Nächste Seite: 3.4 Schnittstellen-Sicht
Aufwärts: 3. Risikoanalyse für MASA
Vorherige Seite: 3.2 Entitäten-Sicht
Inhalt
Unterabschnitte
3.3 Kanal-Sicht
Da durch mögliche Angriffe, die sich gegen Kanäle richten, eine
Bedrohung aller Entitäten gegeben ist, werden in
diesem Abschnitt die Kanal-Typen des MASA-Modells betrachtet.
Tabelle 3.2 gibt eine Übersicht,
welche Kanal-Typen zwischen den verschiedenen Entitäten benutzt
werden. Dabei wird zwischen den Entitäten unterschieden, die
eine Kommunikation initieren, und jenen, die als Partner vom
Initiator angesprochen werden.
Tabelle 3.2:
Benutzte Kanäle zwischen den Entitäten
| |
Kommunikationspartner |
| Kommunikations- |
|
Agenten- |
Agenten- |
Client-System+ |
|
| initiator |
Endsystem |
system |
instanz |
Webbrowser |
Applet |
| Endsystem |
- |
- |
- |
- |
- |
| Agentensystem |
Java |
CORBA |
CORBA |
- |
- |
| |
|
|
Java |
- |
- |
| Agenteninstanz |
Java |
CORBA |
CORBA |
- |
- |
| |
|
Java |
|
- |
- |
Client-System+
Webbrowser |
- |
HTTP |
- |
- |
- |
| Applet |
- |
- |
CORBA |
- |
- |
|
3.3.1 CORBA-Kanal
Mit der in der bisherigen MASA-Implementierung benutzten
CORBA-Laufzeitumgebung Visibroker for Java Version 3.0 der
Firma Inprise wird ein Object Request Broker
(ORBORB!Object Request Broker) verwendet, der die
CORBA-Kommunikation über TCP/IP-Verbindungen implementiert. Dabei
werden alle CORBA-Daten unverschlüsselt über einen TCP-Strom versandt.
Damit sind alle Angriffe durchführbar, die in Kap.
2.3 für Kanäle aufgezählt wurden.
Technisch gesehen führt jeder Angriff, der auf Ebene des
ISO/OSI-Modells Schicht 4 und darunter denkbar ist, zu einer
Gefährdung.
Als Beispiel hierzu seien zwei Agenten betrachtet, dabei übermittle
der eine Agent dem anderen in einem CORBA-Aufruf, für eine
SNMP-Operation, einen SNMPv1 Community String. Nun kann
ein Angreifer durch Abhören des TCP/IP-Datenstroms diesen
Community String erhalten. Damit erlangt er (aus
sicherheitstechnischer Sicht) vollen Zugriff auf die durch SNMP
gemanagte Komponente (siehe auch [HAN 99a], Kap. 6.3.1).
Somit ist der CORBA-Kanal als völlig ungesichert zu bezeichnen, eine
Sicherung des Kanals ist weder im verwendeten ORB noch in MASA selbst
vorgesehen.
3.3.2 HTTP-Kanal
Für den HTTP-Kanal zeigt sich das äquivalente Bild zum CORBA-Kanal.
Da wiederum Daten unverschlüsselt über einen TCP-Strom versandt
werden, bleibt auch hier das gleich Fazit: Der Kanal ist völlig
ungesichert.
Ebenso ist hier keine Sicherung in MASA, speziell in
dem für die HTTP-Kommunikation verantwortlichen Agenten
WebserverAgent, vorgesehen.
Eine Gefährdung der Sicherheit von MASA resultiert an diesem Punkt
z.B. durch eine Umänderungsattacke. Ein Angreifer könnte ein, über
den HTTP-Kanal übertragenes, Applet abfangen und eine modifizierte
Fassung wiedereinspielen, die dann z.B. zusätzliche Schnittstellen für
weitere Angriffe bereitstellt.
Da Methodenaufrufe über den Java-Kanal nur innerhalb einer JVM
auftreten, ist der Java-Kanal durch den Speicherschutz der JVM (vgl.
Kap. 6.1.1 und [JLS])
geschützt. Im Gegensatz zu anderen gängigen Programmiersprachen (z.B.
C++) sind Abhör-, oder Umänderungsattacken durch direkte
Speicherinspektion oder -manipulationen ausgeschlossen.
Nächste Seite: 3.4 Schnittstellen-Sicht
Aufwärts: 3. Risikoanalyse für MASA
Vorherige Seite: 3.2 Entitäten-Sicht
Inhalt
harald@roelle.com