Gefahrenerkennung in Konfigurationen Verteilter Systeme
Total Page:16
File Type:pdf, Size:1020Kb
TECHNISCHEN UNIVERSITÄT MÜNCHEN Fakultät für Informatik Lehrstuhl für Angewandte Softwaretechnik Gefahrenerkennung in Konfigurationen verteilter Systeme Martin Otto Werner Wagner Vollständiger Abdruck der von der Fakultät für Informatik der Technischen Uni- versität München zur Erlangung des akademischen Grades eines Doktors der Naturwissenschaften (Dr. rer. nat.) genehmigten Dissertation. Vorsitzender: Univ.-Prof. Dr. Michael Bader Prüfer der Dissertation: 1. Univ.-Prof. Bernd Brügge, Ph. D. 2. Univ.-Prof. Dr.-Ing. Georg Carle Die Dissertation wurde am 4. April 2016 bei der Technischen Universität Mün- chen eingereicht und durch die Fakultät für Informatik am 19. August 2016 angenommen. Danksagung Ich möchte mich bei meinem Betreuer Prof. Bernd Brügge, Ph.D., dafür be- danken, dass er mir die Möglichkeit gab, an seinem Lehrstuhl zu forschen und zu promovieren. Die Gespräche mit ihm waren immer inspirierend und führten zu neuen Erkenntnissen, die ich wahrscheinlich sonst nicht gehabt hätte. Seine Herzlichkeit und Offenheit machte das Arbeiten am Lehrstuhl zu einer angenehmen Erfahrung. Seine engen Kontakte zur Industrie ermög- lichten mir, weitere Erfahrungen mit realen Projekten zu sammeln; dafür bin ich ihm sehr verbunden. Ebenfalls danke ich auch den Mitarbeitern des Lehrstuhls für ihre freund- schaftliche Unterstützung. Insbesondere schätzte ich die technische Unter- stützung von Monika Markl und Helma Schneider und die guten Ratschläge von Stephan Krusche. ii Kurzfassung IT-Infrastrukturen sind ständig existierenden oder neuen, durch Verände- rungen hervorgerufenen Gefahren ausgesetzt. Deshalb muss kontinuierlich auf neue Gefahren bekannter Gefahrenklassen überprüft und auf bisher un- bekannte Gefahrenklassen analysiert werden. Diese Dissertation beruht auf der Hypothese, dass die Sicherheitsbewertung eines Systems ein fortwäh- render Prozess ist. Dieser Prozess der Gefahren- und Gefahrenklassener- kennung wird von CUSTODIAN, einem erweiterbaren Framework zur Sicher- heitsbewertung verteilter Systeme unterstützt. Für die Sicherheitsbewer- tung kombiniert CUSTODIAN einen architektonischen und einen epistemolo- gischen Ansatz. Der architektonische Ansatz beruht auf dem Blackboard-Muster und erlaubt die dynamische Erweiterung um Wissensquellen zur Erkennung und Visua- lisierung von Gefahren. Dadurch können Gefahren bekannter Gefahrenklas- sen in verteilten Systemen erkannt werden. Der epistemologische Ansatz definiert einen Prozess, der auf einem Metamodell zur Klassifizierung von Gefahren aufsetzt. Dieser Prozess erlaubt die bekannten Gefahrenklassen des Metamodells bei der Gefahrenerkennung eines verteilten Systems zu nutzen und das Metamodells um neu erkannte Gefahrenklassen zu erwei- tern. Ein weiterer Beitrag dieser Dissertation ist die empirische Validierung von CUSTODIAN in drei Fallstudien, die mithilfe einer Referenzimplementierung durchgeführt wurden. In einer Fallstudie bei einem universitären Netzwerk- dienstleister für Lehrstühle und andere Institutionen wurden in Firewalls et- liche gefährliche Regeln entdeckt. In einer zweiten Fallstudie bei einem On- linedienst konnte bei den Kunden die Erschleichung von Leistungen identifi- ziert und unautorisierte Administratoren eliminiert werden. In einem Hoch- sicherheitsrechenzentrum entdeckte CUSTODIAN allein in einer Abteilung über neuntausend Gefahren. Mithilfe der Visualisierungsmechanismen in CUSTODIAN wurde genug sozialer Druck aufgebaut, sodass die Gefahren bin- nen drei Wochen auf vier Gefahren reduziert wurden. iii Abstract IT-infrastructures are constantly exposed to existing threats and new threats which are caused by changes. Hence a continuous analysis has to be per- formed to detect new threats of known threat classes and unknown threat classes. This dissertation is based on the hypothesis that the security eva- luation of a system is an ongoing process. This process of threat and threat class detection is supported by CUSTODIAN, an extensible framework for the evaluation of the security of distributed systems. CUSTODIAN combines an architectural and an epistemological approach to achieve the security eva- luation. The architectural approach is based on the blackboard pattern and supports the dynamic extension of knowledge sources for the detection and visuali- zation of threats. This allows the detection of known threat classes in dis- tributed systems. The epistemological approach defines a process which is based on a meta model for the classification of threats. This process enables the use of the known threat classes of the meta model for detecting threats in a distributed system und to extend the meta model with newly detected threats. Another contribution of this dissertation is the empirical validation of CU- STODIAN in three case studies which where performed with the aid of a reference implementation. In the first case study on a university network provider for research groups and other institutions, several hazardous fire- wall rules where discovered. In the second case study with an online service provider, CUSTODIAN identified subreption of benefits and unauthorised ad- ministrators where eliminated within. In the third case study in a high se- curity data center, CUSTODIAN could detect more that nine thousand threats in a single department. With the aid of visualisation mechanisms CUSTODIAN build up social pressure with the result that these threats where reduced to four within three weeks. iv Inhalt Danksagung ii Kurzfassung iii Abstract iv 1 Einleitung1 2 Terminologie9 2.1 Systeme................................ 10 2.1.1 Verteilte Systeme....................... 11 2.1.2 Komplexität verteilter Systeme............... 12 2.2 Komponenten............................. 12 2.3 Konfiguration............................. 14 2.4 Fehlkonfiguration, Gefahr und Schadensfall ...........16 2.4.1 Gefahrenklasse........................ 19 2.4.2 Sicherheitstest........................ 20 2.4.3 Testobjekt, Testmenge und Testdaten........... 23 2.4.4 Konfiguration Unter Test .................. 25 2.4.5 Transformation von Konfigurationen zur Analyse . 26 2.4.6 Synchronisation zwischen Komponenten .........27 2.5 Gefahrenwissen ........................... 29 2.6 Wissensgebiet ............................ 30 2.7 Kapazitäten.............................. 31 3 Die Erkennung gefährlicher Konfigurationen 33 3.1 Gefahren für Informationssysteme................. 34 3.2 Modellierung von Gefahren..................... 36 3.3 Die Gefahrenpyramide........................ 37 3.4 Wissen und Metawissen über Gefahren.............. 39 v Inhalt 3.5 Methoden der Gefahrenerkennung................. 40 3.6 Gefahrenexternalisierung...................... 43 3.7 Visualisierung von Gefahren .................... 44 3.7.1 Visual Analytics........................ 44 3.7.2 Softwarekartographie.................... 46 4 Forschungsmethodik 49 4.1 Grundlegende Forschungshypothesen............... 49 4.2 Sicherheitsframework........................ 54 4.3 Vorgehensmodell........................... 54 4.4 Fallstudien .............................. 55 5 Die Meta Threat Facility 57 6 Sicherheitsframework 63 6.1 Anforderungen............................ 64 6.2 Analyse ................................ 68 6.2.1 Depot ............................. 71 6.2.2 Sicherheitsexperten..................... 78 6.2.3 Steuereinheit......................... 83 6.2.4 Das Datenmodell....................... 86 6.2.5 Die Wahl des Architekturmusters .............87 6.3 Systementwurf............................ 91 6.4 Referenzimplementierung...................... 94 6.4.1 Motion-Charts ........................ 97 6.4.2 Korrelationsexperte ..................... 98 6.4.3 Wissensbinder ........................100 6.4.4 Wissensbrowser .......................101 6.4.5 Gefahrenanalytiker......................104 7 Das Vorgehensmodell HARVEST 107 7.1 Systemsicherheitsanalyse......................108 7.1.1 Komponentenanalyse ....................108 7.1.2 Berechtigungsanalyse....................115 7.1.3 Gefahrenanalyse.......................117 7.2 Sicherheitsentwurf..........................119 7.3 Sicherheitstest............................122 7.4 Das HARVEST-Ereignismodell....................124 vi Inhalt 8 Evaluation 127 8.1 Fallstudie Hochsicherheitsrechenzentrum . 129 8.1.1 Komponentenanalyse ....................130 8.1.2 Berechtigungsanalyse....................131 8.1.3 Gefahrenanalyse.......................132 8.2 Fallstudie: RBG-Netzwerk......................171 8.2.1 Komponenten- und Berechtigungsanalyse . 172 8.2.2 Gefahrenanalyse.......................173 8.3 Fallstudie: AdWorks2go.......................181 8.3.1 Komponentenanalyse ....................182 8.3.2 Berechtigungsanalyse....................184 8.3.3 Gefahrenanalyse.......................185 8.4 Auswertung..............................194 8.4.1 Fragebogen..........................195 8.4.2 Evolution der MTF......................199 8.4.3 Die entdeckten Gefahrenklassen und Gefahren . 202 9 Fazit und Ausblick 205 9.1 Meta Threat Facility.........................206 9.2 CUSTODIAN ..............................207 9.2.1 Evaluierung der Einsetzbarkeit . 207 9.2.2 Erkennung von Beta-Fehlern durch Fehlerinjektion . 207 9.2.3 Einbeziehung von Akteuren in die Konfiguration . 209 9.2.4 Automatisierte Erkennung der Gefahrenklassen . 209 A Appendix 211 A.1 IT-Sicherheit .............................211 A.1.1 Intrusion Detection System . 211 A.1.2 Autorisierung und Authentifizierung . 211 A.1.3 Firewalls ...........................213 A.1.4 Data Center Infrastructure Management . 214