Systemplattformen

Mehr Sicherheit für das Internet der Dinge

Seite: 2/3

Anbieter zum Thema

Feingranulare Verwaltung von Benutzerrechten

Rollenspiele und Leistungsvermögen gewähren feinere Privilegierungsstufen für Nutzerzugangsrechte als das herkömmliche UNIX-Modell. In UNIX- und ähnlichen Systemen ist die Ausführung von Verwaltungshandlungen dem Root User vorbehalten. Dieser ist vollständig bevorrechtigt, das gesamte System zu sehen und modifizieren, ob diese Privilegien durch die ursprünglich vorliegende Aufgabe nun erforderlich waren oder nicht. Normale Nutzer hingegen hatten gar keine Administratorrechte. Ein gewöhnlicher Benutzer könnte nur das tun was ihm die User-ID oder Gruppen-ID erlaubten.

Die allumfassenden Vorrechte des Root-Status machen diesen anfälliger für Missbrauch, ob unbeabsichtigt oder böswillig. In POSIX.1e ist dieses Problem durch die Aufspaltung der Root-Privilegien in mehrere feiner abgestufte Privilegien bzw. Kompetenzen behoben. Dadurch treten an die Stelle eines übermächtigen Root Users mehrere administrative ‘Rollen’ mit einer je nach Aufgabe eigenen Teilmenge an Privilegien (‚Kompetenzen’ genannt). Zum Beispiel erschafft man eine ‘netadm’ Rolle und weist dieser nur Kompetenzen zum Eingriff in das Netzwerk zu (CAP_NET_ADMIN). Einer zweiten Rolle ‘auditadm’ kann die Kompetenz zur Steuerung der Audit-Logs (CAP_AUDIT_CONTROL) und Datensätze in diese zu schreiben (CAP_AUDIT_WRITE) zugewiesen werden.

Embedded-Objekte, die unterschiedliche Rollen mit jeweils begrenzten Kapazitäten umsetzen, sind sicherer vor Angriffen, die auf ein bestimmtes ‚Nutzer’-Konto im System zielen.

Identifikation und Authentifizierung beziehen sich auf den Prozess, durch den ein Netzwerkobjekt eine gültige Nutzeridentität erkennt und diese angebliche Identität verifizieren (authentifizieren) kann. Das System identifiziert Nutzer über das herkömmliche User-ID-/ Gruppen-ID-Modell nach POSIX.1. Hierbei hat jeder Nutzer eine eigene User-ID und gehört einer oder mehreren Benutzergruppen an.

Ein starker Identifizierungs- und Authentifizierungsmechanismus senkt außerdem das Risiko eines Zugriffs unautorisierter Nutzer auf ein Embedded-Objekt erheblich.

Verschlüsselung ist ein sicheres Kommunikationsverfahren, wenn potentielle Eindringlinge präsent sind. Verschlüsselungs-Software verwandelt über Verschlüsselungsschlüssel (öffentlich, privat) und digitale Signaturen Klartext-Daten mittels komplizierter Algorithmen in unsinnige Zeichenketten und umgekehrt.

Zur Verschlüsselung werden FIPS 140-2 zertifizierte Algorithmen und Zufallszahlengeneratoren auf der Basis zertifizierter OpenSSL- und OpenSSH-Bibliotheken eingesetzt. Diese Bibliotheken liefern leistungsstarke offene Sicherheitsprotokolle für den Secure Sockets Layer (SSL), den Transport Layer Security (TLS) und ein vollständiges Verschlüsselungspaket. Embedded-Objekte im Netzwerk können FIPS 140-2 zertifizierte Verschlüsselungsalgorithmen zum Schutz sensibler Daten und Passwörter nutzen.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:42415235)