humboldt university computer science department systems architecture group it-sicherheit grundlagen...
TRANSCRIPT
Humboldt University
Computer Science Department Systems Architecture Group http://sar.informatik.hu-berlin.de
IT-SicherheitGrundlagen
Grundlagen
SicherheitsmodelleInformationsfluss
IT-SicherheitGrundlagenDr. Wolf Müller2
Zugriffskontrollmodelle
• Zugriffsmatrix-Modell• Rollenbasierte Modelle• Chinese-Wall Modell• Bell-LaPadua Modell
IT-SicherheitGrundlagenDr. Wolf Müller3
Chinese-Wall Modell
• Auch Brewer-Nesh Modell
• Entwickelt, um Ausnutzung von Insiderwissen
bei Bank- oder Börsentransaktionen sowie
bei Unternehmensberatung zu verhindern.
• Idee:
Zukünftige Zugriffsmöglichkeiten eines Subjekts durch Zugriffe in der Vergangenheit beschränkt.
Zulässigkeit von Zugriffen hängt von Zugriffshistorie ab.
IT-SicherheitGrundlagenDr. Wolf Müller4
Chinese-Wall Modell (2)
• Basiert auf Zugriffsmatrix-Methode• R = { read, write, execute}• S Menge der Berater• Zu schützende Objekte werden als Baum strukturiert
– Blätter des Baumes sind Objekte, die in unterschiedlichen Unternehmen verwaltet werden.
– Zuordnung zu den Unternehmen wird durch nächste Baumebene dargestellt.
– Dritte Baumebene: in Konkurrenz stehende Unternehmen• Einführung von Sicherheitsmarken:
– y(o): Unternehmen, zu dem Objekt o gehört.– x(o): Interessenkonfliktklasse dieses Unternehmens.– Spezielle Markierung y0 und Interessenkonfliktklasse x0 für öffentlich
zugängliche Information, die allen Subjekten unbeschränkt zugänglich sein kann. x0 = {y0 }
IT-SicherheitGrundlagenDr. Wolf Müller5
Chinese-Wall Modell: Objektbaum
Ölgesellschaft Bank
Deutsche BankAral
o1 o2
Shell
o3
Dresdner Bank
o1
Interessenskonfliktklassen
Unternehmen
Objekte
IT-SicherheitGrundlagenDr. Wolf Müller6
Chinese-Wall Modell: Schutzzustand
• Zusätzlich zu benutzerbestimmbar vergebbaren Rechten gemäß Zugriffsmatrix Mt wird der Schutzzustand durch |S|×|O|-Matrix Nt bestimmt.
Nt gibt an, welche Subjekte auf welche Objekte bis zum Zeitpunkt t bereits zugegriffen haben.
IT-SicherheitGrundlagenDr. Wolf Müller7
Zugriffshistorie
Gegeben System mit Menge der: Subjekte S, Objekte O, Rechte R.Die Zugriffshistorie von Subjekt sS wird durch die Matrix
Nt beschrieben mit:
Nt: S×O 2R.
Es gilt Nt(s,o) = {r1, …, rn} Es gibt Zeitpunkte t‘<t, zu denen das Subjekt s gemäß der Berechtigungen r1, …, rn auf das Objekt o zugegriffen hat.
• Zugriff auf Objekt durch zwei systembedingte Regeln:– Regel 1: Leseregel (nicht modifizierend)– Regel 2: Schreibregel (modifizierende Zugriffe)
IT-SicherheitGrundlagenDr. Wolf Müller8
Regel 1 (Leseregel)
Ein z-Zugriff, z{read,execute}, auf ein Objekt oO ist für Subjekt sS zum Zeitpunkt t zulässig
z Mt o‘O : Nt(s,o‘)≠ ø ( y(o’) = y(o) x(o’) ≠ x(o) y(o’) = y0 )
Subjekt s darf zum Zeitpunkt t nur dann lesend (ausführend) auf das Objekt o zugreifen, wenn es das es prinzipiell das entsprechende Lese-/ Ausführungsrecht besitzt und bis dahin auf kein Objekt o‘ zugegriffen hat, das zu einem fremden Unternehmen gehört aber der gleichen Interessenskonfliktklasse wie o angehört.
• Regel gewährleistet, dass nach Zugriff auf ein Objekt o durch Subjekt s eine spezifische Mauer (um alle Objekte o‘ von anderen Unternehmen der gleichen Interessenskonfliktklasse) gebaut wird.
IT-SicherheitGrundlagenDr. Wolf Müller9
Satz: Lesebeschränkung
• In einem in Chines-Wall-Modell modellierten System gilt für alle Subjekte s:
Hat Subjekt s auf ein Objekt o zugegriffen, so darf es höchstens noch auf Objekte o‘ zugreifen, für die gilt:
y(o’) = y(o) x(o’) ≠ x(o) y(o’) = y0
IT-SicherheitGrundlagen
Beweis
Dr. Wolf Müller10
(A)
Annahme: • Für Subjekt s und Objekte o1, o2 gelte zum Zeitpunkt t:
Nt(s,o1) ≠ Ø ^ Nt(s,o2) ≠ Ø ^ y(o1) ≠ y(o2 ) ^
x(o1) = x(o2) ^ y(o1) ≠ y0 ^ y(o2) ≠ y0
O.B.d.A. erster Zugriff von s auf o1 zum Zeitpunkt t1 < t, erster Zugriff von s auf o2 zum Zeitpunkt t1 < t2 < t. Somit gilt: Nt2(s,o1) ≠ Ø.
• Nach Regel 1 für zulässigen o2–Zugriff muss gelten:
y(o1) = y(o2) x(o1) ≠ x(o2)
• Zusammen mit (A):
( y(o1) = y(o2) ^ y(o1) ≠ y(o2 ) ^ x(o1) = x(o2) )
( x(o1) ≠ x(o2) ^ y(o1) ≠ y(o2 ) ^ x(o1) = x(o2) )
IT-SicherheitGrundlagenDr. Wolf Müller11
Chinese-Wall Modell: Subjektspezifisch Mauerbildung
Ölgesellschaft Bank
Deutsche BankAral
o1 o2
Shell
o3
Dresdner Bank
o1
s1-spezifische Mauer nach Zugriff auf die Objekte o1 und o2
o1 o2
IT-SicherheitGrundlagenDr. Wolf Müller12
Chinese-Wall Modell: Unerwünschter Informationsfluss
• Zugriff von Subjekt s1 lesend auf Objekt o1,
danach schreibend auf Bank-Objekt o2. • Anschließend liest Subjekt s2 die Informationen aus dem Objekt o2
und schreibt diese in Objekt o3.• Informationsfluss von o1 nach o3. (Konkurrenzfirmen)
Ölgesellschaft Bank
Deutsche BankAral
o1 o2
Shell
o3
Dresdner Bank
o1o1 o2
IT-SicherheitGrundlagenDr. Wolf Müller13
Regel 2 (Schreibregel)
• Schreibzugriff auf Objekt oO durch Subjekt s S ist zum Zeitpunkt t zulässig genau dann, wenn gilt:
write Mt o‘O :
read Nt (s,o‘) ( y(o’) = y(o) y(o’) = y0 )
• Schreibzugriff durch s zum Zeitpunkt t auf Objekt o ist zulässig, wenn s das Schreibrecht besitzt und bis zum Zeitpunkt t nur Lesezugriffe auf solche Objekte hatte, die zum gleichen Unternehmen gehören oder die nur unklassifizierte (frei zugängliche) Informationen beinhalten.
IT-SicherheitGrundlagenDr. Wolf Müller14
Chinese-Wall Modell: Mit Regel2
• Zugriff von Subjekt s1 lesend auf Objekt o1, danach ist Schreiben auf Bank-Objekt o2 unzulässig .
• Kein Informationsfluss von o1 nach o3. (Konkurrenzfirmen)
Ölgesellschaft Bank
Deutsche BankAral
o1 o2
Shell
o3
Dresdner Bank
o1
IT-SicherheitGrundlagenDr. Wolf Müller15
Chinese-Wall Modell: Fazit
• Grobkörnige Modellierung, aber auch feinkörnige möglich• Einfache Rechte: Festlegung einfacher universelle
Zugriffsrechte ist vorgeschrieben.• Mit Chinese Wall modellierte Systeme legen
benutzerbestimmbare Strategie fest, die durch einfache systembedingte Festlegungen erweitert wird.
• Für Anwendungen ohne strenge Datenintegritätsanforderungen und ohne über die restriktiven Beschränkungen hinausgehenden Vertraulichkeitsanforderungen
IT-SicherheitGrundlagenDr. Wolf Müller16
Bell-LaPadula-Modell
• D. Bell and L- LaPadula. Secure computer systems: A mathematical model. Technical Report MTR-2547, Vol 2, MITRW Corp., Bedford, MA, November 1973
• Sehr bekannt• Gilt als erstes vollständig formalisiertes Modell• Basiert auf dynamischem Zugriffsmatrix-Modell
– Menge der universellen Zugriffsrechte: read-only append execute read-write control
IT-SicherheitGrundlagenDr. Wolf Müller17
Bell-LaPadula-Modell (2)
• Erweiterung des Zugriffsmatrix-Modells durch Einführung einer geordneten Menge von Sicherheitsklassen SC– Einordnung in Vertraulichkeitsstufen– Element XSC wird durch Paar X=(A,B) beschrieben.
A Sicherheitsmarke B Menge von Sicherheitskategorien (compartments)
– Jedem Subjekt s wird Sicherheitsklasse (clearance) sc(s)SC ,– Jedem Objekt o eine Sicherheitsklassifikation, die so genannte
Classification sc(o)SC zugeordnet. Die Clearance sc(s) ist die maximale Sicherheitsstufe, die ein Subjekt
einnehmen darf. Bei Anmeldung muss Subjekt seine aktuelle Clearance scakt(s)≤sc(s)
angeben.– Partielle Ordnung ≤ auf SC: X,Y SC , mit X=(A,B), Y=(A‘,B‘):
X ≤ Y A ≤ A‘ B ≤ B‘
IT-SicherheitGrundlagenDr. Wolf Müller18
Bell-LaPadula-Modell: Sicherheitsklassen
• Krankenhaus, Umgang mit Patientenakten– Sicherheitsmarken:
{unklassifiziert, vertraulich, geheim, streng geheim} mit Ordnung
unklassifiziert ≤ vertraulich ≤ geheim ≤ streng geheim– Sicherheitskategorien:
{Arzt, Schwester, Patient, Verwaltung}– Menge der Sicherheitsklassen SC:
SC ={ (geheim,Ø), (vertraulich,Ø),
(vertraulich,{Arzt, Schwester}),
(vertraulich,{Schwester}), … , }
wegen Ordnungsrelation gilt u.a.
(geheim,Ø) ≥ (vertraulich,Ø)
(vertraulich,{Arzt, Schwester}) ≥ (vertraulich,{Schwester})
IT-SicherheitGrundlagenDr. Wolf Müller19
Bell-LaPadula-Modell: Systembedingte Zugriffsbeschränkungen
• no-read-up (Simple-Security)-Regel– Lese- oder Execute-Zugriff auf ein Objekt o durch Subjekt s nur
zulässig, wenn s das entsprechende Zugriffsrecht r besitzt und die Objektklassifikation kleiner oder gleich der Subjekt-Clearance ist.
r Mt(s,o) sc(s) ≥ sc(o)
• no-write-down-Regel (*-Eigenschaft)– append-Zugriff auf ein Objekt o durch Subjekt s nur zulässig,
wenn die Objektklassifikation mindestens so hoch wie die Subjekt-Clearance ist.
append Mt(s,o) sc(s) ≤ sc(o)
– Lese-Schreib-Zugriff auf ein Objekt o durch Subjekt s nur zulässig, wenn die Objektklassifikation gleich der Subjekt-Clearance ist.
read-write Mt(s,o) sc(s) = sc(o)
IT-SicherheitGrundlagenDr. Wolf Müller20
Bell-LaPadula-Modell: Systembedingte Zugriffsbeschränkungen (2)
• Die zwei systembedingten Regeln sind leicht zu überprüfende Bedingungen
• Informationsflüsse höchstens von – unten nach oben
gemäß der partiellen Ordnung oder
– innerhalb einer Sicherheitsklasse
streng geheim
geheim
vertraulich
unklassifiziert
S1
S2
O1
O2
O4O3
O5
append
append
read-write
read
read-write
read,execute
append,read-write
IT-SicherheitGrundlagenDr. Wolf Müller21
Bell-LaPadula-Modell: trusted process
Dynamische Neuklassifizierung von Informationen (insbesondere niedrigere Einstufung):
• Konzept der vertrauenswürdigen Prozesse (trusted process)
• Vertrauenswürdiger Prozess = Subjekt, bei dem man davon ausgeht, dass es keine Aktionen durchführt, die Sicherheitseigenschaften des Systems in Frage stellen.– Meist Betriebssystemprozesse
IT-SicherheitGrundlagenDr. Wolf Müller22
Bell-LaPadula-Modell: Beispiel
• UNIX System V/MLS (MLS=Multi Level Security)– Erweiterung von UNIX System V um Sicherheitsklassen und
kategorien– Subjekte: Prozesse im Auftrag von Benutzer– Objekte: Dateien, Verzeichnisse, inodes, Signale, Prozesse– Erweiterung des Login um Clearance-Angabe– Bei Zugriffen werden no-write-down-Regel und no-read-up-Regel
überprüft. exec(file) sc(s)≥sc(o)
IT-SicherheitGrundlagenDr. Wolf Müller23
Bell-LaPadula-Modell: Probleme
• Bell-LaPadula-Modell häufig in der Praxis eingesetzt, hat aber gravierende Mängel:– Problem des blinden Schreibens
Systembestimmte Regeln erlauben schreiben in ein höher eingestuftes Objekt, aber kein (Kontroll-)Lesen der Veränderungen
Integritätsproblem– Problem des entfernten Lesens
geheim eingestufter Rechner A mit ebenso eingestuftem Subjekt will lesend auf entfernten Rechner B (vertraulich eingestuft) zugreifen.
Nach Bell-LaPadula ist Informationsfluss zulässig.
(vertraulich < geheim ) Aber Aufbau einer Verbindung notwendig.
– O.B.d.A sendet A Aufforderung zum Verbindungsaufbau an B.– Problem: Verbindungsanfrage impliziert Schreib-Operation auf Rechner B
(write-down von A nach B) Lösung: Spezielle Kontrolle der Anfragenachrichten, um sicherzustellen, dass
kein unzulässiger Informationsfluss auftritt.– Verdeckte Kanäle?
IT-SicherheitGrundlagenDr. Wolf Müller24
Bell-LaPadula-Modell: Fazit
• Keine Vorgabe für Granularität• Zugriffsrechte als universelle Rechte festgelegt• Rechtefestlegungen sind kombiniert mit restriktiven
systembestimmten Festlegungen des Modells– Einschränkung des Spektrums der mit diesem Modell
beschreibbaren IT-Systeme (Vielzahl von Zugriffen wegen systembestimmten Festlegungen verboten, obwohl keine Verletzung der internen Strategie auftreten würde)
– MAC-Regeln leicht zu implementieren
• Hohe Anforderungen an Datenintegrität nicht realisierbar.– Problem: Niedrig eingestufte Subjekte dürfen höher eingestufte
Objekte uneingeschränkt schreibend manipulieren.
IT-SicherheitGrundlagenDr. Wolf Müller25
Informationsflussmodelle: Verbands-Modell
Verbands-Modell• D.E. Dennig. A Lattice Model of Secure Information Flow.
Communications of ACM, 19(5):236-241,1976
• Verallgemeinerung des Ansatzes von Bell-LaPadula• Beschreibung des Informationsflusses zwischen
Datenvariablen eines Programms• Beschränkungen für Informationsflüsse werden unabhängig
von den Objekten, die sie repräsentieren, festgelegt.• Es werden nicht Objektzugriffe, sondern der Umgang mit
Informationen reglementiert.
IT-SicherheitGrundlagenDr. Wolf Müller26
Verbandseigenschaft
Ein Verband ist durch das Tupel (SC,≤,,) definiert, wobei– SC eine endliche Menge von Sicherheitsklassen beschreibt,– die Flussrelation ≤ eine partielle Halbordnung auf SC definiert und– die Operatoren und für je zwei Sicherheitsklassen die kleinste
obere bzw. die größte untere Grenze bezeichnen.
Die größte untere Grenze von SC kann als unklassifizierte Information interpretieren, auf die jedes Subjekt zugreifen darf.
Für gilt: A, B, C SC :
a) A ≤ A B und B ≤ A B und
b) A ≤ C B ≤ C A B ≤ C.
Für gilt: A, B, C SC :
a) A B ≤ A und A B ≤ B
b) A ≤ C B ≤ C C ≤ A B.
IT-SicherheitGrundlagenDr. Wolf Müller27
Informationsbeschränkungen
• Analog zu Bell-LaPadula wird jedem Subjekt s und jedem Objekt o eine Sicherheitsmarke sc(s) bzw. sc(o) aus SC zugeordnet
• Im Verbandsmodell nur Informationsfluss innerhalb von Sicherheitsklassen oder aufwärts, gemäß der festgelegten partiellen Halbordnung ≤.
Informationsfluss von Objekt mit Sicherheitsklasse A zu einem mit B zulässig wenn gilt: A ≤ B.
• Grafische Visualisierung: Hasse-Diagramm– Elemente des Verbandes sind Knoten im Grafen– Kante zwischen zwei Knoten bezeichnet das größte der beiden
Elemente am oberen Ende der Kante und das kleinste am unteren Ende.
IT-SicherheitGrundlagenDr. Wolf Müller28
Verbandsmodell: Hassediagramm
• acht Sicherheitsklassen:– SC = { (geheim, Ø}, (geheim, {a}), (geheim, {b}), (geheim, {a, b}),
(vertraulich, Ø), (vertraulich, {a}), (vertraulich, {b}), (vertraulich, {Ø})
}
• Es gilt u.a. :– (geheim, {a}) (geheim, {b}) = (geheim, {a, b}) und – (geheim, {a}) (geheim, {b}) = (geheim, Ø}
IT-SicherheitGrundlagenDr. Wolf Müller29
Verbandsmodell: Hassediagramm (2)
vertraulich,-
vertraulich,avertraulich,b
vertraulich,a,b
geheim,a
geheim,-
geheim,b
geheim,a,bacht Sicherheitsklassen:• SC = {
(geheim, Ø}, (geheim, {a}),
(geheim, {b}), (geheim, {a, b}),
(vertraulich, Ø), (vertraulich, {a}),
(vertraulich, {b}), (vertraulich, {Ø}) }
Es gilt u.a. :
(geheim, {a}) (geheim, {b}) =
(geheim, {a, b})
(geheim, {a}) (geheim, {b}) =
(geheim, Ø}
IT-SicherheitGrundlagenDr. Wolf Müller30
Verbandstruktur: Bedeutung• Transitivität der Relation ≤ impliziert, das jeder implizite Fluss X Y von
einer Variable X zu einer Variablen Y:der aus einer Folge von Flüssen
X=Z0 Z1 … Zn = Y resultiert zulässig ist, falls jeder direkte Fluss Zi Zi+1 zulässig ist.
• Prüfung der direkten Flüsse ausreichend, – für Programme bedeutet dies:
Folge von Anweisungen zulässig, wenn jede einzelne zulässig ist.
• Verbandseigenschaft (Existenz Suprenum Infimum für je zwei Verbandselemente) kann benutzt werden, um Kontrollaufwand zu verringern– Zuweisung: YX1, … YXn z.B. Y:=X1+X2*X3
Dann: i : sc(Xi) ≤ sc(Yi), statt für jede Variable Xi dies zu überprüfen, ist es ausreichend, die kleinste obere Schranke sc(X1) … sc(Xn) zu berechnen, und für diese die Bedingung zu prüfen.
– Operator kann zur Kontrolle von Informationsflüssen zu mehreren Variablen benutzt werden.
Y1X, … YnX• Falls Sicherheitsklassifikation von Objekten während ihrer Existenz invariant,
können bereits zur Compilezeit obere u. untere Schranken berechnet undFluss kontrolliert werden.
IT-SicherheitGrundlagenDr. Wolf Müller31
Verbandstruktur: Fazit
• Flussrelation (durch partielle Ordnung auf Sicherheitsklassen definiert) legt systembestimmte Informationsfluss-Strategie fest.
• Benutzer mit gleicher Sicherheitsklasse haben gleiche Rechte zum Informationszugriff.
• Feinkörnigkeit = große Zahl von Sicherheitsklassen– Aufwändig, skaliert nicht
• Grobkörnige Modellierung schränkt Möglichkeiten zur differenzierten Festlegung zulässiger Informationskanäle stark ein.
• Starre Sicherheitsklassifikation– Statische Zuordnung zwischen Objekten und ihren Sicherheitsklassen– Modellierung erfordert in der Regel hohe Einstufung von Objekten in
Sicherheitsklassen– Niedrig eingestufte Subjekte haben dann oft ungenügende Rechte, in der
Praxis dann oft Hochstufung im Widerspruch zu „need to know“.• Fokus des Modells: Vertraulichkeit der zu verarbeitenden Informationen