Mandatory Access Control

Mandatory Access Control - MAC ist ein Konzept für die Kontrolle und Durchsetzung von Zugriffsrechten auf IT-Systeme, bei der die Entscheidung über Zugriffsberechtigungen nicht auf der Basis der Identität des Akteurs (Benutzers, Prozesses) und des Objektes (Datei, Gerät) gefällt wird, sondern aufgrund allgemeiner Regeln und Eigenschaften des Akteurs und Objektes. Auch erhalten häufig Programme eigene Rechte, die die Rechte des ausführenden Benutzers weiter einschränken.

Voraussetzung ist, dass Akteure niemals direkt, sondern nur durch einen Referenzmonitor auf Objekte zugreifen können.

Modelle des Mandatory Access Control sind vor allem dazu geeignet, die Vertraulichkeit und Konsistenz von Daten zu sichern. Sie dienen also dazu, den Informationsfluss zu kontrollieren und so das "Abfließen" geschützter Information zu verhindern, sowie zu gewährleisten, dass sich die Daten immer in einem konsistenten Zustand befinden.

Mandatory Access Control ist vorallem im militärischen und hoch Sicherheitskritischen Bereich verbreitet. MAC entspricht der B1 Zertifizierung der Trusted Computer System Evaluation Criteria

Die Sicherung der Integrität im Sinne von Datenbanksystemen, also der strukturellen Konsistenz, ist eine mögliche Aufgabe des Mandatory-Access-Control-Modells. Ein Beispiel ist das Clark-Wilson-Modell:

1. Das System befindet sich in einem gültigen (konsistenten) Anfangszustand
2. Zugriff auf das System nur mittels explizit erlaubter Transaktionen.
3. Nur solche Transaktionen sind erlaubt, die das System unter allen Umständen in einen (neuen) gültigen Zustand bringen.

Damit befindet sich das System stets in einem gültigen Zustand.

Das Modell der Schutzstufen ist ein einfaches Konzept zur Sicherung der Vertraulichkeit von Daten. Dabei wird jedes Objekt (Dokument) einer Schutzstufe zugeordnet. Die einzelnen Schutzklassen unterteilen die Objekte in "Schichten" (vertikale Gliederung). Jedem Subjekt (Akteur, Benutzer) wird nun ebenfalls eine Schutzstufe zugewiesen (Vertrauen). Ein Subjekt darf nur dann auf ein Objekt zugreifen, wenn die Schutzstufe des Subjektes (die Clearance einer Person) mindestens so hoch ist wie die Schutzstufe des Objektes (z.B. die Geheimhaltungsstufe eines Dokumentes).

Eine Weiterentwicklung der einfachen Modelle des Mandatory Access Control sind die Multiliterale Sicherheitsmodelle, welche nicht nur den Informationsfluss von top-down oder bottom-up betrachten, sondern versuchen die Informationen in Segmente aufzuteilen.

Das Prinzip des notwendigen Wissens (engl: need-to-know principle) bietet eine Alternative zum Schutzklassenmodell: Hier werden die Objekte "horizontal" in Sachbereiche gegliedert, jedem Subjekt werden die Sachbereiche zugewiesen, für die er oder sie zuständig sein soll. Je nach Ausprägung muss nun ein Subjekt, das auf ein Objekt zugreifen will entweder allen oder zumindest einem Sachgebiet angehören, das dem Objekt zugeordnet ist. So wird der Verbreitungsbereich von Informationen wesentlich eingeschränkt, eine Kontrolle der Informationsflüsse wird erleichtert.

Der Vorteil dieses Sicherheitskonzeptes besteht darin, dass den einzelnen Akteuren nur die Rechte eingeräumt werden, die sie für ihre Aufgabe benötigen. Hierdurch wird das Risiko eines Missbrauchs von Anwendungen durch Ausnutzung von Sicherheitslücken minimiert.

Das bedeutet zum Beispiel, dass eine Anwendung, die keine Berechtigung für Netzwerkzugriffe benötigt, hierfür keine Rechte erhält. Dies hat zur Folge, dass ein Angreifer, der eine Sicherheitslücke ausnutzen möchte, das Programm nicht dazu missbrauchen kann, um Netzwerkverbindungen herzustellen.

Das Bell-LaPadula-Modell stellt eine Kombination von Schutzstufen mit dem Prinzip des notwendigen Wissens dar: Objekte werden sowohl vertikal (nach Schutzstufe) als auch horizontal (nach Sachgebiet) unterteilt, Subjekte werden pro Sachbereich einer Schutzstufe zugeordnet. Ein Zugriff kann nur erfolgen, wenn die Voraussetzung beider Regelsysteme erfüllt sind.

Das Biba Modell (auch Low-Watermark Mandatory Access Control genannt) stellt eine Umkehrung des Bell-LaPadula-Modells dar: Hier werden Informationen nicht vor dem Lesen- sondern vor Manipulation durch Unbefugte geschützt.

Der Nachteil dieses Konzeptes besteht in der Komplexität der Konfiguration, da für jede Anwendung ermittelt werden muss, welche Zugriffsberechtigungen diese benötigt.

Daher wird dieses Konzept in Reinform nur auf Servern eingesetzt, die extrem hohe Sicherheitsanforderungen besitzen. Im Rahmen von Fedora Core Linux, welches eine SELinux-Implementation besitzt, wird ein Mittelweg eingeschlagen, bei dem zwar sicherheitskritische Anwendungen geschützt werden, aber die sonstigen Anwendungen keinen Einschränkungen unterliegen.

In der Regel wird dieses Konzept auch nicht in Reinkultur benutzt, sondern mit anderen Sicherheitskonzepten, wie Discretionary Access Control und Role Based Access Control, kombiniert.

• NSA SELinux (Security-Enhanced Linux)
• SUSE Linux besitzt eine MAC Implemenation unter dem Namen AppArmor.Es wird derzeit hauptsächlich von Novell entwickelt und erweitert. AppArmor ist, wie auch SELinux, als Linux Security Modul (LSM) implementiert.
• TrustedBSD In Entwicklung, wird mit Version 5.0 erschienen. Unterstützt nur das Biba-Modell.
• Sun Trusted Solaris
• Windows Vista führt eine MAC ein, obwohl nicht richtig da es nur das Biba-Modell implementiert.
• Unisys OS2200