Mandatory Access Control

aus Wikipedia, der freien Enzyklopädie

Mandatory Access Control - MAC ist ein Konzept für die Kontrolle und Durchsetzung von Zugriffsrechten auf IT-Systeme, bei der die Entscheidung über Zugriffsberechtigungen nicht auf der Basis der Identität des Akteurs (Benutzers, Prozesses) und des Objektes (Datei, Gerät) gefällt wird, sondern aufgrund allgemeiner Regeln und Eigenschaften des Akteurs und Objektes. Auch erhalten häufig Programme eigene Rechte, die die Rechte des ausführenden Benutzers weiter einschränken. Voraussetzung ist, dass Akteure niemals direkt, sondern nur durch einen Referenzmonitor auf Objekte zugreifen können.

Inhaltsverzeichnis 1 Einsatzgebiete 2 Schutzstufen 3 Multi Level Sicherheitssysteme 3.1 Bell LaPadula 3.2 Biba 3.3 LoMAC 4 Multilaterale Sicherheitsmodelle 4.1 Compartment oder Lattice-Modell 4.2 Clark Wilson 4.3 Chinese Wall 4.4 BMA-Modell (British Medical Association) 5 Prinzip des notwendigen Wissens 6 Nachteile 7 Fussnoten 8 Literatur 9 Siehe auch 10 Implementationen

[Bearbeiten] Einsatzgebiete

Modelle des Mandatory Access Control sind vor allem dazu geeignet, die Vertraulichkeit, Integrität, Verfügbarkeit und Konsistenz von Daten zu sichern. Sie dienen also dazu, den Informationsfluss zu kontrollieren und so das "Abfließen" geschützter Information zu verhindern, sowie zu gewährleisten, dass sich die Daten immer in einem konsistenten Zustand befinden.

Die Einsatzgebiete der Mandatory Access Control sind vielseitig. Zum einen unterstützen Betriebssysteme die Sicherheitsanforderungen. Zum anderen können die Sicherheitsmodelle auch in Organisationsformen, Prozesse als auch in der Gebäudetechnik eingesetzt werden. Wichtig ist jedoch das die Betriebssysteme nur die technische Ausführung eines sicherheitskritischen Systems sind, und sozusagen als letzte Bastion Informationen schützen. Die Implementation eines sicherheitsrelevanten Systems benötigt weitere Maßnahmen, wie den Umgang mit geschützten Informationen, Schulung des Personals, die physikalischen Sicherheitsmaßnahmen, sowie ein Modell zur Vergabe von Berechtigungen auf geschützte Informationen.

Primär wurden solche Sicherheitssysteme vor allem im Bereich des Militär, wobei es sich primär um hoch sensitive Informationen bezüglich der Kriegsführung handelt, als auch im Bereich der Behörden, wobei es sich hier um sensitive Informationen bezüglich Technik, Politik, Außenhandel als auch Informationen aus der Nachrichtentechnik handelt. Siehe hierzu auch Verschlusssache.

Weiterhin in der Gesundheitsbranche, wobei sich hier dies hier auf sensitive Informationen bezüglich Patienten handelt. Zum Beispiel bei der Patientenkarte.

Viele Behörden verlangen bei dem Einsatz in sicherheitstechnischen Domänen den Einsatz dieser Sicherheitsmaßnahmen. Ein Beispiel ist die obligatorische Zertifizierung eines Systems nach der Trusted Computer System Evaluation Criteria. Diese Systeme müssen mindestens die Klassifizierung B1 erhalten. Die B1 Zertifizierung verlangt explizit eine Mandatory Access Control, umschreiben als Labeled Security.

Auch bei dem Einsatz von Sicherheitstechnischen Systeme wie PKI oder Firewall wird zum Teil, im kommerziellen Sektor vor allem in der Finanzwirtschaft eine B1 Klassifikation verlangt.

[Bearbeiten] Schutzstufen

Das Modell der Schutzstufen ist ein einfaches Konzept zur Sicherung der Vertraulichkeit von Daten. Dabei wird jedes Objekt (Dokument) einer Schutzstufe zugeordnet. Die einzelnen Schutzklassen unterteilen die Objekte in "Schichten" (vertikale Gliederung). Jedem Subjekt (Akteur, Benutzer) wird nun ebenfalls eine Schutzstufe zugewiesen (Vertrauen). Ein Subjekt darf nur dann auf ein Objekt zugreifen, wenn die Schutzstufe des Subjektes (die Clearance einer Person) mindestens so hoch ist wie die Schutzstufe des Objektes (z.B. die Geheimhaltungsstufe eines Dokumentes).

[Bearbeiten] Multi Level Sicherheitssysteme

Die Multi-Level Sicherheitssysteme (MLS) entsprechen der ursprünglichsten Form der Mandatory Access Control, wurden um 1970-80 beschrieben. Meistens wurden Implementationen auf Mainframe im militärischen oder sicherheitstechnischen Bereich verwendet. Bis heute sind diese Art der Mandatory Access Control am weitesten verbreitet. Viele Anwendungen wie PKI oder Firewall müssen je nach Einsatzgebiet Mandatory Access Control zur Verfügung stellen. Bei den MLS Systemen wird der Zugriff immer anhand der Schutzstufen abgebildet. Die Zugriffssicherheit bezieht sich auf den Top-Down und Bottom-Up Informationsfluss.

[Bearbeiten] Bell LaPadula

Das Bell-LaPadula-Modell stellt eine Kombination von Schutzstufen mit dem Prinzip des notwendigen Wissens dar: Objekte werden sowohl vertikal (nach Schutzstufe) als auch horizontal (nach Sachgebiet) unterteilt, Subjekte werden pro Sachbereich einer Schutzstufe zugeordnet. Ein Zugriff kann nur erfolgen, wenn die Voraussetzung beider Regelsysteme erfüllt sind. Hauptaugenmerk wird auf eine Kontrolle des Informationsflusses gelegt. Es soll nicht möglich sein, dass vertrauliche Informationen an nicht vertrauenswürdige Personen weitergegeben werden. Das Bell-LaPadula Modell adressiert die Vertraulichkeit der Daten. Systeme welchen auf dem Bell LaPadula Prinzip basieren wurden vor allem dann verwendet wenn Daten einer gewissen Geheimhaltung unterstehen. Die klassischen Bell-LaPadula wurden durch Lattice oder Compartment basierende Systeme abgelöst.

[Bearbeiten] Biba

Das Biba Modell stellt eine Umkehrung des Bell-LaPadula-Modells dar: Hier werden Informationen nicht vor dem Lesen- sondern vor Manipulation durch Unbefugte geschützt. Das Biba Modell adressiert die Integrität der Daten. Das Biba Modell kann wird einerseits in der Informationstechnologie verwendet z.bsp. als gegenmassnahme bei Angriffen auf Sicherheitsrelevante Systeme wie Firewall. Als auch bei militärischen Systemen, wo es grundlegend wichtig ist, dass ein Befehl in der Kommandokette nicht modifiziert werden kann und somit eine falsche Anweisung weitergegeben wird.

[Bearbeiten] LoMAC

Low-Watermark Mandatory Access Control ist eine Variation des Biba Modell, welche erlaubt das Subjekte hoher Integrität lesend auf Objekte niedrigerer Integrität zugreifen. Es wird die Integrität des lesenden Subjekts heruntergesetzt, damit dieses nicht mehr schreibend auf Objekte mit hoher Integrität zugreifen kann. LoMAC Systeme werden vor allem in chroot Anwendungen wie Honeypot implementiert.

[Bearbeiten] Multilaterale Sicherheitsmodelle

Der Begriff Multilaterale Sicherheitsmodelle wird verwendet für Sicherheitssysteme, die nicht nur Top-down oder Bottom-up-Betrachtungen einbeziehen, wie das Bell-LaPadula oder Biba-Modell, sondern die Zugriffsrechte auf Basis von Segmenten vergeben. Die Multilateralen Sicherheitsmodelle werden auch als Policy Basierende Sicherheitsmodelle oder Regelbasierte Sicherheitssysteme bezeichnet.

[Bearbeiten] Compartment oder Lattice-Modell

Auch bezeichnet als Lattice (Verbunds)-Modell oder Compartment. Das Compartment Modell basiert auf dem Bell-LaPadula Modell, erweitert die Zugriffe um Codewörter und bildet somit einen Verbund (Lattice). Das Lattice Modell wurde 1993 von Ravi S. Shandu ^[1] und 1976 von Dorothy E. Denning ^[2] beschrieben. Wenn Benutzer A Lesezugriff auf die Klassifizierung Streng Vertraulich und Klassifizierung Vertraulich besitzt, kann er Informationen dieser Klassifizierung lesen. Derselbe Benutzer besitzt aber keinen Zugriff auf Daten welche als Streng Vertraulich-(Krypto) klassifiziert sind. Nur wenn der Benutzer Zugriff auf die Klassifizierung Streng Vertraulich und Krypto besitzt kann er auf die Daten zugreifen.

[Bearbeiten] Clark Wilson

Das Clark-Wilson-Modell beschreibt die Integrität von kommerziellen Systemen und ist eine Variation des klassischem MAC Ansatzes.

1. Das System befindet sich in einem gültigen (konsistenten) Anfangszustand
2. Zugriff auf das System nur mittels explizit erlaubter Transaktionen.
3. Nur solche Transaktionen sind erlaubt, die das System unter allen Umständen in einen (neuen) gültigen Zustand bringen.

[Bearbeiten] Chinese Wall

Der Ausdruck Chinese Wall kommt aus der Finanzbranche, siehe auch Chinese Wall (Finanzwelt), und bezeichnet bestimmte Regeln die verhindern sollen, dass ein Interessenkonflikt herbeigeführt wird. Das Chinese-Wall-Modell bildet Separation of Duty innerhalb der Zugriffskontrolle ab. Das Chinese-Wall-Modell ist eine Variation des Bell-LaPadula-Modelles. Das Chinese Wall Modell wurde 1989 von David F.C. Brewer und Michael J. Nash beschrieben.^[3].

[Bearbeiten] BMA-Modell (British Medical Association)

Das BMA-Modell wurde 1996 von Ross Anderson ^[4] beschreiben. Das Modell vereint Eigenschaften des Clark-Wilson-Modell mit dem Bell-LaPadula Sicherheitsmodell. Das BMA-Modell ist ein Zugriffsmodell welches zum Schutz von Medizinischen Daten entwickelt wurde. Das BMA-Modell ist generell anwendbar auf alle Daten, die dem Datenschutz unterstehen. 1996 wurde das Modell von der UEMO European Medical Organisation übernommen. Das BMA-Modell ist nicht zentral sondern dezentral angelegt. Die Policy wird durch den Patienten bestimmt.

[Bearbeiten] Prinzip des notwendigen Wissens

Das Prinzip des notwendigen Wissens (engl: need-to-know principle) bietet eine Alternative zum Schutzklassenmodell: Hier werden die Objekte "horizontal" in Sachbereiche gegliedert, jedem Subjekt werden die Sachbereiche zugewiesen, für die er oder sie zuständig sein soll. Je nach Ausprägung muss nun ein Subjekt, das auf ein Objekt zugreifen will entweder allen oder zumindest einem Sachgebiet angehören, das dem Objekt zugeordnet ist. So wird der Verbreitungsbereich von Informationen wesentlich eingeschränkt, eine Kontrolle der Informationsflüsse wird erleichtert.

Der Vorteil dieses Sicherheitskonzeptes besteht darin, dass den einzelnen Akteuren nur die Rechte eingeräumt werden, die sie für ihre Aufgabe benötigen. Hierdurch wird das Risiko eines Missbrauchs von Anwendungen durch Ausnutzung von Sicherheitslücken minimiert.

Das bedeutet zum Beispiel, dass eine Anwendung, die keine Berechtigung für Netzwerkzugriffe benötigt, hierfür keine Rechte erhält. Dies hat zur Folge, dass ein Angreifer, der eine Sicherheitslücke ausnutzen möchte, das Programm nicht dazu missbrauchen kann, um Netzwerkverbindungen herzustellen.

[Bearbeiten] Nachteile

Der Nachteil dieses Konzeptes besteht in der Komplexität der Konfiguration, da für jede Anwendung ermittelt werden muss, welche Zugriffsberechtigungen diese benötigt.

[Bearbeiten] Fussnoten

1. ↑ Ravi S. Sandhu, Lattice-Based Access Control Models, Computer, v.26 n.11, p.9-19, November 1993
2. ↑ Dorothy E. Denning, A lattice model of secure information flow, Commun. ACM, v.19 n.5,1976
3. ↑ Dr. David F.C. Brewer and Dr. Michael J. Nash: The Chinese Wall Security Policy.
4. ↑ Ross J. Anderson: A Security Policy Model for Clinical Information Systems.

[Bearbeiten] Literatur

• Security Engineering, A Guide to Building Dependable Distributed Systems, Ross Anderson, ISBN 0-471-38922-6

[Bearbeiten] Siehe auch

• Discretionary Access Control
• Role Based Access Control

[Bearbeiten] Implementationen

Hersteller/Implementation	Typus	System	Akkreditiert
NSA/Red Hat - SELinux	Variante von Bell-LaPadula	Red Hat, Gentoo Linux, Suse, Debian	-
TrustedBSD	Biba, LoMAC	TrustedBSD	-
Novell AppArmor	-	Suse Linux	-
Sun Microsystems	Variante von Bell-LaPadula	Sun Trusted Solaris	-
Microsoft	Biba	Windows Vista	-
Unisys	Biba, Bell-LaPadula, Lattice (compartment), Clark-Wilson	OS2200	TCSEC B1
Argus Systems PitBull LX	Lattice (compartment)	AIX, Sun Solaris, Linux	ITSEC F-B1, E3