Eberhard-Karls-Universität Tübingen. Mehmet-Oktay Tugan. Sicherheit. Seminar Grid-Computing. Betreuer: Jörg Behrend

Transkript

1 Eberhard-Karls-Universität Tübingen Mehmet-Oktay Tugan Sicherheit Seminar Grid-Computing Betreuer: Jörg Behrend

2 Inhaltsverzeichnis 1. Einleitung 2. Auftretende Schwierigkeiten 3. Anforderungen an ein Sicherheitsmechanismus 4. Exkurs: Kryptografie 5. Beispiel GSI 6. Kerberos 7. Weitere Beispiele 8. Gesellschaftliche Probleme 9. Zusammenfassung

3 1.Einleitung Grid-Computing erzeugt gänzlich neue Anforderungen an Netzwerk, System und Datensicherheit, denn die Ressourcen müssen über die Grenzen von Institutionen und Netzwerken hinweg eng verkoppelt werden. Hierfür müssen Systeme von außerhalb des internen Netzwerks zugänglich werden, wohingegen fremde Nutzer sich authentifizieren lassen und auch ohne vorherige Registrierung das Recht zur Nutzung von Ressourcen erhalten müssen. Zudem müssen große Datenmengen zwischen Institutionen ausgetauscht werden können, die sich mit viel Aufwand gegen unberechtigte Zugriffe auf oder Eingriffe in ihr Netz abschirmen. Aus diesem Grund hat die Sicherheit im Grid oberste Priorität. Nämlich wie man dafür sorgt, dass nicht jeder beliebige auf die vorhandenen Daten, Rechenleistungen, usw. zugreifen kann und sich diese zunutze machen kann. Die Gefahren erstrecken sich zwischen Hackangriffen bis hin zur Betriebsspionage, was zur Folge hat, dass viele Betriebe und Forschungsgruppen ihr Grid nicht auf das Internet ausweiten. Um dies zu gewährleisten, sind folgende Sicherheitsfunktionen erforderlich: Authentifizierung Datenschutz Datensicherheit Zugriffskontrolle Aber nicht nur die Entwicklung solcher Sicherheitssysteme ist eine wichtige Aufgabe, sondern auch die Gewährleistung der Kompatibilität zu bestehenden Sicherheitsmechanismen. In diesem Zusammenhang spilet der Einbezug aller gängigen und auch zukünftiger Sicherheitsmechanismen hierbei eine enorm wichtige Rolle. Außerdem muss bei der Realisierung der Mechanismen besonders darauf Wert gelegt werden, dass die Rechenleistung auf keinen Fall beeinträchtigen werden darf. Diese Ausarbeitung soll die verschiedenen Aspekte dieser Sicherheitsmechanismen näher bringen, aber auch deren Limitation.

4 2.Auftretende Schwierigkeiten Es können bei der Entwicklung von Sicherheitsmechansimen viele Schwierigkeiten entstehen, um die sich der Programmierer kümmern muss. Ansonsten wird das System lückenhaft, was dann das Netzwerk anfällig macht gegenüber Angriffen und die Weiterentwicklung des Grid- Computing-Bereichs beeinträchtigt. Denn für eine rapide Weiterentwicklung ist ein globaler Einsatz vom immenser Bedeutung. Deshalb treten nachfolgende Probleme bzw. Schwierigkeiten auf: 2.1 Variable Benutzerzahl Anzahl der Nutzer sowie der Ressourcen ändert sich stetig, womit eine einheitliche und feste Basis für die Entwicklung sehr schwer wird. 2.2 Nicht Einheitlich Lokale und unabhängige Administration von Ressourcen ist unterschiedlich, weil jeder die Administration mit einer eigenen Sicherheitspolitik durchführt. 2.3 Persistenz Verbindungen sind nicht persistent, d.h. Daten existieren nur im Hauptspeicher des Computers und gehen verloren, sobald das Programm endet, von dem sie angelegt wurden. 2.4 Thematik Sicherheit im Grid-Computing-Bereich ist noch Grundlagenforschung und die darunterliegende Thematik ist sehr komplex, was eine Standardisierung erschwert. Solche Grid-Standards entstehen erst und eigenständige Softwarelösungen sind zu groß und ineffizient. 2.5 Koexistenz Rechner müssen nach außen hin bedingt offen sein, damit sie am Grid teilnehmen können. Das hat aber das Dilemma, dass Grid-Computing und Firewalls zwar koexistieren können, aber sich ein erhöhter Administrationsaufwand aufweist.

5 3.Anforderungen an Sicherheitsmechanismen Es gibt gewisse Anforderungen, die man an Sicherheitsmechanismen stellen muss, um ein brauchbares und starkes System entwickeln zu können. Diese sind sowohl auf Seiten des Entwicklers, als auch auf Seiten des Users.Wenn man diese Anforderungen nicht oder teilweise erfüllt, erweist sich der Mechanismus als lückenhaft und bietet keinen Schutz gegenüber möglichen Risiken. 3.1 Einmaliges Anmelden des Users (single sign-on) Dies bedeutet, dass ein Benutzer nach einer einmaligen Authentifizierung auf alle Rechner und Dienste, für die er berechtigt ist, zugreifen kann, ohne sich jedes Mal neu anmelden zu müssen. Das unterstützt hauptsächlich die Zeitersparnis und leistet einen Sicherheitsgewinn, weil das Passworzt nur einmal übermittelt werden muss. 3.2 Privatheit von Zugangsdaten Man darf unter keinen Umständen lokale Passwörter versenden oder in Klartext zur Verfügung stellen oder die Ansicht darauf ermöglichen. 3.3 Einbezug lokaler Sicherheitssysteme Es dürfen keine Änderungen auf Seite der Ressourcen stattfinden und neuentstandene Systeme müssen lokale Systeme miteinbeziehen. 3.4 Offenheit zur Verwendung verschiedener Implementierungs-Technologien Man darf nicht auf einer Technologie beharren, sondern verschiedene Technolgien gleichzeitig verwenden. Das macht das System zum einen sicherer und zum anderen macht es einen Angriff schwieriger, weil die Berechenbarkeit des Systems komplexer wird.

6 4.Exkurs: Kryptografie Public Key-Verfahren Das Public-Key Verfahren beruht auf zwei Schlüsseln. Einem öffentlichen und einem privaten. Der eine Schlüssel wird vom anderen abgeleitet. Bei einem guten asymmetrischen Verfahren gibt es keine Möglichkeit aus einem Schlüssel den anderen zu berechnen. Wenn man nun eine geheime Botschaft übermitteln will, verschlüsselt man sie mit dem Public Key des Empfängers. Das Entschlüsseln ist mit diesem nicht möglich. Der Empfänger kann die Botschaft nun mit seinem geheimen Private Key einfach entschlüsseln. Abbildung 1 Public-Key-Verfahren Shared Key-Verfahren Bei diesem Verfahren wird ein geheimer symmetrischer Schlüssel benötigt, der auf den beteiligten Stationen der gleiche sein muss. Dieser Schlüssel wird sowohl bei der Authentisierung als auch zur Datenverschlüsselung genutzt. Alle Stationen müssen über den gleichen Schlüssel verfügen den Shared Key. Abbildung 2 Shared-Key-Verfahren

7 5. Beispiel GSI GSI ist ein Beispiel für ein Sicherheitssytem und steht für Global Security Infrastructure. Es wurde als Teil des Globus Projektes entwickelt und verwendet zur Datenverschlüsselung Public-Key-Kryptographie. Es genießt eine hohe Akzeptanz in der Industrie und hat auch eine dementsprechende Verwendungsrate in vorhandenen Systemen. Außerdem bietet es eigene Versionen von FTP und Remote- Login und stellt mit der GSS- API ein offenes API für die Entwickler zur Verfügung. Über diese API können unterschiedliche Protokolle auf verschiedene Sicherheitsmechanismen zugreifen. Sie stellt dem Entwickler standardisierte Sicherheitsfunktionen und eine Bibliothek zur Verfügung, auf die Entwickler zurückgreifen können, wenn sie z.b. eine spezifische Sicherheitsfunktion benötigen. Abbildung 3 Funktion GSI-API GSI verwendet X.509v3 - Zertifikate als private Schlüssel, welche die Identität von subjects 1 sicherstellen. Der Authentifizierungs-Algorithmus von GSI verwendet das SSLv3-Protokoll zur Kontrolle der Identitäten, wobei jede Ressource ihre eigene Sicherheitspolitik besitzt. Ursprünglich wurde dies mit einer einfachen access control list verwirklicht, heutzutage jedoch werden Globale Namen/Identities in lokale umgesetzt (mapping). Für Authentifizierungs-Protokolle an sich verwendet GSI OpenSSL oder SSLeay (freie Versionen von SSLv3). 1 Ein subject in einer Sicherheitsoperation kann ein Benutzer sein oder auch ein Prozess, der von einem Benutzer ausgeht. Subjects sind die aktiven Teilnehmer einer Operation. Sie können Ressourcen anfordern und weitereprozesse erzeugen, die wiederum den Status eines subjects annehmen können.

8 6. Kerberos Kerberos ist ein verteilter Authentifizierungsdienst zur Authentifizierung, der für offene und unsichere Computernetze. Es wurde Mitte der 80er Jahre am MIT entwickelt und bietet sowohl sichere als auch einheitliche Authentifizierung in einem ungesicherten TCP/IP- Netzwerk auf sicheren Hostrechnern. Die Authentifizierung übernimmt eine vertrauenswürdige dritte Partei. Diese dritte Partei ist ein besonders geschützter Kerberos-5- Netzwerkdienst. Kerberos unterstützt Single Sign On, das heißt, ein Benutzer muss sich nur noch einmal anmelden, dann kann er alle Netzwerkdienste nutzen, ohne ein weiteres Mal ein Passwort eingeben zu müssen. Kerberos ist sowohl als Open Source erhältlich, als auch in zahlreichen kommerziellen Produkten. Die Funktionsweise wird anhand folgender Abbildung verdeutlicht: Abbildung 4 Funktionsweise Kerberos

9 7. Weitere Beispiele 7.1 DCE DCE ist eine Parallel- und Weiterentwicklung von Kerberos und beinhaltet zusätzlich dazu einen Time-Service, Name-Service und File-Service. Zur Verschlüsselung benutzt es Shared-Key-Verfahren und ist nicht kompatibel zu Systemen, die auf einem Public-Key-Verfahren beruhen. 7.2 SSH/SSL SSH/SSL ist eigentlich ausgelegt für Client/Server-Architektur und arbeitet ausschließlich mit Public-Key-Verfahren. Der Vorteil von diesem Mechanismus ist, dass er sichere, logische Kanäle zwischen zwei Endpunkten erzeugt. Die Kombination von SSH und SSL ist wichtig, weil SSH keine Mechanismen zur Authentifizierung enthält und SSL genau diese Authentifizierung für einen unverschlüsselten Datenverkehr ermöglicht. 7.3 Legion Legion ist ein High-Level-Sicherheitsmodell. Es existiert keine bestimmte Architektur oder Implementierung. Ebenso gibt es keine fertigen Protokolle oder Bibliotheken mit vorgefertigten Methoden für den Einsatz bei der Entwicklung von Sicherheitsanwendungen. Legion ist besonders für den Einsatz mit objektorientierten Softwaretechnologien entwickelt worden. 7.4 CRISIS Dieser Mechanismus ist Standard-Sicherheitsmodul in Web-OS und unterstützt Autonomie einzelner Seiten und Ressourcen. Allerdings enthält es keine lokalen Sicherheitsmechanismen, umfasst aber dafür umfangreiche Zugriffskontrollregelungen.

10 8. Gesellschaftliche Probleme Wie schon am Anfang erwähnt, muss der Fokus darauf liegen, dass nicht jeder Zugriff auf die Rechenleistung hat. Aufgrund mehrere Hackangriffe auf Institutionen, wie z.b. auf das Grid der Ludwig- Maximilliams-Universität München aus Bulgarien, liegt der Fokus für die Zukunft im Grid-Computing auf der Sicherheit. Es gibt viele Gefahren, die dieses Problem zu einem gesellschaftlichen Problem machen und deshalb nicht außer Acht gelassen werden dürfen. Einige dieser Gefahren werden nachfolgend aufgezählt und näher erläutert: 8.1 Sicherheitssysteme hacken Die Motivation von Hackern besteht darin, Sicherheitsmechanismen zu überlisten und somit Schwachstellen zu erkennen oder allgemeiner Systeme per Reverse Engineering 2 auf populäre Design- und Programmierfehler hin zu untersuchen. Auf diese Weise erlangen sie in Verbindung mit zusätzlichen Taktiken unter Umgehung der Sicherheitsvorkehrungen Zugriff auf ein Rechnersystem oder Zugang zu einer sonst geschützten Funktion eines Computerprogramms. Das ist auch ein allgemeines Problem der Computersicherheit. 8.2 Betriebsspionage Betriebsspionage bezeichnet das Herausfinden von Geheimnissen oder geschütztem Wissen fremder Unternehmen. Zum einen kann man dadurch einen wirtschaftlichen Vorteil gegenüber Konkurrenten erlangen, da sie etwa fremde Forschungsergebnisse ausnutzen können. Zum anderen kann es auch einen Wettbewerbsvorteil bedeuten. Diese Geheimnisse sind zu schützen. Durch zusätzlich hohen Konkurrenzdruck innerhalb einer Branche sollte die Betriebsspionage nicht unterschätzt werden. 2 Reverse Engineering bezeichnet den Vorgang, aus einem bestehenden, fertigen System oder einem meistens industriell gefertigten Produkt durch Untersuchung der Strukturen, Zustände und Verhaltensweisen, die Konstruktionselemente zu extrahieren.

11 8.3 Zugriffskontrollattacken Die Zugriffskontrolle sichert Datenverarbeitungssysteme gegen unberechtigte Benutzer. Durch Autorisierung und Vergabe von Zugriffsrechten werden die Möglichkeiten des unberechtigten Zugriffs auf Programme und Daten weitestgehend eingeschränkt. Die Kontrolle wird typischerweise über Passworte, die Gewährung von Privilegien oder das Bereitstellen von Attributen erreicht. Mit dieser Sicherheitsfunktion kann in einem Verzeichnissystem festgestellt werden, ob ein Anwender, der sich gegenüber dem Verzeichnis authentifiziert hat, auch die Nutzungsberechtigung hat. Durch Fälschen dieser Rechtevergabe können Unberechtigte Zugang zu geschützten Dateien bekommen und dem Opfer Schaden zufügen. 8.4 Denial-of-Service-Attacken Als DoS-Attacke bezeichnet man einen Angriff auf einen Host oder sonstigen Rechner in einem Datennetz mit dem Ziel, einen oder mehrere seiner Dienste arbeitsunfähig zu machen. In der Regel geschieht dies durch Überlastung. Erfolgt der Angriff koordiniert von einer größeren Anzahl anderer Systeme aus, so spricht man von DDoS (Distributed Denial of Service). Normalerweise werden solche Angriffe nicht per Hand, sondern mit z.b. Backdoor-Programmen durchgeführt, welche sich von alleine auf anderen Rechnern im Netzwerk verbreiten und dadurch dem Angreifer weitere Wirte zum Ausführen seiner Angriffe bringen. Primitive DoS-Angriffe belasten die Dienste eines Servers, beispielsweise HTTP, mit einer größeren Anzahl an Anfragen, als dieser in der Lage ist zu bearbeiten, woraufhin er eingestellt wird oder reguläre Anfragen so langsam beantwortet, dass diese abgebrochen werden. Wesentlich effizienter ist es jedoch, Programmfehler auszunutzen, um eine Fehlerfunktion (wie einen Absturz) der Serversoftware auszulösen, worauf diese ebenso auf Anfragen nicht mehr reagiert. 8.5 Unerlaubtes Wiederverwenden von nicht korrekt entfernten Komponenten Auf vielen Internetseiten wie Online-Banking oder Online-Shops werden die Daten des Kunden in Cookies gespeichert. Wenn man nach Beendigung der Transaktion diese Informationen nicht richtig entfernt, kann ein Angreifer auf die Daten zugreifen und sie missbrauchen. Somit trägt der Kunde einen wirtschaftlichen Schaden und verliert gleichzeitig das Vertrauen zum Internet.

12 8.6 Phishing Phisihing ist eine Form des Trickbetrugs im Internet. Dabei wird per versucht, den Empfänger irrezuführen und zur Herausgabe von Zugangsdaten und Passwörtern zu bewegen. Dies bezieht sich in den meisten Fällen auf Online-Banking und andere Bezahlsysteme. Der Urheber einer Phishing-Attacke schickt seinem Opfer offiziell wirkende Schreiben als , die es verleiten sollen, vertrauliche Informationen, vor allem Benutzernamen und Passwörter oder PIN und TAN von Online-Banking-Zugängen, im guten Glauben dem Täter preiszugeben. Übergibt der Besucher korrekte Daten, kann der Betrüger mit der abgefangenen PIN und TAN eine Geldüberweisung zulasten des Opfers tätigen. Abbildung 5: Das Phishing-Prinzip Die meisten dieser Gefahren betreffen zwar hauptsächlich Betriebe oder Unternehmen, aber spätestens beim Phishing wird der normale User in den Gefahrenbereich miteinbezogen.

13 9.Zusammenfassung Bestehende Software für Grids setzt nur wenige Sicherheitsmechanismen um. Darüberhinaus sind Grid-Middlewares noch Forschungsobjekte und in der Entwicklungsphase. Es gibt aber auch neue Architekturen, die aber Eigenschaften fordern, die eigentlich nur der Sicherheit zuzuordnen sind. Momentan wird noch kein Wert auf die Vertraulichkeit und Integrität gelegt. Deshalb ist es noch ein weiter Weg zu der vollkommenen Sicherheit und somit zur gesellschaftlichen Nutzung. Denn im Augenblick ist das Grid noch ein potentielles Paradies für böswillige Hacker. Deshalb gibt es noch sehr viele Hürden, die überwunden werden müssen, um das Grid sicherer zu machen. Die hohe Anzahl an Sicherheitsmechanismen sind zwar ein Pluspunkt, dennoch weisen sich mehr als verträgliche Lücken auf, weshalb das Grid noch nicht die gewünschte Verbreitung hat.

14 Literaturverzeichnis [1] Abbas, A.: Grid Computing: A Practical Guide to Technology and Applications (Charles River Media Networking/Security), Verlag B&T, 2003 [2] Chakrabarti, A.: Grid Computing Security, Springer Verlag 1.Auflage 2007 [3] Schäfer, G.: Netzsicherheit Algorithmische Grundlagen und Protokolle, Dpunkt Verlag, 1.Auflage 2003 [4] [5] Abbildungsverzeichnis [1] [2] [3] www-900.ibm.com/.../cn/security/se-sso/fig2.gif [4] [5]