A I - Das Sicherheitskonzept

Einleitung
Der vorrangige Einsatzbereich von TightGate™-Pro ist die Nutzung des Internet zur Recherche und E-Mail-Kommunikation von Arbeitsplätzen mit erhöhtem Schutzbedarf. Dabei kann der erhöhte Schutzbedarf nicht nur aus der Art der intern verarbeiteten Daten oder aus gesetzlichen Vorgaben resultieren, sondern auch dem Umstand geschuldet sein, dass interne Fachanwendungen (z.T. Spezialsoftware) bestimmte (unsichere!) Software-Konfigurationen voraussetzen.

Das Konzept
Das Konzept von TightGate™-Pro zur Erreichung eines hohen Sicherheitsniveaus basiert auf dem Zusammenspiel mehrerer Sicherheitskomponenten und Prinzipien deren wichtigste im Folgenden kurz skizziert werden sollen:

Gehärtetes Server-Betriebssystem
1. Bereits bei der sorgfältigen Zusammenstellung der Software wurde die Auswahl auf notwendige Funktionalitäten und Dienste beschränkt.
2. Die Auswahl fiel dabei bevorzugt auf Daemons, welche auf Sicherheit optimiert wurden.
3. Der Kern des Linux-basierten Betriebssystems wurde um ein feingranuliertes Rechtemanagement erweitert. Das dabei eingesetzte RSBAC-System ist eines der weltweit anerkanntesten und umfangreichsten. Es folgt dem Generalized Framework for Access Control (GFAC)-Standard.
4. Die Kern-Sicherheitserweiterung PaX bietet generischen Schutz gegen die meisten Buffer-Overflow-basierten Angriffe.
5. Eine weitere Ergänzung des Kerns sorgt für eine zufällige Vergabe von Prozess-IDs – deren übliche Vorhersagbarkeit ermöglicht die Ausnutzung vieler Programmschwächen, insbesondere bei Temporär-Dateien.
6. Alle quell offenen Programme wurden mit sicherheitsoptimiertem Compiler neu übersetzt.
Abbildung organisatorischer und rechtlicher Vorgaben
1. Alle Daemons laufen mit angepassten RSBAC-Rollenrechten, welche u. a. für Netzwerkzugriffe nur positiv definierte Aktionen zulassen.
2. Die Administrationsrechte wurden in bereichsspezifische Rollen aufgeteilt – es gibt keinen allmächtigen Superuser mehr.
3. Lokale Firewall-Regeln nach dem Minimal-Prinzip verhindern IP-Spoofing, unerwünschte Verbindungsaufbauten und Sicherheitsrisiken durch vertauschte Netzwerkkabel.
4. Bereits implementierte zweckgebundene Rollen (z.B. Revision/DSB) erleichtern die Aufgabenerfüllung und setzen organisatorische und rechtliche Vorgaben verbindlich um. (”Abbildung von Recht in Technik”). Ein grafisches Hilfsmenü erlaubt eine zielgerichtete Inspektion ohne viel Lernaufwand.
5. Revisionssichere Protokollierung aller sicherheitsrelevanten Änderungen von Systemeinstellungen.
6. Zugriff auf Backup-Daten und eigenständige Rücksicherung durch den jeweiligen Benutzer und optionale Verschlüsselung des Backups, sobald es das gesicherte System verlässt.
7. Unterstützung von Log-Pseudonymisierung und (optional) externem Logserver.
TightGate™-Pro ist stellvertretende Ausführungsumgebung (sog. „Arbeitsplatz-Proxy“)
1. Interpreter-Programme mit Internetfunktionalität (Browser, Mail-Client und Viewer) werden stellvertretend in sicherer Umgebung ausgeführt und vom Arbeitsplatz aus fern bedient.
2. Ein Programm im internen Netz (Intranet) kann nicht direkt auf Programme mit Internetfunktionalität zugreifen (Datenabfluss, Fernsteuerung, etc.)
3. Ein Programm im Intranet kann über den TCP/IP-Stack nicht direkt mit dem Internet kommunizieren.
4. Ein sich im Intranet ausbreitender Virus o. ä. kann sich praktisch nicht auf den TightGate-Pro-Server verbreiten (und somit die Funktionalität nicht stören).
5. Ein im internen Netz installiertes Programm mit bekannten Sicherheitslücken führt nicht zur Angreifbarkeit durch externe Angreifer.
6. Alle Benutzer sind vollständig voneinander getrennt und unterliegen Ressourcen-Beschränkungen. Ein erfolgreicher Angriff auf einen Benutzer-Zugang kann somit die Sicherheit der anderen nicht beeinträchtigen. Eine einfache Wiedereinrichtung des Benutzers mit anschließender eigenständiger Wiederherstellung der Daten aus dem letzten Backup erlaubt eine sehr schnelle Wiederaufnahme der unterbrochenen Internetkommunikation mit minimalem Administrationsaufwand.
7. Jeder versuchte Regelverstoß (z.B. bei einem Angriff) wird auf TG™-Pro abgewehrt und protokolliert und gibt dem Administrator Zeit, den Verstoß zu analysieren.
8. Sollte ein Angriff auf den TightGate™-Pro erfolgreich sein, so besteht für den Angreifer noch keine Möglichkeit, auf Daten im Intranet zuzugreifen.

Interpreter
Die Browser, Mail-User-Agents, Entpacker und Viewer lassen sich als “Interpreter” zusammenfassen. Sie müssen die empfangenen Daten darstellen oder umwandeln. Auf der Anwendungsebene ist dies der Weg, über den Angriffe durch manipulierte Daten erfolgen. Eine Sicherheitslücke in einem der Interpreter hätte auf dem internen Arbeitsplatz-Rechner möglicherweise weitreichende Folgen: -Lesen, Löschen oder Verändern von Daten oder Programmen lokal oder im Netzwerk -Belauschen (sog. “sniffen”) von Netzwerkverbindungen und Tastatureingaben -Verbreitung auf andere erreichbare Rechner Da der betroffene Rechner selbst die Möglichkeit hat ins Internet zu kommunizieren bestehen auch noch folgende Gefahren: -Fernsteuerung/Fernwirken auf dem Rechner durch entfernten Angreifer -Einrichtung einer dauerhaften Hintertür (resistent gegen Sicherheits-Updates!) -Rückfluss gesammelter Daten an Angreifer (Spionage)

Interpreter

Die Browser, Mail-User-Agents, Entpacker und Viewer lassen sich als “Interpreter” zusammenfassen. Sie müssen die empfangenen Daten darstellen oder umwandeln. Auf der Anwendungsebene ist dies der Weg, über den Angriffe durch manipulierte Daten erfolgen. Eine Sicherheitslücke in einem der Interpreter hätte auf dem internen Arbeitsplatz-Rechner möglicherweise weitreichende Folgen:
-Lesen, Löschen oder Verändern von Daten oder Programmen lokal oder im Netzwerk
-Belauschen (sog. “sniffen”) von Netzwerkverbindungen und Tastatureingaben
-Verbreitung auf andere erreichbare Rechner
Da der betroffene Rechner selbst die Möglichkeit hat ins Internet zu kommunizieren bestehen auch noch folgende Gefahren:
-Fernsteuerung/Fernwirken auf dem Rechner durch entfernten Angreifer
-Einrichtung einer dauerhaften Hintertür (resistent gegen Sicherheits-Updates!)
-Rückfluss gesammelter Daten an Angreifer (Spionage)

Fazit
Durch die strikte Trennung der Ausführungsumgebung in Kombination mit zusätzlicher Kapselung der ausführbaren Programme lässt sich auf dem TightGate™-Pro im Allgemeinen ein höheres Sicherheitsniveau erreichen, als es im internen Netz (Intranet) möglich ist. TightGate™-Pro hat also nicht den Status eines vorgeschalteten Opfer-Systems, welches “den Hackern zum Fraß vorgeworfen wird”, sondern ist ein auf die Aufgabenstellung “Internetkommunikation” spezialisiertes System, welches bekannten wie zukünftigen Angriffen bestmöglich standhält und somit ein ausfallsicheres Arbeiten ermöglichen kann.