Bundesamt für Sicherheit in der Informationstechnik

M 4.370 Einsatz von Anoubis unter Unix

Verantwortlich für Initiierung: Administrator, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator, Benutzer

Angriffe auf IT-Systeme basieren oft auf dem Missbrauch von Zugriffsrechten. Je großzügiger solche Rechte vergeben werden, desto einfacher werden erfolgreiche Angriffe. Im schlimmsten Fall kann z. B. ein Fehler im Browser oder eine unvorsichtige Einstellung in dessen Konfiguration einem Angreifer vollen Zugriff auf alle Daten eines Anwenders ermöglichen.

Da ein Browser in der Regel mit den Rechten des Benutzers ausgeführt wird, ist der Zugriff auf Daten und Verzeichnisse, auf die er Schreibrechte hat, nicht weiter beschränkt. Hier liegt das Grundproblem: Die Rechtevergabe unter Unix erfolgt oft benutzerbasiert, d. h. sie weist Benutzern individuelle Zugriffsrechte zu. Ein Prozess, der mit den Rechten eines Benutzers ausgeführt wird, besitzt dessen gesamte Rechte. Dadurch hat eine ausgeführte Anwendung wesentlich mehr Rechte, als sie für ihren eigentlichen Zweck benötigt. Ein Benutzer hat in der Regel praktisch keine Kontrolle über die Zugriffsrechte der von ihm ausgeführten Anwendungen. Im Falle von Fehlern in Applikationen sind die Vertraulichkeit, Integrität und Verfügbarkeit der Benutzerdaten unmittelbar bedroht.

Anoubis ist eine freie Software, um Applikationen zu kontrollieren und Anforderungen an die Datenintegrität bei Unix-Systemen durchzusetzen. Dazu werden Anwendungen und Dateien sowie zugehörige Prüfsummen berechnet und digital signiert. Die Verwaltung und Überprüfung der hinterlegten Prüfsummen sollte mit Hilfe der grafischen Benutzeroberfläche von Anoubis durchgeführt werden.

Einsatz von Anoubis

Da es sich bei Anoubis um eine individuell konfigurierbare Lösung mit zahlreichen Komponenten wie Application Level Firewall, Sandbox, Playground und einem sicheren Dateisystem handelt, sollten sich die zuständigen Administratoren mit den Möglichkeiten der Lösung vertraut machen. Nach der Installation schützt Anoubis alle Unix-Rechner, auf denen es installiert ist, zunächst durch eine Standardkonfiguration. Diese sollte mit Hilfe von Richtlinien, die von Anoubis als Policies bezeichnet werden, bedarfsgerecht an unterschiedliche Anwendergruppen oder Anwendungsszenarien angepasst werden. Policies werden unter Anoubis zentral vom Systemadministrator vorgegeben und können von den Benutzern nicht aufgehoben oder umgangen, sondern nur weiter eingeschränkt werden. Vertiefende Informationen zu Policies sind im Installations- und Konfigurationshandbuch von Anoubis zu finden. Um auf unterschiedliche, aber typische Einsatzumgebungen besser reagieren zu können, können auf Basis geeigneter Policies vorgefertigte Profile erstellt werden. Vorgefertigte Profile erleichtern es den Benutzern, das für die jeweilige Einsatzumgebung passende Profil auszuwählen, ohne Policies anfassen zu müssen. Die Administratoren sollten daher geeignete Profile erstellen und die Benutzer in deren korrekte Anwendung einweisen.

Profile können zum Beispiel bei Laptops genutzt werden, die an unterschiedlichen Orten in unterschiedlichen Netzen eingesetzt werden. So sind in Abhängigkeit von der Umgebung und je nach Anforderungen speziell angepasste Policies für folgende Umgebungen denkbar:

  • Büro
    Für die Arbeit im Büro braucht das Profil auf dem Laptop nicht besonders streng zu sein, wenn das lokale Netz durch Sicherheitsgateways geschützt ist und der Benutzer ohne große Einschränkung die internen Dienste nutzen können soll. Zugriffe auf alle möglichen internen und ausgewählten externen Dienste sind in diesem Fall oft erlaubt. Müssen ausgewählte Netzdienste auf dem Client bereitgestellt werden, um beispielsweise den Laptop zu konfigurieren, könnte das Profil so eingestellt werden, dass nur in dieser sicheren Umgebung andere IT-Systeme auf den Laptop zugreifen dürfen.
  • Zu Hause
    Hier gibt es oft kein externes Sicherheitsgateway, das den Laptop schützen könnte. Deshalb könnte hier ein Profil Zugriffe von außen verbieten und nur bestimmten Applikationen Verbindungen ins Internet erlauben. Beispielsweise könnte ein Profil vorsehen, dass nur der Browser HTTP-Verbindungen öffnen, der VPN-Client eine Verbindung ins interne Netz herstellen und der Virenscanner Updates ziehen darf.
  • Fremdes Netz
    Will der Benutzer in öffentlichen Umgebungen, wie z. B. auf einem Flughafen über ein WLAN arbeiten, muss das eingesetzte Profil sehr restriktiv sein. Nur der Browser sollte sich über HTTP in das Internet verbinden dürfen, der E-Mail-Client nur über verschlüsselte Kanäle (POP3s und IMAPs) zum Mail-Hoster, und der VPN-Tunnel sollte nur zur Gegenstelle in der Firma aufgebaut werden dürfen. Alle anderen Verbindungen sollten geblockt werden.

Der Benutzer braucht lediglich das geeignete Sicherheitsprofil in der Benutzeroberfläche auszuwählen und kann dann in jeder Umgebung die vorher festgelegten Vorgaben erfüllen. Eine Einweisung der Benutzer wird empfohlen, um eine korrekte Profil-Auswahl zu gewährleisten.

Kontrolle der Applikationen

Soll für bestimmte Applikationen der Zugriff auf das Netz oder das Dateisystem eingeschränkt werden, so können in Anoubis für diese Applikationen entsprechende Regeln erzeugt werden. Soll der PDF-Reader z. B. keine Updates selbstständig herunterladen oder sollen keine Dateien außerhalb eines vorgegebenen Dateiordners geschrieben werden können, so kann eine entsprechende Regel für eine Application Level Firewall und eine Sandbox angelegt werden, die diese Einschränkungen durchsetzen.

Um sicherzustellen, dass keine gefälschten oder durch ein Schadprogramm eingeschleusten Applikationen ausgeführt werden, sollten solche Dateien mit einer digital signierten Prüfsumme versehen werden. Darüber hinaus müssen in Anoubis SFS-(Sicheres File System)-Regeln eingerichtet werden, die den lesenden Zugriff und die Ausführung von veränderten Dateien, sowie die Ausführung unsignierter Dateien verbietet. Dadurch kann die Applikation nicht mehr ausgeführt bzw. keine gefälschte Konfigurationen mehr eingelesen werden. Je nach Konfiguration von Anoubis können Benutzer bei Verstößen gewarnt werden.

Definition und Nachvollziehbarkeit von Regelsätzen

Anoubis kann über eine grafische Benutzeroberfläche konfiguriert werden. Mit einem Regeleditor können Regelsätze erstellt und geändert werden. Darüber hinaus können Regelsätze für einzelne Anwendungen mit Hilfe eines Regel-Wizards erzeugt werden. Dieser ermöglicht auch unerfahrenen Benutzern, Regelsätze zu erstellen.

Ein Prozessbrowser zeigt erstellte Regelsätze bzw. die Standardkonfiguration für die jeweilig ausgewählte Applikation an.

Abgesicherte Bereiche zum Schutz des Dateisystems

Um zu verhindern, dass Prozesse in das Dateisystem schreiben können, sollten Anwendungen in dafür vorgesehenen abgesicherten Bereichen ("Playgrounds") ausgeführt werden. Wird z. B. ein Browser in einem Playground verwendet, hinterlässt er, nachdem der Playground gelöscht wurde, keinerlei Spuren im Dateisystem.

Sollen einzelne Dateien aus einem abgesicherten Bereich ins Dateisystem übertragen werden, dann muss der Benutzer diesen Transfer willentlich in der Benutzeroberfläche durchführen Dabei sollte ein Datentransfer in das Produktivsystem je nach Bedarf durch einen Virenscanner abgesichert werden. Hierfür müssen geeignete Virenscanner installiert und konfiguriert werden. Darüber hinaus kann der Benutzer am Ende einer Session entscheiden, ob Daten innerhalb des abgesicherten Bereichs behalten oder gelöscht werden.

Prüffragen:

  • Hat sich der Administrator mit allen Möglichkeiten von Anoubis vertraut gemacht?

  • Wurden für unterschiedliche Anwendergruppen oder Anwendungsszenarien geeignete Anoubis-Policies erstellt?

  • Wurden die Benutzer in die Anwendung der Anoubis-Profile eingewiesen?

  • Sind die relevanten Anwendungen und Dateien, die mit Anoubis geschützt werden sollen, mit einer signierten Prüfsumme versehen?

  • Wurden unter Anoubis SFS -Regeln konfiguriert, die den Zugriff auf sensible Dateien oder Anwendungen verhindern, die keine gültige Prüfsumme haben?

  • Sind unter Anoubis für die Benutzung des Playgrounds geeignete Virenscanner installiert und konfiguriert?

Stand: 12. EL Stand 2011