforderungen und ohne über die restriktiven Beschränkungen hinausgehenden Vertraulichkeitsanforderungen Dr. Wolf Müller
Bell-LaPadula-Modell D. Bell and L- LaPadula. Secure computer systems: A mathematical model. Technical Report MTR-2547, Vol 2, MITRW Corp., Bedford, MA, November 1973 Sehr bekannt Gilt als erstes vollständig formalisiertes Modell Basiert auf dynamischem Zugriffsmatrix-Modell Menge der universellen Zugriffsrechte: read-only append execute read-write control Dr. Wolf Müller
Bell-LaPadula-Modell (2) Erweiterung des Zugriffsmatrix-Modells durch Einführung einer geordneten Menge von Sicherheitsklassen SC Einordnung in Vertraulichkeitsstufen Element XSC wird durch Paar X=(A,B) beschrieben. A Sicherheitsmarke B Menge von Sicherheitskategorien (compartments) Jedem Subjekt s wird Sicherheitsklasse (clearance) sc(s)SC , Jedem Objekt o eine Sicherheitsklassifikation, die so genannte Classification sc(o)SC zugeordnet. Die Clearance sc(s) ist die maximale Sicherheitsstufe, die ein Subjekt einnehmen darf. Bei Anmeldung muss Subjekt seine aktuelle Clearance scakt(s)≤sc(s) angeben. Partielle Ordnung ≤ auf SC: X,Y SC , mit X=(A,B), Y=(A‘,B‘): X ≤ Y A ≤ A‘ B ≤ B‘ Dr. Wolf Müller
Bell-LaPadula-Modell: Sicherheitsklassen Krankenhaus, Umgang mit Patientenakten Sicherheitsmarken: {unklassifiziert, vertraulich, geheim, streng geheim} mit Ordnung unklassifiziert ≤ vertraulich ≤ geheim ≤ streng geheim Sicherheitskategorien: {Arzt, Schwester, Patient, Verwaltung} Menge der Sicherheitsklassen SC: SC ={ (geheim,Ø), (vertraulich,Ø), (vertraulich,{Arzt, Schwester}), (vertraulich,{Schwester}), … , } wegen Ordnungsrelation gilt u.a. (geheim,Ø) ≥ (vertraulich,Ø) (vertraulich,{Arzt, Schwester}) ≥ (vertraulich,{Schwester}) Dr. Wolf Müller
Bell-LaPadula-Modell: Systembedingte Zugriffsbeschränkungen no-read-up (Simple-Security)-Regel Lese- oder Execute-Zugriff auf ein Objekt o durch Subjekt s nur zulässig, wenn s das entsprechende Zugriffsrecht r besitzt und die Objektklassifikation kleiner oder gleich der Subjekt-Clearance ist. r Mt(s,o) sc(s) ≥ sc(o) no-write-down-Regel (*-Eigenschaft) append-Zugriff auf ein Objekt o durch Subjekt s nur zulässig, wenn die Objektklassifikation mindestens so hoch wie die Subjekt-Clearance ist. append Mt(s,o) sc(s) ≤ sc(o) Lese-Schreib-Zugriff auf ein Objekt o durch Subjekt s nur zulässig, wenn die Objektklassifikation gleich der Subjekt-Clearance ist. read-write Mt(s,o) sc(s) = sc(o) Dr. Wolf Müller
Bell-LaPadula-Modell: Systembedingte Zugriffsbeschränkungen (2) Die zwei systembedingten Regeln sind leicht zu überprüfende Bedingungen Informationsflüsse höchstens von unten nach oben gemäß der partiellen Ordnung oder innerhalb einer Sicherheitsklasse streng geheim geheim vertraulich unklassifiziert O1 append read-write S1 O2 append, read-write read, execute O4 O3 append read read-write S2 O5 Dr. Wolf Müller
Bell-LaPadula-Modell: trusted process Dynamische Neuklassifizierung von Informationen (insbesondere niedrigere Einstufung): Konzept der vertrauenswürdigen Prozesse (trusted process) Vertrauenswürdiger Prozess = Subjekt, bei dem man davon ausgeht, dass es keine Aktionen durchführt, die Sicherheitseigenschaften des Systems in Frage stellen. Meist Betriebssystemprozesse Dr. Wolf Müller
Bell-LaPadula-Modell: Beispiel UNIX System V/MLS (MLS=Multi Level Security) Erweiterung von UNIX System V um Sicherheitsklassen und kategorien Subjekte: Prozesse im Auftrag von Benutzer Objekte: Dateien, Verzeichnisse, inodes, Signale, Prozesse Erweiterung des Login um Clearance-Angabe Bei Zugriffen werden no-write-down-Regel und no-read-up-Regel überprüft. exec(file) sc(s)≥sc(o) Dr. Wolf Müller
Bell-LaPadula-Modell: Probleme Bell-LaPadula-Modell häufig in der Praxis eingesetzt, hat aber gravierende Mängel: Problem des blinden Schreibens Systembestimmte Regeln erlauben schreiben in ein höher eingestuftes Objekt, aber kein (Kontroll-)Lesen der Veränderungen Integritätsproblem Problem des entfernten Lesens geheim eingestufter Rechner A mit ebenso eingestuftem Subjekt will lesend auf entfernten Rechner B (vertraulich eingestuft) zugreifen. Nach Bell-LaPadula ist Informationsfluss zulässig. (vertraulich < geheim ) Aber Aufbau einer Verbindung notwendig. O.B.d.A sendet A Aufforderung zum Verbindungsaufbau an B. Problem: Verbindungsanfrage impliziert Schreib-Operation auf Rechner B (write-down von A nach B) Lösung: Spezielle Kontrolle der Anfragenachrichten, um sicherzustellen, dass kein unzulässiger Informationsfluss auftritt. Verdeckte Kanäle? Dr. Wolf Müller
Bell-LaPadula-Modell: Fazit Keine Vorgabe für Granularität Zugriffsrechte als universelle Rechte festgelegt Rechtefestlegungen sind kombiniert mit restriktiven systembestimmten Festlegungen des Modells Einschränkung des Spektrums der mit diesem Modell beschreibbaren IT-Systeme (Vielzahl von Zugriffen wegen systembestimmten Festlegungen verboten, obwohl keine Verletzung der internen Strategie auftreten würde) MAC-Regeln leicht zu implementieren Hohe Anforderungen an Datenintegrität nicht realisierbar. Problem: Niedrig eingestufte Subjekte dürfen höher eingestufte Objekte uneingeschränkt schreibend manipulieren. Dr. Wolf Müller
Informationsflussmodelle: Verbands-Modell D.E. Dennig. A Lattice Model of Secure Information Flow. Communications of ACM, 19(5):236-241,1976 Verallgemeinerung des Ansatzes von Bell-LaPadula Beschreibung des Informationsflusses zwischen Datenvariablen eines Programms Beschränkungen für Informationsflüsse werden unabhängig von den Objekten, die sie repräsentieren, festgelegt. Es werden nicht Objektzugriffe, sondern der Umgang mit Informationen reglementiert. Dr. Wolf Müller
Verbandseigenschaft Ein Verband ist durch das Tupel (SC,≤,,) definiert, wobei SC eine endliche Menge von Sicherheitsklassen beschreibt, die Flussrelation ≤ eine partielle Halbordnung auf SC definiert und die Operatoren und für je zwei Sicherheitsklassen die kleinste obere bzw. die größte untere Grenze bezeichnen. Die größte untere Grenze von SC kann als unklassifizierte Information interpretieren, auf die jedes Subjekt zugreifen darf. Für gilt: A, B, C SC : A ≤ A B und B ≤ A B und A ≤ C B ≤ C A B ≤ C. Für gilt: A, B, C SC : A B ≤ A und A B ≤ B A ≤ C B ≤ C C ≤ A B. Dr. Wolf Müller
Informationsbeschränkungen Analog zu Bell-LaPadula wird jedem Subjekt s und jedem Objekt o eine Sicherheitsmarke sc(s) bzw. sc(o) aus SC zugeordnet Im Verbandsmodell nur Informationsfluss innerhalb von Sicherheitsklassen oder aufwärts, gemäß der festgelegten partiellen Halbordnung ≤. Informationsfluss von Objekt mit Sicherheitsklasse A zu einem mit B zulässig wenn gilt: A ≤ B. Grafische Visualisierung: Hasse-Diagramm Elemente des Verbandes sind Knoten im Grafen Kante zwischen zwei Knoten bezeichnet das größte der beiden Elemente am oberen Ende der Kante und das kleinste am unteren Ende. Dr. Wolf Müller
Verbandsmodell: Hassediagramm acht Sicherheitsklassen: SC = { (geheim, Ø}, (geheim, {a}), (geheim, {b}), (geheim, {a, b}), (vertraulich, Ø), (vertraulich, {a}), (vertraulich, {b}), (vertraulich, {Ø}) } Es gilt u.a. : (geheim, {a}) (geheim, {b}) = (geheim, {a, b}) und (geheim, {a}) (geheim, {b}) = (geheim, Ø} Dr. Wolf Müller
Verbandsmodell: Hassediagramm (2) acht Sicherheitsklassen: SC = { (geheim, Ø}, (geheim, {a}), (geheim, {b}), (geheim, {a, b}), (vertraulich, Ø), (vertraulich, {a}), (vertraulich, {b}), (vertraulich, {Ø}) } Es gilt u.a. : (geheim, {a}) (geheim, {b}) = (geheim, {a, b}) (geheim, {a}) (geheim, {b}) = (geheim, Ø} geheim,a,b geheim,b geheim,a geheim,- vertraulich,a,b vertraulich,b vertraulich,a vertraulich,- Dr. Wolf Müller
Verbandstruktur: Bedeutung Transitivität der Relation ≤ impliziert, das jeder implizite Fluss X Y von einer Variable X zu einer Variablen Y: der aus einer Folge von Flüssen X=Z0 Z1 … Zn = Y resultiert zulässig ist, falls jeder direkte Fluss Zi Zi+1 zulässig ist. Prüfung der direkten Flüsse ausreichend, für Programme bedeutet dies: Folge von Anweisungen zulässig, wenn jede einzelne zulässig ist. Verbandseigenschaft (Existenz Suprenum Infimum für je zwei Verbandselemente) kann benutzt werden, um Kontrollaufwand zu verringern Zuweisung: YX1, … YXn z.B. Y:=X1+X2*X3 Dann: i : sc(Xi) ≤ sc(Yi), statt für jede Variable Xi dies zu überprüfen, ist es ausreichend, die kleinste obere Schranke sc(X1) … sc(Xn) zu berechnen, und für diese die Bedingung zu prüfen. Operator kann zur Kontrolle von Informationsflüssen zu mehreren Variablen benutzt werden. Y1X, … YnX Falls Sicherheitsklassifikation von Objekten während ihrer Existenz invariant, können bereits zur Compilezeit obere u. untere Schranken berechnet und Fluss kontrolliert werden. Dr. Wolf Müller
Verbandstruktur: Fazit Flussrelation (durch partielle Ordnung auf Sicherheitsklassen definiert) legt systembestimmte Informationsfluss-Strategie fest. Benutzer mit gleicher Sicherheitsklasse haben gleiche Rechte zum Informationszugriff. Feinkörnigkeit = große Zahl von Sicherheitsklassen Aufwändig, skaliert nicht Grobkörnige Modellierung schränkt Möglichkeiten zur differenzierten Festlegung zulässiger Informationskanäle stark ein. Starre Sicherheitsklassifikation Statische Zuordnung zwischen Objekten und ihren Sicherheitsklassen Modellierung erfordert in der Regel hohe Einstufung von Objekten in Sicherheitsklassen Niedrig eingestufte Subjekte haben dann oft ungenügende Rechte, in der Praxis dann oft Hochstufung im Widerspruch zu „need to know“. Fokus des Modells: Vertraulichkeit der zu verarbeitenden Informationen Dr. Wolf Müller