Funktionen

Securing Operating Systems using the eXtensible Access Control Markup Language

Hintergrund der Arbeit:
Während der Zugriff auf Unternehmensdaten für Endanwender z.B. bei Web-basierten Anwendungen bereits durch geeignete Softwaresysteme geschützt und geregelt wird, haben Administratoren auf die den Anwendungen zugrunde liegenden Betriebsressourcen in der Regel einen vollumfänglichen Zugriff. In der Vergangenheit wurde dies für Angriffe genutzt, die teilweise auch innerhalb von Unternehmensnetzwerken gestartet wurden. Vor allem in Szenarien, bei denen der Betrieb der IT-Infrastruktur ausgelagert wurde und nicht mehr innerhalb der juristischen Grenzen des eigentlichen Unternehmens liegt, haben Unternehmen ein Interesse daran, auch den administrativen Zugriff auf ein Minimum zu reduzieren.

Eng verbunden mit dieser Situation ist das Problem, dass administrative Zugänge für Betriebssysteme in der Regel nicht personalisiert sind, was vor allem die Nachvollziehbarkeit im Falle von erfolgreichen Angriffsversuchen erschwert. Diese als Shared Account Management (SAM) benannte Teildisziplin von Identitätsmanagement stellt die Grundlage dar, um zielgerichtet den Zugriff auf einzelne Ressourcen für diese privilegierten Benutzer umzusetzen (Privileged User Password Management, PUPM).

Geeignete Maßnahmen zur Lösung dieser Problemstellung liegen in der Einführung einer dedizierten Sicherheitsarchitektur, wie sie beispielsweise zum Schutz von Web-Anwendungen bereits gängig ist. Die größte Herausforderung hierbei besteht in der Externalisierung der Zugriffskontrolle auf logische Ressourcen eines Betriebssystems, beispielsweise von Geräten oder Dateien. Dies soll durch die vom OASIS-Gremium standardisierte Sprache eXtensible Access Control Markup Language (XACML) zur Beschreibung von Zugriffsregeln behoben werden. Interessant in diesem Zusammenhang sind die mit Microsoft Server 2012 eingeführten Möglichkeiten, Zugriffskontroll-Policies in einer Microsoft-eigenen Sprache zu beschreiben. Hierdurch entsteht die prinzipielle Möglichkeit, in XACML definierte Policies zu transformieren, um Microsoft Server 2012-basierte Systeme mit System-unabhängigen XACML-Policies zu verwalten. Im Rahmen dieser Arbeit soll der „Policy Server“ des Herstellers Axiomatics zum Einsatz kommen, der vollständig auf XACML aufgebaut ist.

Ziel der Arbeit:
Das Ziel der Arbeit besteht darin, für ein Unternehmensszenario ein XACML-basiertes Sicherheitskonzept für exemplarische Windows-Services zu erstellen und in Form eines auf den Axiomatics-Produkten basierten lauffähigen Demonstrators zu implementieren. Der Demonstrator soll wesentliche Arbeitsabläufe aufzeigen, die sich durch die Einführung einer XACML-basierten Lösung ergeben.

Zu den wesentlichen Teilschritten gehören dabei u.a.:

• Analyse von XACML, Axioamtics Policy Server und Windows Server 2012 hinsichtlich der neuen Fähigkeiten für Dynamic Access Control (DAC)
• Definition und Analyse von relevanten Szenarien auf Basis von XACML, Axiomatics Policy Server und Windows Server 2012
• Analyse von typischen administrativen Prozessen vor dem Hintergrund der definierten Szenarien
• Spezifikation eines Sicherheitskonzepts auf Basis von XACML-Policies, das sich zur Umsetzung der aus den Szenarien ermittelten Anforderungen eignet
• Implementierung und vollständige Konfiguration des Demonstrators auf Basis von Windows Server 2012 und dem Axiomatics Policy Server in einer virtuellen Laborumgebung

Aufgabensteller:
Priv.-Doz. Dr. W. Hommel

Anforderungen:
Hilfreich für einen schnellen Einstieg in die Thematik, aber nicht zwingend erforderlich sind Vorkenntnisse in diesen Bereichen:

• TCP/IP-basierte Rechnernetze
• Administration der Betriebssysteme Microsoft Windows Server 2003/2008 sowie Linux
• Kenntnisse in Web-Architekturen
• Anwendung von relationalen Datenbanken, Active Directory und LDAP

Dauer des FoPras/SEPs bzw. der Bachelorarbeit: 3 Monate

Anzahl Bearbeiter: 1

Betreuer:

• Felix von Eye
• Daniela Pöhn
• Dr.-Ing. Ingo Pansa (iC Consult GmbH)