Wer beim Websurfen und E-Mailen höchste Sicherheit will, tut gut daran, Browser und Mailer nicht auf seiner Arbeitsstation zu starten. Unter dem Namen Tightgate stellt M-Privacy eine gehärtete Appliance vor, die dem Desktop-Rechner diese Clients abnimmt. Der Test untersucht, ob das Konzept in der Praxis taugt.
Tightgate verlagert die potenziell gefährlichen Internetclients auf einen zentralen Server, den der Hersteller M-Privacy [1] aufwändig sichert. Unter anderem steckt RSBAC (Rule Set Based Access Control, [2], [3], [4]) im Kernel (2.4.31-rsbac) der Debian-basierten Appliance und regelt viel detaillierter als unter Linux gewohnt, welcher Prozess welche Aktionen ausführen darf.
Die grafische Oberfläche gelangt per VNC (Virtual Network Computing, [5]) zum Arbeitsplatzrechner. Aus Sicherheitssicht ist das einfache VNC-Protokoll ideal, zudem gibt es VNC-Viewer für alle wichtigen Plattformen. Leichte Abstriche sind bei der Geschwindigkeit zu machen, da VNC die Oberfläche als Bitmap-Grafik betrachtet.
Je nach Einstellung sieht der Benutzer den kompletten Desktop des Servers entweder als Vollbild oder in einem Fenster auf seinem Arbeitsplatzrechner. Tastatur- und Mauseingaben sendet der VNC-Client zum Server. Der Anwender steuert also seine Applikationen aus der Ferne, man spricht von Server-based Computing. Ganz ähnliche Konzepte verfolgen Tarantella [6] und der Citrix Presentation Server [7].
Installation und Implementierung
M-Privacy vertreibt die Tightgate-Produktlinie nur als Appliance, Installations-CDs sind nicht erhältlich. Zum Test stand der Tightgate Server Pro, rev. 1.2, zur Verfügung, installiert auf einem Shuttle-XPC [8]. Die kompakten Geräte des taiwanischen Herstellers Shuttle sind unter anderem wegen ihres Designs, des geringen Platzbedarfs und der leisen Lüfter beliebt.
Als Appliance taugt die Plattform lediglich für kleinere Arbeitsgruppen, Werkstätten und Geschäftsräume. Beim Unternehmenseinsatz geraten die Geräte schnell an ihre Grenzen. M-Privacy sieht diese Plattform auch nur als Testumgebung, im realen Einsatz installiert die Firma ihren Server auf Hardware, die ins Rechenzentrum des Kunden passt. Dazu kommt M-Privacy ins Haus und erledigt auch die Erstkonfiguration.
Beim Test würde ein Vertreter des Herstellers aber stören, daher kam das Paket ohne Begleitservice ins Haus. Dennoch war der gelieferte Shuttle-PC innerhalb von fünf Minuten so weit konfiguriert (Abbildung 1), dass man die ersten Benutzer anlegen (Abbildung 2) und zum Internetbrowsen zulassen konnte (Abbildung 3). Vermisst haben die Tester am Shuttle-PC einen Zugang über die serielle Schnittstelle (Abbildung 4), um von einer Laptop-Konsole aus die Appliance zu konfigurieren. Stattdessen waren Tastatur und Monitor nötig.
Die beiliegende Dokumentation erwies sich als unerwartet umfangreich und gut. Sie führt sehr gut in die Sicherheitsphilosophie ein, die Kunden des Tightgate-Pro-Servers mit erwerben. Wer diese Philosophie nicht teilt, wäre mit dem Produkt schlecht beraten.
|
Tightgate Pro |
|---|
|
Hersteller: M-Privacy, Berlin [http://www.m-privacy.de] Kosten: Appliance für 15 Arbeitsplätze 2900 Euro (inklusive Shuttle XPC SB86i), für 100 Clients 17200 Euro (inklusive Dell-Server) Aufgabe: Sichere Ausführungsumgebung für Internetapplikationen, Clientanbindung per VNC, datenschutzgeprüft Wichtige Komponenten: RSBAC, VNC, OpenSSH, E-Mail- und Webclients (weitere Clientprogramme siehe Tabelle 1) Getestete Hardware: Shuttle XPC SB83G5 Getestete Software-Release: 1.2 |
|
Tabelle 1: |
|
|---|---|
|
Aufgabe |
Programm |
|
Webbrowser |
Mozilla 1.7.8, Firefox 1.0.4, Konqueror (aus KDE 3.2.2) |
|
E-Mail-Client |
Evolution 2.2.2, KMail, KGpg (Verschlüsselung und |
|
Office-Anwendungen |
Open Office 1.1.3, Acrobat Reader 7.0, KOrganizer, KCalc |
|
Systemadministration |
Controlcenter |
|
Sonstige |
Benutzerhandbuch, Konsole, Drucker, Notizzettel (KNotes) |
Unter anderem erklärt die Dokumentation das Rollenkonzept, das mittels RSBAC (siehe Kasten “RSBAC”) meisterhaft umgesetzt ist. Die Zugriffsrechte sind so gestaltet, dass nur der Datenschutzbeauftragte Zugriff auf personenbezogene Daten erhält. Die Rolle des Datenschutzbeauftragten (bei Tightgate Revisor genannt) ist nicht mit der des Systemadministrators (Root) identisch. Personenbezogene Leistungskontrollen, etwa das Auswerten der Logs des internen Squid-Proxy, sind auch dem Datenschutzbeauftragten nicht möglich. Der interne Proxyserver schreibt vorsorglich keine »access_log«-Dateien.
Mögliche Topologien
Tightgate Pro Server lässt sich an zwei Stellen sinnvoll ins eigene Netzwerk implementieren: direkt im internen LAN zusammen mit den dort angesiedelten Arbeitsplatzrechnern und Servern oder in strikter Trennung vom LAN in einer eigenen DMZ. Sie ist meist als eigener Port der Firewall ausgeführt oder als so genanntes Screened Subnet zwischen interner und externer Firewall.
|
Datenschutz-Gütesiegel |
|---|
|
M-Privacy bewirbt Tightgate Pro Server mit dem Datenschutz-Gütesiegel [12] des Landeszentrums für Datenschutz in Schleswig-Holstein. Der Fokus beim Datenschutz liegt darauf, Benutzerdaten (Mails, gespeicherte Dateien, betrachtete Internetseiten) vor Missbrauch durch in- und externe Dritte zu schützen. Dies ist durch die Architektur und Konfiguration der Appliance vorbildlich umgesetzt. Beispielsweise schreibt der interne Squid-Proxy keine Logdateien, die ein Administrator missbrauchen könnte. Der Verleiher des Gütesiegels spricht von der “Vereinbarkeit eines Produktes mit den Vorschriften über den Datenschutz und Datensicherheit”, bezieht sich inhaltlich aber nur auf Datenschutz. Für Zertifizierungen und Zulassungen im Bereich der IT-Sicherheit ist gegenwärtig in Deutschland nur das Bundesamt für Sicherheit im Internet (BSI, [13], [14]) zuständig. Zu unterscheiden sind die nach internationalen Standards durchgeführten Zertifizierungen Common Criteria (CC), die Zertifizierung nach ITSEC (Information Technology Security Evaluation Criteria) und die auf Deutschland (und die NATO) beschränkten Zulassungen für Dokumente unterschiedlicher Geheimhaltungsstufen. Letztere befasssen sich zumeist mit Kryptographie-Kriterien. |
Obwohl das Manual gelegentlich vom Einsatz als “Enforcing Firewall” spricht, empfiehlt M-Privacy Tightgate Pro nicht als alleinigen Übergabepunkt zum Internet zu verwenden. Zum Schutz der Internetanbindung vertreibt M-Privacy eine Proxy-Firewall aus der Tightgate-Produktlinie, die bereits länger auf dem Markt ist als Tightgate Pro Server.
Arbeitet Tightgate Pro in einer DMZ, muss die Firewall für die Clients nur die VNC-TCP-Ports (Nummer 5900 plus Displaynummer) und SSH/SCP (TCP-Port 22) freigeben. Im Test befand sich Tightgate Pro in Kolokation mit den Arbeitsplatzrechnern; für den Produktivbetrieb ist eine DMZ eher zu empfehlen.
Sicherheitskonzept
Auf dem Tightgate Pro Server sind verschiedene Mailclients und Webbrowser sowie Open Office installiert (siehe Tabelle 1). Alle Internetanwendungen laufen auf dem Server – die Arbeitsplätze zeigen lediglich den Bildschirminhalt des Servers und sind somit sicher vor jeder per Netz eintreffenden Schadsoftware, seien es Browser-Exploits, E-Mail-Würmer, Dialer oder Trojanische Pferde. Die physikalische Trennung zwischen Arbeitsplatz und Internetanwendung verhindert wirkungsvoll, dass Schadsoftware vertrauliche Dokumente vom Clientrechner ohne Wissen des Benutzers ins Internet übermittelt.
Abbildung 1: Bei der Erstkonfiguration legt der Tightgate-Administrator die Netzwerkparameter fest. Der Server ist mit zwei Schnittstellen ausgestattet und kann daher zusätzlich als Gateway fungieren.
Abbildung 2: Wie es sich für eine Sicherheits-Appliance gehört, sind die Funktionen ihrer Benutzerverwaltung sehr umfangreich. Die übersichtliche textbasierte Oberfläche eignet sich bestens für Fernwartung.
Ein Segen für Admins
Die Architektur des Server-basierten Arbeitens kommt besonders den Administratoren zugute: Sie erhalten einen Single Point of Administration für die Internetapplikationen und für die Umsetzung ihrer Policy. Benutzer können keine eigenen Applikationen auf dem Server installieren und ausführen, was einen Softwarewildwuchs der aus dem Internet heruntergeladenen Tools und Gimmicks verhindert. Das Prinzip der minimalen Rechte ist mittels RSBAC durchgängig bis hin zu den Systemadministratoren umgesetzt. Das schützt Benutzer-, Kunden- und gegebenenfalls auch Entwicklungsdaten vor dem (un)beabsichtigten Abfluss ins Internet.
Ganz ohne Dateitransfer kommt aber auch Tightgate nicht aus. Zum Austausch von E-Mail-Attachments und Dateien aus dem Internet kann der Administrator den Benutzern einen Download-Ordner freigeben, auf den sie SCP-Zugriff erhalten ([9], [10]). Damit sich in diesem Ordner keine Viren unbemerkt verbreiten, prüft der freie Virenscanner Clam-AV [11] den Inhalt. Clam-AV hat beim Erkennen neuer Viren und Würmer zwar zu kommerziellen Scannern aufgeschlossen. Sein Schwachpunkt sind aber ältere Schädlinge, die heute allerdings kaum noch in freier Wildbahn anzutreffen sind. Es empfiehlt sich dennoch, beim Einsatz von Windows-Clients zusätzlich einen kommerziellen Scanner zu verwenden.
Abbildung 3: Der Standarddesktop eines neu angelegten Tightgate-Benutzers. Die Software läuft auf dem speziell gehärteten Server, VNC transportiert die Oberfläche zum Client.
Integration in heterogene Umgebungen
Wie gut sich Tightgate in die meist vorhandene heterogene Umgebung einfindet, lässt sich aus mehreren Blickwinkeln betrachten:
- Wie gut arbeiten die Endstationen mit dem sicheren Server
zusammen. - Integration mit vorhandenen Diensten, etwa Mailserver.
- Benutzerverwaltung, zum Beispiel LDAP, NIS/Yellowpages,
Windows-Domänen oder Radius. - Integration mit Groupware- und Kalender-Applikationen.
Die Integration von Tightgate mit Clientsystemen ist fast unbegrenzt. Er dient als Terminalserver für alle Plattformen, für die es einen VNC-Client gibt – und die gibt\’s sogar für PDAs und eingebettete Systeme. Nicht vorgesehen ist ein Java-Viewer für Browser-basiertes Arbeiten (Clientless VPN); der würde zusätzlich einen HTTP-Server auf dem Tightgate Pro voraussetzen.
Etwas holpriger sieht es bei der Integration in bestehende Strukturen aus. Laut Auskunft des Herstellers lässt sich Tightgate mit einer LDAP-Schnittstelle in bereits vorhandene Windows-2000-Umgebungen integrieren. Auf Exchange-Server soll der vorinstallierte Mailclient Evolution zugreifen können. Leider ist beides in der mitgelieferten Dokumentation nicht beschrieben; ein Praxistest mit Evolution und einem Exchange-Server schlug prompt fehl (Abbildung 4).
Der Aufbau der Webseiten ist beim Surfen im Internet auf einem Terminalserver anders als bei direktem Internetzugang und für die Benutzer gewöhnungsbedürftig, da sich VNC bei schnell wechselnden Fensterinhalten zäh anfühlt. Webseiten mit vielen Bildern (zum Beispiel Onlinekataloge) bauen sich im VNC-Client unter Windows klötzchenweise auf. Dass dies an der internen Priorisierung des Microsoft-Betriebssystems liegt, ist für den Endanwender kein Trost.
Abbildung 4: Den Versuch, mit dem vorinstallierten Evolution Mails von einem Exchange-Server abzuholen, quittierte Tightgate Pro mit dieser Fehlermeldung.
Stummer Diener
Multimedia-Anwendungen, die Ton (E-Learning oder Webradio) und Filme (etwa von der CNN-Webseite) übertragen wollen, scheitern an den Beschränkungen der Terminalserver-Technologie. Seiten mit Active-X-Inhalten lassen sich nicht darstellen, bei einem Linux-System verwundert das nicht. Ciscos E-Learning-Webseiten funktionieren ebenfalls nicht. Sie benötigen einen Telnet-Client als Helper-Applikation, den M-Privacy aber nicht vorsieht und laut Hersteller auch nicht plant.
Ob die Instant-Messaging-Anwendungen (IM) sicherheitstechnisch kritischer sind als ein E-Mail-Client, darüber lässt sich trefflich streiten. M-Privacy stuft diese Softwaregattung als zu gefährlich ein, um sie auf Tightgate zu installieren. Aus Sicht der Tester bedauerlich: Gerade wenn die Applikation Gefahren birgt, profitiert sie von der abgeschotteten RSBAC-Umgebung. Auch sind in Zeiten virtueller Arbeitsplätze und Online-Lerngemeinschaften IM-Applikationen in vielen Firmen wichtige Dienste.
Die Grenzen der Skalierbarkeit
Die Skalierbarkeit eines VNC-Terminalservers ist schwer zu beurteilen, sie hängt von kaum vorhersagbaren Faktoren ab: beispielsweise den dynamischen Änderungen des Bildschirminhalts (Scrollen in Texten, Diashows und Ähnliches), der Anzahl der dargestellten Farben und der verfügbaren Bandbreite. VNC kommt zwar gut mit geringeren Bandbreiten aus, dann sinken aber Qualität und Anzahl der Bildschirmupdates und die Applikationen reagieren nicht so, wie es der Anwender für flüssiges Arbeiten benötigt.
Im Test ergab sich als Faustregel eine sehr gute Qualität von E-Mail und Open Office bei einer Bandbreite von 2 MBit pro Client. Webbrowsen funktionierte bei dieser Bandbreite gut bis befriedigend. Der Umkehrschluss, dass ein VNC-Server mit einer Gigabit-Ethernetkarte bis zu 500 Clients versorgen kann, gilt nicht, da diese einfache Rechnung die Last auf dem Server ignoriert.
|
RSBAC |
|---|
|
Das Linux-Sicherheitssystem Rule Set Based Access Control (RSBAC, [2], [3], [4]) teilt sich in ein Kernelpatch und dazu passende Userspace-Programme. Sie implementieren ein Dutzend Zugriffskontrollmodelle, unter anderem den rollenbasierten Zugriffsschutz. Damit gelingt eine sehr feingranulare Steuerung, wer worauf wie zugreifen darf. RSBAC unterwirft auch den Root-User diesen zusätzlichen Kontrollen. Unter Tightgate Pro hilft RSBAC folgende Rollen und Rechte durchsetzen:
Dank RSBAC ist es endlich auch dem Root-Benutzer nicht mehr möglich, direkt in die E-Mail-Inboxen der Benutzer zu blicken. Bei normalen Linux-Systemen stehen dem neugierigen Blick des Administrators nur seine Berufsethik und ein schlechtes Gewissen im Weg. |
X11-basierte Alternativen zu VNC könnten zwar für einen flüssigeren Bildschirmaufbau sorgen, der Hersteller lehnt sie aber aus gutem Grund ab: Auf jedem Client müsste eine aufwändige Serverapplikation installiert sein, die dank eines komplexen Protokolls eine recht große Angriffsfläche bietet.
Kinderkrankheiten
Die getestete Appliance mit dem recht neuen Softwarestand 1.2 war leider noch reich an kleineren Bugs. So provozierte etwa der Versuch, einen gesperrten K-Desktop wieder zu entsperren, eine RSBAC-Fehlermeldung (Abbildung 5a), SCP-Transfer (Abbildung 5b) und IMAP-Postfächer haben ihren Dienst ebenfalls mit Fehlermeldungen verweigert.
Trotz entsprechender Hinweise hat der Hersteller die Fehler während der dreiwöchigen Testzeit nicht behoben, auch ein zwischenzeitlich erschienenes Update änderte nichts. Allerdings sind solche Problem bei einer neuen Release nicht überzubewerten, da sie in der Tat wahrscheinlich nur temporär sind. Dennoch trüben sie den Gesamteindruck.
Abbildung 5a: Im Test weigerte sich der KDE-Desktop die Sperre (Lock) aufzuheben. Ursache war vermutlich eine zu enge RSBAC-Konfiguration.
Abbildung 5b: Ein Dateitransfer von einem Windows-Arbeitsplatz zum Tightgate-Server mit Win-SCP scheiterte mit einer obskuren Fehlermeldung.
Alternativen
Alle Alternativen zu Tightgate Pro, die sich ebenfalls hohes Sicherheitsniveau auf die Fahne geschrieben haben, befinden sich in einer um Größenordnungen höheren Preisklasse. Unter den terminalbasierten Lösungen sind Tarantella [6] und der Citrix Presentation Server [7] zu nennen. Bei Tarantella gefällt vor allem die gute Integration unter Unix. Auch die Clientanbindung gelingt besser als bei VNC, Tarantella passt sich an die Bildschirmauflösung und Farbtiefe des Clients an. Unter VNC war das im Test nicht immer befriedigend.
In Umgebungen mit hohen Sicherheitsanforderungen ist es alternativ auch möglich, die Clients über einen konventionellen Proxy mit dem Server zu koppeln. Der Proxy klassifiziert dann alle Inhalte, untersucht sie und entschlüsselt sie gegebenenfalls (HTTPS), bevor er sie an den Client durchreicht. Ein Proxyserver von Blue Coat zusammen mit einem ICAP-Scanner (Internet Content Adaptation Protocol) und HTTPS-Proxy würde etwa 20000 Euro kosten. Zum Vergleich: Eine Tightgate-Pro-Appliance für 15 Arbeitsplätze kostet 2900 Euro, für 100 Clients steigt der Preis auf 17200 Euro (davon entfallen rund 8000 Euro auf die Hardware).
Bewertung
Anwender von Tightgate Pro Server sind vor Gefahren aus dem Internet, etwa mobiler Malware und E-Mail-Würmern, sehr sicher. Bei deaktiviertem Filetransfer ist eine Attacke auf den Clientrechner als nicht durchführbar zu betrachten. Der Server eignet sich hervorragend für ein kleines, wenig dynamisches Kundensegment, dessen Clients strenger Kontrolle bedürfen. Der getestete Shuttle-PC ist eine sinnvolle Wahl für mobile Arbeitsgruppen oder kurzfristig eingerichtete Umgebungen, die hohen Sicherheitsanforderungen unterliegen. Größere Arbeitsgruppen verlangen leistungsfähigere Hardware, die M-Privacy aber ebenfalls liefert.
Für dynamische Umgebungen, deren Benutzer (eventuell aus beruflichen Gründen) alle Facetten des Internets inklusive Ton, Medien, Kommunikation und Shared Workspaces nutzen, ist Tightgate Pro Server nicht zu empfehlen. Aber auch in solchen Firmen gibt es oft Benutzergruppen, für die das enge Tightgate-Feature-Set kein Problem darstellt und die dann von dem hohen Schutzniveau profitieren. (fjl)
|
Infos |
|---|
|
[1] M-Privacy: [http://www.m-privacy.de] [2] RSBAC: [http://www.rsbac.org] [3] Amon Ott, “Die Architektur des Linux-Sicherheitssystems Rule Set Based Access Control (RSBAC)”: Linux-Magazin 01/03, S. 48 [4] Amon Ott, “Die Modelle des Linux-Sicherheitssystems Rule Set Based Access Control (RSBAC)”: Linux-Magazin 04/03, S. 61 [5] VNC: [http://www.realvnc.com], [http://www.tightvnc.com], [http://ultravnc.sf.net] und weitere kompatible Produkte [6] Tarantella: [http://www.tarantella.com] [7] Citrix Presentation Server: [http://www.citrix.com/English/ps2/products/product.asp?contentID=186] [8] Mini-PC-Hersteller Shuttle: [http://eu.shuttle.com/de/] [9] Karl-Heinz Haag und Achim Leitner, “OpenSSH aus Sicht des Admin”: Linux-Magazin 05/02, S. 56; 07/02, S. 70 und 09/02, S. 72 [10] Win-SCP: [http://www.winscp.net] [11] Clam-AV: [http://www.clamav.net] [12] Datenschutz-Gütesiegel für Tightgate: [http://www.m-privacy.de/produkte_5_guetesiegel.php] [13] Zertifizierungen durch das BSI: [http://www.bsi.bund.de/zertifiz/itkrit/itsec.htm] [14] FAQ zur ITSEC-Zertifizierung: [http://www.bsi.de/faq/evaluierung.htm] |
|
Der Autor |
|---|
|
Jörg Fritsch studierte Chemie und arbeitete anschließend in den Bereichen Software-Entwicklung und IT-Sicherheit. Seit 2003 ist er Engineer Communication & Information Security bei der NATO-C3-Agentur. Er ist außerdem Autor zahlreicher Fachbeiträge zum den Themen Loadbalancing, TCP/IP und Security. |
