M 4.370 Einsatz von Anoubis unter Unix

Verantwortlich für Initiierung: Administrator, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Benutzer, Administrator

Angriffe auf IT-Systeme basieren oft auf dem Missbrauch von Zugriffsrechten. Je großzügiger solche Rechte vergeben werden, desto einfacher werden erfolgreiche Angriffe. Im schlimmsten Fall kann z. B. ein Fehler im Browser oder eine unvorsichtige Einstellung in dessen Konfiguration einem Angreifer vollen Zugriff auf alle Daten eines Anwenders ermöglichen.

Da ein Browser in der Regel mit den Rechten des Benutzers ausgeführt wird, ist der Zugriff auf Daten und Verzeichnisse, auf die er Schreibrechte hat, nicht weiter beschränkt. Hier liegt das Grundproblem: Die Rechtevergabe unter Unix erfolgt oft benutzerbasiert, d. h. sie weist Benutzern individuelle Zugriffsrechte zu. Ein Prozess, der mit den Rechten eines Benutzers ausgeführt wird, besitzt dessen gesamte Rechte. Dadurch hat eine ausgeführte Anwendung wesentlich mehr Rechte, als sie für ihren eigentlichen Zweck benötigt. Ein Benutzer hat in der Regel praktisch keine Kontrolle über die Zugriffsrechte der von ihm ausgeführten Anwendungen. Im Falle von Fehlern in Applikationen sind die Vertraulichkeit, Integrität und Verfügbarkeit der Benutzerdaten unmittelbar bedroht.

Anoubis ist eine freie Software, um Applikationen zu kontrollieren und Anforderungen an die Datenintegrität bei Unix-Systemen durchzusetzen. Dazu werden Anwendungen und Dateien sowie zugehörige Prüfsummen berechnet und digital signiert. Die Verwaltung und Überprüfung der hinterlegten Prüfsummen sollte mit Hilfe der grafischen Benutzeroberfläche von Anoubis durchgeführt werden.

Einsatz von Anoubis

Da es sich bei Anoubis um eine individuell konfigurierbare Lösung mit zahlreichen Komponenten wie Application Level Firewall, Sandbox, Playground und einem sicheren Dateisystem handelt, sollten sich die zuständigen Administratoren mit den Möglichkeiten der Lösung vertraut machen. Nach der Installation schützt Anoubis alle Unix-Rechner, auf denen es installiert ist, zunächst durch eine Standardkonfiguration. Diese sollte mit Hilfe von Richtlinien, die von Anoubis als Policies bezeichnet werden, bedarfsgerecht an unterschiedliche Anwendergruppen oder Anwendungsszenarien angepasst werden. Policies werden unter Anoubis zentral vom Systemadministrator vorgegeben und können von den Benutzern nicht aufgehoben oder umgangen, sondern nur weiter eingeschränkt werden. Vertiefende Informationen zu Policies sind im Installations- und Konfigurationshandbuch von Anoubis zu finden. Um auf unterschiedliche, aber typische Einsatzumgebungen besser reagieren zu können, können auf Basis geeigneter Policies vorgefertigte Profile erstellt werden. Vorgefertigte Profile erleichtern es den Benutzern, das für die jeweilige Einsatzumgebung passende Profil auszuwählen, ohne Policies anfassen zu müssen. Die Administratoren sollten daher geeignete Profile erstellen und die Benutzer in deren korrekte Anwendung einweisen.

Profile können zum Beispiel bei Laptops genutzt werden, die an unterschiedlichen Orten in unterschiedlichen Netzen eingesetzt werden. So sind in Abhängigkeit von der Umgebung und je nach Anforderungen speziell angepasste Policies für folgende Umgebungen denkbar:

Der Benutzer braucht lediglich das geeignete Sicherheitsprofil in der Benutzeroberfläche auszuwählen und kann dann in jeder Umgebung die vorher festgelegten Vorgaben erfüllen. Eine Einweisung der Benutzer wird empfohlen, um eine korrekte Profil-Auswahl zu gewährleisten.

Kontrolle der Applikationen

Soll für bestimmte Applikationen der Zugriff auf das Netz oder das Dateisystem eingeschränkt werden, so können in Anoubis für diese Applikationen entsprechende Regeln erzeugt werden. Soll der PDF-Reader z. B. keine Updates selbstständig herunterladen oder sollen keine Dateien außerhalb eines vorgegebenen Dateiordners geschrieben werden können, so kann eine entsprechende Regel für eine Application Level Firewall und eine Sandbox angelegt werden, die diese Einschränkungen durchsetzen.

Um sicherzustellen, dass keine gefälschten oder durch ein Schadprogramm eingeschleusten Applikationen ausgeführt werden, sollten solche Dateien mit einer digital signierten Prüfsumme versehen werden. Darüber hinaus müssen in Anoubis SFS-(Sicheres File System)-Regeln eingerichtet werden, die den lesenden Zugriff und die Ausführung von veränderten Dateien, sowie die Ausführung unsignierter Dateien verbietet. Dadurch kann die Applikation nicht mehr ausgeführt bzw. keine gefälschte Konfigurationen mehr eingelesen werden. Je nach Konfiguration von Anoubis können Benutzer bei Verstößen gewarnt werden.

Definition und Nachvollziehbarkeit von Regelsätzen

Anoubis kann über eine grafische Benutzeroberfläche konfiguriert werden. Mit einem Regeleditor können Regelsätze erstellt und geändert werden. Darüber hinaus können Regelsätze für einzelne Anwendungen mit Hilfe eines Regel-Wizards erzeugt werden. Dieser ermöglicht auch unerfahrenen Benutzern, Regelsätze zu erstellen.

Ein Prozessbrowser zeigt erstellte Regelsätze bzw. die Standardkonfiguration für die jeweilig ausgewählte Applikation an.

Abgesicherte Bereiche zum Schutz des Dateisystems

Um zu verhindern, dass Prozesse in das Dateisystem schreiben können, sollten Anwendungen in dafür vorgesehenen abgesicherten Bereichen ("Playgrounds") ausgeführt werden. Wird z. B. ein Browser in einem Playground verwendet, hinterlässt er, nachdem der Playground gelöscht wurde, keinerlei Spuren im Dateisystem.

Sollen einzelne Dateien aus einem abgesicherten Bereich ins Dateisystem übertragen werden, dann muss der Benutzer diesen Transfer willentlich in der Benutzeroberfläche durchführen Dabei sollte ein Datentransfer in das Produktivsystem je nach Bedarf durch einen Virenscanner abgesichert werden. Hierfür müssen geeignete Virenscanner installiert und konfiguriert werden. Darüber hinaus kann der Benutzer am Ende einer Session entscheiden, ob Daten innerhalb des abgesicherten Bereichs behalten oder gelöscht werden.

Prüffragen: