Integritätsprüfung (intern / extern)

TightGate-Pro kann auf Systemintegrität geprüft werden, um eine mögliche Kompromittierung der Programmkomponenten respektive Pakete zu erkennen und geeignete Gegenmaßnahmen einzu­leiten. Es wird zwischen interner und externer Integritätsprüfung unterschieden.

Genereller Ablauf

Jedes in einem TightGate-Pro installierte Paket enthält MD5- und SHA256-Hashwerte für diejenigen darin enthaltenen Dateien, die im System nicht verändert werden dürfen. Die Tabelle mit den Hash-Werten ist herstellerseitig mit GnuPG signiert.

Die Integritätsprüfung durchläuft die Liste aller installierten Pakete, prüft zunächst die Signatur der MD5-Hashtabelle anhand des zur Signatur verwendeten Public Keys und anschließend die MD5-Hashwerte aller dort gelisteten Dateien. Jede Abweichung wird im Protokoll mit Paket- und Dateiname festgehalten.

Der Administrator update verfügt hierzu über die gesonderte Menüoption Integritätsprüfung, über die eine interne Integritätsprüfung im laufenden Systembetrieb veranlasst werden kann. Weiterhin besteht die Möglichkeit, nach dem Systemstart von einem Installationsmedium die Menüoption tightgate-install > Integrity Check auszuwählen.

Der Unterschied zwischen der Prüfung als Administrator update im laufenden System und vom Ins­talla­tions- und Rettungs-System im Vorfeld eines sogenannten OE.Resets besteht nicht im Algorithmus, sondern nur darin, wo verwendete Programme und der Public-Key gespeichert sind. Im Fall der inter­nen Integritätsprüfung durch den Administrator update befinden diese sich auf der Festplatte des zu prüfenden Systems und könnten prinzipiell manipuliert worden sein, während beim Aufruf vom Ret­tungssystem bzw. einem Installationsdatenträger im Vorfeld eines OE.Resets alle Programme und Public Keys ausschließlich vom nur lesbaren Medium geladen werden. Die signierten Hashtabellen be­finden sich dagegen immer auf der Festplatte. Dies stellt kein Sicherheitsrisiko dar, da die Signaturprü­fung deren Manipulation zuverlässig ausschließt.

Maßnahmen bei Abweichungen im Zuge der Integritätsprüfung

Sollte die Integritätsprüfung eine Veränderung entdecken, ist die Protokolldatei per E-Mail oder SCP auf ein anderes System zu übertragen und zwecks weiterer Untersuchung an den Hersteller (m-privacy GmbH) zu übermitteln. Anschließend muss das System durch eine Neuinstallation (OE-Reset) in den Auslieferungszustand zurückgesetzt werden. Die Konfiguration, die Benutzerkonten und ihre Daten sind danach wie vorgesehen zurückzuspielen. Dadurch wird sichergestellt, dass even­tuelle Manipulationen an den Dateien beseitigt sind. Bei Verdacht auf einen Fehlalarm empfiehlt es sich, die Integritätsprüfung erneut durchzuführen.

Hinweis: In CC-konformen Umgebungen ist eine externe Integritätsprüfung von TightGa­te-Pro (CC) Version 1.4 Server gegen die Daten eines externen, unveränderlichen Datenträgers in regelmäßigen Abständen vorzusehen.

Verfahrensweise zur internen Integritätsprüfung

Die interne Integritätsprüfung prüft die installierten Pakete von TightGa­te-Pro Server im laufenden Systembetrieb auf Integrität. Die Prüfung wird durch den Administrator update ausgelöst und umfasst die folgenden Schritte:

  • Anmeldung als Administrator update an der Konsole.
  • Auswahl der Menüoption update > Integritätsprüfung.

Die Integritätsprüfung wird gestartet. Der Prozess kann je nach Systemleistung und Anzahl der zu überprüfenden Programmpakete einige Zeit in Anspruch nehmen. Mittels der Tastenkombination CTRL+C beziehungsweise STRG+C kann die Integritätsprüfung unterbrochen werden. Es wird ein Hilfsmenü angezeigt, womit die Prüfungsergebnisse angezeigt, per SCP übertragen oder per E-Mail versandt werden können. Auch der definitive Abbruch der Integritätsprüfung ist möglich.

Das Ergebnis der Integritätsprüfung wird durch eine Ergebnismeldung zusammengefasst und in einer detaillierten Protokolldatei gespeichert. Ergebnismeldungen lauten beispielhaft:

 Positiv: "All 1265 packages passed!"
 Negativ: "2 of 1265 packages failed. Please contact m-privacy support."

Die Zahl der zu prüfenden Pakete kann abweichen und hängt von der tatsächlichen Systemkonfiguration ab. Die detaillierte Protokolldatei kann mittels der Menüoption Bildschirm angezeigt oder per E-Mail versandt werden.

Achtung: Wird die Funktion vorzeitig abgebrochen, kann der ausgegebene Ergebnisbericht feh­lerhaft oder unvollständig sein.

Warnung: Die interne Integritätsprüfung ist zur Wahrung der Integrität für TightGa­te-Pro (CC) Version 1.4 Server nicht ausreichend! In CC-konformen Umgebungen ist eine regelmäßige externe Integritätsprüfung von TightGa­te-Pro (CC) Version 1.4 Server gegen die Daten eines externen, unveränderlichen Datenträgers in regelmäßigen Abständen obligatorisch.

Verfahrensweise zur externen Integritätsprüfung

Die externe Integritätsprüfung prüft die installierten Pakete von TightGa­te-Pro Server gegen die Daten eines externen, unveränderlichen Datenträgers. Dabei kann es sich um ein Rettungssystem oder die im Lieferumfang von TightGa­te-Pro (CC) Version 1.4 Server befindlichen Installationsmedien handeln. Die Prüfung wird nach dem Systemstart (Bootvorgang) vom externen Datenträger durch Wahl der entsprechenden Menüoption ausgelöst und umfasst die folgenden Schritte:

  • Systemstart (Bootvorgang) vom Rettungssystem oder Installationsdatenträger.
  • Auswahl der Menüoption tightgate-install > Integrity Check
  • Einhängen der Festplatte(n) des Systems in den Verzeichnisbaum: /dev/sda1 ist die Root-Partition, Rest entsprechend Vorgabe.
  • Auslösung des Prüfvorgangs.
  • Auswertung des Ergebnisses mit der Menüoption Screen beziehungsweise Versand des Prüfergebnisses per E-Mail.

Die Integritätsprüfung wird gestartet. Der Prozess kann je nach Systemleistung und Anzahl der zu überprüfenden Programmpakete einige Zeit in Anspruch nehmen. Mittels der Tastenkombination CTRL+C beziehungsweise STRG+C kann die Integritätsprüfung unterbrochen werden. Es wird ein Hilfsmenü angezeigt, womit die Prüfungsergebnisse angezeigt oder per E-Mail oder SCP versandt werden können. Auch der definitive Abbruch der Integritätsprüfung ist möglich.

Das Ergebnis der Integritätsprüfung wird durch eine Ergebnismeldung zusammengefasst und in einer temporären Protokolldatei im Verzeichnis /tmp des laufenden Systems gespeichert. Ergebnismeldungen lauten beispielhaft:

 Positiv: "All 1265 packages passed!"
 Negativ: "2 of 1265 packages failed. Please contact m-privacy support."

Die Zahl der zu prüfenden Pakete kann abweichen und hängt von der tatsächlichen Systemkonfiguration ab. Die temporäre Protokolldatei kann mittels der Menüoption Screen angezeigt sowie ausschließlich über die jeweiligen Menüoptionen per SCP übertragen oder per E-Mail versandt werden, sofern dies in der Einsatzumgebung vorgesehen ist.

Achtung: Wird die Funktion vorzeitig abgebrochen, kann der ausgegebene Ergebnisbericht feh­lerhaft oder unvollständig sein.

Hinweis: In CC-konformen Umgebungen ist eine regelmäßige externe Integritätsprüfung von TightGa­te-Pro (CC) Version 1.4 Server gegen die Daten eines externen, unveränderlichen Datenträgers in regelmäßigen Abständen vorgesehen. Bei Beanstandungen im Zuge des Prüfprozesses sollte in jedem Fall Kontakt zur m-privacy GmbH aufgenommen werden.