Aus Linux-Magazin 07/2008

UTM-Appliance auf einem USB-Stick schützt Windows-Rechner vor Attacken

© Schmecko, Fotolia.de

Ein kompletter Linux-Rechner in Form eines USB-Sticks: Yoggie setzt diese Hardware ein, um einzelne Windows-Rechner umfassend zu schützen. Doch nicht alles funktioniert wie gedacht.

Das Konzept verblüfft: Im kompakten USB-Stick Yoggie [1] steckt eine komplette Linux-basierte UTM-Appliance mit einer 520-MHz-CPU, 128 MByte RAM und 135 MByte Flash-Speicher (siehe Kasten “Yoggie-Autopsie”). Zum Test lagen drei Gatekeeper Pico vor. Hinter dem Begriff UTM (Unified Thread Management) verbirgt sich eine Kombination aus etlichen Netzwerk-Sicherheitstechniken [2], die der kompakte Stick in sich vereint.

Der Hersteller Yoggie Security Systems vertreibt die Gatekeeper-Reihe [3] neben der USB-Variante auch als Express Card, aktive USB-Ethernet-Karte oder als eigenständige Appliance. Die USB-Stick-Ausführung Gatekeeper Pico gibt es zudem in der Personal- und der Pro-Edition für Firmen sowie in einer abgespeckten Version als Firestick Pico. Preislich liegen die drei Modelle nahe beieinander mit 120, 150 und 200 US-Dollar.

Die Pico-Familie schützt derzeit nur Windows-XP- und Vista-Systeme; gedacht ist diese Ausführung primär für Notebooks. Die Pico-Geräte haben keine eigenen Netzwerkanschlüsse. Sie erhalten die Daten direkt vom Host und reichen die geprüften Pakete wieder zurück an Windows. Dazu ist ein eigener Treiber nötig, den Yoggie derzeit nur für XP und Vista anbietet. Der große Vorteil dieser Technik ist, dass der Gatekeeper Pico mit jeder Netzwerkverbindung klarkommt, sei es Ethernet, WLAN oder gar Infrarot.

Das technische Konzept ist einfach: Per Installation schiebt sich der Yoggie-Treiber in der NDIS-Schicht (Network Driver Interface Specification, [5]) zwischen den TCP/IP-Protokollstack des Windows-Systems und die lokal vorhandenen Netzwerkadapter (Abbildung 1). Er sorgt dafür, dass die gesamte Netzwerkkommunikation nur noch über die Yoggie-UTM-Appliance im USB-Stick möglich ist.

Abbildung 1: Der Yoggie-Treiber fängt eintreffende Pakete in der Hardware-nahen NDIS-Schicht ab und reicht sie ans USB-Gerät weiter. Die vom Yoggie-Stick gefilterten Daten erreichen übers virtuelle Ethernet-Interface wieder den PC.

Abbildung 1: Der Yoggie-Treiber fängt eintreffende Pakete in der Hardware-nahen NDIS-Schicht ab und reicht sie ans USB-Gerät weiter. Die vom Yoggie-Stick gefilterten Daten erreichen übers virtuelle Ethernet-Interface wieder den PC.

Yoggie Gatekeeper
Pico


Gerätetyp: USB-Stick mit eingebettetem PC als Firewall-Appliance

Hersteller: Yoggie Security Systems [1]

Getestete Version: Yoggie Gatekeeper Pico, Software 1.3.9

Yoggie-Betriebssystem: Linux-Basis mit Kernel 2.6.16.16, P3Scan 2.3.2, Open Swan 2.4.6rc5, Ifplugd 0.28 und Netfilter 1.3.5 sowie modifizierten Snort 2.4.4 und HAVP 0.86 [4]. Dazu kommen kommerzielle Module wie Kaspersky AV, Mailshell und Surfcontrol.

Host-Betriebssysteme: Der Gatekeeper Pico arbeitet nur mit Windows XP und Vista, da er auf Host-Seite einen eigenen Treiber benötigt.

Preis: 150 US-Dollar inklusive ein Jahr Updates. Jedes weitere Jahr kostet 30 Dollar.

Eigener Treiber

Der Treiber greift die Daten auf NDIS-Ebene ab, noch bevor sie an den komplexen TCP/IP-Stack von Windows gehen, und reicht sie an Yoggie weiter. Für den Weg vom USB-Stick zurück in den Host installiert der Treiber einen virtuellen Netzwerkadapter mit eigener IP-Adresse und eigener Netzmaske. Die Yoggie-Appliance verrichtet alle sicherheitsrelevanten Aufgaben und kümmert sich um NAT (Network Address Translation).

Auch der Rückweg von Windows ins Netz läuft wieder durch Yoggie – diesmal vom virtuellen Interface zum USB-Stick, der den Netzwerkverkehr wieder filtert und dann durch den Windows-Treiber zum physikalischen Netzwerkadapter schickt (etwa UTP oder WLAN). Abbildung 2 zeigt die Topologie des neu entstandenen Mikronetzwerks.

Abbildung 2: Die Netzwerkkarte im PC hat die externe IP-Adresse 172.16.1.3. Deren Daten reicht der Treiber über USB an den Stick weiter. Yoggie arbeitet als NAT-Gateway und spricht den PC mit dessen interner Adresse 192.168.10.200 an.

Abbildung 2: Die Netzwerkkarte im PC hat die externe IP-Adresse 172.16.1.3. Deren Daten reicht der Treiber über USB an den Stick weiter. Yoggie arbeitet als NAT-Gateway und spricht den PC mit dessen interner Adresse 192.168.10.200 an.

Nach der Treiberinstallation bestätigt ein Yoggie-Icon in der Taskbar, dass das System einsatzbereit ist. Da Yoggie ein eigenständiger Computer ist, muss er auch booten. Dies erfolgt ganz automatisch nach dem Einstecken in den USB-Port und dauert ungefähr eine halbe Minute. Drei Kontrolllämpchen zeigen an, ob der Stick mit dem Bootvorgang schon fertig ist. Anschließend bringt er seine Software und alle Engines und Patterns (Antivirus, Spam-Abwehr) auf den aktuellen Stand. Dazu öffnet der USB-Stick einen SSL-Tunnel zum Update-Server der Firma Yoggie.

Yoggie-Autopsie

Dass eines der drei Testgeräte bereits 20 Minuten nach dem ersten Einschalten den Dienst quittierte, mag Zufall sein – es war jedenfalls ein willkommener Anlass, das Gerät im Labor zu sezieren. Nach dem Öffnen des Gatekeeper Pico zeigten sich zwei doppelseitige Platinen (auf Abbildung 3 noch mit einer Steckverbindung verbunden) mit einer 520-MHz-CPU von Intel (XScale PXA270), 128 MByte SDRAM und 135 MByte Flash-Speicher (128 MByte Nand plus 8 MByte Nor). Die gleiche CPU kommt zum Beispiel in einigen Blackberry-Modellen zum Einsatz. Sie ist zwar seit etwa drei Jahren auf dem Markt, aber immer noch aktuell.

Hardware und Architektur des Gatekeeper Pico überzeugen und auch der Preis (ab 150 US-Dollar) lässt bei dieser Architektur aufhorchen. Es ist verwunderlich, wie Yoggie es schafft, diese Hardware zu so günstigen Preisen abzugeben. Noch interessanter wäre das Produkt allerdings in Form einer offenen Linux-Appliance, die der Besitzer auch selbst installieren und konfigurieren darf. Das gäbe ihm die Möglichkeit, zum Beispiel einen kleinen Webserver, eine Groupware, einen CVS-Server und mehr in der Westentaschen zu transportieren und an verschiedenen Host-Rechnern zu betreiben.

Abbildung 3: Das Innenleben des Yoggie Gatekeeper Pico besteht aus zwei kleinen Platinen, die einen kompletten Mini-PC beherbergen.

Abbildung 3: Das Innenleben des Yoggie Gatekeeper Pico besteht aus zwei kleinen Platinen, die einen kompletten Mini-PC beherbergen.

UTM-Funktionen

Laut Produktbeschreibung stecken im Yoggie Gatekeeper dreizehn Sicherheitsapplikationen. Zu den Open-Source-Komponenten [4] gehören IPtables/Netfilter als Stateful Firewall, der HTTP-Antivirus-Proxy HAVP, ein SMTP-Proxy und etliche mehr. Daneben gibt es einige kommerzielle Applikationen: Snort sowie Sourcefire-VRT-Regeln als IDS/IPS, die Kaspersky-Engine zum Prüfen auf Viren und Spyware, die Mailshell, die Spam- und Phishing-Mails erkennt und markiert, sowie die Surfcontrol-Software als Webcontent-Filter.

Die Pflicht als Paketfilter erfüllt Yoggie zwar, aber leider verwehrt die per Browser erreichbare grafische Oberfläche (Abbildung 4) den Blick auf die tatsächlich gesetzten Filterregeln. Einen Laien würden diese Informationen zwar eher verwirren, insofern ist es sinnvoll, sie per Default auszublenden. Profis brauchen aber die Gewissheit, dass eine Firewall ihre Policy auch korrekt umsetzt. Dabei leistete sich der Yoggie Gatekeeper im Test auch prompt einen dicken Fehler, siehe Kasten “Durchlässige Firewall”.

Abbildung 4: Die Firewall-Einstellungen sind im Webinterface des Yoggie-Sticks schnell erledigt. Leider verschweigt es aber die exakten »iptables«-Kommandos.

Abbildung 4: Die Firewall-Einstellungen sind im Webinterface des Yoggie-Sticks schnell erledigt. Leider verschweigt es aber die exakten »iptables«-Kommandos.

Durchlässige
Firewall

Im Test fand der Autor eine dicke Sicherheitslücke des Yoggie Gatekeeper Pico (Version 1.3.8), mit der ein Angreifer die Firewall umgehen und das Zielsystem direkt angreifen konnte. Einzige Voraussetzung war, dass sich der Angreifer im gleichen Subnetz befindet wie das physikalische Interface des Zielsystems. Das kann innerhalb eines Firmen-LAN sein, aber auch beim Ethernet-Zugang im Hotel oder dem WLAN am Flughafen. Genau in diesen eher feindlichen Umgebungen ist der Yoggie-Schutz aber gefragt. Der Testangriff erfolgte in vier Schritten:

Schritt 1: Bei einem Nessus-Scan des Yoggie-geschützten Systems erscheint die IP-Adresse des physikalischen Interface perfekt geschützt – das System reagiert auf kein Paket. Nur ein UDP-Traceroute entlarvte überraschenderweise die interne IP-Adresse des Yoggie-Sticks, also die Adresse über die der Stick mit dem Host-System kommuniziert.

Schritt 2: Ein Scan auf die interne Adresse ist zunächst nicht möglich, da deren Subnetz nicht bekannt und nicht geroutet ist. Die Tester wählten eine passende 16er Netzmaske, die auf jeden Fall passt, und setzten auf dem angreifenden System eine Route zum Subnetz. Als Gateway-IP diente die Adresse des physikalischen Interface des geschützten Systems.

Schritt 3: Ein Nmap-Scan über das neu geroutete 16er Subnetz lieferte zwei Adressen: die interne IP der Yoggie-UTM-Appliance und die des neuen virtuellen Host-Adapters.

Schritt 4: Der abschließende Nessus-Scan auf beide IP-Adressen zeigte den Sicherheits-GAU: Nessus sieht den ungefilterten Zustand des Host-Systems so, als würde Yoggie nicht existieren. Ein Angreifer könnte ungehindert jede Lücke des Host-Systems ausnutzen.

Der Autor berichtete die Sicherheitslücke sofort an Yoggie (in der Nacht vom 16. auf den 17. März 2008), woraufhin der Hersteller innerhalb von 36 Stunden ein Update auf Version 1.3.9 entwickelte, das den Fehler auch behob. Diese Reaktionszeit ist vorbildlich; ganz anders allerdings die Informationspolitik. Auf mehrfache Nachfrage, wann Yoggie ein Advisory zu der Lücke herausgibt, reagierte die Firma ablehnend: Die Yoggie-Software spiele jedes Update automatisch sofort ein, das sei viel mehr, als ein klassisches Advisory leisten könne. Der einzige Hinweis auf das Sicherheitsdesaster versteckt sich im History-File zur Firmware [9]:

1.3.9 (18 March 2008)
-------------------------------
Fixed:
------
Issue #1008: Critical security update; device hardening including network interfaces and improved Firewall stealth mode

Die Argumentation überzeugt aber nicht. Hat ein Stick keine Onlineverbindung, bleibt das System verwundbar, selbst bei einer Verbindung bleibt ein Zeitfenster, in dem der Host verwundbar ist. Da der Angreifer sowieso aus dem LAN kommen muss, sind durchaus Situationen denkbar, in denen ein Gatekeeper kein Update einspielen kann, das System aber Angriffen ausgesetzt ist. Auch erlaubt es der Corporate-Modus dem Admin, zu steuern, welche Updates seine Sticks einspielen – aus obigem knappen Hinweis kann niemand die Tragweite der Lücke erkennen. Selbst zwei Monate später hat Yoggie den Fehler nicht weiter publiziert.

Technischer Hintergrund

Eine exakte Erklärung für die Verwundbarkeit blieb Yoggie zunächst schuldig, bestätigte auf mehrere Rückfragen dann aber die Vermutungen des Autors und des Linux-Magazins. Der Gatekeeper arbeitet im Grunde wie eine herkömmliche Linux-Firewall als NAT-Router, einzig die Anbindung an das Windows-System fällt aus dem Rahmen. Damit gelten für die Firewallkonfiguration alle üblichen Vorsichtsmaßnahmen. Der Yoggie-Stick erzeugte Netfilter-Regeln aber offenbar ohne Interface-Angaben: Es fehlten die »-i«- und »-o«-Parameter, daher galten die Regeln nur für IP-Adressen.

Der Beispielangriff hatte zur Folge, dass Pakete am externen Interface eintreffen, die sich direkt an die interne Adresse richten. Diese Pakete hat das Routing im Linux-Kernel korrekt zugestellt, ohne dass eine Firewallregel es daran gehindert hätte.

Ausgesperrt

Trotz aller Beschränkungen der Konfigurationsoberfläche gelang es im Test, eines der Geräte so zu verkonfigurieren, dass es den Zugang verweigerte. Da ein Stick bereits früher ausgefallen war, blieb nur noch ein voll funktionsfähiges Gerät übrig. Bei der Fehlkonfiguration hatte der Tester als internes Yoggie-Netzwerk die Adresse 195.169.118.0 mit der Netzmaske 255.255.255.0 eingetragen. Allerdings ist das kein privater Adressblock, folgerichtig hat das Yoggie-GUI die Einstellung automatisch auf 192.168.118.0/24 korrigiert. Der Stick bootete brav und funktionierte auch weitgehend, nur das Admin-GUI war nicht mehr erreichbar.

Der Webfilter in der Gatekeeper-Appliance basiert auf Surfcontrol. Die Software setzt eine firmeninterne Webpolicy um. Wenn ein Benutzer versucht – absichtlich oder versehentlich – unerlaubte Inhalte anzusurfen, präsentiert ihm der Filter eine Warnmeldung statt der Webseite. Derzeit lässt sich die Fehlermeldung aber nicht verändern. Sinnvoll wäre, wenn ein Unternehmen sie anpassen und gegebenenfalls die Mailadressen und Telefonnummern der IT-Abteilung hinterlegen könnte, bevor es die Yoggie-Sticks an seine Außendienstmitarbeiter verteilt. Sollte der Webfilter eine Seite zu Unrecht unterdrücken, bräuchte der Anwender vermutlich Unterstützung.

Der eingesetzte Surfcontrol Mobile Filter ist ein klarer Pluspunkt, der durchaus mit dem im Enterprise-Markt etablierten Websense Remote Client mithält. Als Damoklesschwert hängt über dieser Lösung allerdings, dass Websense die Firma Surfcontrol im Januar 2008 aufgekauft und prompt den Surfcontrol-Webfilter zum 8. Januar 2008 eingestellt hat. Websense verspricht immerhin, für Bestandskunden die URL-Datenbank noch bis Dezember 2011 zu pflegen [8].

Vor Malware, die durch verschlüsselte Verbindungen (etwa HTTPS) aus dem Web auf den Laptop drängt, schützt der Gatekeeper freilich nicht. Interessanterweise liefert Yoggie bei jedem Gatekeeper eine Jahreslizenz für die Desktopversion des Kaspersky-AV-Scanners mit. Da er direkt auf dem Laptop scannt, schützt der Scanner wie eine zweite Verteidigungslinie vor Viren, die über HTTPS kommen.

Werben mit dem Pentagon

Die Marketingstrategen von Yoggie werben auch mit einer Layer-8-Engine, die den Kunden vor bisher unbekannten Zero-Day-Attacken schützen soll. Die Technologie wurde laut Yoggie zum Patent angemeldet. Doch verwirrt dieser Slogan, schließlich hat das OSI-Schichtenmodell nur sieben Layer. Yoggie verspricht auf der Verpackung “Pentagon level protection in the palm of your hand”. Auf Nachfrage gab die israelische Firma Yoggie Security Solutions aber an, nichts mit dem Pentagon zu tun zu haben und dass das Pentagon auch kein Referenzkunde sei. Dieser Satz solle nur andeuten, wie revolutionär das Produkt sei.

Tatsächlich müsste ein Produkt, das im Pentagon zum Einsatz kommt, vorab Tests bestehen und bestimmte Zertifizierungen (etwa Common Criteria, EAL, FIPS) aufweisen, die beim Yoggie Gatekeeper Pico nicht vorliegen. Bei manchen IT-Sicherheitsprodukten verlangt das Pentagon, dass sie in den USA hergestellt werden. Yoggie produziert den Gatekeeper jedoch in China. Im Kern hinterlässt die großspurige Pentagon-Aussage einen schlechten Eindruck, solange sie nicht mit Fakten belegt ist.

Abseits der markigen PR-Sprüche liefert Yoggie immerhin handfeste Sicherheitstechniken sowie gute Spam- und Phishing-Erkennung. Per Default markiert der Gatekeeper ankommende unerwünschte Mail im Betreff mit »[SPAM]«, »[POSSIBLY SPAM]« oder »[PHISHING]«. An dieser Stelle setzt Yoggie auf die Mailshell-Engine [6] und den Open-Source-SMTP-Proxy ProxSMTP.

Spam und Phishing

Die Antiphishing-Funktion konnte im Test überzeugen. Um die Antispam-Funktion zu untersuchen, haben die Tester eigene E-Mail-Accounts eingerichtet und jeweils zu einer [spamcop.net]-Mailbox gespiegelt. Das Yoggie-Ergebnis war besser als der Spamcop-Service mit einer Spam-Erkennung von knapp 100 Prozent, allerdings brachte Yoggie ein bis zwei Prozent False Positives (fälschlich als Spam markierte Ham-Mail) beim Gebrauch von Mailinglisten.

Für den Hausgebrauch sowie kleine und mittelgroße Unternehmen genügt der Spamfilter. Mit dem Enterprise-Segment kann er aber nicht konkurrieren. Zum Vergleich: Cisco Ironport [7] leistete sich in einem ausgiebigen Praxistest nur einen einzigen False-Positive-Fall auf 109 Millionen Mails.

IDS und IPS

Als Intrusion-Detection- und Prevention-System setzt Yoggie auf Snort und Sourcefire-Regeln. Dieses Gespann ist technisch erstklassig, leider fehlt hier – wie auch beim Webfilter – eine Möglichkeit, die Software an eigene Gegebenheiten anzupassen. Im Test mit den Defaulteinstellungen »Medium Security« war es unmöglich, Mail über den Server im Labor zu senden, der auf TCP-Port 2525 arbeitet. Der Benutzer erhielt keine Meldung darüber, dass das Yoggie-IPS die ausgehende Verbindung blockierte. Andere Personal Firewalls informieren per Popup-Fenster über solche Aktionen.

Nach einigem Suchen fanden die Tester in den Logdateien des Yoggie die Meldung »Suspicious 220 Banner on Local Port Detection of a non-standard protocol or event« (Abbildung 5). Ihnen blieb nur, das IPS für den gesamten Mailverkehr abzuschalten. Es war nicht möglich, nur die eine Signatur abzuschalten, die diese False-Positive-Aktion verursachte.

Abbildung 5: Im Logfile versteckt sich der einzige Hinweis, warum der E-Mail-Versand über einen Mailserver scheitert, der völlig legal auf Port 2525 läuft.

Abbildung 5: Im Logfile versteckt sich der einzige Hinweis, warum der E-Mail-Versand über einen Mailserver scheitert, der völlig legal auf Port 2525 läuft.

An der Frage, wie weit die Konfigurierbarkeit eines Security-Systems sinnvollerweise geht, scheiden sich sowieso die Geister. Yoggie wendet sich augenscheinlich an den wenig versierten Laien. Diese Zielgruppe wäre mit aufwändigen Detaileinstellungen schlicht überfordert, insofern ist die künstliche Beschränkung durchaus sinnvoll. Es gibt aber auch Außendienst- und Heimarbeiter, die dank einer so kompakten Appliance viel sicherer an das Firmennetz anbindbar wären als mit einer reinen Softwarelösung. Yoggie positioniert sein Produkt auch im entsprechenden Markt, mit einer VPN-Funktion und dem Corporate-Modus, in dem eine Firma Hunderte oder Tausende Yoggie Gatekeeper Pico Pro vorkonfiguriert und zentral über den Yoggie Management Server (YMS) verwaltet. Leider war der YMS zum Test noch nicht fertig.

Corporate-Anwender behandelt Yoggie anders als normale Endkunden. Während sich der Yoggie Gatekeeper Pico ungefragt sofort aktualisiert, wenn Yoggie eine neue Firmware bereitstellt, behalten Firmenkunden laut Aussage des Herstellers die Kontrolle und können am YMS selbst entscheiden, ob und wann die verwalteten Pico Pro ein Update einspielen.

Verblüffendes Gerät

Der Yoggie Gatekeeper Pico überraschte die Tester doppelt: Im positiven Sinn durch sein interessantes Konzept und die überzeugende Hardware, im negativen durch die gefundenen Fehler. Keine Software ist tadellos, aber wenn sich in einem Sicherheitsprodukt die Firewall aushebeln lässt, spricht das gegen das Gerät. Im Vergleich dazu ist der Konfigurationsfehler verzeihlich, da er den Stick nur unbedienbar machte.

Jenseits der gefundenen Mängel hat die Mini-Appliance ein positives Bild hinterlassen. Bisher waren UTM-Appliances sperrig und im besten Fall Rack-mountable. Der Markt entwickelt sich derzeit eher in Richtung Integration. Viele Stand-alone-Sicherheitslösungen werden aufgekauft, auseinandergenommen und in größere Produktlinien integriert. Yoggie hingegen führt eine neue Stand-alone-Sicherheitslösung ein. Die schützt besser als eine herkömmliche Personal Firewall, dafür muss der Benutzer auf Reisen zusätzliche Hardware mit sich herumtragen, die kaputtgehen oder verloren gehen kann. Ob er dem Produkt trotz der – inzwischen behobenen – Sicherheitslücken traut, muss jeder potenzielle Käufer für sich entscheiden. (fjl)

Infos

[1] Yoggie: [http://www.yoggie.com]

[2] Jörg Fritsch, “Collax Security Gateway – Firewall mit vielen UTM-Funktionen”: Linux-Magazin 01/08, S. 94

[3] Yoggie-Produktlinie: [http://www.yoggie.com/comparison.shtml]

[4] Open-Source-Komponenten im Yoggie: [http://www.yoggie.com/opensource]

[5] NDIS Developer’s Reference: [http://www.ndis.com]

[6] Mailshell: [http://www.mailshell.com]

[7] Ironport: [http://www.ironport.de]

[8] Surfcontrol: [http://www.websense.com/acquisition/surfcontrolCustomers.html]

[9] Firmware-History: [http://www.yoggie.com/PDF/Firmware-Version-History.txt]

Der Autor

Jörg Fritsch studierte Chemie und arbeitete in den Bereichen Software-Entwicklung und IT-Sicherheit. Seit 2003 ist er Engineer Communication & Information Security bei der NATO-C3-Agentur. Er ist Autor zahlreicher Fachbeiträge zu den Themen Load Balancing, TCP/IP und Security.

LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben