Default deny besser als default allow

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
Meillo
Moderator
Beiträge: 8781
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Default deny besser als default allow

Beitrag von Meillo » 17.09.2018 15:21:29

Hoi,

ich muss jemanden ueberzeugen, dass bei einer Wiki-Rechte-Verwaltung (mit einem grossen geschuetzten und einem kleinen oeffentlichen Bereich) ein ``default deny''-Ansatz besser ist als ``default allow''. Kennt jemand dazu Dokumente, die beide Ansaetze vergleichen oder direkt Empfehlungen fuer default-deny aussprechen? Am liebsten waere mir was vom BSI, aber alles andere ist mir auch recht.

Meine Webrecherchen liefern kaum Brauchbares. Mir fehlen wohl die richtigen Ansatzpunkte.

Waere super, wenn ihr mir damit helfen koenntet. :-)
Use ed once in a while!

inne
Beiträge: 3273
Registriert: 29.06.2013 17:32:10
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: Default deny besser als default allow

Beitrag von inne » 17.09.2018 15:35:35

Hallo Meillo,

vielleicht bringt Dich die Analogie mit einer Firewall weiter:
https://de.wikipedia.org/wiki/Firewall-Regelwerk#Sicherheitsgrundsätze hat geschrieben: Sicherheitsgrundsätze

Das ideale Regelwerk einer Firewall ist immer so aufgebaut, dass grundsätzlich jeder Netzwerk-Verkehr verboten ist und die erwünschten Verbindungen erlaubt werden ("Whitelist"-Strategie).[4] Die andere Variante, nur unerwünschten Verkehr zu verbieten und alles andere zu erlauben, kann im schnellen Wandel der IT-Welt niemals als sicher betrachtet werden.
Siehe hier auch die Quelle ist BSI!
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m02/m02076.html hat geschrieben: Grundsätzlich sollte die "Whitelist"-Strategie verwendet werden, das heißt die Regeln sollten so formuliert werden, dass alle Zugänge, die nicht explizit erlaubt werden, verboten sind.

Benutzeravatar
MSfree
Beiträge: 10683
Registriert: 25.09.2007 19:59:30

Re: Default deny besser als default allow

Beitrag von MSfree » 17.09.2018 15:41:55

inne hat geschrieben: ↑ zum Beitrag ↑
17.09.2018 15:35:35
Grundsätzlich sollte die "Whitelist"-Strategie verwendet werden, das heißt die Regeln sollten so formuliert werden, dass alle Zugänge, die nicht explizit erlaubt werden, verboten sind.
Eigentlich sollte das doch anerkannte Logik sein.

Es ist viel pflegeleichter, übersichtlicher und kompakter, einem kleinen Nutzerkreis Vollzugriff zu erteilen (Whitelisting) als 81 Millionen Bundesbürgern (oder gar 7 Milliarden Erdbewohnern) ein Schreibverbot zu erteilen (Blacklisting).

Benutzeravatar
spiralnebelverdreher
Beiträge: 1294
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: Default deny besser als default allow

Beitrag von spiralnebelverdreher » 17.09.2018 15:43:33

Meillo hat geschrieben: ↑ zum Beitrag ↑
17.09.2018 15:21:29
Hoi,

ich muss jemanden ueberzeugen, dass bei einer Wiki-Rechte-Verwaltung (mit einem grossen geschuetzten und einem kleinen oeffentlichen Bereich) ein ``default deny''-Ansatz besser ist als ``default allow''. Kennt jemand dazu Dokumente, die beide Ansaetze vergleichen oder direkt Empfehlungen fuer default-deny aussprechen? Am liebsten waere mir was vom BSI, aber alles andere ist mir auch recht.
Vielleicht hilft das weiter: http://m.isaca.org/chapters1/rhode-isla ... -RI-03.pdf und dort nach "CSC-10 Secure Configurations for Firewalls, Routers, and Switches" und insbesondere den Unterpunkt 10.2 suchen

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: Default deny besser als default allow

Beitrag von dufty2 » 17.09.2018 18:48:27

Mmmh, bei der Fragestellung hab' ich als erstes an das
"principal of least privilege"
gedacht und ob man daraus das "FW-Whitelisting" mathematisch herleiten kann.

Vielleicht kennt sich jemand mit dem Bell-LaPadula-Sicherheitsmodell (und Konsorten) aus?

Ansonsten für Euch ( wanne ) eine Hausaufgabe bis nächste Woche.
;)

Benutzeravatar
Meillo
Moderator
Beiträge: 8781
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: Default deny besser als default allow

Beitrag von Meillo » 17.09.2018 18:54:54

MSfree hat geschrieben: ↑ zum Beitrag ↑
17.09.2018 15:41:55
inne hat geschrieben: ↑ zum Beitrag ↑
17.09.2018 15:35:35
Grundsätzlich sollte die "Whitelist"-Strategie verwendet werden, das heißt die Regeln sollten so formuliert werden, dass alle Zugänge, die nicht explizit erlaubt werden, verboten sind.
Eigentlich sollte das doch anerkannte Logik sein.
Dachte ich auch. Im konkreten Fall haben meine bisherigen Erklaerungen aber nicht ausgereicht. Und wenn ich behaupten will, dass etwas eine anerkannte Best Practice ist, dann will ich das belegen koennen ... weil sonst stimmen nur diejenigen zu, die selber schon so denken, die anderen koennen es aber nur glauben oder nicht. An dem Punkt bin ich in dem Fall: Man glaubt mir nicht einfach -- was sehr gut ist! -- folglich muessen nun Belege auf den Tisch. Entweder wir erarbeiten uns das Thema selbst erneut oder wir greifen auf das bereits erarbeitete Wissen der Experten zurueck. Ich wuerde gerne zweiteren Weg gehen, weil mir der machbarer erscheint.


Danke schonmal fuer eure Beitraege. Dass sich das BSI explizit fuer die Whitelist-Strategie ausspricht, ist schoen. Die meisten Aussagen bei dem Thema beziehen sich auf Firewalls, dabei ist die Whitelist/default-deny-Strategie in fast allen Faellen (oder vielleicht auch in allen) besser. Schoen waere es, ein paar Top-10-Best-Practices der Computer-Security zu finden, die sowas enthalten wie:

- Verwende Individual-Accounts
- Speichere Passwoerter nur als Hashes
- Admins duerfen Passwoerter von Usern nicht wissen muessen
- Verwende die Whitelist-Strategie (default deny) fuer Berechtigungen
- ...

Ich bin also weiterhin an Beitraegen interessiert. Vielleicht hat auch jemand verweise auf Standardwerke aus dem Studium.
Use ed once in a while!

Benutzeravatar
Meillo
Moderator
Beiträge: 8781
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: Default deny besser als default allow

Beitrag von Meillo » 17.09.2018 19:01:26

dufty2 hat geschrieben: ↑ zum Beitrag ↑
17.09.2018 18:48:27
Ansonsten für Euch ( wanne ) eine Hausaufgabe bis nächste Woche.
;)
Bis morgen waer' mir lieber. :-P


Das Principle of Least Privilege ist auf jeden Fall ein interessanter Hinweis. Ich habe aber den Eindruck, dass es in eine etwas andere Richtung ziehlt. Aber es kann eine zusaetzliche Bestaetigung der Whitelist-Strategie sein.
Use ed once in a while!

Benutzeravatar
TRex
Moderator
Beiträge: 8038
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: Default deny besser als default allow

Beitrag von TRex » 17.09.2018 19:07:30

Standardwerke hab ich hier keine, aber ein anschauliches Beispiel: du hast einen neuen Benutzer angelegt - musst du jetzt an alles denken, wo er (analog zu den anderen ebenso) keinen Zugriff haben darf? Kannst du das denn überhaupt wissen? Ihm zuerst zuviele Rechte einzuräumen und sich dann zu korrigieren ist eine nicht mehr korrigierbare Sicherheitslücke (außer du hättest ein Blitzdings), andersherum nur ein Ärgernis.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: Default deny besser als default allow

Beitrag von eggy » 17.09.2018 19:40:20

Bell-LaPadula ist leider schon "Standard" bzw "Grundlagen", aber eigentlich eher wegen "wie formalisiert man Zugriffe".
https://de.wikipedia.org/wiki/Mandatory_Access_Control hat ne Übersicht über unterschiedliche Modelle. Vielleicht hilfts um erstmal nen Überblick zu bekommen.

Allgemein würd ich aus meiner Erfahung her intuitiv sagen "klar ist Whitelist der bessere Ansatz", aber wenn man mal anfängt drüber nachzudenken, haben wir ne Menge Systeme wo das überhaupt keinen Sinn macht, bestes Beispiel: Leserechte aufs Forum. Hier gilt "jeder darf, nur wenn jemand sehr sehr böse war, wird (vielleicht) seine IP geblockt", klassische Blacklist. Typischer Fall also von "kommt drauf an".

@meillo: suchst du sowas? https://www.bsi.bund.de/SharedDocs/Down ... tlinie_pdf

https://www.cl.cam.ac.uk/~rja14/book.html Könnt mir vorstellen, dass in dem Buch was brauchbares dazu steht (habs vor Jahren mal überflogen als ich für nen anderes Thema recherchiert hab, kann aber sein, dass ich da was durcheinander bringe)
(und die von ihm angesprochene Referenz auf Landwehr (ACM '84) steht bei mir auch noch auf der "mal in Ruhe lesen wenn Zeit ist"-Liste, aber eigentlich war ich heilfroh als ich das Thema abhaken konnte)

cronoik
Beiträge: 2049
Registriert: 18.03.2012 21:13:42
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Default deny besser als default allow

Beitrag von cronoik » 18.09.2018 00:33:59

Ich kenne das von OWASP [1] Punkt 16.8 und als positive security model [2].

[1] https://www.owasp.org/index.php/OWASP_A ... n_Standard
[2] https://www.owasp.org/index.php/Positive_security_model
Hilf mit unser Wiki zu verbessern!

Benutzeravatar
Meillo
Moderator
Beiträge: 8781
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: Default deny besser als default allow

Beitrag von Meillo » 19.09.2018 13:06:57

Danke fuer die weiteren Beitraege! Ich denke, damit habe ich eine ausreichende Informationsbasis.
Use ed once in a while!

Antworten