Bundesamt für Sicherheit in der Informationstechnik

G 3.101 Fehlerhafter Einsatz der Gastwerkzeuge in virtuellen IT-Systemen

Bei vielen Virtualisierungsprodukten können in den virtuellen IT -Systemen sogenannte Gastwerkzeuge installiert werden. Mit diesen Gastwerkzeugen können zum Einen die für Betriebssystemvirtualisierung notwendigen Gerätetreiber für virtuelle oder emulierte Geräte wie Netzwerkkarten, Festplatten oder Grafikkarten bereitgestellt werden. Zum Anderen stellen sie für virtuelle Maschinen eine Vielzahl anderer Funktionen bereit. Solche Funktionen sind zum Beispiel:

  • Herunterfahren des Betriebssystems eines virtuellen IT-Systems ohne Interaktion im dem virtuellen IT-System direkt über den Virtualisierungsserver,
  • Austausch des Inhalts der Zwischenablage zwischen der Konsolen-Emulation der virtuellen Maschine und dem Arbeitsplatzsystem des Benutzers,
  • Nahtlose Integration des Mauszeigers des Arbeitsplatzsystems des Nutzers einer virtuellen Maschine mit ihrer Konsolenemulation,
  • Vereinfachtes Laden und Entladen von Datenträgern in die virtuellen IT-Systeme. Dies können physische Disketten-, CD - oder DVD -Laufwerke, aber auch Abbilddateien von solchen Datenträgern sein (ISO-Images).

Diese Funktionen steigern die Bedienbarkeit der virtuellen IT-Systeme durch einen Benutzer und ermöglichen weiterhin eine automatisierte Verwaltung des Betriebszustands (Ein-/Ausschalten, Hoch- und Herunterfahren) virtueller IT-Systeme durch den Virtualisierungsserver.

Herunterfahren des Systems ohne Anmeldung / Interaktion

Wird die Funktion zum Herunterfahren eines IT-Systems durch einen Administrator des Virtualisierungsservers genutzt, werden gegebenenfalls restriktivere Konfigurationseinstellungen innerhalb des virtuellen IT-Systems selbst umgangen oder Richtlinien verletzt, die einen Neustart oder ein Herunterfahren ohne eine korrekte Autorisierung verbieten.

Zugriff auf CD- / DVD-Laufwerke oder Diskettenlaufwerke

Des Weiteren erlauben die Gastwerkzeuge bei entsprechender Konfiguration den direkten Zugriff auf Laufwerke des Virtualisierungsservers. So kann beispielsweise der Zugriff auf das im Virtualisierungsserver angeschlossene, physische CD-Laufwerk von einem virtuellen IT-System aus möglich sein. Auf eine CD-ROM mit vertraulichen Daten, die in das Laufwerk des Virtualisierungsservers eingelegt wurde, um die darauf enthaltenen Daten auf ein bestimmtes virtuelles IT-System zu übertragen, kann daher auch von anderen virtuellen Instanzen aus zugegriffen werden. Die Vertraulichkeit der Daten ist gefährdet, da möglicherweise die Daten von unberechtigten Personen gelesen wurden.

Bei einigen Virtualisierungsprodukten kann auch die CD- oder DVD-Laufwerksschublade des Virtualisierungsservers über die Gastwerkzeuge von einem virtuellen IT-Systeme aus geöffnet werden, wenn sie entsprechend konfiguriert sind. Das Laufwerk könnte beschädigt werden, wenn es beispielsweise gegen die Tür des Serverschrankes stößt oder von einer Zierblende am Servergehäuse gestoppt wird.

Beispiele:

  • In einem mittelständischen Unternehmen werden mehrere Virtualisierungsserver eingesetzt. Auf diesen Servern werden mehrere virtuelle IT-Systeme betrieben. Einige davon gehören zu einem ERP -System, auf dem sämtliche kaufmännischen Anwendungen des Unternehmens betrieben werden. Dieses ERP-System wird nicht durch die gleichen Administratoren verwaltet wie die Virtualisierungsserver. Da für die Server, die zum ERP-System gehören, ein hoher Schutzbedarf festgestellt worden ist, dürfen diese Systeme nur heruntergefahren werden, wenn ein Wartungszeitraum mit den Nutzern des ERP-Systems vereinbart worden ist. Weiterhin dürfen die Server nur von dazu besonders berechtigten Administratoren heruntergefahren werden, was durch den jeweiligen Administrator des Weiteren protokolliert und dokumentiert werden muss. Um diese Richtlinie technisch umzusetzen, wurde im Betriebssystem der virtuellen IT-System die Berechtigung, die einzelnen ERP-Systeme zu stoppen, nur an die ERP-Administratoren vergeben. Weiterhin wurde das Betriebssystem so konfiguriert, dass es den Administrator zwingt, vor dem Herunterfahren den Grund dafür anzugeben.
    Bei einem der Virtualisierungsserver fällt nun ein Lüfter aus. Dies ist zwar für die Funktion des Servers nicht direkt kritisch, der defekte Lüfter sollte jedoch unverzüglich ausgetauscht werden. Der Administrator des Virtualisierungsservers vereinbart dazu mit einem Servicetechniker des Serverherstellers einen Termin für die Reparatur. Der Techniker des Herstellers erscheint am nächsten Tag im Laufe des Vormittags. Er hat das benötigte Ersatzteil dabei und möchte sofort mit der Reparatur beginnen, da er noch weitere Termine hat. Für den Austausch des Lüfters muss der Virtualisierungsserver ausgeschaltet werden. Der Administrator des Virtualisierungsservers fährt den Virtualisierungsserver nun über die Verwaltungskonsole herunter. Dabei werden alle virtuellen IT-Systeme ebenfalls über die Gastwerkzeuge automatisch heruntergefahren. Die Gastwerkzeuge fahren die Systeme ohne die erforderliche Protokollierung herunter und überprüfen auch nicht, ob der Administrator überhaupt die Berechtigung dazu hatte. Nach der Reparatur schaltet der Administrator den Virtualisierungsserver wieder ein und fährt alle virtuellen IT-Systeme wieder hoch.
    Während der Reparatur stehen wichtige Teile des ERP-Systems nicht zur Verfügung und es kommt zu einem großen Arbeitszeitverlust, da einige Mitarbeiter ihre Arbeit nicht erledigen können. Die Administratoren des ERP-Systems werden von der Geschäftsleitung des Unternehmens gerügt, da sie die Richtlinien missachtet haben sollen und nicht dafür gesorgt haben, dass die ERP-Systeme ausschließlich von berechtigten Administratoren heruntergefahren werden können, sowie Protokollierungsvorschriften ignoriert wurden.
  • Der Administrator eines virtuellen IT-Systems hat Langeweile und erforscht dabei die Funktionen der auf dem virtuellen IT-System installierten Gastwerkzeuge. Er findet dabei die Funktion zum Verbinden und Trennen von physischen CD- oder DVD-Laufwerken des Virtualisierungsservers. Da er nicht weiß, dass das Öffnen der Laufwerksschublade im virtuellen IT-System tatsächlich zum Öffnen der physischen Laufwerkschublade des Virtualisierungsservers führt, spielt er mit der entsprechenden Funktion herum.
    Ein Techniker, der sich zu dieser Zeit im Serverraum befindet und Arbeiten an einem mit dem Virtualisierungsserver benachbarten IT-System durchführt, bemerkt das offene Laufwerk nicht und bleibt mit seinem Ärmel an der Schublade hängen. Dabei wird das Laufwerk beschädigt und muss ausgetauscht werden.

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK