AA_anubis.png

© Jeff Dahl, GFDL,http://bit.ly/dt4XNS

Göttlicher Schutz

Integrierte Security-Suite Anoubis

08.06.2010
Als umfassende Sicherheitslösung für Linux-Rechner kombiniert Anoubis eine Application Level Firewall, eine Sandbox und ein Werkzeug zum Wahren der Integrität von Programmen, Dateien und Verzeichnissen zu einem probaten Rundumschutz.

Jede Attacke auf einen Rechner zielt letztendlich darauf ab, den Angreifer in den Besitz fremder Zugriffsrechte zu bringen, mit deren Hilfe er dann auf dem Zielsystem nach Belieben schalten und walten kann. Je großzügiger man solche Zugriffsrechte vergibt, desto leichter hat es ein Angreifer und desto größeren Schaden kann er anrichten.

Als Einfallstor für Attacken dienen in aller Regel Sicherheitslücken der auf dem angegriffenen Rechner laufenden Software. Unter diesem Gesichtspunkt stellt es ein gravierendes Problem dar, dass Betriebssysteme den Programmen meist pauschal alle Zugriffsrechte desjenigen Benutzers einräumen, der sie gestartet hat. Hier zeigt sich ein grundsätzliches Problem bei der Rechtevergabe in allen gängigen Betriebssystemen. Zwar schützen Zugriffsrechte das System vor den Benutzern und isolieren diese untereinander, den einzelnen Anwendungen stehen aber sämtliche Rechte des Anwenders offen – obwohl die Anwendungen meist so umfassende Befugnisse gar nicht benötigen.

Typische Beispiele dafür liefern die häufigsten Angriffsszenarien, beispielsweise Attacken über den Webbrowser, mithilfe von Makros durch eine Textverarbeitung oder mittels manipulierter Dokumente in einem Dokumentenbetrachter: Ob ein heruntergeladenes Skript in Firefox, ein Codebrocken in einem per E-Mail zugesendeten OpenOffice-Schriftstück oder ein PDF-Dokument mit eingebettetem aktivem Inhalt im Acrobat Reader – alle drei laufen im Sicherheitskontext des Benutzers und erben so alle seine Rechte.

Der Anwender hat so gut wie keine Kontrolle über die Zugriffsrechte der von ihm ausgeführten Anwendungen. Ihm bleibt nur übrig, sich auf deren korrektes Design und Verhalten zu verlassen. In diesem Zusammenhang stellt sich die Folgefrage, wie sich die Integrität dieser Anwendungen sicherstellen lässt: Ein Angreifer könnte dem Benutzer ja auch eine manipulierte Version einer gängigen Anwendung unterschieben, um an Daten zu gelangen.

Um diese Probleme zu lösen, gilt es neben dem Benutzer auch die Anwendungen in das Rechtesystem einzubeziehen. Die Frage, ob eine Applikation auf eine Datei, das Netzwerk oder eine andere Ressource zugreifen darf, muss gesondert von den Rechten des Benutzers auf Basis der für die Anwendung selbst unbedingt notwendigen Befugnisse entschieden werden.

Mit Anoubis [1] gibt es für Linux- und OpenBSD-Desktops eine Security-Suite, die genau diese Probleme adressiert. Das quelloffene Sicherheitspaket steht unter der BSD-Lizenz und wurde mit Mitteln aus dem Zukunftsfonds [2] des BSI von dem in Kirchheim bei München ansässigen Security-Unternehmen GeNUA [3] entwickelt. Dass das BSI gerade die Kirchheimer mit dem Auftrag betraute, nimmt wenig Wunder: Die seit 1992 im Bereich der IT-Sicherheit arbeitende Firma kennt man in Fachkreisen nicht zuletzt durch ihre in Unternehmen und Behörden beliebten, auf OpenBSD basierenden Firewallsysteme.

Das Konzept

Die Anoubis-Suite setzt zur Abwehr von Angriffen im Wesentlichen auf drei Bestandteile: eine Application Level Firewall, eine Sandbox und ein Modul zur Integritätssicherung.

Die Application Level Firewall – im Anoubis-Jargon kurz ALF genannt – filtert alle von Anwendungen versuchten Netzwerkzugriffe. Mit ihrer Hilfe verbieten Sie Applikationen die Kontaktaufnahme nach außen beziehungsweise schränken diese gezielt auf bestimmte Ports und Protokolle ein. Selbst wenn es einem Angreifer gelingt, eine Anwendung zu kompromittierten, kann diese dennoch nur auf die vorgegebenen Ressourcen zugreifen und ihre Rechte nicht selbständig ausweiten. Zudem erkennen Sie mithilfe von ALF, wenn eine Anwendung versucht, unerlaubt auf das Netzwerk zuzugreifen. Auf diese Weise lassen sich beispielsweise Versuche von Trojanern erkennen, Daten an einen Angreifer zu versenden.

Diese Beschränkungen helfen allerdings nicht weiter, wenn Schadsoftware den Rechner durch Netzwerkaktivitäten erreicht, die zum normalen Verhalten des Programms gehören. Ein Browser beispielsweise muss notgedrungen zumindest die TCP-Ports 80 (HTTP) und 443 (HTTPS) benutzen, soll er seinen Zweck erfüllen. An dieser Stelle kommt die Sandbox (in Anoubis: SB) ins Spiel, die den Zugriff von Programmen auf das Dateisystem einschränkt. Für den Webbrowser genügt es beispielsweise, wenn er seine eigene Konfiguration lesen und schreiben sowie Downloads in einem dafür vorgesehenen Verzeichnis ablegen kann. Anoubis' Sandbox unterscheidet hier zwischen lesenden und schreibenden Zugriffen, wobei auch das Ausführen einer anderen Anwendung als Zugriff gilt und sich gesondert regeln lässt.

Schließlich bietet Anoubis die Möglichkeit, die Integrität von Anwendungen, Verzeichnissen und Dateien durch das Verwenden von Prüfsummen sicherzustellen. Dazu verwendet es SHA-256-Hashes. Die Anoubis-Entwickler bezeichnen diese Funktion etwas vollmundig als "Sicheres Filesystem" (SFS). Mithilfe eines speziellen Dateibrowsers können Sie jederzeit überprüfen, ob der Inhalt von Dateien noch mit den früher hinterlegten Prüfsummen übereinstimmt. Zudem schränken Sie für bestimmte Bereiche des Dateisystems den Zugriff auf Dateien ein, für die eine Prüfsumme existiert und als korrekt verifiziert werden kann. Auf diesem Weg stellen Sie beispielweise sicher, dass das System manipulierte Programmdateien schlicht nicht startet.

Führt ein von Anoubis kontrollierter Prozess ein anderes Programm aus, so erbt dieses den Regelsatz der aufrufenden Anwendung. Das verhindert, dass Software die für sie vorgesehenen Einschränkungen einfach durch Ausführen eines anderen Programms umgeht. Sie können aber im Bedarfsfall für einzelne Applikationen festlegen, dass diese statt der ererbten Rechte einen eigenen Regelsatz erhalten.

Die Bestandteile

Die GeNUA-Entwickler haben Anoubis unter Linux auf Basis des LSM-Frameworks [5] realisiert. Diese eigens für das Implementieren von speziellen Sicherheitsfunktionen eingerichtete Schnittstelle wurde mit dem Kernel 2.6 eingeführt und dient beispielsweise auch SELinux als Basis. Ereignisse, die aus der Sicht von Anoubis einer genaueren Prüfung bedürfen, registriert es mithilfe dieser Schnittstelle. Dazu kommt ein mit speziellen Patches versehener Kernel zum Einsatz, der die Events zur weiteren Behandlung an den Daemon-Prozess anoubisd weiterreicht (Abbildung 1). Der prüft nun das weitere Vorgehen anhand der vergebenen Regeln.

Abbildung 1: Anoubis arbeitet in einer dreistufigen Struktur aus Kernelkomponenten, einem Daemon sowie Administratoren- und Benutzerwerkzeugen.

Solche Regeln kann zum einen der Systemadministrator vergeben. Der von ihm erstellte Regelsatz gilt verbindlich auch für alle Benutzer und lässt sich von diesen lediglich weiter einschränken, jedoch nicht ausweiten. Jeder Anwender darf in diesem Rahmen selbständig Zugriffsregeln für Programme festlegen. Sie gelten nur für die von ihm ausgeführten Anwendungen und lassen sich jederzeit anpassen, ergänzen oder verändern.

Neben einigen eher für Systemadmnistratoren gedachten Kommandozeilenprogrammen bringt die Anoubis-Suite das grafische Konfigurations- und Verwaltungsfrontend xanoubis mit. Die weitgehend intuitiv bedienbare Oberfläche ermöglicht zum einen das Erstellen von Regeln in einem komfortablen Regeleditor. Darüber hinaus lassen sich hier für einzelne Anwendungen über einen leicht bedienbaren Assistenten initiale Regelsätze als Ausgangspunkt für die weitere Konfiguration erzeugen.

Um sich den wechselnden Einsatzumgebungen mobiler Rechner anpassen zu können, bietet die GUI zudem die Möglichkeit, verschiedene Profile zu verwalten und per Mausklick zwischen diesen zu wechseln. So legen Sie bei Bedarf etwa ein Profil für die Arbeit im Büro, eines für das Home-Office und eines für den Einsatz unterwegs an und wählen dann je nach aktueller Anforderung das passende. Auch das Verwalten und Überprüfen hinterlegter Prüfsummen nehmen Sie mit Hilfe eines Dateisystembrowsers in der grafischen Benutzeroberfläche vor.

Ähnlich wie man das von Personal Firewalls unter Windows kennt, lässt sich Anoubis auch in einem Dialogmodus betreiben. Bei Zugriffsversuchen, für die noch keine Regel existiert, fragt die Suite dann bei Ihnen an, ob Sie das Programm für den Einzelfall, für einen definierten Zeitraum oder generell gewähren lassen wollen. Je nach Ihrer Antwort erstellt es eine passende Regel für künftige Zugriffsversuche. Auf diese Weise erhalten mit Netzwerkprotokollen weniger vertraute Anwender die Möglichkeit, Regelsätze im praktischen Betrieb quasi automatisch erstellen zu lassen.

Anoubis installieren

Für Debian 5.0, Ubuntu 9.10, OpenSuse 11.2 sowie Fedora 11 finden Sie vorbereitete Pakete auf der Download-Seite des Anoubis-Projekts [6] unter dem Punkt Distributionen. Zur Installation benötigen Sie jeweils die vier Pakete mit dem angepassten Kernel (linux-image-Version.Paketformat), den passenden Headern(linux-header-Version.Paketformat), dem Anoubis-Daemon (anoubisd-Version.Paketformat) sowie der grafischen Oberfläche (xanoubis-Version.Paketformat).

Diese installieren Sie nach dem Herunterladen über das Paketmanagement der jeweiligen Distribution. Dabei zieht das System die benötigten Abhängigkeiten automatisch nach, trägt den neuen Kernel in den Bootmanager ein und sorgt für den automatischen Start des Daemons. Via Paketmanagement lässt sich die Anoubis-Suite dann bei Bedarf später auch wieder rückstandsfrei entfernen. Spezifische Handreichungen zum Einrichten und Deinstallieren liefert zusätzlich eine bei den jeweiligen Downloads verlinkte Kurzanleitung.

Ebenfalls unter dem Punkt Distributionen stellt das Projekt auch generische Kernel sowie Kernel-Patches zur Verfügung, die Sie alternativ zu den distributionsspezifischen Versionen oder mit anderen Linux-Derivaten einsetzen können. Ergänzend findet sich auf der Downloadseite auch ein Tarball mit den Quelltexten von Anoubis, mit dessen Hilfe sie die Programme gegebenenfalls selbst übersetzen.

Daneben finden sich im Download-Bereich ein sehr empfehlenswertes, ausführliches deutschsprachiges Handbuch zu Anoubis sowie – für Vorsichtige – eine Live-CD für erste Versuche mit der Security-Suite. Sie enthält ein Ubuntu mit vorinstalliertem Anoubis. Das Projekt weist allerdings ausdrücklich darauf hin, dass sich die Live-CD nur für das erste Beschnuppern eignet, nicht jedoch für den produktiven Einsatz.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 11/2014: VIDEOS BEARBEITEN

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Schnell Multi-Boot-Medien mit MultiCD erstellen
Schnell Multi-Boot-Medien mit MultiCD erstellen
Tim Schürmann, 24.06.2014 12:40, 0 Kommentare

Wer mehrere nützliche Live-Systeme auf eine DVD brennen möchte, kommt mit den Startmedienerstellern der Distributionen nicht besonders weit: Diese ...

Aktuelle Fragen

Artikelsuche
Erwin Ruitenberg, 09.10.2014 07:51, 1 Antworten
Ich habe seit einige Jahre ein Dugisub LinuxUser. Dann weiß ich das irgendwann ein bestimmtes Art...
Windows 8 startet nur mit externer Festplatte
Anne La, 10.09.2014 17:25, 4 Antworten
Hallo Leute, also, ich bin auf folgendes Problem gestoßen: Ich habe Ubuntu 14.04 auf meiner...
Videoüberwachung mit Zoneminder
Heinz Becker, 10.08.2014 17:57, 0 Antworten
Hallo, ich habe den ZONEMINDER erfolgreich installiert. Das Bild erscheint jedoch nicht,...
internes Wlan und USB-Wlan-Srick
Gerhard Blobner, 04.08.2014 15:20, 2 Antworten
Hallo Linux-Forum: ich bin ein neuer Linux-User (ca. 25 Jahre Windows) und bin von WIN 8 auf Mint...
Server antwortet mit falschem Namen
oin notna, 21.07.2014 19:13, 1 Antworten
Hallo liebe Community, Ich habe mit Apache einen Server aufgesetzt. Soweit, so gut. Im Heimnet...