PS Grundlagen wissenschaftlichen Arbeitens (181.107 PS SS 2,0) 2001/2002
Leiter: Ao.Univ.Prof. Dr.techn.
Dipl.-Ing. Wolfgang SLANY
e9902392
- Marcus Vitek – informatik@chello.at
Große Programme fehleranfällig, da viel Code
Fehler können als Sicherheitslücke von Möchtegerne-Angreifern ausgenutzt werden
Attacken auf Betriebssystemebene verhindern/einschränken
èTrusted O/S
Implementierung im Kernel, kann nicht von Benutzern oder Applikationen umgangen werden
Schnittstellen sind so beschränkt wie möglich und unter möglichst starker Kontrolle des Kernel
Garantierte Beschränkung des Schadens
Die 4 häufigsten Attacken:
~ Missbrauch von Rechten um direkten Zugriff auf ungeschützte Ressourcen zu erhalten („root“)
~ Untergrabung der von Software zur Verfügung gestellten Zugriffsrechte (Zugriff auf legitime Ressourcen in unlegitimer Weise, z.B. Fälschung von Websites über Webserver-Hacks)
~ Verwendung von gefälschter sicherheitsrelevanter Information (indirekte Attacke, z.B. authorization service, um auf das Zielservice zugreifen zu können)
~ Unlegitimierte Benutzung von ungeschützten Systemressourcen (ungeschützte, aber für normale Software nicht sichtbare lokale Ressourcen)
Idee: Zugriff von großen, unsicheren Applikationen auf Systemressourcen sollte mittels kleineren, sichereren Applikationen erfolgen
Ï Realisierung im Betriebssystem durch Containment (Umgebungen)
Ï Trennung von Applikationen voneinander und von Systemressourcen
Ï Sicherung der Schnittstellen von Applikationen
Ï Schmale Schnittstellen zu den Applikationen
Implementierung
von Trusted O/Ss:
MAC
(mandatory access control)
Privileges (Rechte)
Implementierung direkt im Kernel
Nachteile des Bell-LaPadula policy Modells (basierend auf Militärprozessen, Informationsfluss vorhersehbar):
x Keine Standard-Applikationen oder Management Tools
x Keine Standardbenutzung des Betriebssystems
x Verkomplizierung der Betriebsysteme
x Standardapplikationen wegen zu großen Restriktierungen nicht mehr lauffähig
x
Teure
Integration von Trusted O/Ss
Trusted
Linux OS:
http://www.hpl.hp.com/research/papers/trustedlinux.html
Geschichtete Erweiterung vom Standard-Linux (Red Hat kompatibel)
Services und Applikationen laufen in separierten Umgebungen
Prozesse erhalten ein Label, Prozesse mit gleichem Label gehören zur gleichen Umgebung
Vereinfachung im Vergleich zur hierarchischen Ordnung der Labels bei Bell-LaPadula
Jede Umgebung besitzt ihren eigenen Datei-Speicherplatz
Verbindungen zwischen den Umgebungen und Netzressourcen sehr begrenzt und Kernel-kontrolliert
Zugriff auf Kommunikationsinterfaces aufgrund von Regeln
Installation bringt keine Änderung des Dateisystems, Vanilla Linux Kernel wird ausgetauscht und verbleibende Netzwerkdienste starten in der Umgebung 0 (am strengsten restriktierte Umgebung)
Einige Applikationen können schon ohne Source-Veränderung eingebunden werden, Performance-Einbußen von einigen wenigen Prozent
Trusted
Solaris: