back_to_menu.jpg

Einführung

Das dedizierte Remote-Controlled Browser System (ReCoBS) TightGate-Pro schützt präventiv vor Angriffen aus dem Internet. Damit erweist es sich regelmäßig wirksamer als jedes filternde Sys­tem wie Malware-Scanner, Firewalls oder Intrusion Detection Systems (IDS). Bei TightGate-Pro handelt sich um ein dedi­ziertes ReCoBS-Schutzsystem, das als Appliance dem Unternehmens- oder Behördennetzwerk vorge­schaltet wird. Die Programme für den freien Internetzugriff (Internetbrowser) werden nicht mehr auf dem Arbeitsplatz-PC, sondern auf TightGate-Pro ausgeführt.

Die Zugriffe in das Internet erfolgen ausschließlich von TightGate-Pro aus. Lediglich die Bildschirm­ausgabe des Browsers wird in das interne Netzwerk übertragen und auf den Arbeits­platz-PCs angezeigt.

Zugleich werden Maus- und Tastaturinformationen zur Fernsteuerung des Browsers von den Arbeitsplatz-PCs an TightGate-Pro übermittelt. Zur Kommunikation zwischen Arbeitsplatz-PC und TightGate-Pro dient ein auf Sicherheit optimiertes VNC-Protokoll.

TightGate-Pro und TightGate-Pro (CC) Version 1.4

Das ReCoB-System TightGate-Pro ist in zwei Varianten verfügbar. Diese sind TightGate-Pro für Standardumgebungen (im Folgenden nur als "TightGate-Pro" bezeichnet) und TightGate-Pro (CC) Version 1.4 für CC-konforme Umgebungen. TightGate-Pro (CC) Version 1.4 unterscheidet sich von TightGate-Pro für Standardumgebungen maßgeblich durch einige Voreinstellungen sowie die Hand­habung des Dateiaustauschs zwischen Server und Klientenrechner:

  • TightGate-Pro (CC) Version 1.4 Server wird mit werkseitig deaktiviertem Textaus­tausch via Zwischenablage ausgeliefert. Diese Einstellung kann durch den Administ­rator config geändert werden. Das Viewer-Programm TightGate-Pro (CC) Version 1.4 Client wird werkseitig mit der Voreinstellung zur Einzelbestätigung eines jeden Texttransfers ausgeliefert.
  • Die Administrationsrollen root und security sind auch in TightGate-Pro (CC) Version 1.4 Server vorhanden, können sich jedoch nur im sogenannten Softmode (bei deakti­vierter RSBAC-Kontrolle) anmelden. Zugleich wird der VNC-Server aus Sicherheits­gründen deaktiviert, sodass eine Anmeldung von Klienten über den Viewer nicht mög­lich ist.

Hinweis: Weitere Detailunterschiede werden bei den jeweiligen Einstelloptionen erläutert.

Achtung: TightGate-Pro Server und TightGate-Pro (CC) Version 1.4 Server dürfen nur mit TightGate-Viewer der m-privacy GmbH verwendet werden. TightGate-Pro Client beziehungs­weise TightGate-Pro (CC) Version 1.4 Client sind daher obligatorisch, alternative Viewer-Programme sind nicht nutzbar. Die Systemadministration muss sicherstellen, dass Installation und Betrieb alternativer Klientenprogramme (VNC-Viewer) auf den Arbeitsplatzrechnern (Klientenrechnern) nicht möglich sind. Ein CC-konformes Gesamtsystem ergibt sich nur in der Kombination TightGate-Pro (CC) Version 1.4 Server und TightGate-Pro (CC) Version 1.4 Client.

Netzwerkplanung

internetanbindung_mit_tightgate-pro.jpg

TightGate-Pro wird regelmäßig in der sogenann­ten Demilitarisierten Zone (DMZ) unmittelbar hinter der ersten Firewall in die Organisationsinf­rastruktur integriert. Sollte dies aus technischen oder or­ganisatorischen Gründen nicht möglich sein, steht unter sicherheitstechnischen Gesichtspunkten auch einer direk­ten Verbindung des Schutzsystems mit dem Internet nichts entgegen. Der starke Eigenschutz des Re­CoBS-Servers verhindert negative Einflüsse auf das Schutzniveau weitestgehend.

Arbeitsplatzrechner aus dem internen Netz können die sicheren Dienste von TightGate-Pro nutzen. Zugleich ist durch Vorschaltung geeigneter Paketfilter sicherzustellen, dass sich die Arbeitsplatzrechner bzw. die darauf installierten internetgebundenen Applikationen (Internetbrowser, E-Mail-Programm und dergleichen) nicht mehr direkt mit dem Internet außerhalb des internen Netzwerks verbinden können. Der Übergang zum Internet erfolgt ausschließlich über TightGate-Pro. Im Bedarfsfall können Direktverbindungen zu vertrauenswürdigen Gegenstellen (Online-Banking, VPN etc.) administrations­seitig zugelassen werden, sofern Angriffe auf das interne Netzwerk über diese Verbindungen mit ge­nügender Sicherheit ausgeschlossen werden können.

Umfeldmaßnahmen

Der sichere Betrieb von TightGate-Pro und die damit erzielbare Schutzwirkung auf Arbeitsplatzrechner und das sie umgebende Netzwerk können durch das IT-Umfeld von TightGate-Pro Server sowie der Klientenrechner (Arbeitsplatzstationen) beeinflusst werden.

Absicherung der Arbeitsplatzrechner (Klientenrechner)

Arbeitsplatzrechner (Klientenrechner), von denen aus über TightGate-Pro auf das Internet zugegriffen werden soll, dürfen keine anderweitige Verbindung zum Internet haben. Die Netzwerkverbindung der Klientenrechner ist über entsprechend konfigurierte Paketfilter bzw. Firewalls vom Internet abzuschotten. Erforderlichenfalls ist für adäquaten Malware-Schutz im internen Netzwerk sowie auf den Klientenrechnern zu sorgen, falls eine Gefährdungsanalyse einen entsprechenden Bedarf erkennen lässt.

Es ist darauf zu achten, dass Benutzer die Klientenrechner nur mit eingeschränkten Benutzerrechten verwenden. Seitens der Systemadministration muss sichergestellt sein, dass der TightGate-Viewer durch den Benutzer nicht mit administrativen Rechten gestartet wird, um eine dauerhafte Verankerung unbeabsichtigter oder unberechtigter Änderungen von Konfigurationseinstellungen am TightGate-Viewer zu unterbinden.

Die Nutzung von TightGate-Pro ist nur mit TightGate-Viewer zu bewerkstelligen. Andere VNC-Viewer können sich entweder aufgrund fehlender Funktionalität (z. B. Verschlüsselungsverfahren) nicht mit TightGate-Pro verbinden oder erfüllen nicht die Anforderungen im Hinblick auf bestimmte Sicherheitsvorkehrungen beziehungsweise Verfahrensvorgaben. Durch die Systemadministration ist sicherzustellen, dass die Installation und der Betrieb alternativer VNC-Viewer auf den Arbeitsplatzrechnern nicht möglich ist.

Warnung: TightGate-Pro bietet systembedingt keinen Schutz vor Angriffen, die über anderweitig freigegebene Netzwerkkanäle auf die Klientenrechner oder das interne Netzwerk einwirken. Grundlegende Maßnahmen zum Schutz der Betriebsumgebung von TightGate-Pro sind durch die Systemadministration zu ergreifen.

Eigensicherheit von TightGate-Pro

TightGate-Pro verfügt über weitreichende Mechanismen zum Eigenschutz im Hinblick stabilen und sicheren Dauerbetrieb.

Serverbetriebssystem und Kommunikationsprotokoll

Das Betriebssystem von TightGate-Pro verfügt ausschließlich über solche Programmkomponenten, die für dessen Betrieb unabdingbar sind. Eine umfassende Kapselung sämtlicher Programme und Prozesse beugt einer unkontrollierten Ausführung nicht autorisierter Software sowie eine Manipulation installierter Programmkomponenten auf TightGate-Pro wirksam vor. Ein funktionsspezifisches Kommunikationsprotokoll zwischen TightGate-Pro und TightGate-Viewer verhindert zuverlässig den unkontrollierten Zugriff in das interne Netzwerk und aus diesem heraus.

Abschottung von Benutzerkonten

Sämtliche Benutzerkonten und die durch angemeldete Benutzer (VNC-Benutzer) initiierten Benutzersitzungen sind auf TightGate-Pro vollständig voneinander abgeschottet. Es besteht keine Möglichkeit eines wechselseitigen Zugriffs oder einer Beeinflussung. VNC-Benutzer sind nicht mit administrativen Berechtigungen ausgestattet, die über die Benutzerrolle hinausgehende Handlungsoptionen eröffnen.

Sichere Startbedingungen

Jede Benutzersitzung auf TightGate-Pro startet in einem sicheren Ausgangszustand. Wesentliche Sicherheitsoptionen sind serverseitig fixiert. Nachgeordnete Konfigurationsänderungen, beispielsweise durch Einstellungen im Programmmenü des TightGate-Viewers, werden im Benutzerkontext nicht dauerhaft gespeichert und nach Beendigung der Benutzersitzung (Session) auf die vorgegebenen Standardwerte zurückgesetzt. Weiterhin bleiben auf TightGate-Pro keine aktiven Inhalte aus einer Internetsitzung nach deren Beendigung erhalten. Alle auf TightGate-Pro im Benutzerkontext gestarteten Programme und Applikationen werden bei der Abmeldung von TightGate-Pro automatisch beendet. Eine wechselseitige Beeinflussung von Applikationen auf TightGate-Pro, insbesondere im Hinblick auf den verwendeten Internetbrowser, ist durch vollständige Kapselung aller Softwarekomponenten in separaten Berechtigungssphären ausgeschlossen.

Mehrdimensionale Systemhärtung und Fehlerresistenz

Die Kombination unterschiedlicher Härtungs- und Kapselungsmaßnahmen zum Eigenschutz von TightGate-Pro nach dem Stand der Technik in Verbindung mit einem funktionsspezifischen Protokoll zur Kommunikation mit den Klientenrechnern bewirkt ein außerordentliches Maß an sicherheitstechnischer Robustheit. Dies gilt insbesondere auch unter der A-Priori-Annahme, dass einzelne Programmkomponenten von TightGate-Pro mit Unzulänglichkeiten hinsichtlich Programmlogik respektive Implementierung behaftet sein könnten.

Im Zuge der Installation von TightGate-Pro sind daher keine über die im Abschnitt 1.4 beschriebenen Maßnahmen erforderlich, um das vorgesehene Schutzniveau zu erzielen.

Das Administrationskonzept von TightGate-Pro

TightGate-Pro hat werkseitig fest vordefinierte Administratorenrollen, die den herkömmlichen Administrator (root) ersetzen. Keine dieser Administrato­renrollen verfügt über umfassende Zugriffsrechte auf das Gesamtsystem (Superuser-Privilegien). Die Vorteile dieses dezentralen Administrationskonzepts ist einerseits der Schutz des Systems und der Benutzerdaten vor einer funktional unangemessen Allmacht1). Anderseits wird durch die Abbildung einzelner Administrationsvorgänge auf mehrere Rollen eine Delegation der Aufgaben möglich. Die konkreten Berechtigungen der jeweiligen Rollen sind im Anhang zu diesem Administrationshandbuch tabellarisch zusammengefasst.

Warnung: Generell ist anzumerken, dass die Verwaltung TightGate-Pro Server oder TightGate-Pro (CC) Ver­sion 1.4 Server ausschließlich von vertrauenswürdigen und hinreichend ausgebildeten, sicherheitsbe­wussten Fachkräften vorzunehmen ist. TightGate-Pro Server oder TightGate-Pro (CC) Version 1.4 Server können einem durch Fehlbedienung oder Fehlkonfiguration bedingten Sicherheitsrisiko nicht oder nur sehr bedingt entgegentreten. Vor diesem Hintergrund sind auch die mit dem Schlüsselwort War­nung gekennzeichneten Passagen dieser Dokumentation besonders zu beachten.

Systembezogene Administration

Für die System- und Sicherheitsadministration von TightGate-Pro wurde das Administrator­konto config geschaffen. Dieses ist zuständig für die Netzwerkeinstellungen und systemweite Vorga­ben z. B. für Benutzerkonten. Keinen Zugriff hingegen hat diese Administrationsrolle auf Benutzerver­zeichnisse und Benutzereinstellungen. Die meisten Wartungsaufgaben können damit datenschutz­rechtlich bedenkenlos delegiert werden.

Personenbezogener Bereich

Dem Administrationsaccount maint obliegt die Benutzerverwaltung von TightGate-Pro. Es können Benutzer angelegt, Zugangsberechtigungen und -einschränkungen vorgenommen und Pass­wörter geändert werden. Dieser Administrator hat ebenfalls die Möglichkeit, einzelne Dienste neu zu starten und ggf. einen Fernwartungszugang freizuschalten. Eine inhaltliche Kontrolle von Benutzerver­zeichnissen und -daten durch maint ist ausgeschlossen.

Wartungsbereich

Für Wartungsaufgaben von TightGate-Pro wurden die Administratorkonten backuser und update vorgesehen. Sie haben nur einen sehr begrenzten Funktionsumfang und speziell definierte Rechte. Dabei ist der backuser ausschließlich für das Erstellen und Verwalten von Backups und die dafür notwendigen Einstellungen verantwortlich. Gleiches gilt für die Rolle update bei der Pflege des Systems. Beide Rollen haben weder Zugriff auf die Netzwerkeinstellung noch dürfen sie Benutzerver­zeichnisse einsehen.

Sicherheitsbereich

Die zentrale Sicherheit von TightGate-Pro wird über den Zugriffsrechteschutz RSBAC gewähr­leistet. Die RSBAC-Konfiguration ist bei Auslieferung komplett konfiguriert und darf regelmäßig nicht von Administratoren verändert werden. Zur Bearbeitung der RSBAC-Sicherheitseinstellungen gibt es die Administratoren root und security. Beide sind standardmäßig deaktiviert.

Hinweis: In TightGate-Pro (CC) Version 1.4 Server für CC-konforme Umgebungen sind die Administ­rationsrollen root und security nur im verfügbar, wenn das System im Softmode gestartet wird.

back_to_menu.jpg

1)
Die herkömmliche Konzentration aller Administrationsaufgaben und Systemrechte in einem zentralen Account gefährdet diesen in besonderem Maße im Bezug auf Eindringversuche. Unbefugte, die Zugang zu einem solchen Benutzerkonto erlangen, erhalten Zugriff auf das gesamte System.