PresseBox
Pressemitteilung BoxID: 151113 (JET-Software GmbH)
  • JET-Software GmbH
  • Im Riemen 34
  • 64832 Babenhausen
  • http://www.jet-software.com
  • Ansprechpartner
  • Mike Kelly
  • +49 (6073) 711403

Jet-Security

Identity- und Accessmanagement für LINUX / UNIX

(PresseBox) (Babenhausen, ) JET-SECURITY für Linux/Unix bietet über bereits bestehende Standard-Sicherheitskonzepte hinaus eine zusätzliche Stufe zur System-Sicherheit und zum System-Journal. Der Zugang zu JET-SECURITY ist nur möglich über ein besonderes, zeitbegrenztes Passwort. Bestehende Standard-Sicherheiten des Systems bleiben erhalten.

JET-SECURITY für Linux/Unix besteht aus mehreren Modulen: Module zum Erstellen der Funktionalität, zur Ausführung und zur Auswertung der Aktivitäten.

Die Aufteilung in verschiedene Module bietet zum einen eine weitere Stufe der Sicherheit als auch zum anderen einen flexiblen Einsatz auf unterschiedlichen Systemen auch ohne grafische Oberfläche, sowie die Überwachung des Zuganges über LDAP.

Modul zur Erstellung der Funktionalität

Der Zugangs- und Verwaltungsrahmen zum System wird sicherheitshalber über eine grafische Oberfläche geregelt, weil die Einstellungen recht umfangreich sein können. Hierzu werden vom System Hilfestellungen (Tooltipps) zwecks Bedienerführung angeboten.

Mit Hilfe der grafischen Oberfläche werden verlinkte, verschlüsselte Parameterdateien erstellt, die danach im Betrieb des Systems ständig im Hintergrund ausgewertet werden.

Nach erfolgreichem Zugang zum System werden ausgewählte Funktionen verschlüsselt und revisionssicher mitprotokolliert. Dies gilt sowohl für die Aktivitäten des Systemadministrators (dessen Aktivitäten in einem besonderen Protokoll registriert werden) als auch für jeden Benutzer separat.

Eine Manipulation dieser Dateien und deren Inhalte ist wegen der Verschlüsselungen und Querverbindungen untereinander nicht möglich. Bereits ein Manipulationsversuch wird durch das System zuverlässig entdeckt; der entsprechende Benutzer wird zwangsweise aus dem System abgemeldet, und kann sich auch nicht wieder selbst anmelden.

Die mit Hilfe der grafischen Oberfläche erstellten Parameterdateien, können auf Systeme übertragen werden, auf denen keine solche Oberfläche verfügbar ist.

Modul zur Ausführung

Die Module der Zugangskontrolle, der Ausführung und der Überwachung, wurden im ersten Schritt mit der grafischen Oberfläche erzeugt, danach wird diese grafische Oberfläche nicht mehr benötigt. Während des Betriebs werden diese Module bereits bei der Anmeldung automatisch angesprochen und danach ständig zur weiteren Überwachung der ausgewählten Systemaktivitäten genutzt. Hierbei wird fortlaufend ein verschlüsseltes Journal erstellt, das niemand unbemerkt manipulieren kann.

Modul zur Auswertung der Aktivitäten

Im Betrieb des Systems erzeugte Journaldateien können in einem weiteren, separaten Modul sichtbar gemacht und ausgedruckt werden. Systemaktivitäten und Administrator-Eingriffe werden separat nachgeführt, sowie auch separat dargestellt.

Allgemeines JET-SECURITY dient der Verwaltung von LINUX / UNIX- Systemen und den verschiedenen Varianten hierzu. Es wird über die bestehende Standards hinaus eine weitere Stufe der Sicherheit und des Systemjournals geboten.

JET-SECURITY basiert nicht nur auf Standard-System-Routinen, sondern verwendet eine besondere vorgeschaltete Schnittstelle; es ist damit unabhängig von bestimmten Derivaten der LINUX / UNIX- Systeme. Diese Systeme benötigen auch keine Veränderungen an bestehender Ausrüstung.

Bei Einsatz des JET-SECURITY -Verfahrens können für Benutzerkennungen gezielt Einschränkungen und Freigaben des Systemzugangs und der Protokollierung vereinbart werden, die über den Systemstandard hinausgehen. Dies wird durch den Administrator des JET-SECURITY -Verfahrens (in der Regel -aber nicht zwingend- der Systembetreuer der betreffenden Installation) für die entsprechenden Benutzerkennungen spezifiziert. Die vereinbarten Zugangsbeschränkungen können zentral verwaltet werden.

Die Einschränkungen und Freigaben des Systemzugangs werden individuell für jeden Benutzer nachgehalten.

Der Administrator des JET-SECURITY -Verfahrens muß nicht notwendigerweise auch der Systembetreuer sein, er benötigt damit auch keinerlei Systembefugnisse.

Die Benutzerkennung des Verwalters sollte durch ein beliebiges LOGON-Kennwort geschützt sein und ihrerseits zusätzlich durch JET-SECURITY abgesichert werden.

Über ausgewählte Systemfunktionen kann ein revisionsfähiges Protokoll erstellt werden. Die Auswertung dieses Protokolls kann nur durch den Verwalter des Security-Systems erfolgen. Weder der Systemadministrator noch irgendein Anwender haben darauf Zugriff. Das Protokoll wird verschlüsselt mit Prüfungen erzeugt und abgelegt. Bei einer auch nur versuchten Manipulation erfolgt ein sofortiger Hinweis, und der entsprechende Benutzer, der versuchte dieses Protokoll zu manipulieren, wird sofort zwangsweise vom System abgemeldet, und er kann sich auch nicht mehr ohne Freischaltung durch den Systemadministrator anmelden. Darüber hinaus wird der Zugang zum System erschwert, indem Änderungen der Einstellungen jetzt nicht mehr vorgenommen werden können bevor der Security-Verwalter eingegriffen hat.

Zugangskennungen mit und ohne SECURITY-Eintrag

Besteht für eine Benutzerkennung ein Eintrag in der SECURITY-Datei, ist ein LOGON nur in den angegebenen Betriebsarten (bzw. von den angegebenen Datenstationen) möglich.

Grundsätzlich geschieht eine LOGON-Überprüfung auch für solche Benutzerkennungen, die keinen eigenen Eintrag in der SECURITY-Datei haben. Für solche Benutzerkennungen gelten die Parameterwerte, die bei globaler Anweisung angegeben werden.

Benutzer- und Stationsgruppen, Pool

Zur Vereinfachung der SECURITY-Verwaltung und zur gezielten Zugangskontrolle gleichartiger Benutzerkennungen können Benutzerkennungen und Stationsnamen zu Gruppen zusammengefaßt werden, wobei Stationen und Stationsgruppen mit gleichen Berechtigungen zu einem "Pool" zusammengefaßt werden können. Dieser Pool wird unter einem frei wählbaren Namen verwaltet und angesprochen. Die Konsistenz dieses Pools wird ebenfalls überwacht.

Ausnahmen

Mit der Funktion "Ausnahmen" können Stationen bzw. Stationsgruppen vereinbart werden, von denen ein LOGON immer abgewiesen wird, außer wenn sie explizit in einem Benutzereintrag berechtigt sind und sich dann darunter anmelden.

Mit dieser Funktion kann der Zugang für bestimmte Stationen ganz oder teilweise unterbunden werden (z. B. Stationen, die nur im Teilnehmerbetrieb arbeiten sollen oder bei Wählleitungen).

Freigaben und Beschränkungen

Die Zugänge zum System können für jeden Benutzer einzeln freigegeben werden. Diese Einstellungen können in Kombination nach verschiedenen Kriterien erfolgen: abschnittsweise nach Tagen, Wochentagen, Wochen oder Monaten, und dabei wieder nach mehreren Uhrzeiten gestaffelt.

Dies gilt auch für den Ausschluss vom System, wann sich Benutzer keinesfalls anmelden dürfen.

Logon

Für einen LOGON wird der Anwender zur Eingabe seines individuellen Kennwortes aufgefordert. Informationen über den letzten erfolgreichen und/oder evtl. fehlerhaften LOGON werden ausgegeben. Nach Ablauf der maximalen Geltungsdauer des Kennwortes wird der Benutzer zur Eingabe eines neuen Kennwortes gezwungen.

Wenn eine maximale Anzahl von Fehlversuchen erreicht ist, kann ein Eintrag für den/die Benutzer gesperrt werden, und nur der Security-Verwalter kann diese Sperre aufheben. Diese Vorgänge werden automatisch protokolliert. Zusätzlich zur eigentlichen Anmeldung kann benutzerspezifisch zwangsweise ein individuelles Programm ausgeführt werden.

Besondere Anmeldungen können nur erfolgen, wenn sie vom Administrator zusätzlich manuell individuell bestätigt werden.

Die Protokollierung kann für alle oder einzelne Einträge zugeschaltet werden, wobei dann die Kommandoeingaben und Systemausgaben der definierten Dialog-Tasks zentral und revisionssicher protokolliert werden.

Präambel- Programm

Zusätzlich zur eigentlichen Anmeldung kann benutzerspezifisch zwangsweise ein individuelles Programm ausgeführt werden.

Verwaltung der SECURITY-Datei

Die SECURITY-Datei des Verwalters wird automatisch mitverwaltet. Der Änderungsstand dieser Datei wird revisionssicher und verschlüsselt fortgeschrieben. Bei Bedarf kann eine Prüfung auf logische Unverträglichkeiten der Einstellungen durchgeführt werden, um zu verhindern, dass beispielsweise alle Benutzer vom System abgewiesen würden.

Unberechtigte Benutzer

Beim Ausscheiden eines Mitarbeiters sollte dessen Zugang zum System so bald wie möglich gesperrt werden. Dies ist jedoch eine manuelle Tätigkeit des Systemverwalters. Irrtümlich kann diese Sperre unterblieben sein, sodass der ehemalige Mitarbeiter u.U. beliebigen Zugang zum System erlangen kann. Dieses stellt eine erhebliche Sicherheitslücke dar - besonders bei Zugang über Wählleitungen.

Zur Feststellung dieser unbenötigten Benutzerzugänge kann eine Prüfung durchgeführt werden. Dabei fallen diese 'schlafenden' Zugänge auf, und sie können gelöscht werden.

Auch hierüber wird ein revisionssicheres Protokoll erstellt.

Protokolle

In den individuellen Zugangsdateien werden weitere Einzelheiten, überwiegend für die Datei- (geplante Option) und Systemüberwachung (z.B. OPEN, ERASE, READ, WRITE, CD, ABORT, TERMINATE und Dialog-Kommandos), verschlüsselt gespeichert. Über diese Funktionen und auch deren evtl. Missbrauch kann ein revisionssicheres Protokoll erstellt werden.

Protokoll- Auswertungen

Protokolle können unabhängig vom eigentlichen Systemlauf ausgewertet werden. Das Protokoll des Verwalters und die Protokolle der einzelnen Benutzerprogramme werden separat nachgehalten und können somit auch separat ausgewertet werden.

System- Protokoll

Sollten Unstimmigkeiten an den Einstellungen und/oder Protokollen festgestellt werden, so wird die Ursache in Klartext angezeigt und der Zugang zum System erschwert. Ursache könnte beispielsweise eine versuchte Manipulation der Einstellungsparameter sein. Die Überprüfung erfolgt zwangsweise automatisch; sie kann nicht abbedungen werden.
Für die oben stehenden Pressemitteilungen, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Meldungstitel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Pressetexte sowie der angehängten Bild-, Ton- und Informationsmaterialien.
Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.