entwickler.com

Die CeBIT 2008 ist vorüber, Zeit für den schon traditionellen Bericht über Neuigkeiten.

Den Anfang macht Lock-Keeper, eine vom Hasso-Plattner-Institut der Universität Potsdam entwickelte Hochsicherheitslösung zur Verbindung zweier Netze. Das System funktioniert nach dem Prinzip der physikalischen Trennung und wirkt wie eine Schleuse: Zuerst werden die von außen kommenden Daten in den Lock-Keeper transportiert. Zu diesem Zeitpunkt besteht keine Verbindung mit dem internen Netz. Danach wird die Verbindung mit dem externen Netz unterbrochen - die Daten sind auf dem Lock-Keeper isoliert. Erst danach wird die Verbindung mit dem internen Netzwerk hergestellt und die Daten übertragen. Die Datenübertragung in Gegenrichtung läuft entsprechend genauso ab. Session- oder Protokollbasierte Angriffe (Online-Angriffe) werden so effektiv verhindert.

Über einen XServer auf einen an anderem Ort stehenden Rechner zuzugreifen ist ja nichts Neues, das haben wir Anfang der 90er Jahre des vergangenen Jahrhunderts schon in der Uni gemacht. Wieso ist eigentlich bisher niemand auf die Idee gekommen, das mit einem Webbrowser zu machen? Wenn der Webbrowser auf einen Surf-Server in der DMZ läuft und nur die Bildschirmausgabe über einen XServer auf den lokalen Client übertragen wird, bleiben alle Schädlinge draußen. Ist doch genial einfach, oder auch einfach genial. Secunet hat diese Lösung jetzt entwickelt und vertreibt sie unter dem Namen secunet safe surfer. Sollte der Surf-Server von einen Schädling befallen werden, wird er nach wenigen Stunden im Rahmen einer regelmäßigen Neuinstallation beseitigt. Heruntergeladene Dateien werden per E-Mail an den Benutzer geschickt und durchlaufen damit die für Mails installierten Virenscanner.

Ebenfalls von Secunet stammt die SINA Mobile Disk, eine kryptographisch gesicherte USB-Festplatte. Die kryptographischen Funktionen werden durch einen integrierten kryptographischen Prozessor ausgeführt, sodass keine Treibersoftware installiert werden muss. Das Gerät verfügt über ein eigenes Display und ein Touchpad, über das der Zugriff durch eine PIN freigegeben wird. Zur Verfügung stehen die Algorithmen AES (256 Bit Schlüssellänge), RSA (2048 Bit Schlüssellänge) und 3DES für die Verschlüsselung sowie MD5 (HMAC) und SHA-1 (HMAC) für die Signatur. Die Festplatte kann sowohl individuell, d.h. ohne zentrale Administration, als auch über eine zentrale Administration, die so genannte MDS (Mass Deployment Station) verwaltet werden.

Von Astaro wurde das Astaro Web Gateway vorgestellt, eine Sicherheitslösung für den Web-Zugang in Unternehmen, die schädliche Inhalte wie z.B. Schadsoftware in Downloads oder manipulierte iFrames ausfiltert. Da der Inhalt der Kommunikation überwacht wird, können auch Instant Messaging und Peer-to-Peer-Verbindungen einschließlich Skype ausgefiltert werden. Es stehen vier verschieden Hardware-Appliances sowie eine Virtual Appliance zu Verfügung. Eine Testversion der Virtual Appliance gibt es ab April zum Download.

ECOS hat den Remote Work Stick vorgestellt. Dabei handelt es sich um einen USB-Stick, der an einen beliebigen Windows-Rechner, z.B. in einem Internet-Cafe, angeschlossen werden kann, um nach Eingabe des Passworts eine Verbindung mit einem Server oder PC im lokalen Unternehmensnetz aufzubauen. Der USB-Stick enthält die gesamte benötigte Software und kommt ohne Installation von Software oder Treibern auf dem Gast-PC aus. Damit wird der Gast-PC weder verändert noch werden Spuren darauf hinterlassen. Auf Unternehmensseite dient eine ECOS SEC-Appliance als Gegenstelle. Dabei handelt es sich um Firewall-Router, die in diesem Fall als SSH-Gateway dienen. Nachdem der SSH-Tunnel aufgebaut wurde, wird auf dem Remote Work Stick die Anwendung gestartet, die für den Zugriff auf einen Server oder PC im Unternehmensnetz notwendig ist. Das kann z.B. RDP für den Zugriff auf den Desktop eines Windows-Servers oder -PCs oder der Webbrowser Opera für den Zugriff auf eine Webanwendung im Unternehmensnetz sein. Außerdem besteht die Möglichkeit, eigene Programme zu installieren. Die Konfiguration des Remote Work Stick erfolgt über dieselbe SEC-Appliance, die auch als SSH-Gateway funktioniert.

Ebenfalls von ECOS stammt der Secure Thin Client USB-Stick, der dafür gedacht ist, über das Internet eine sichere Verbindung zu einem Terminalserver oder Webserver aufzubauen. Der Stick enthält ein gehärtetes Linux-Betriebssystem und kann in zwei Betriebsmodi betrieben werden: Entweder wird das Betriebssystem vom USB-Stick gebootet und das auf der Festplatte des Rechners installierte Betriebssystem bleibt inaktiv, oder das Betriebssystem des USB-Sticks wird in einer virtuellen Maschine ausgeführt. Während im Boot-Modus das eventuell kompromittierte Betriebssystem des PCs gar nicht zum Zuge kommt, reicht es im Virtuellen Modus die bereits verschlüsselten Daten nur weiter, kann also ebenfalls keinen Schaden anrichten.

Wie bereits angekündigt, geht es in der nächsten Folge weiter um die Schwachstellen-Suche in Webanwendungen.

Carsten Eilers