Sie sind auf Seite 1von 9

Lösungsvorschlag

Übung 6 - Zugriffskontrolle
Ausgabe: 11. Dezember 2020 - Besprechung: 18. Dezember 2020

Aufgabe 26 Sicherheitsstrategien
Erklären Sie die drei Sicherheitsrichtlinien Mandatory Access Control(MAC), Discretio-
nary Access Control (DAC) und Role-Based Access Control (RBAC). Beschreiben Sie
insbesondere die Unterschiede und die Vor- und Nachteile der verschiedenen Modelle.

Lösung
• Mandatory Access Control (MAC) / Systembestimmte Festlegung:
– Objekte und Subjekte sind mit Sicherheitsstufen ausgestattet (z.B. topsecret,
secret, unclassified).
– Ein Subjekt darf nur auf ein Objekt zugreifen, wenn die Freigabe des Subjekts
die Klassifikation des Objekts dominiert.
– Zugriff wird erst nach Sicherheitslevel und dann nach Berechtigungen ge-
währt.
– Berechtigungen wie auch Sicherheitsstufen können nur von Administratoren
vergeben werden.
– Sicherheitsziel ist hauptsächlich Vertraulichkeit.
Vorteile:
– Zugriff ohne explizite Erlaubnis ist nicht möglich.
– Zugriff auf ein Objekt beruht auf Vertraulichkeit des Objekts.
– Berechtigungen werden zentral vergeben, und somit sinkt die Wahrschein-
lichkeit, dass ein Nutzer bei der Vergabe einen Fehler macht.
Nachteile:
– Sehr viel Aufwand.
– Sehr unflexible.
– Änderungen der Zugriffsberechtigungen in einem laufendem System sind
sehr schwierig.

• Discretionary Access Control (DAC) / Diskrete, Benutzerbestimmebare Sicherheits-


politik:
– Für jedes Paar (Subjekt, Objekt) ist definiert ob das Subjekt ein Zugriffsrecht
auf das Objekt besitzt, und welche Art ein Recht ist. Dies kann in Form einer
Zugriffskontrollmatrix oder einer Zugriffskontrollliste (ACL) gespeichert sein.
– Zugriff wird nur anhand von Berechtigungen erteilt.
– Berechtigungen werden von dem Besitzer der Daten festgelegt.

IT-Sicherheit 44 Übungsblatt 6
Lösungsvorschlag

– Sicherheitsziel ist hauptsächlich Verfügbarkeit


– Informationen für die Zugriffsberechtigung ist normalerweise der Ressource
beigefügt.
Vorteile:
– Erlaubt sehr feinkörnige Zugriffsberechtigung.
– User (mit Zugriffsrechten) kann selbst entscheiden, wer Zugriff auf die Daten
bekommt (Benutzbarkeit).
– Änderungen der Zugriffsberechtigungen können in einem laufenden System
vorgenommen werden.
Nachteile:
– Berechtigungen müssen für jeden neuen Nutzer neu eingestellt werden.
– User (mit Zugriffsrechten) kann selbst entscheiden, wer Zugriff auf die Daten
bekommt (Sicherheit).

• Role Based Access Control (RBAC)


– Berechtigungen werden direkt an Rollen und Aufgaben geknüpft.
– Zugriff wird anhand von diesen Rollen und Aufgaben gewährt.
– Das Sicherheitsmodell legt fest, welche Subjekte welche Aufgaben durchfüh-
ren dürfen. Das Modell wird von dem System Besitzer festgelegt.
– Sicherheitsziel ist hauptsächlich Integrität.
Vorteile:
– Einfache Administration, nachdem normalerweise viele Nutzer auf wenige
Rollen aufgeteilt werden können. Der Nutzer muss nur der richtigen Rolle
zugewiesen werden, somit braucht man keine spezifischen Berechtigungen
für jeden Nutzer.
– Implementiert das Sicherheitsprinzip der Trennung von Aufgaben, wie auch
das need-to-know Prinzip.
Nachteile:
– Sehr grobkörnige Zugriffsberechtigung.
– Mandantenfähigkeit ist schwierig zu implementieren.
– Datenbasierte Zugriffsberechtigung ist schwierig zu implementieren.
– Änderungen der Zugriffsberechtigungen für eine Rolle können nicht in einem
laufenden System durchgeführt werden, Änderung der Zuweisung einer Rolle
auf eine Person sind möglich.

IT-Sicherheit 45 Übungsblatt 6
Lösungsvorschlag

Vorsitzender

Kassenwart Kassenprüfer Sportwart

Aktives Mitglied

Passives Mitglied

Aufgabe 27 RBAC
Untersuchen Sie folgendes RCBA Szenario eines Fußballklubs genauer.
Die Rollenhierarchie ist wie folgt:
Die Rollen-Rechte-Zuordnung:
{ Recht Vereinsräume zu betreten } ⊂ Passives Mitglied
{ Wahlrecht bei Vorstandswahlen } ⊂ Aktives Mitglied
{ Recht Ausrüstung zu bestellen } ⊂ Sportwart
{ Zugriff auf das Vereinskonto } ⊂ Kassenwart
{ Recht zur Kassenprüfung } ⊂ Kassenprüfer
{ Zugriff auf Mitgliederliste } ⊂ Vorsitzender

Die Rollen-Subjekt-Zuordnung:

• Alice = Vorsitzender

• Bob = Kassenwart, Sportwart

• Carol = Kassenprüfer

• Doris = Passives Mitglied

Hierbei gelten folgende Beschränkungen:

• Statische Aufgabentrennung: gleichzeitige Mitgliedschaft in Rolle Kassenprüfer


und Kassenwart ist ausgeschlossen.

• Dynamische Aufgabentrennung: gleichzeitige Aktivität in der Rolle Sportwart


und Kassenwart ist ausgeschlossen.

IT-Sicherheit 46 Übungsblatt 6
Lösungsvorschlag

Beantworten Sie folgende Fragen mit einer kurzen Begründung:

1. Darf Alice in der aktiven Rollen Vorsitzender von dem Vereinskonto eine Rechnung
über 1000 Euro bezahlen?

2. Darf Alice in der aktiven Rolle Vorsitzender eine Kassenprüfung durchführen?

3. Darf Alice bei der nächsten Vorstandswahl sich selbst wählen?

4. Bob hat in der aktiven Rolle Sportwart neue Fußbälle bestellt. Darf er diese gleich
von der Vereinskasse bezahlen? Wenn nein, was muss er machen um die Rech-
nung bezahlen zu können?

5. Bob gibt die Position als Kassenwart ab, diese übernimmt nun Doris. Was muss
Bob nun machen, um eine Rechnung zu bezahlen?

6. Welcher Nachteil des RBAC Modells wird offensichtlich, wenn man die Position
des Vorsitzenden betrachtet?

Lösung
1. Alice erbt in ihrer Rolle als Vorsitzender auch die Rechte des Kassenwarts, und
hat somit auch Zugriff auf das Vereinskonto.

2. Alice erbt keine Rechte des Kassenprüfers, und kann somit auch keine Kassen-
prüfung ausführen.

3. Alice darf sich selbst wählen, nachdem Sie auch die Rechte eines Aktiven Mit-
glieds erbt.

4. Nachdem Bob bei der Bestellung in der Rolle des Sportwarts agiert, kann er nicht
sofort danach auch die Rechnung begleichen, da gleichzeitige Aktivität als Sport-
wart und Kassenwart ausgeschlossen ist. Zuerst muss Bob die aktive Rolle des
Sportwarts aufgeben, und die Rolle des Kassenwarts aufnehmen.

5. Bob kann nicht mehr in die Rolle des Kassenwarts wechseln, und muss somit
Doris oder Alice mit der Bezahlung beauftragen.

6. In der IT Sicherheit gilt das Prinzip der minimalen Rechte, nachdem der Vorsitzen-
de aber sehr viele Rechte erbt, die eigentlich nicht benötigt werden, wird diese
Prinzip verletzt.

Aufgabe 28 Bell La Padula Sicherheitsmodell


1. Beschreiben Sie kurz das Prinzip und den Einsatzbereich des Bell La Padula Si-
cherheitmodells. Was ist das Ziel der Benutzung eines solchen Systems?

2. Nennen und beschreiben Sie die drei Sicherheitsregeln (oft abgekürzt als ds, ss,
*) welche die Sicherheit des Bell La Padula Modells garantieren.

IT-Sicherheit 47 Übungsblatt 6
Lösungsvorschlag

Gegeben seien die folgenden Informationen:

• Die Subjektmenge S = {Alice,Bob,Carol}

• Die Objektmenge O = {D1 ,D2 ,D3 ,D4 }

• Die Menge der Zugriffsoperationen A = {read, write, append, execute}

• Die Menge der Sicherheitslevel L = {topsecret, secret, unclassified} mit der


L- Ordnung topsecret ≥ secret ≥ unclassified

Die Zugriffskontollmatrix M = (Ms,o )s∈S,o∈O ist wie folgt beschrieben:

D1 D2 D3 D4
Alice {read, write, append} {read} A A
Bob {read, write} {read, write} A {read, write}
Carol ∅ {execute} {append} {read, write}

Die Zuordnung der maximalen und aktuellen Sicherheitslevel F = (fs ,fc ,fo ) ist wie folgt
definiert:

fs (.) fc (.)
Alice topsecret unclassified
Bob secret unclassified
Carol unclassified unclassified

fo (.)
D1 topsecret
D2 secret
D3 secret
D4 unclassified

3. Betrachten Sie eine Reihenfolge an von Anfragen b ∈ S ×O ×A. Beschreiben Sie,


ob die jeweilige Anfrage gewährt werden kann, und ob das Sicherheitslevel geän-
dert wird. Welche Eigenschaften wurden verletzt, falls die Anfrage nicht gewährt
wird?

IT-Sicherheit 48 Übungsblatt 6
Lösungsvorschlag

Anfrage ds ss * Bemerkung
1. (Carol,D4 ,write)
2. (Alice,D4 ,read)
3. (Carol,D1 ,read)
4. (Bob,D2 ,read)
5. (Bob,D4 ,write)
6. (Alice,D4 ,append)
7. (Carol,D3 ,execute)
8. (Bob,D1 ,read)
9. (Carol,D4 ,write)
10. (Alice,D1 ,write)

4. Beschreiben Sie kurz einen Nachteil dieses Sicherheitmodells.

5. Die *-Eigenschaft verhindert den Fluss von Informationen von einer höher gele-
genen Sicherheitsebene zu einer niedrigeren. Beschreiben Sie eine Möglichkeit,
diese Informationsflüsse doch begrenzt zuzulassen.

Lösung
1. Das Bell LaPadula Modell beschränkt die Informationsflüsse eines Systems mit-
tels durchgesetzter Regeln. Nachdem das System relativ rigide ist, wird es größ-
tenteils im Regierungs- und Militärumfeld mit hohen Sicherheitsanforderungen be-
nutzt. Ziel ist es, das Lesen von sensitiver Information zu beschränken, das heißt
die Vertraulichkeit von Daten wird bewahrt, Integritätseigenschaften werden nicht
betrachtet.

2. Die Sicherheit des BLP Modell wird durch die Einhaltung von drei Regeln garan-
tieren:
• No read up Regel / Simple Security Property (ss-Property): Ein Subjekt darf
kein Objekt mit einer höheren Sicherheitsstufe lesen.
• No write down Regel (*-Property): Ein Subjekt darf auf kein Objekt mit einer
niedrigeren Sicherheitsstufe schreiben.
• Discretionary Security Property (ds-Property): Eine Zugriffsmatrix (Access
Control Matrix) beschreibt den erlaubten Zugriff von Subjekten auf Objekte.
Eine weitere Regel, die Strong Tranquility Regel besagt, dass die Subjekt Freiga-
be und die Objekt Klassifikation sich während der Laufzeit nicht verändern sollten.
Dies ist aber schwierig umzusetzten. Einfacher ist die Annahme von Weak Tranqui-
lity, hier wird das aktuelle Sicherheitslevel eines Subjekts nach einem genehmigten
Zugriff angepasst.

3. Beachten Sie, das hier die Weak Tranquility Regel gilt, die aktuelle Subjekt Freiga-
be verändert sich mit genehmigten Zugriffen.

IT-Sicherheit 49 Übungsblatt 6
Lösungsvorschlag

Anfrage ds ss * Bemerkung
1. (Carol,D4 ,write) X X X –
2. (Alice,D4 ,read) X X X –
3. (Carol,D1 ,read) 7 7 X laut ACM keine read Rechte, no read-up
4. (Bob,D2 ,read) X X X Weak Tranquility, fc (Bob) = secret
5. (Bob,D4 ,write) X X 7 fc (Bob) > fo (D4 )
6. (Alice,D4 ,append) X X X –
7. (Carol,D3 ,execute) 7 X X laut ACM keine execute Rechte
8. (Bob,D1 ,read) X 7 X fs (Bob) < fo (D1 )
9. (Carol,D4 ,write) X X X –
10. (Alice,D1 ,write) X X X –

4. Nachteile:
• Integrität wird nicht beachtet, niedrig privilegierte Subjekte können höher schrei-
ben als lesen.
• Irgendwann weiß jeder zu viel, fc kann nur wachsen, welches die *-Eigenschaft
immer weiter beschränkt.
• Verdeckte Kanäle werden nicht berücksichtigt: Zum Beispiel könnte ein hoch
privilegiertes Subjekt ein hoch privilegiertes Objekt anlegen. Ein niedrig pri-
vilegiertes Subjekt darf auf dieses Objekt schreiben, und könnte somit z.B.
eine Fehlermeldung erhalten, wenn ein hoch privilegiertes Objekt schon exis-
tiert. Dies würde Informationen zum Status (i.e. existiert, existiert nicht) eines
hoch privilegierten Objekts an ein niedrig privilegiertes Subjekt freigeben.
• Das Modell an sich ist sehr statisch, Zugriffsrechte der ACM können sich nicht
ändern.

5. Die Beschränkung der *-Eigenschaft kann durch sogenannte Trusted Subjects auf-
gehoben werden. Diese dürfen die *-Eigenschaft umgehen und Sicherheitseinstu-
fungen wieder heruntersetzten.

Aufgabe 29 Chinese Wall Sicherheitsmodell


1. Beschreiben Sie kurz das Prinzip und den Einsatzbereich des Chinese Wall Si-
cherheitmodells. Was ist das Ziel der Benutzung eines solchen Systems?

2. Nennen und beschreiben Sie die zwei Sicherheitsregeln, welche die Sicherheit
des Chinese Wall Modells garantieren. Wie unterscheiden sich diese zu den Bell
La Padula Regeln?

Ein Unternehmensberater beschäftigt ein Team S = {Alice, Bob, Carol} welches ver-
schiedene Projekte O = {D1 ,D2 ,D3 ,D4 ,D5 ,D6 ,D7 } für vier Firmen
C = {Apple, BlackBerry, HTC, Samsung} bearbeiten soll. Für die Projekte gelten folgen-
de Zugehörigkeiten und Konflikte:

IT-Sicherheit 50 Übungsblatt 6
Lösungsvorschlag

Zugehörigkeit † Konflikte §
D1 Samsung ∅
D2 Samsung { HTC, Blackberry }
D3 HTC ∅
D4 HTC {Samsung }
D5 Blackberry {Samsung}
D6 Blackberry {Samsung}
D7 Apple {Samsung, HTC}

Nun soll ein Chinese Wall Modell benutzt werden, um zu verhindern, dass es zu einem
Interessenkonflikt kommt. Nehmen Sie an, dass ein konfliktfreier Initialzustand vorliegt.

3. Prüfen Sie die Zulässigkeit der folgenden Arbeitschritte. Berücksichtigen Sie hier-
bei gültige Arbeitsschritte für nachfolgende Entscheidungen, wobei ein write-Recht
auch ein read-Recht impliziert. Geben Sie weiterhin an, welche Sicherheitseigen-
schaften verletzt werden, falls der Arbeitsschritt nicht zulässig ist.

Zugriffsanforderung Zugriff erteilt / verweigert Begründung


1. (Alice,D3 ,read)
2. (Alice,D6 ,write)
3. (Alice,D3 ,write)
4. (Alice,D5 ,read)
5. (Bob,D1 ,write)
6. (Bob,D2 ,write)
7. (Bob,D6 ,write)

4. Geben Sie eine Zugriffsreihenfolge an, für welche folgendes gilt:


• kein Verstoß gegen die ss-Eigenschaft
• wenn alle Zugriffe gewährt werden, ist ein Informationsfluss von D6 nach D1
möglich
• dieser Informationsfluss wird durch die *-Eigenschaft unterbunden

5. Carol hat in der Vergangenheit Zugriff auf Projekt D7 gehabt. Auf welche Projekte
darf sie nun deshalb nicht mehr zugreifen?

6. Nennen Sie einen Nachteil des Chinese Wall Modells.

Lösung
1. Das Chinese Wall Sicherheitsmodell sichert die Vertraulichkeit von Informationen
mittels Unterbindung von Informationsfluss durch Berater zwischen konkurrieren-
den Unternehmen. Hierbei werden Zugriffsrechte anhand von bereits erfolgten Zu-
griffen erteilt oder verweigert.

IT-Sicherheit 51 Übungsblatt 6
Lösungsvorschlag

2. • Lese Regel (ss-Eigenschaft): Ein read Zugriff ist nur erlaubt, wenn das Sub-
jekt auf kein Objekt Zugriff hatte, welches einen Konflikt mit dem aktuellen
Objekt hat.
• Schreib Regel (*-Eigenschaft): Ein write Zugriff ist nur erlaubt, wenn alle
Objekte welche das Subjekt lesen durfte aus dem gleichen Unternehmen
kommen, oder Öffentlich sind (d.h, keinem Unternehmen zugeordnet sind).
Dies unterbindet die Möglichkeit, dass ein Subjekt auf ein Objekt o1 lesend
zugreift, und dann dessen Inhalt auf ein zweites Objekt o2 schreibt, welches
in einer anderen Interessenkonfliktklasse ist (also nicht im Konflikt mit dem
ersten Objekt steht). Ein zweites Subjekt könnte nun lesend auf Objekt o2
zugreifen, und von dort auf Objekt o3 schreiben, welches im Konflikt mit o1
steht, und somit Informationen über o1 abgreifen.

3. Hier ist zu berücksichtigen, dass ein write Zugriff einen read Zugriff implizeiert.

Zugriffsanforderung Zugriff erteilt / verweigert Begründung


1. (Alice,D3 ,read) X
2. (Alice,D6 ,write) 7 *-Eigenschaft
3. (Alice,D3 ,write) X
4. (Alice,D5 ,read) X
5. (Bob,D1 ,write) X
6. (Bob,D2 ,write) X
7. (Bob,D6 ,write) 7 ss-Eigenschaft & *-Eigenschaft

4. (Alice,D6 ,read)
(Alice,D3 ,write)
(Bob,D3 ,read)
(Bob,D1 ,write)

5. D1 , D2 , D3 , D4

6. Der größte Nachteil des Chinese Wall Systems ist das die Historie unendlich wächst,
irgendwann kann kein Berater mehr auf Projekte von andere Firmen arbeiten.
Nachdem Interessenkonflikte nicht aufgehoben werden können, kann das System
nicht wieder aufweichen.

IT-Sicherheit 52 Übungsblatt 6

Das könnte Ihnen auch gefallen