Default deny besser als default allow

[Meillo]

Hoi,

ich muss jemanden ueberzeugen, dass bei einer Wiki-Rechte-Verwaltung (mit einem grossen geschuetzten und einem kleinen oeffentlichen Bereich) ein ``default deny''-Ansatz besser ist als ``default allow''. Kennt jemand dazu Dokumente, die beide Ansaetze vergleichen oder direkt Empfehlungen fuer default-deny aussprechen? Am liebsten waere mir was vom BSI, aber alles andere ist mir auch recht.

Meine Webrecherchen liefern kaum Brauchbares. Mir fehlen wohl die richtigen Ansatzpunkte.

Waere super, wenn ihr mir damit helfen koenntet.

[inne]

Hallo Meillo,

vielleicht bringt Dich die Analogie mit einer Firewall weiter:

Sicherheitsgrundsätze

Das ideale Regelwerk einer Firewall ist immer so aufgebaut, dass grundsätzlich jeder Netzwerk-Verkehr verboten ist und die erwünschten Verbindungen erlaubt werden ("Whitelist"-Strategie).[4] Die andere Variante, nur unerwünschten Verkehr zu verbieten und alles andere zu erlauben, kann im schnellen Wandel der IT-Welt niemals als sicher betrachtet werden.

Siehe hier auch die Quelle ist BSI!

Grundsätzlich sollte die "Whitelist"-Strategie verwendet werden, das heißt die Regeln sollten so formuliert werden, dass alle Zugänge, die nicht explizit erlaubt werden, verboten sind.

[MSfree]

Grundsätzlich sollte die "Whitelist"-Strategie verwendet werden, das heißt die Regeln sollten so formuliert werden, dass alle Zugänge, die nicht explizit erlaubt werden, verboten sind.

Eigentlich sollte das doch anerkannte Logik sein.

Es ist viel pflegeleichter, übersichtlicher und kompakter, einem kleinen Nutzerkreis Vollzugriff zu erteilen (Whitelisting) als 81 Millionen Bundesbürgern (oder gar 7 Milliarden Erdbewohnern) ein Schreibverbot zu erteilen (Blacklisting).

[spiralnebelverdreher]

Hoi,

ich muss jemanden ueberzeugen, dass bei einer Wiki-Rechte-Verwaltung (mit einem grossen geschuetzten und einem kleinen oeffentlichen Bereich) ein ``default deny''-Ansatz besser ist als ``default allow''. Kennt jemand dazu Dokumente, die beide Ansaetze vergleichen oder direkt Empfehlungen fuer default-deny aussprechen? Am liebsten waere mir was vom BSI, aber alles andere ist mir auch recht.

Vielleicht hilft das weiter: http://m.isaca.org/chapters1/rhode-isla ... -RI-03.pdf und dort nach "CSC-10 Secure Configurations for Firewalls, Routers, and Switches" und insbesondere den Unterpunkt 10.2 suchen

[dufty2]

Mmmh, bei der Fragestellung hab' ich als erstes an das
"principal of least privilege"
gedacht und ob man daraus das "FW-Whitelisting" mathematisch herleiten kann.

Vielleicht kennt sich jemand mit dem Bell-LaPadula-Sicherheitsmodell (und Konsorten) aus?

Ansonsten für Euch ( wanne ) eine Hausaufgabe bis nächste Woche.

[Meillo]

Grundsätzlich sollte die "Whitelist"-Strategie verwendet werden, das heißt die Regeln sollten so formuliert werden, dass alle Zugänge, die nicht explizit erlaubt werden, verboten sind.

Eigentlich sollte das doch anerkannte Logik sein.

Dachte ich auch. Im konkreten Fall haben meine bisherigen Erklaerungen aber nicht ausgereicht. Und wenn ich behaupten will, dass etwas eine anerkannte Best Practice ist, dann will ich das belegen koennen ... weil sonst stimmen nur diejenigen zu, die selber schon so denken, die anderen koennen es aber nur glauben oder nicht. An dem Punkt bin ich in dem Fall: Man glaubt mir nicht einfach -- was sehr gut ist! -- folglich muessen nun Belege auf den Tisch. Entweder wir erarbeiten uns das Thema selbst erneut oder wir greifen auf das bereits erarbeitete Wissen der Experten zurueck. Ich wuerde gerne zweiteren Weg gehen, weil mir der machbarer erscheint.


Danke schonmal fuer eure Beitraege. Dass sich das BSI explizit fuer die Whitelist-Strategie ausspricht, ist schoen. Die meisten Aussagen bei dem Thema beziehen sich auf Firewalls, dabei ist die Whitelist/default-deny-Strategie in fast allen Faellen (oder vielleicht auch in allen) besser. Schoen waere es, ein paar Top-10-Best-Practices der Computer-Security zu finden, die sowas enthalten wie:

- Verwende Individual-Accounts
- Speichere Passwoerter nur als Hashes
- Admins duerfen Passwoerter von Usern nicht wissen muessen
- Verwende die Whitelist-Strategie (default deny) fuer Berechtigungen
- ...

Ich bin also weiterhin an Beitraegen interessiert. Vielleicht hat auch jemand verweise auf Standardwerke aus dem Studium.

[Meillo]

Ansonsten für Euch ( wanne ) eine Hausaufgabe bis nächste Woche.

Bis morgen waer' mir lieber.


Das Principle of Least Privilege ist auf jeden Fall ein interessanter Hinweis. Ich habe aber den Eindruck, dass es in eine etwas andere Richtung ziehlt. Aber es kann eine zusaetzliche Bestaetigung der Whitelist-Strategie sein.

[TRex]

Standardwerke hab ich hier keine, aber ein anschauliches Beispiel: du hast einen neuen Benutzer angelegt - musst du jetzt an alles denken, wo er (analog zu den anderen ebenso) keinen Zugriff haben darf? Kannst du das denn überhaupt wissen? Ihm zuerst zuviele Rechte einzuräumen und sich dann zu korrigieren ist eine nicht mehr korrigierbare Sicherheitslücke (außer du hättest ein Blitzdings), andersherum nur ein Ärgernis.

[eggy]

Bell-LaPadula ist leider schon "Standard" bzw "Grundlagen", aber eigentlich eher wegen "wie formalisiert man Zugriffe".
https://de.wikipedia.org/wiki/Mandatory_Access_Control hat ne Übersicht über unterschiedliche Modelle. Vielleicht hilfts um erstmal nen Überblick zu bekommen.

Allgemein würd ich aus meiner Erfahung her intuitiv sagen "klar ist Whitelist der bessere Ansatz", aber wenn man mal anfängt drüber nachzudenken, haben wir ne Menge Systeme wo das überhaupt keinen Sinn macht, bestes Beispiel: Leserechte aufs Forum. Hier gilt "jeder darf, nur wenn jemand sehr sehr böse war, wird (vielleicht) seine IP geblockt", klassische Blacklist. Typischer Fall also von "kommt drauf an".

@meillo: suchst du sowas? https://www.bsi.bund.de/SharedDocs/Down ... tlinie_pdf

https://www.cl.cam.ac.uk/~rja14/book.html Könnt mir vorstellen, dass in dem Buch was brauchbares dazu steht (habs vor Jahren mal überflogen als ich für nen anderes Thema recherchiert hab, kann aber sein, dass ich da was durcheinander bringe)
(und die von ihm angesprochene Referenz auf Landwehr (ACM '84) steht bei mir auch noch auf der "mal in Ruhe lesen wenn Zeit ist"-Liste, aber eigentlich war ich heilfroh als ich das Thema abhaken konnte)

[cronoik]

Ich kenne das von OWASP [1] Punkt 16.8 und als positive security model [2].

[1] https://www.owasp.org/index.php/OWASP_A ... n_Standard
[2] https://www.owasp.org/index.php/Positive_security_model

[Meillo]

Danke fuer die weiteren Beitraege! Ich denke, damit habe ich eine ausreichende Informationsbasis.