Dr. Norbert Schirmer!"#$ 11. Mai 2011 Bonn

Ähnliche Dokumente
Surfen im Büro? Aber sicher!

Tapps mit XP-Mode unter Windows 7 64 bit (V2.0)

Internet Explorer Version 6

terra CLOUD IaaS Handbuch Stand: 02/2015

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

Herzlich willkommen bei der Installation des IPfonie -Softclients!

Anleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH

GIFONET-VPN unter Windows XP, Windows Vista, Windows 7 und Windows 8

Windows / Mac User können sich unter folgenden Links die neueste Version des Citrix Receiver downloaden.

ecaros2 Installer procar informatik AG 1 Stand: FS 09/2012 Eschenweg Weiterstadt

Update von Campus-Datenbanken (FireBird) mit einer Version kleiner 9.6 auf eine Version größer 9.6

Duonix Service Software Bedienungsanleitung. Bitte beachten Sie folgende Hinweise vor der Inbetriebnahmen der Service Software.

Oracle APEX Installer

CLX.Sentinel Kurzanleitung

TeamSpeak3 Einrichten

Installationsanleitung OpenVPN

SaaS Exchange Handbuch

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

A1 Desktop Security Installationshilfe. Symantec Endpoint Protection 12.1 für Windows/Mac

SVP-BW 1.0. Einzelplatzinstallation (Windows 7 - XP - Vista)

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Schulpaket 2015 / 2016 Installation

HTW-Aalen. OpenVPN - Anleitung. Eine Installations- und Nutzungsanleitung zu OpenVPN

In 12 Schritten zum mobilen PC mit Paragon Drive Copy 11 und Microsoft Windows Virtual PC

FastViewer Remote Edition 2.X

ANYWHERE Zugriff von externen Arbeitsplätzen

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Installationshilfe VisKalk V5

2. Installation unter Windows 8.1 mit Internetexplorer 11.0

Installation älterer Programmversionen unter Windows 7

1 Voraussetzungen für Einsatz des FRITZ! LAN Assistenten

INTERNET-SICHERHEIT SICHERHEITSPAKET INSTALLATION

OP-LOG

Anleitung. Update/Aktualisierung EBV Einzelplatz Homepage. und Mängelkatalog

Servername: Servername für FTP ftp.ihre-domain.de Benutzername: Username für FTP Mustername Passwort: Passwort mus44ter

Handbuch Installation und Nutzung von KVSAonline über KV-FlexNet

Einspielanleitung für das Update DdD Cowis backoffice DdD Cowis pos

Calogero Fontana Fachseminar WS09/10. Virtualisierung

Daten-Synchronisation zwischen dem ZDV-Webmailer und Outlook ( ) Zentrum für Datenverarbeitung der Universität Tübingen

Installationsanleitung DAISY-CD, Vollversion - Netzwerk -

Leitfaden zur Installation von Bitbyters.WinShutdown

HebRech auf Mac OS X

Installationshinweise für OpenOffice 2.3 auf dem PC daheim Stand: 26. März 2003 LS Stuttgart, Kaufmännische ZPG

Verschlüsselung von Daten mit TrueCrypt

FIREBIRD BETRIEB DER SAFESCAN TA UND TA+ SOFTWARE AUF MEHR ALS EINEM COMPUTER

VMware als virtuelle Plattform

Clientkonfiguration für Hosted Exchange 2010

Handbuch VERBINDUNG ZUM TERMINAL SERVER

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

Workshop: Eigenes Image ohne VMware-Programme erstellen

Computeria Solothurn

Anleitung: DV4Mini auf einem Raspberry Pi

Installation eblvd (Fernwartung)

Auskunft über die Kassendaten

Virtual Desktop Infrasstructure - VDI

{tip4u://033} VPN mit Mac OS X

Anleitung zum Upgrade auf SFirm Datenübernahme

Verwendung des IDS Backup Systems unter Windows 2000

Installation der 4Dv12sql Software für Verbindungen zum T.Base Server

Anleitung zur Updateinstallation von ElsaWin 4.00

SANDBOXIE konfigurieren

BAYERISCHES STAATSMINISTERIUM DES INNERN

Bedienungsanleitung htp Net Business VPN Remote Access

Bitte melden Sie sich als Administrator des Betriebssystems oder als Benutzer mit ausreichenden Installationsrechten an Ihrem PC an.

Hinweise zum Update des KPP Auswahltools (Netzwerkinstallation) auf Version 7.2

ANLEITUNG ONECLICK WEBMEETING BASIC MIT NUR EINEM KLICK IN DIE WEBKONFERENZ.

HTBVIEWER INBETRIEBNAHME

VirtualBox und OSL Storage Cluster

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

Installationsanleitung für das Integrity Tool zur AusweisApp Version 1.7 (Microsoft Windows) Dokumentversion 1.0

Eigenen WSUS Server mit dem UNI WSUS Server Synchronisieren

Hinweise zur Installation der USB Treiber für Windows XP 32bit

Verwendung des Terminalservers der MUG

Anleitung zum Upgrade auf SFirm Datenübernahme

Nutzung der VDI Umgebung

Anleitung zur Software-Installation. ENDEAVOUR 1001 Version Deutsch

Anleitung zur Installation von SFirm 3.1 inklusive Datenübernahme

A-CERT CERTIFICATION SERVICE 1

Klinger Webservice. Klinger Webservice 3.0. EINRICHTUNG. Programmbeschreibung

Anleitung zum Prüfen von WebDAV

Anleitung für Zugriff auf den LEM-FTP-Server

In 15 einfachen Schritten zum mobilen PC mit Paragon Drive Copy 10 und Microsoft Windows Virtual PC

Anleitung zum Upgrade auf SFirm 3.x + Datenübernahme. I. Vorbereitungen

Installationsanweisung Aktivierung für RadarOpus für PC s ohne Internetzugang (WINDOWS)

Cisco AnyConnect VPN Client - Anleitung für Windows7

Anleitung für Zugriff auf SHV-Systeme mit RDS auf Terminal-Server

Xerox Device Agent, XDA-Lite. Kurzanleitung zur Installation

Wie lese ich mein Zertifikat in dakota.le 6.0 ein?

Dream NFI-Flash Anleitung für die Verwendung des USB Recovery Sticks

Der PC im PC: Virtualisierung

Benutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.

BitDefender Client Security Kurzanleitung

EASYINSTALLER Ⅲ SuSE Linux Installation

System-Update Addendum

disk2vhd Wie sichere ich meine Daten von Windows XP? Vorwort 1 Sichern der Festplatte 2

Das neue Webmail Überblick über die neuen Funktionen im Outlook Web App 2010

PRAXISMANAGEMENT FÜR DIE ZAHNARZTPRAXIS, MKG - CHIRURGIE UND KLINIK PRO X DENT MKG ZMK UMSTELLUNG DER INSTALLATION AUF NETZLAUFWERK

Leitfaden für die Installation der Videoüberwachung C-MOR

Transkript:

Dr. Norbert Schirmer!"#$ 11. Mai 2011 Bonn

Überblick Motivation (zitiert aus BSI Vortrag) Sicherheitsziele VirtualBox Design von Browser in the Box Features Ausblick 2

Nutzung des PC Privat: Schreiben an Versicherung, Arzt, Finanzamt, Onlinebanking,..., E-Mails, Surfen im Internet Behörden: Industrie: Entwicklung von Gesetzestexten, Richtlinien, Verarbeitung von personenbezogenen Daten,..., E-Mails, Surfen im Internet Entwicklung neuer Produkte, Strategien, Gehaltsabrechnung,..., E-Mails, Surfen im Internet Sicherheitsziel Schutz der vertraulichen Daten auf dem PC und dem Intranet vor Browser basierten Angriffen aus dem Internet 3

Aktuelle Gefahren im Web Aktive Inhalte Eines der Haupteinfallstore für Schadsoftware Drive-by-Download Auch vertrauenswürdige Seiten sind betroffen Können ohne Wissen der Betreiber Schadsoftware verbreiten Vermietete Reklameflächen Cross-Site-Scripting Manipulierte Webseiten 4

Server basierte Lösung Ansatz Dedizierter Server für den Zugriff auf das Internet auf dem alle Web-Browser laufen Benutzer surfen remote Sicherheit: hoch Physikalische Trennung der Rechner Komfort: eingeschränkt Serverüberlastung durch viele Browserinstanzen Einbußen bei der Darstellung von Multimediainhalten Recover bei einmal infiziertem Server Kosten / Administrationsaufwand: hoch Bereitstellen der Serverhardware 5

BitBox Grundidee Host (Windows / Linux) Anwendung VirtualBox Firefox Internet Anwendung Intranet 6

BitBox Sicherheit Kapselung in virtuelle Maschine (VM) Gehärtetes Linux als Gastsystem Startet immer von einem sauberen Snapshot Trennung des Datenverkehrs auf Netzwerkebene 7

BitBox Sicherheit Kapselung in virtuelle Maschine (VM) Gehärtetes Linux als Gastsystem Startet immer von einem sauberen Snapshot Trennung des Datenverkehrs auf Netzwerkebene Benutzerkomfort Hohe Transparenz durch Seamless-Mode Weitgehende Unterstützung von Aktiven Inhalten Plugins, Persistente Lesezeichen, Drucken und Download möglich Leicht zu installieren und zu warten 7

BitBox 7 Sicherheit Kapselung in virtuelle Maschine (VM) Gehärtetes Linux als Gastsystem Startet immer von einem sauberen Snapshot Trennung des Datenverkehrs auf Netzwerkebene Benutzerkomfort Hohe Transparenz durch Seamless-Mode Weitgehende Unterstützung von Aktiven Inhalten Plugins, Persistente Lesezeichen, Drucken und Download möglich Leicht zu installieren und zu warten Leichte Integrierbarkeit in Behördennetze Konfiguration hauptsächlich auf dem Arbeitsplatz PC Nur geringe Anpassung an unterschiedliche Netze nötig Keine eigenen Hardwarekomponenten Keine Eingriffe in vorhandene Server Nutzung des vorhandenen Patchmanagements

VirtualBox Open Source Virtualisierungslösung von Oracle Verfügbar für zahlreiche Plattformen Seamless Mode Analysen im Rahmen des Projektes VirtualBox Design und Schnittstellen Sicherheitsanalyse 8

Angriffsszenarien Externe Angriffe Internet Browser Gast VM Host Lösung: Virtualisierung isoliert Hostplattform von dem Internet 9

Angriffsszenarien Externe Angriffe Internet Browser Gast VM Host Lösung: Virtualisierung isoliert Hostplattform von dem Internet Interne Angriffe Unautorisierter Zugriff auf VirtualBox Management Schnittstellen Keine zusätzlichen virtuellen Maschinen starten Lösung: Ausführung unter anderem Benutzer (BitBox) isoliert VirtualBox/ Hostplattform von dem Benutzer 9

Angriffsszenarien Externe Angriffe Internet Browser Gast VM Host Lösung: Virtualisierung isoliert Hostplattform von dem Internet Interne Angriffe Unautorisierter Zugriff auf VirtualBox Management Schnittstellen Keine zusätzlichen virtuellen Maschinen starten Lösung: Ausführung unter anderem Benutzer (BitBox) isoliert VirtualBox/ Hostplattform von dem Benutzer Annahme Die Hostplattform ist bestmöglich abgesichert 9

BitBox Isolationsmechanismen Extra Benutzerkonto Benutzerkonto VirtualBox Firefox 10

Persistente Lesezeichen / Konfiguration Idee Das Konfigurationsverzeichnis wird in einer extra Partition im Gast gespeichert Diese Partition wird beim Neustart der BitBox nicht zurückgesetzt: persistente Konfiguration Flexibilität Administrator kann dies optional auch auf einzelne Dateien / Unterverzeichnisse beschränken Das komplette Gast Image kann dem Installer beigelegt werden 11

Sicherer Download 12

Sicherer Download Extra Benutzerkonto Benutzerkonto VirtualBox Firefox 12

Sicherer Download Extra Benutzerkonto Benutzerkonto VirtualBox Firefox herunterladen Download-Ordner 12

Sicherer Download Extra Benutzerkonto Benutzerkonto VirtualBox Firefox Download Überwachung herunter- laden prüfen Download-Ordner 12

Sicherer Download Extra Benutzerkonto Benutzerkonto VirtualBox Firefox herunter- laden prüfen Download-Ordner Download Überwachung verschieben Benutzer Download-Ordner 12

Drucken 13

Drucken Extra Benutzerkonto Benutzerkonto VirtualBox Firefox 13

Drucken Extra Benutzerkonto Benutzerkonto VirtualBox Firefox drucken in Datei Druck-Ordner 13

Drucken Extra Benutzerkonto Benutzerkonto VirtualBox Firefox Druck Überwachung drucken in Datei prüfen Druck-Ordner 13

Drucken Extra Benutzerkonto Benutzerkonto VirtualBox Firefox Druck Überwachung drucken in Datei prüfen Druck-Ordner verschieben Benutzer Druck-Ordner 13

Drucken Extra Benutzerkonto Benutzerkonto VirtualBox Firefox Druck Überwachung aufrufen Druck Dialog drucken in Datei prüfen Druck-Ordner verschieben Benutzer Druck-Ordner lesen 13

Sichere Zwischenablage Uni- oder Bidirektionaler Informationsfluss Host Gast Gast Host Gast Host Optional Bestätigung durch den Benutzer beim Einfügen Kein unbemerkter Informationsfluss z.b. durch Schadsoftware im Gast die die Zwischenablage ausliest 14

BitBox Einzelplatzversion (Open Source) Host - Plattformen Windows (XP, Vista, Windows 7) Linux Features Persistente Lesezeichen Plugins (Flash, AdobeReader) Installer mit konfigurierbarem Gast-Image Sicherheits - Features Start von sauberem Snapshot Sicherer Download Sicheres Drucken Sicheres Clipboard Sicheres Update (nur signierte Images) 15

2011. Classification: RESTRICTED BitBox 2: Isoliertes Internet - Netzgrenze bis Client Mittwoch, 16 11. Mai 2011

2011. Classification: RESTRICTED BitBox 2: Isoliertes Internet - Netzgrenze bis Client Direkte Verbindung Internes Netz Mittwoch, 16 11. Mai 2011

2011. Classification: RESTRICTED BitBox 2: Isoliertes Internet - Netzgrenze bis Client Direkte Verbindung Internes Netz Mittwoch, 16 11. Mai 2011

2011. Classification: RESTRICTED BitBox 2: Isoliertes Internet - Netzgrenze bis Client Direkte Verbindung Internes Netz Gesicherter Tunnel Mittwoch, 16 11. Mai 2011

2011. Classification: RESTRICTED BitBox 2: Isoliertes Internet - Netzgrenze bis Client Internet Direkte Verbindung Internes Netz Gesicherter Tunnel Mittwoch, 16 11. Mai 2011

2011. Classification: RESTRICTED BitBox 2 (Management und Gateway) Internet im Gast, Isolierung bis Netzgrenze Sicherer VPN-Tunnel bis zum Gateway Zentrale Sicherheitsanforderung: Nur Daten aus BitBox werden ins Internet geleitet Zentrales Konfigurationsmanagement Gateway-Management Information-Flow Policies, organisationsweit Zentrales Provisioning Remote- Administration, Installation und Update Sichere Bereitstellung und Updates von Images (signierte Images) Geplantes Release-Datum Q3/2011 Mittwoch, 17 11. Mai 2011

Version 0.9 am Stand der Sirrix AG erhältlich Download unter: http://www.sirrix.com/content/pages/bitbox Sirrix AG Norbert Schirmer Lise Meitner Allee 4 44801 Bochum, Germany Phone +49-(0)234-610071-128 Fax +49-(0)234-610071-528 n.schirmer@sirrix.com http://www.sirrix.com 18

Anhang 19

Ziele von BitBox Hohe Sicherheit Möglichst transparent für den Anwender Plattformunabhängig Leicht zu installieren und zu warten Niedrige Hürden für den Einsatz Auch im Behördenumfeld einsetzbar 20

Herangehensweise des BSI 1999 - BSI-Pressemitteilung zur Gefährdung durch Aktive Inhalte 2002 - Start des ReCoBS-Projekts 2004 - Empfehlungen für Nutzer 2005 - Empfehlungen für Inhalteanbieter 2008 - Veröffentlichung der Surf-CD 2009 - Projektstart Virtuelle Surfumgebung / Browser in the Box (BITB) 2010 - Auftragsvergabe BITB an Sirrix 03.2011-2 Monatige Pilotphase mit ausgewählten Behörden 05.2011 - geplanter Release 21

SurfCD Neustart des Systems von der SurfCD zum Surfen Sicherheit Starten des Systems von LiveCD Automatisches Recover nach Infektion durch Neustart von CD Kein Zugriff auf die Festplatte Datenaustausch nur über USB Stick Komfort: eingeschränkt Unterbrechen der Arbeit durch Neustart Datenaustausch schwierig Kosten / Administrationsaufwand: niedrig 22

VirtualBox Schnittstellen Frontends VirtualBox (GUI) VBoxManage (Konsole) Python Anbindung (Scripting) Webservice Main API über (XP)COM Management von VMs Steuerung / Konfiguration von VMs Konfigurationsdateien XML Dateien für globale und VM spezifische Konfiguration (auch GUI) Disk-Images Snapshot Dateien 23

VirtualBox Architektur 24

BitBox auf Linux Host Anzeige auf Joeʼs Desktop mit xhost für virtual freigeschaltet 25

Hürden in Windows Kein sudo Kein xhost Ab Windows Vista können Windows-Dienste keine GUI auf dem Benutzerdesktop anzeigen 26

sudo vs. runas Linux: sudo In Datei sudoers kann festgelegt werden welcher Benutzer welches Programm unter welchem Zielaccount ausführen darf Legitimierung mit / ohne Benutzerpasswort Hintergrund: Root Prozess kann sich zu beliebigem Benutzer downgraden Windows: runas Beim Aufruf von runas wird das Programm und der Zielaccount eingegeben Legitimierung durch Eingabe des Zielaccount-Passwortes Hintergrund: Root Prozess kann sich nicht ohne weiteres zu einem Benutzer downgraden 27

sudo / xhost+ in Windows 28

sudo / xhost+ in Windows 1) BITB-Systemdienst hat Zugriff auf BitBox Passwort 28

sudo / xhost+ in Windows 1) BITB-Systemdienst hat Zugriff auf BitBox Passwort 2) Benutzer Joe fordert Dienst auf, BITB zu starten 28

sudo / xhost+ in Windows 1) BITB-Systemdienst hat Zugriff auf BitBox Passwort 2) Benutzer Joe fordert Dienst auf, BITB zu starten 3) Der Dienst meldet Nutzer BitBox an und schaltet ihm den Zugriff auf den Desktop von Joe frei 28

sudo / xhost+ in Windows 1) BITB-Systemdienst hat Zugriff auf BitBox Passwort 2) Benutzer Joe fordert Dienst auf, BITB zu starten 3) Der Dienst meldet Nutzer BitBox an und schaltet ihm den Zugriff auf den Desktop von Joe frei 4) Dienst startet BITB als Nutzer BitBox mit Anzeige auf Desktop von Joe 28

Sicheres Update Nur zertifizierte Images / Shared Folder können installiert werden Signaturalgorithmus: RSA 2048 Hash: SHA 256 29

BITB Gesamtarchitektur 30

BITB Gesamtarchitektur Extra Benutzerkonto Browser Überwachung beenden beobachten VirtualBox sudo steuert Benutzerkonto Link anklicken Firefox 30

BITB Gesamtarchitektur Extra Benutzerkonto Browser Überwachung beenden beobachten VirtualBox sudo steuert Benutzerkonto Link anklicken Firefox speichern Lesezeichen,... 30

BITB Gesamtarchitektur Extra Benutzerkonto Browser Überwachung beenden beobachten VirtualBox sudo steuert Benutzerkonto Link anklicken Firefox speichern drucken in Datei prüfen Druck Überwachung verschieben aufrufen lesen Druck Dialog Druck-Ordner Benutzer Druck-Ordner Lesezeichen,... 30

BITB Gesamtarchitektur Browser Überwachung beenden beobachten VirtualBox Extra Benutzerkonto herunterladen prüfen Download-Ordner Download Überwachung verschieben sudo steuert Benutzer Download-Ordner Benutzerkonto Link anklicken Firefox speichern drucken in Datei prüfen Druck Überwachung verschieben aufrufen lesen Druck Dialog Druck-Ordner Benutzer Druck-Ordner Lesezeichen,... 30

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback