Montag, 1. M�rz 2010


Topthema

Donnerstag, 13. M�rz 2008 | Topthema

About Security: Ein Bericht von der CeBIT

(Link zum Artikel: http://www.entwickler.de/php/kolumnen/042063)

Die CeBIT 2008 ist vor�ber, Zeit f�r den schon traditionellen Bericht �ber Neuigkeiten.

Den Anfang macht Lock-Keeper, eine vom Hasso-Plattner-Institut der Universit�t Potsdam entwickelte Hochsicherheitsl�sung zur Verbindung zweier Netze. Das System funktioniert nach dem Prinzip der physikalischen Trennung und wirkt wie eine Schleuse: Zuerst werden die von au�en kommenden Daten in den Lock-Keeper transportiert. Zu diesem Zeitpunkt besteht keine Verbindung mit dem internen Netz. Danach wird die Verbindung mit dem externen Netz unterbrochen - die Daten sind auf dem Lock-Keeper isoliert. Erst danach wird die Verbindung mit dem internen Netzwerk hergestellt und die Daten �bertragen. Die Daten�bertragung in Gegenrichtung l�uft entsprechend genauso ab. Session- oder Protokollbasierte Angriffe (Online-Angriffe) werden so effektiv verhindert.

N E U ! Security aktuell
T�glich aktuelle Security-Infos!

�ber einen XServer auf einen an anderem Ort stehenden Rechner zuzugreifen ist ja nichts Neues, das haben wir Anfang der 90er Jahre des vergangenen Jahrhunderts schon in der Uni gemacht. Wieso ist eigentlich bisher niemand auf die Idee gekommen, das mit einem Webbrowser zu machen? Wenn der Webbrowser auf einen Surf-Server in der DMZ l�uft und nur die Bildschirmausgabe �ber einen XServer auf den lokalen Client �bertragen wird, bleiben alle Sch�dlinge drau�en. Ist doch genial einfach, oder auch einfach genial. Secunet hat diese L�sung jetzt entwickelt und vertreibt sie unter dem Namen secunet safe surfer. Sollte der Surf-Server von einen Sch�dling befallen werden, wird er nach wenigen Stunden im Rahmen einer regelm��igen Neuinstallation beseitigt. Heruntergeladene Dateien werden per E-Mail an den Benutzer geschickt und durchlaufen damit die f�r Mails installierten Virenscanner.

Ebenfalls von Secunet stammt die SINA Mobile Disk, eine kryptographisch gesicherte USB-Festplatte. Die kryptographischen Funktionen werden durch einen integrierten kryptographischen Prozessor ausgef�hrt, sodass keine Treibersoftware installiert werden muss. Das Ger�t verf�gt �ber ein eigenes Display und ein Touchpad, �ber das der Zugriff durch eine PIN freigegeben wird. Zur Verf�gung stehen die Algorithmen AES (256 Bit Schl�ssell�nge), RSA (2048 Bit Schl�ssell�nge) und 3DES f�r die Verschl�sselung sowie MD5 (HMAC) und SHA-1 (HMAC) f�r die Signatur. Die Festplatte kann sowohl individuell, d.h. ohne zentrale Administration, als auch �ber eine zentrale Administration, die so genannte MDS (Mass Deployment Station) verwaltet werden.

Von Astaro wurde das Astaro Web Gateway vorgestellt, eine Sicherheitsl�sung f�r den Web-Zugang in Unternehmen, die sch�dliche Inhalte wie z.B. Schadsoftware in Downloads oder manipulierte iFrames ausfiltert. Da der Inhalt der Kommunikation �berwacht wird, k�nnen auch Instant Messaging und Peer-to-Peer-Verbindungen einschlie�lich Skype ausgefiltert werden. Es stehen vier verschieden Hardware-Appliances sowie eine Virtual Appliance zu Verf�gung. Eine Testversion der Virtual Appliance gibt es ab April zum Download.

About Security: Die komplette Serie

ECOS hat den Remote Work Stick vorgestellt. Dabei handelt es sich um einen USB-Stick, der an einen beliebigen Windows-Rechner, z.B. in einem Internet-Cafe, angeschlossen werden kann, um nach Eingabe des Passworts eine Verbindung mit einem Server oder PC im lokalen Unternehmensnetz aufzubauen. Der USB-Stick enth�lt die gesamte ben�tigte Software und kommt ohne Installation von Software oder Treibern auf dem Gast-PC aus. Damit wird der Gast-PC weder ver�ndert noch werden Spuren darauf hinterlassen. Auf Unternehmensseite dient eine ECOS SEC-Appliance als Gegenstelle. Dabei handelt es sich um Firewall-Router, die in diesem Fall als SSH-Gateway dienen. Nachdem der SSH-Tunnel aufgebaut wurde, wird auf dem Remote Work Stick die Anwendung gestartet, die f�r den Zugriff auf einen Server oder PC im Unternehmensnetz notwendig ist. Das kann z.B. RDP f�r den Zugriff auf den Desktop eines Windows-Servers oder -PCs oder der Webbrowser Opera f�r den Zugriff auf eine Webanwendung im Unternehmensnetz sein. Au�erdem besteht die M�glichkeit, eigene Programme zu installieren. Die Konfiguration des Remote Work Stick erfolgt �ber dieselbe SEC-Appliance, die auch als SSH-Gateway funktioniert.

Ebenfalls von ECOS stammt der Secure Thin Client USB-Stick, der daf�r gedacht ist, �ber das Internet eine sichere Verbindung zu einem Terminalserver oder Webserver aufzubauen. Der Stick enth�lt ein geh�rtetes Linux-Betriebssystem und kann in zwei Betriebsmodi betrieben werden: Entweder wird das Betriebssystem vom USB-Stick gebootet und das auf der Festplatte des Rechners installierte Betriebssystem bleibt inaktiv, oder das Betriebssystem des USB-Sticks wird in einer virtuellen Maschine ausgef�hrt. W�hrend im Boot-Modus das eventuell kompromittierte Betriebssystem des PCs gar nicht zum Zuge kommt, reicht es im Virtuellen Modus die bereits verschl�sselten Daten nur weiter, kann also ebenfalls keinen Schaden anrichten.

Wie bereits angek�ndigt, geht es in der n�chsten Folge weiter um die Schwachstellen-Suche in Webanwendungen.

Wenn Sie Fragen oder Themenvorschl�ge haben, k�nnen Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

Carsten Eilers

Kommentare

Folgende Links könnten Sie auch interessieren