humboldt university computer science department systems architecture group it-sicherheit grundlagen...

Humboldt University

Computer Science Department Systems Architecture Group http://sar.informatik.hu-berlin.de

IT-SicherheitGrundlagen

Grundlagen

SicherheitsmodelleInformationsfluss

IT-SicherheitGrundlagenDr. Wolf Müller2

Zugriffskontrollmodelle

• Zugriffsmatrix-Modell• Rollenbasierte Modelle• Chinese-Wall Modell• Bell-LaPadua Modell


Chinese-Wall Modell

• Auch Brewer-Nesh Modell

• Entwickelt, um Ausnutzung von Insiderwissen

bei Bank- oder Börsentransaktionen sowie

bei Unternehmensberatung zu verhindern.

• Idee:

Zukünftige Zugriffsmöglichkeiten eines Subjekts durch Zugriffe in der Vergangenheit beschränkt.

Zulässigkeit von Zugriffen hängt von Zugriffshistorie ab.


Chinese-Wall Modell (2)

• Basiert auf Zugriffsmatrix-Methode• R = { read, write, execute}• S Menge der Berater• Zu schützende Objekte werden als Baum strukturiert

– Blätter des Baumes sind Objekte, die in unterschiedlichen Unternehmen verwaltet werden.

– Zuordnung zu den Unternehmen wird durch nächste Baumebene dargestellt.

– Dritte Baumebene: in Konkurrenz stehende Unternehmen• Einführung von Sicherheitsmarken:

– y(o): Unternehmen, zu dem Objekt o gehört.– x(o): Interessenkonfliktklasse dieses Unternehmens.– Spezielle Markierung y0 und Interessenkonfliktklasse x0 für öffentlich

zugängliche Information, die allen Subjekten unbeschränkt zugänglich sein kann. x0 = {y0 }


Chinese-Wall Modell: Objektbaum

Ölgesellschaft Bank

Deutsche BankAral

o1 o2

Shell

o3

Dresdner Bank

o1

Interessenskonfliktklassen

Unternehmen

Objekte


Chinese-Wall Modell: Schutzzustand

• Zusätzlich zu benutzerbestimmbar vergebbaren Rechten gemäß Zugriffsmatrix Mt wird der Schutzzustand durch |S|×|O|-Matrix Nt bestimmt.

Nt gibt an, welche Subjekte auf welche Objekte bis zum Zeitpunkt t bereits zugegriffen haben.


Zugriffshistorie

Gegeben System mit Menge der: Subjekte S, Objekte O, Rechte R.Die Zugriffshistorie von Subjekt sS wird durch die Matrix

Nt beschrieben mit:

Nt: S×O 2R.

Es gilt Nt(s,o) = {r1, …, rn} Es gibt Zeitpunkte t‘<t, zu denen das Subjekt s gemäß der Berechtigungen r1, …, rn auf das Objekt o zugegriffen hat.

• Zugriff auf Objekt durch zwei systembedingte Regeln:– Regel 1: Leseregel (nicht modifizierend)– Regel 2: Schreibregel (modifizierende Zugriffe)


Regel 1 (Leseregel)

Ein z-Zugriff, z{read,execute}, auf ein Objekt oO ist für Subjekt sS zum Zeitpunkt t zulässig

z Mt o‘O : Nt(s,o‘)≠ ø ( y(o’) = y(o) x(o’) ≠ x(o) y(o’) = y0 )

Subjekt s darf zum Zeitpunkt t nur dann lesend (ausführend) auf das Objekt o zugreifen, wenn es das es prinzipiell das entsprechende Lese-/ Ausführungsrecht besitzt und bis dahin auf kein Objekt o‘ zugegriffen hat, das zu einem fremden Unternehmen gehört aber der gleichen Interessenskonfliktklasse wie o angehört.

• Regel gewährleistet, dass nach Zugriff auf ein Objekt o durch Subjekt s eine spezifische Mauer (um alle Objekte o‘ von anderen Unternehmen der gleichen Interessenskonfliktklasse) gebaut wird.


Satz: Lesebeschränkung

• In einem in Chines-Wall-Modell modellierten System gilt für alle Subjekte s:

Hat Subjekt s auf ein Objekt o zugegriffen, so darf es höchstens noch auf Objekte o‘ zugreifen, für die gilt:

y(o’) = y(o) x(o’) ≠ x(o) y(o’) = y0

IT-SicherheitGrundlagen

Beweis

Dr. Wolf Müller10

(A)

Annahme: • Für Subjekt s und Objekte o1, o2 gelte zum Zeitpunkt t:

Nt(s,o1) ≠ Ø ^ Nt(s,o2) ≠ Ø ^ y(o1) ≠ y(o2 ) ^

x(o1) = x(o2) ^ y(o1) ≠ y0 ^ y(o2) ≠ y0

O.B.d.A. erster Zugriff von s auf o1 zum Zeitpunkt t1 < t, erster Zugriff von s auf o2 zum Zeitpunkt t1 < t2 < t. Somit gilt: Nt2(s,o1) ≠ Ø.

• Nach Regel 1 für zulässigen o2–Zugriff muss gelten:

y(o1) = y(o2) x(o1) ≠ x(o2)

• Zusammen mit (A):

( y(o1) = y(o2) ^ y(o1) ≠ y(o2 ) ^ x(o1) = x(o2) )

( x(o1) ≠ x(o2) ^ y(o1) ≠ y(o2 ) ^ x(o1) = x(o2) )


Chinese-Wall Modell: Subjektspezifisch Mauerbildung


Deutsche BankAral

o1 o2

Shell

o3

Dresdner Bank

o1

s1-spezifische Mauer nach Zugriff auf die Objekte o1 und o2

o1 o2


Chinese-Wall Modell: Unerwünschter Informationsfluss

• Zugriff von Subjekt s1 lesend auf Objekt o1,

danach schreibend auf Bank-Objekt o2. • Anschließend liest Subjekt s2 die Informationen aus dem Objekt o2

und schreibt diese in Objekt o3.• Informationsfluss von o1 nach o3. (Konkurrenzfirmen)


Deutsche BankAral

o1 o2

Shell

o3

Dresdner Bank

o1o1 o2


Regel 2 (Schreibregel)

• Schreibzugriff auf Objekt oO durch Subjekt s S ist zum Zeitpunkt t zulässig genau dann, wenn gilt:

write Mt o‘O :

read Nt (s,o‘) ( y(o’) = y(o) y(o’) = y0 )

• Schreibzugriff durch s zum Zeitpunkt t auf Objekt o ist zulässig, wenn s das Schreibrecht besitzt und bis zum Zeitpunkt t nur Lesezugriffe auf solche Objekte hatte, die zum gleichen Unternehmen gehören oder die nur unklassifizierte (frei zugängliche) Informationen beinhalten.


Chinese-Wall Modell: Mit Regel2

• Zugriff von Subjekt s1 lesend auf Objekt o1, danach ist Schreiben auf Bank-Objekt o2 unzulässig .

• Kein Informationsfluss von o1 nach o3. (Konkurrenzfirmen)


Deutsche BankAral

o1 o2

Shell

o3

Dresdner Bank

o1


Chinese-Wall Modell: Fazit

• Grobkörnige Modellierung, aber auch feinkörnige möglich• Einfache Rechte: Festlegung einfacher universelle

Zugriffsrechte ist vorgeschrieben.• Mit Chinese Wall modellierte Systeme legen

benutzerbestimmbare Strategie fest, die durch einfache systembedingte Festlegungen erweitert wird.

• Für Anwendungen ohne strenge Datenintegritätsanforderungen und ohne über die restriktiven Beschränkungen hinausgehenden Vertraulichkeitsanforderungen


Bell-LaPadula-Modell

• D. Bell and L- LaPadula. Secure computer systems: A mathematical model. Technical Report MTR-2547, Vol 2, MITRW Corp., Bedford, MA, November 1973

• Sehr bekannt• Gilt als erstes vollständig formalisiertes Modell• Basiert auf dynamischem Zugriffsmatrix-Modell

– Menge der universellen Zugriffsrechte: read-only append execute read-write control


Bell-LaPadula-Modell (2)

• Erweiterung des Zugriffsmatrix-Modells durch Einführung einer geordneten Menge von Sicherheitsklassen SC– Einordnung in Vertraulichkeitsstufen– Element XSC wird durch Paar X=(A,B) beschrieben.

A Sicherheitsmarke B Menge von Sicherheitskategorien (compartments)

– Jedem Subjekt s wird Sicherheitsklasse (clearance) sc(s)SC ,– Jedem Objekt o eine Sicherheitsklassifikation, die so genannte

Classification sc(o)SC zugeordnet. Die Clearance sc(s) ist die maximale Sicherheitsstufe, die ein Subjekt

einnehmen darf. Bei Anmeldung muss Subjekt seine aktuelle Clearance scakt(s)≤sc(s)

angeben.– Partielle Ordnung ≤ auf SC: X,Y SC , mit X=(A,B), Y=(A‘,B‘):

X ≤ Y A ≤ A‘ B ≤ B‘


Bell-LaPadula-Modell: Sicherheitsklassen

• Krankenhaus, Umgang mit Patientenakten– Sicherheitsmarken:

{unklassifiziert, vertraulich, geheim, streng geheim} mit Ordnung

unklassifiziert ≤ vertraulich ≤ geheim ≤ streng geheim– Sicherheitskategorien:

{Arzt, Schwester, Patient, Verwaltung}– Menge der Sicherheitsklassen SC:

SC ={ (geheim,Ø), (vertraulich,Ø),

(vertraulich,{Arzt, Schwester}),

(vertraulich,{Schwester}), … , }

wegen Ordnungsrelation gilt u.a.

(geheim,Ø) ≥ (vertraulich,Ø)

(vertraulich,{Arzt, Schwester}) ≥ (vertraulich,{Schwester})


Bell-LaPadula-Modell: Systembedingte Zugriffsbeschränkungen

• no-read-up (Simple-Security)-Regel– Lese- oder Execute-Zugriff auf ein Objekt o durch Subjekt s nur

zulässig, wenn s das entsprechende Zugriffsrecht r besitzt und die Objektklassifikation kleiner oder gleich der Subjekt-Clearance ist.

r Mt(s,o) sc(s) ≥ sc(o)

• no-write-down-Regel (*-Eigenschaft)– append-Zugriff auf ein Objekt o durch Subjekt s nur zulässig,

wenn die Objektklassifikation mindestens so hoch wie die Subjekt-Clearance ist.

append Mt(s,o) sc(s) ≤ sc(o)

– Lese-Schreib-Zugriff auf ein Objekt o durch Subjekt s nur zulässig, wenn die Objektklassifikation gleich der Subjekt-Clearance ist.

read-write Mt(s,o) sc(s) = sc(o)


Bell-LaPadula-Modell: Systembedingte Zugriffsbeschränkungen (2)

• Die zwei systembedingten Regeln sind leicht zu überprüfende Bedingungen

• Informationsflüsse höchstens von – unten nach oben

gemäß der partiellen Ordnung oder

– innerhalb einer Sicherheitsklasse

streng geheim

geheim

vertraulich

unklassifiziert

S1

S2

O1

O2

O4O3

O5

append

append

read-write

read

read-write

read,execute

append,read-write


Bell-LaPadula-Modell: trusted process

Dynamische Neuklassifizierung von Informationen (insbesondere niedrigere Einstufung):

• Konzept der vertrauenswürdigen Prozesse (trusted process)

• Vertrauenswürdiger Prozess = Subjekt, bei dem man davon ausgeht, dass es keine Aktionen durchführt, die Sicherheitseigenschaften des Systems in Frage stellen.– Meist Betriebssystemprozesse


Bell-LaPadula-Modell: Beispiel

• UNIX System V/MLS (MLS=Multi Level Security)– Erweiterung von UNIX System V um Sicherheitsklassen und

kategorien– Subjekte: Prozesse im Auftrag von Benutzer– Objekte: Dateien, Verzeichnisse, inodes, Signale, Prozesse– Erweiterung des Login um Clearance-Angabe– Bei Zugriffen werden no-write-down-Regel und no-read-up-Regel

überprüft. exec(file) sc(s)≥sc(o)


Bell-LaPadula-Modell: Probleme

• Bell-LaPadula-Modell häufig in der Praxis eingesetzt, hat aber gravierende Mängel:– Problem des blinden Schreibens

Systembestimmte Regeln erlauben schreiben in ein höher eingestuftes Objekt, aber kein (Kontroll-)Lesen der Veränderungen

Integritätsproblem– Problem des entfernten Lesens

geheim eingestufter Rechner A mit ebenso eingestuftem Subjekt will lesend auf entfernten Rechner B (vertraulich eingestuft) zugreifen.

Nach Bell-LaPadula ist Informationsfluss zulässig.

(vertraulich < geheim ) Aber Aufbau einer Verbindung notwendig.

– O.B.d.A sendet A Aufforderung zum Verbindungsaufbau an B.– Problem: Verbindungsanfrage impliziert Schreib-Operation auf Rechner B

(write-down von A nach B) Lösung: Spezielle Kontrolle der Anfragenachrichten, um sicherzustellen, dass

kein unzulässiger Informationsfluss auftritt.– Verdeckte Kanäle?


Bell-LaPadula-Modell: Fazit

• Keine Vorgabe für Granularität• Zugriffsrechte als universelle Rechte festgelegt• Rechtefestlegungen sind kombiniert mit restriktiven

systembestimmten Festlegungen des Modells– Einschränkung des Spektrums der mit diesem Modell

beschreibbaren IT-Systeme (Vielzahl von Zugriffen wegen systembestimmten Festlegungen verboten, obwohl keine Verletzung der internen Strategie auftreten würde)

– MAC-Regeln leicht zu implementieren

• Hohe Anforderungen an Datenintegrität nicht realisierbar.– Problem: Niedrig eingestufte Subjekte dürfen höher eingestufte

Objekte uneingeschränkt schreibend manipulieren.


Informationsflussmodelle: Verbands-Modell

Verbands-Modell• D.E. Dennig. A Lattice Model of Secure Information Flow.

Communications of ACM, 19(5):236-241,1976

• Verallgemeinerung des Ansatzes von Bell-LaPadula• Beschreibung des Informationsflusses zwischen

Datenvariablen eines Programms• Beschränkungen für Informationsflüsse werden unabhängig

von den Objekten, die sie repräsentieren, festgelegt.• Es werden nicht Objektzugriffe, sondern der Umgang mit

Informationen reglementiert.


Verbandseigenschaft

Ein Verband ist durch das Tupel (SC,≤,,) definiert, wobei– SC eine endliche Menge von Sicherheitsklassen beschreibt,– die Flussrelation ≤ eine partielle Halbordnung auf SC definiert und– die Operatoren und für je zwei Sicherheitsklassen die kleinste

obere bzw. die größte untere Grenze bezeichnen.

Die größte untere Grenze von SC kann als unklassifizierte Information interpretieren, auf die jedes Subjekt zugreifen darf.

Für gilt: A, B, C SC :

a) A ≤ A B und B ≤ A B und

b) A ≤ C B ≤ C A B ≤ C.

Für gilt: A, B, C SC :

a) A B ≤ A und A B ≤ B

b) A ≤ C B ≤ C C ≤ A B.


Informationsbeschränkungen

• Analog zu Bell-LaPadula wird jedem Subjekt s und jedem Objekt o eine Sicherheitsmarke sc(s) bzw. sc(o) aus SC zugeordnet

• Im Verbandsmodell nur Informationsfluss innerhalb von Sicherheitsklassen oder aufwärts, gemäß der festgelegten partiellen Halbordnung ≤.

Informationsfluss von Objekt mit Sicherheitsklasse A zu einem mit B zulässig wenn gilt: A ≤ B.

• Grafische Visualisierung: Hasse-Diagramm– Elemente des Verbandes sind Knoten im Grafen– Kante zwischen zwei Knoten bezeichnet das größte der beiden

Elemente am oberen Ende der Kante und das kleinste am unteren Ende.


Verbandsmodell: Hassediagramm

• acht Sicherheitsklassen:– SC = { (geheim, Ø}, (geheim, {a}), (geheim, {b}), (geheim, {a, b}),

(vertraulich, Ø), (vertraulich, {a}), (vertraulich, {b}), (vertraulich, {Ø})

}

• Es gilt u.a. :– (geheim, {a}) (geheim, {b}) = (geheim, {a, b}) und – (geheim, {a}) (geheim, {b}) = (geheim, Ø}


Verbandsmodell: Hassediagramm (2)

vertraulich,-

vertraulich,avertraulich,b

vertraulich,a,b

geheim,a

geheim,-

geheim,b

geheim,a,bacht Sicherheitsklassen:• SC = {

(geheim, Ø}, (geheim, {a}),

(geheim, {b}), (geheim, {a, b}),

(vertraulich, Ø), (vertraulich, {a}),

(vertraulich, {b}), (vertraulich, {Ø}) }

Es gilt u.a. :

(geheim, {a}) (geheim, {b}) =

(geheim, {a, b})

(geheim, {a}) (geheim, {b}) =

(geheim, Ø}


Verbandstruktur: Bedeutung• Transitivität der Relation ≤ impliziert, das jeder implizite Fluss X Y von

einer Variable X zu einer Variablen Y:der aus einer Folge von Flüssen

X=Z0 Z1 … Zn = Y resultiert zulässig ist, falls jeder direkte Fluss Zi Zi+1 zulässig ist.

• Prüfung der direkten Flüsse ausreichend, – für Programme bedeutet dies:

Folge von Anweisungen zulässig, wenn jede einzelne zulässig ist.

• Verbandseigenschaft (Existenz Suprenum Infimum für je zwei Verbandselemente) kann benutzt werden, um Kontrollaufwand zu verringern– Zuweisung: YX1, … YXn z.B. Y:=X1+X2*X3

Dann: i : sc(Xi) ≤ sc(Yi), statt für jede Variable Xi dies zu überprüfen, ist es ausreichend, die kleinste obere Schranke sc(X1) … sc(Xn) zu berechnen, und für diese die Bedingung zu prüfen.

– Operator kann zur Kontrolle von Informationsflüssen zu mehreren Variablen benutzt werden.

Y1X, … YnX• Falls Sicherheitsklassifikation von Objekten während ihrer Existenz invariant,

können bereits zur Compilezeit obere u. untere Schranken berechnet undFluss kontrolliert werden.


Verbandstruktur: Fazit

• Flussrelation (durch partielle Ordnung auf Sicherheitsklassen definiert) legt systembestimmte Informationsfluss-Strategie fest.

• Benutzer mit gleicher Sicherheitsklasse haben gleiche Rechte zum Informationszugriff.

• Feinkörnigkeit = große Zahl von Sicherheitsklassen– Aufwändig, skaliert nicht

• Grobkörnige Modellierung schränkt Möglichkeiten zur differenzierten Festlegung zulässiger Informationskanäle stark ein.

• Starre Sicherheitsklassifikation– Statische Zuordnung zwischen Objekten und ihren Sicherheitsklassen– Modellierung erfordert in der Regel hohe Einstufung von Objekten in

Sicherheitsklassen– Niedrig eingestufte Subjekte haben dann oft ungenügende Rechte, in der

Praxis dann oft Hochstufung im Widerspruch zu „need to know“.• Fokus des Modells: Vertraulichkeit der zu verarbeitenden Informationen

humboldt university computer science department systems architecture group it-sicherheit grundlagen...

Documents