Open Source im professionellen Einsatz
Linux-Magazin 07/2008
© Schmecko, Fotolia.de

© Schmecko, Fotolia.de

UTM-Appliance auf einem USB-Stick schützt Windows-Rechner vor Attacken

Mini-Schild

Ein kompletter Linux-Rechner in Form eines USB-Sticks: Yoggie setzt diese Hardware ein, um einzelne Windows-Rechner umfassend zu schützen. Doch nicht alles funktioniert wie gedacht.

1497

Das Konzept verblüfft: Im kompakten USB-Stick Yoggie [1] steckt eine komplette Linux-basierte UTM-Appliance mit einer 520-MHz-CPU, 128 MByte RAM und 135 MByte Flash-Speicher (siehe Kasten "Yoggie-Autopsie"). Zum Test lagen drei Gatekeeper Pico vor. Hinter dem Begriff UTM (Unified Thread Management) verbirgt sich eine Kombination aus etlichen Netzwerk-Sicherheitstechniken [2], die der kompakte Stick in sich vereint.

Der Hersteller Yoggie Security Systems vertreibt die Gatekeeper-Reihe [3] neben der USB-Variante auch als Express Card, aktive USB-Ethernet-Karte oder als eigenständige Appliance. Die USB-Stick-Ausführung Gatekeeper Pico gibt es zudem in der Personal- und der Pro-Edition für Firmen sowie in einer abgespeckten Version als Firestick Pico. Preislich liegen die drei Modelle nahe beieinander mit 120, 150 und 200 US-Dollar.

Die Pico-Familie schützt derzeit nur Windows-XP- und Vista-Systeme; gedacht ist diese Ausführung primär für Notebooks. Die Pico-Geräte haben keine eigenen Netzwerkanschlüsse. Sie erhalten die Daten direkt vom Host und reichen die geprüften Pakete wieder zurück an Windows. Dazu ist ein eigener Treiber nötig, den Yoggie derzeit nur für XP und Vista anbietet. Der große Vorteil dieser Technik ist, dass der Gatekeeper Pico mit jeder Netzwerkverbindung klarkommt, sei es Ethernet, WLAN oder gar Infrarot.

Das technische Konzept ist einfach: Per Installation schiebt sich der Yoggie-Treiber in der NDIS-Schicht (Network Driver Interface Specification, [5]) zwischen den TCP/IP-Protokollstack des Windows-Systems und die lokal vorhandenen Netzwerkadapter (Abbildung 1). Er sorgt dafür, dass die gesamte Netzwerkkommunikation nur noch über die Yoggie-UTM-Appliance im USB-Stick möglich ist.

Abbildung 1: Der Yoggie-Treiber fängt eintreffende Pakete in der Hardware-nahen NDIS-Schicht ab und reicht sie ans USB-Gerät weiter. Die vom Yoggie-Stick gefilterten Daten erreichen übers virtuelle Ethernet-Interface wieder den PC.

Yoggie Gatekeeper
Pico


Gerätetyp: USB-Stick mit eingebettetem PC als Firewall-Appliance

Hersteller: Yoggie Security Systems [1]

Getestete Version: Yoggie Gatekeeper Pico, Software 1.3.9

Yoggie-Betriebssystem: Linux-Basis mit Kernel 2.6.16.16, P3Scan 2.3.2, Open Swan 2.4.6rc5, Ifplugd 0.28 und Netfilter 1.3.5 sowie modifizierten Snort 2.4.4 und HAVP 0.86 [4]. Dazu kommen kommerzielle Module wie Kaspersky AV, Mailshell und Surfcontrol.

Host-Betriebssysteme: Der Gatekeeper Pico arbeitet nur mit Windows XP und Vista, da er auf Host-Seite einen eigenen Treiber benötigt.

Preis: 150 US-Dollar inklusive ein Jahr Updates. Jedes weitere Jahr kostet 30 Dollar.

Eigener Treiber

Der Treiber greift die Daten auf NDIS-Ebene ab, noch bevor sie an den komplexen TCP/IP-Stack von Windows gehen, und reicht sie an Yoggie weiter. Für den Weg vom USB-Stick zurück in den Host installiert der Treiber einen virtuellen Netzwerkadapter mit eigener IP-Adresse und eigener Netzmaske. Die Yoggie-Appliance verrichtet alle sicherheitsrelevanten Aufgaben und kümmert sich um NAT (Network Address Translation).

Auch der Rückweg von Windows ins Netz läuft wieder durch Yoggie - diesmal vom virtuellen Interface zum USB-Stick, der den Netzwerkverkehr wieder filtert und dann durch den Windows-Treiber zum physikalischen Netzwerkadapter schickt (etwa UTP oder WLAN). Abbildung 2 zeigt die Topologie des neu entstandenen Mikronetzwerks.

Abbildung 2: Die Netzwerkkarte im PC hat die externe IP-Adresse 172.16.1.3. Deren Daten reicht der Treiber über USB an den Stick weiter. Yoggie arbeitet als NAT-Gateway und spricht den PC mit dessen interner Adresse 192.168.10.200 an.

Nach der Treiberinstallation bestätigt ein Yoggie-Icon in der Taskbar, dass das System einsatzbereit ist. Da Yoggie ein eigenständiger Computer ist, muss er auch booten. Dies erfolgt ganz automatisch nach dem Einstecken in den USB-Port und dauert ungefähr eine halbe Minute. Drei Kontrolllämpchen zeigen an, ob der Stick mit dem Bootvorgang schon fertig ist. Anschließend bringt er seine Software und alle Engines und Patterns (Antivirus, Spam-Abwehr) auf den aktuellen Stand. Dazu öffnet der USB-Stick einen SSL-Tunnel zum Update-Server der Firma Yoggie.

Yoggie-Autopsie

Dass eines der drei Testgeräte bereits 20 Minuten nach dem ersten Einschalten den Dienst quittierte, mag Zufall sein - es war jedenfalls ein willkommener Anlass, das Gerät im Labor zu sezieren. Nach dem Öffnen des Gatekeeper Pico zeigten sich zwei doppelseitige Platinen (auf Abbildung 3 noch mit einer Steckverbindung verbunden) mit einer 520-MHz-CPU von Intel (XScale PXA270), 128 MByte SDRAM und 135 MByte Flash-Speicher (128 MByte Nand plus 8 MByte Nor). Die gleiche CPU kommt zum Beispiel in einigen Blackberry-Modellen zum Einsatz. Sie ist zwar seit etwa drei Jahren auf dem Markt, aber immer noch aktuell.

Hardware und Architektur des Gatekeeper Pico überzeugen und auch der Preis (ab 150 US-Dollar) lässt bei dieser Architektur aufhorchen. Es ist verwunderlich, wie Yoggie es schafft, diese Hardware zu so günstigen Preisen abzugeben. Noch interessanter wäre das Produkt allerdings in Form einer offenen Linux-Appliance, die der Besitzer auch selbst installieren und konfigurieren darf. Das gäbe ihm die Möglichkeit, zum Beispiel einen kleinen Webserver, eine Groupware, einen CVS-Server und mehr in der Westentaschen zu transportieren und an verschiedenen Host-Rechnern zu betreiben.

Abbildung 3: Das Innenleben des Yoggie Gatekeeper Pico besteht aus zwei kleinen Platinen, die einen kompletten Mini-PC beherbergen.

UTM-Funktionen

Laut Produktbeschreibung stecken im Yoggie Gatekeeper dreizehn Sicherheitsapplikationen. Zu den Open-Source-Komponenten [4] gehören IPtables/Netfilter als Stateful Firewall, der HTTP-Antivirus-Proxy HAVP, ein SMTP-Proxy und etliche mehr. Daneben gibt es einige kommerzielle Applikationen: Snort sowie Sourcefire-VRT-Regeln als IDS/IPS, die Kaspersky-Engine zum Prüfen auf Viren und Spyware, die Mailshell, die Spam- und Phishing-Mails erkennt und markiert, sowie die Surfcontrol-Software als Webcontent-Filter.

Die Pflicht als Paketfilter erfüllt Yoggie zwar, aber leider verwehrt die per Browser erreichbare grafische Oberfläche (Abbildung 4) den Blick auf die tatsächlich gesetzten Filterregeln. Einen Laien würden diese Informationen zwar eher verwirren, insofern ist es sinnvoll, sie per Default auszublenden. Profis brauchen aber die Gewissheit, dass eine Firewall ihre Policy auch korrekt umsetzt. Dabei leistete sich der Yoggie Gatekeeper im Test auch prompt einen dicken Fehler, siehe Kasten "Durchlässige Firewall".

Abbildung 4: Die Firewall-Einstellungen sind im Webinterface des Yoggie-Sticks schnell erledigt. Leider verschweigt es aber die exakten »iptables«-Kommandos.

Durchlässige
Firewall

Im Test fand der Autor eine dicke Sicherheitslücke des Yoggie Gatekeeper Pico (Version 1.3.8), mit der ein Angreifer die Firewall umgehen und das Zielsystem direkt angreifen konnte. Einzige Voraussetzung war, dass sich der Angreifer im gleichen Subnetz befindet wie das physikalische Interface des Zielsystems. Das kann innerhalb eines Firmen-LAN sein, aber auch beim Ethernet-Zugang im Hotel oder dem WLAN am Flughafen. Genau in diesen eher feindlichen Umgebungen ist der Yoggie-Schutz aber gefragt. Der Testangriff erfolgte in vier Schritten:

Schritt 1: Bei einem Nessus-Scan des Yoggie-geschützten Systems erscheint die IP-Adresse des physikalischen Interface perfekt geschützt - das System reagiert auf kein Paket. Nur ein UDP-Traceroute entlarvte überraschenderweise die interne IP-Adresse des Yoggie-Sticks, also die Adresse über die der Stick mit dem Host-System kommuniziert.

Schritt 2: Ein Scan auf die interne Adresse ist zunächst nicht möglich, da deren Subnetz nicht bekannt und nicht geroutet ist. Die Tester wählten eine passende 16er Netzmaske, die auf jeden Fall passt, und setzten auf dem angreifenden System eine Route zum Subnetz. Als Gateway-IP diente die Adresse des physikalischen Interface des geschützten Systems.

Schritt 3: Ein Nmap-Scan über das neu geroutete 16er Subnetz lieferte zwei Adressen: die interne IP der Yoggie-UTM-Appliance und die des neuen virtuellen Host-Adapters.

Schritt 4: Der abschließende Nessus-Scan auf beide IP-Adressen zeigte den Sicherheits-GAU: Nessus sieht den ungefilterten Zustand des Host-Systems so, als würde Yoggie nicht existieren. Ein Angreifer könnte ungehindert jede Lücke des Host-Systems ausnutzen.

Der Autor berichtete die Sicherheitslücke sofort an Yoggie (in der Nacht vom 16. auf den 17. März 2008), woraufhin der Hersteller innerhalb von 36 Stunden ein Update auf Version 1.3.9 entwickelte, das den Fehler auch behob. Diese Reaktionszeit ist vorbildlich; ganz anders allerdings die Informationspolitik. Auf mehrfache Nachfrage, wann Yoggie ein Advisory zu der Lücke herausgibt, reagierte die Firma ablehnend: Die Yoggie-Software spiele jedes Update automatisch sofort ein, das sei viel mehr, als ein klassisches Advisory leisten könne. Der einzige Hinweis auf das Sicherheitsdesaster versteckt sich im History-File zur Firmware [9]:

1.3.9 (18 March 2008)
-------------------------------
Fixed:
------
Issue #1008: Critical security update; device hardening including network interfaces and improved Firewall stealth mode

Die Argumentation überzeugt aber nicht. Hat ein Stick keine Onlineverbindung, bleibt das System verwundbar, selbst bei einer Verbindung bleibt ein Zeitfenster, in dem der Host verwundbar ist. Da der Angreifer sowieso aus dem LAN kommen muss, sind durchaus Situationen denkbar, in denen ein Gatekeeper kein Update einspielen kann, das System aber Angriffen ausgesetzt ist. Auch erlaubt es der Corporate-Modus dem Admin, zu steuern, welche Updates seine Sticks einspielen - aus obigem knappen Hinweis kann niemand die Tragweite der Lücke erkennen. Selbst zwei Monate später hat Yoggie den Fehler nicht weiter publiziert.

Technischer Hintergrund

Eine exakte Erklärung für die Verwundbarkeit blieb Yoggie zunächst schuldig, bestätigte auf mehrere Rückfragen dann aber die Vermutungen des Autors und des Linux-Magazins. Der Gatekeeper arbeitet im Grunde wie eine herkömmliche Linux-Firewall als NAT-Router, einzig die Anbindung an das Windows-System fällt aus dem Rahmen. Damit gelten für die Firewallkonfiguration alle üblichen Vorsichtsmaßnahmen. Der Yoggie-Stick erzeugte Netfilter-Regeln aber offenbar ohne Interface-Angaben: Es fehlten die »-i«- und »-o«-Parameter, daher galten die Regeln nur für IP-Adressen.

Der Beispielangriff hatte zur Folge, dass Pakete am externen Interface eintreffen, die sich direkt an die interne Adresse richten. Diese Pakete hat das Routing im Linux-Kernel korrekt zugestellt, ohne dass eine Firewallregel es daran gehindert hätte.

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Cebit 2008: Linux auf USB-Stick ist Hardware-Firewall

    Die israelische Firma Yoggie hat auf der Cebit den unter Linux betriebenen USB-Stick Gatekeeper Pico vorgestellt. Er dient im Zusammenspiel mit einem Windows-Rechner als Sicherheitsgateway zwischen Windows und Internet.

  • Dicke Lücke in pfiffiger USB-Stick-Firewall

    Ein kompletter Linux-Rechner in Form eines USB-Sticks: Die Firma Yoggie setzt diese verblüffende Hardware ein, um einzelne Windows-Rechner vor Bedrohungen aus dem Netz zu schützen. Doch nicht alles funktioniert wie gedacht, wie ein ausführlicher Test im Linux-Magazin 07/2008 entlarvt. Mit einfachen Kniffen war es bis vor kurzem möglich, die Firewall komplett zu umgehen.

  • Yoggie macht USB-Stick-Firewall zu Open Source

    Die israelische Security-Firma Yoggie veröffentlicht die Software ihrer Linux-basierten USB-Stick-Firewall Gatekeeper in einer Open-Source-Version. Ein Entwicklerkit für Linux ist bei den Open-Firewall-Produkten auch dabei.

  • Yoggie Pico: Linux-basierte USB-Sicherung

    Der israelische Sicherheitsspezialist Yoggie Security Systems hat eine Sicherheitslösung vorgestellt, die kaum größer als ein USB-Stick ist. Noch ist das Linux-System nur für Windows einsetzbar, Versionen für Linux und Mac-OS X sollen folgen.

  • Melkmaschine 2.0

    Linux-Magazin-Kolumnist Charly berichtet von einem strapaziösen Außentermin, dem LUG-Camp in Flensburg. Dass er dabei ins Schwimmen geriet, lag garantiert nicht an einem Aufmerksamkeitsdefizit, sondern an der feuchten Natur der Veranstaltung.

comments powered by Disqus

Ausgabe 08/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.