Als umfassende Sicherheitslösung für Linux-Rechner kombiniert Anoubis eine Application Level Firewall, eine Sandbox und ein Werkzeug zum Wahren der Integrität von Programmen, Dateien und Verzeichnissen zu einem probaten Rundumschutz.

Jede Attacke auf einen Rechner zielt letztendlich darauf ab, den Angreifer in den Besitz fremder Zugriffsrechte zu bringen, mit deren Hilfe er dann auf dem Zielsystem nach Belieben schalten und walten kann. Je großzügiger man solche Zugriffsrechte vergibt, desto leichter hat es ein Angreifer und desto größeren Schaden kann er anrichten.

Als Einfallstor für Attacken dienen in aller Regel Sicherheitslücken der auf dem angegriffenen Rechner laufenden Software. Unter diesem Gesichtspunkt stellt es ein gravierendes Problem dar, dass Betriebssysteme den Programmen meist pauschal alle Zugriffsrechte desjenigen Benutzers einräumen, der sie gestartet hat. Hier zeigt sich ein grundsätzliches Problem bei der Rechtevergabe in allen gängigen Betriebssystemen. Zwar schützen Zugriffsrechte das System vor den Benutzern und isolieren diese untereinander, den einzelnen Anwendungen stehen aber sämtliche Rechte des Anwenders offen – obwohl die Anwendungen meist so umfassende Befugnisse gar nicht benötigen.

Typische Beispiele dafür liefern die häufigsten Angriffsszenarien, beispielsweise Attacken über den Webbrowser, mithilfe von Makros durch eine Textverarbeitung oder mittels manipulierter Dokumente in einem Dokumentenbetrachter: Ob ein heruntergeladenes Skript in Firefox, ein Codebrocken in einem per E-Mail zugesendeten OpenOffice-Schriftstück oder ein PDF-Dokument mit eingebettetem aktivem Inhalt im Acrobat Reader – alle drei laufen im Sicherheitskontext des Benutzers und erben so alle seine Rechte.

Der Anwender hat so gut wie keine Kontrolle über die Zugriffsrechte der von ihm ausgeführten Anwendungen. Ihm bleibt nur übrig, sich auf deren korrektes Design und Verhalten zu verlassen. In diesem Zusammenhang stellt sich die Folgefrage, wie sich die Integrität dieser Anwendungen sicherstellen lässt: Ein Angreifer könnte dem Benutzer ja auch eine manipulierte Version einer gängigen Anwendung unterschieben, um an Daten zu gelangen.

Um diese Probleme zu lösen, gilt es neben dem Benutzer auch die Anwendungen in das Rechtesystem einzubeziehen. Die Frage, ob eine Applikation auf eine Datei, das Netzwerk oder eine andere Ressource zugreifen darf, muss gesondert von den Rechten des Benutzers auf Basis der für die Anwendung selbst unbedingt notwendigen Befugnisse entschieden werden.

Mit Anoubis [1] gibt es für Linux- und OpenBSD-Desktops eine Security-Suite, die genau diese Probleme adressiert. Das quelloffene Sicherheitspaket steht unter der BSD-Lizenz und wurde mit Mitteln aus dem Zukunftsfonds [2] des BSI von dem in Kirchheim bei München ansässigen Security-Unternehmen GeNUA [3] entwickelt. Dass das BSI gerade die Kirchheimer mit dem Auftrag betraute, nimmt wenig Wunder: Die seit 1992 im Bereich der IT-Sicherheit arbeitende Firma kennt man in Fachkreisen nicht zuletzt durch ihre in Unternehmen und Behörden beliebten, auf OpenBSD basierenden Firewallsysteme.

Das Konzept

Die Anoubis-Suite setzt zur Abwehr von Angriffen im Wesentlichen auf drei Bestandteile: eine Application Level Firewall, eine Sandbox und ein Modul zur Integritätssicherung.

Die Application Level Firewall – im Anoubis-Jargon kurz ALF genannt – filtert alle von Anwendungen versuchten Netzwerkzugriffe. Mit ihrer Hilfe verbieten Sie Applikationen die Kontaktaufnahme nach außen beziehungsweise schränken diese gezielt auf bestimmte Ports und Protokolle ein. Selbst wenn es einem Angreifer gelingt, eine Anwendung zu kompromittierten, kann diese dennoch nur auf die vorgegebenen Ressourcen zugreifen und ihre Rechte nicht selbständig ausweiten. Zudem erkennen Sie mithilfe von ALF, wenn eine Anwendung versucht, unerlaubt auf das Netzwerk zuzugreifen. Auf diese Weise lassen sich beispielsweise Versuche von Trojanern erkennen, Daten an einen Angreifer zu versenden.

Diese Beschränkungen helfen allerdings nicht weiter, wenn Schadsoftware den Rechner durch Netzwerkaktivitäten erreicht, die zum normalen Verhalten des Programms gehören. Ein Browser beispielsweise muss notgedrungen zumindest die TCP-Ports 80 (HTTP) und 443 (HTTPS) benutzen, soll er seinen Zweck erfüllen. An dieser Stelle kommt die Sandbox (in Anoubis: SB) ins Spiel, die den Zugriff von Programmen auf das Dateisystem einschränkt. Für den Webbrowser genügt es beispielsweise, wenn er seine eigene Konfiguration lesen und schreiben sowie Downloads in einem dafür vorgesehenen Verzeichnis ablegen kann. Anoubis’ Sandbox unterscheidet hier zwischen lesenden und schreibenden Zugriffen, wobei auch das Ausführen einer anderen Anwendung als Zugriff gilt und sich gesondert regeln lässt.

Schließlich bietet Anoubis die Möglichkeit, die Integrität von Anwendungen, Verzeichnissen und Dateien durch das Verwenden von Prüfsummen sicherzustellen. Dazu verwendet es SHA-256-Hashes. Die Anoubis-Entwickler bezeichnen diese Funktion etwas vollmundig als “Sicheres Filesystem” (SFS). Mithilfe eines speziellen Dateibrowsers können Sie jederzeit überprüfen, ob der Inhalt von Dateien noch mit den früher hinterlegten Prüfsummen übereinstimmt. Zudem schränken Sie für bestimmte Bereiche des Dateisystems den Zugriff auf Dateien ein, für die eine Prüfsumme existiert und als korrekt verifiziert werden kann. Auf diesem Weg stellen Sie beispielweise sicher, dass das System manipulierte Programmdateien schlicht nicht startet.

Führt ein von Anoubis kontrollierter Prozess ein anderes Programm aus, so erbt dieses den Regelsatz der aufrufenden Anwendung. Das verhindert, dass Software die für sie vorgesehenen Einschränkungen einfach durch Ausführen eines anderen Programms umgeht. Sie können aber im Bedarfsfall für einzelne Applikationen festlegen, dass diese statt der ererbten Rechte einen eigenen Regelsatz erhalten.

Die Bestandteile

Die GeNUA-Entwickler haben Anoubis unter Linux auf Basis des LSM-Frameworks [5] realisiert. Diese eigens für das Implementieren von speziellen Sicherheitsfunktionen eingerichtete Schnittstelle wurde mit dem Kernel 2.6 eingeführt und dient beispielsweise auch SELinux als Basis. Ereignisse, die aus der Sicht von Anoubis einer genaueren Prüfung bedürfen, registriert es mithilfe dieser Schnittstelle. Dazu kommt ein mit speziellen Patches versehener Kernel zum Einsatz, der die Events zur weiteren Behandlung an den Daemon-Prozess anoubisd weiterreicht (Abbildung 1). Der prüft nun das weitere Vorgehen anhand der vergebenen Regeln.

Abbildung 1: Anoubis arbeitet in einer dreistufigen Struktur aus Kernelkomponenten, einem Daemon sowie Administratoren- und Benutzerwerkzeugen.

Solche Regeln kann zum einen der Systemadministrator vergeben. Der von ihm erstellte Regelsatz gilt verbindlich auch für alle Benutzer und lässt sich von diesen lediglich weiter einschränken, jedoch nicht ausweiten. Jeder Anwender darf in diesem Rahmen selbständig Zugriffsregeln für Programme festlegen. Sie gelten nur für die von ihm ausgeführten Anwendungen und lassen sich jederzeit anpassen, ergänzen oder verändern.

Neben einigen eher für Systemadmnistratoren gedachten Kommandozeilenprogrammen bringt die Anoubis-Suite das grafische Konfigurations- und Verwaltungsfrontend xanoubis mit. Die weitgehend intuitiv bedienbare Oberfläche ermöglicht zum einen das Erstellen von Regeln in einem komfortablen Regeleditor. Darüber hinaus lassen sich hier für einzelne Anwendungen über einen leicht bedienbaren Assistenten initiale Regelsätze als Ausgangspunkt für die weitere Konfiguration erzeugen.

Um sich den wechselnden Einsatzumgebungen mobiler Rechner anpassen zu können, bietet die GUI zudem die Möglichkeit, verschiedene Profile zu verwalten und per Mausklick zwischen diesen zu wechseln. So legen Sie bei Bedarf etwa ein Profil für die Arbeit im Büro, eines für das Home-Office und eines für den Einsatz unterwegs an und wählen dann je nach aktueller Anforderung das passende. Auch das Verwalten und Überprüfen hinterlegter Prüfsummen nehmen Sie mit Hilfe eines Dateisystembrowsers in der grafischen Benutzeroberfläche vor.

Ähnlich wie man das von Personal Firewalls unter Windows kennt, lässt sich Anoubis auch in einem Dialogmodus betreiben. Bei Zugriffsversuchen, für die noch keine Regel existiert, fragt die Suite dann bei Ihnen an, ob Sie das Programm für den Einzelfall, für einen definierten Zeitraum oder generell gewähren lassen wollen. Je nach Ihrer Antwort erstellt es eine passende Regel für künftige Zugriffsversuche. Auf diese Weise erhalten mit Netzwerkprotokollen weniger vertraute Anwender die Möglichkeit, Regelsätze im praktischen Betrieb quasi automatisch erstellen zu lassen.

Erste Schritte

Unter Debian, Ubuntu, OpenSuse und Fedora lässt sich Anoubis komfortabel über das Paketmanagement der Distribution einrichten – näheres dazu lesen Sie im Kasten “Anoubis installieren”. Der spezielle Anoubis-Kernel erscheint nach der Installation automatisch an erster Stelle im Bootmenü, und auch den Anoubis-Daemon startet das System selbsttätig.

Wir haben das Programm unter Ubuntu 9.10 “Karmic Koala” näher unter die Lupe genommen. Dort rufen Sie im ersten Schritt die grafische Benutzeroberfläche der Suite über den Menüeintrag Anwendungen | Internet | xanoubis auf. Daraufhin erscheint im Benachrichtigungsfeld des Panels das Anoubis-Logo in Form des schakalköpfigen Namenspatrons aus der ägyptischen Mythologie. Ein Klick auf dieses Icon bringt das Programmfenster von Xanoubis zum Vorschein (Abbildung 2).

Abbildung 2: Nach dem ersten Start müssen Sie Xanoubis erst einmal mit dem Daemon verbinden.

Beachten Sie das Feld Status links oben: Es zeigt ein stilisiertes rotes Stoppschild und meldet Verbunden: Nein. Die GUI hat derzeit noch keine Verbindung zum Anoubis-Daemon und kann daher weder Regeln an diesen senden noch Meldungen von ihm empfangen. Das ist momentan zwar nicht tragisch, denn in der Vorkonfiguration erlegt die Security-Suite den Programmen noch keine Beschränkungen auf. Greifen jedoch später von Ihnen definierte Regeln, während Xanoubis keine Verbindung zum Daemon hat, erhalten Sie keinerlei Warnungen – einzelne Programme funktionieren dann unter Umständen einfach nicht, ohne dass Sie mitbekommen, warum.

Deswegen klicken Sie als erstes ganz unten im Feld Überblick unter dem unterstem Punkt Verbindung zu localhost den Schalter Verbinden an. Xanoubis nimmt jetzt Verbindung zum Anoubis-Daemon auf, was Sie daran erkennen, dass jetzt unter Status statt des roten Warnschilds ein grünes Häkchen erscheint. Damit Xanoubis das künftig automatisch erledigt und Sie sich um dieses Detail nicht mehr kümmern müssen, wechseln Sie nun über die Auswahlleiste links im Fenster in den Abschnitt Anoubis und aktivieren dort auf dem Reiter Einstellungen (Abbildung 3) die Checkbox Automatisches Verbinden zum Daemon.

Abbildung 3: In den Einstellungen aktivieren Sie den automatischen Start und die selbständige Verbindungsaufnahme von Xanoubis.

Sofern Sie außerdem auch noch das Kästchen vor Autostart anwählen, startet das System nach dem Booten auch die Oberfläche selbst automatisch – ein ebenfalls empfehlenswertes Feature: Vergessen Sie das Starten der Oberfläche, bekommen Sie genau wie bei deaktivierter Verbindung außer den Auswirkungen nichts von den Tätigkeiten der Security-Suite mit.

Unter Ubuntu empfiehlt es sich außerdem, zumindest für die Test- und Einrichtungsphase der Suite an dieser Stelle ganz oben das Häkchen vor Sende Eskalationen abzuwählen. Anderenfalls vermeldet Xanoubis jeden Regelverstoß und jeden Nachfrage über das Indicator-Applet. Dadurch mutiert das ohnehin oft schon recht nervige Bildschirm-Popup der Distribution schnell zum Dauergast auf dem Bildschirm. Über entsprechende Events informiert Xanoubis aber ohnehin, indem es ein rotes Fragezeichen über seinem Icon im Benachrichtigungsfeld einblendet (Abbildung 4).

Abbildung 4: Sobald Xanoubis Ihre Aufmerksamkeit benötigt, signalisiert es das mittels eines roten Fragezeichens über dem Programmsymbol und – je nach Einstellung – über eine zusätzliche Benachrichtigung.

Anwendungen überwachen

Im letzten Schritt der Vorkonfiguration wechseln Sie nun über die Seitenleiste des Xanoubis-Fensters in den Bereich ALF. Xanoubis zeigt Ihnen nun die bereits vorgegebenen Regeln an. Hier sehen Sie in der ersten Zeile den Eintrag any default allow IhrBenutzername. Er sorgt dafür, dass zunächst einmal allen Applikationen alles erlaubt ist. Öffnen Sie nun mit einem Doppelklick auf diese Zeile den Anoubis RuleEditor (Abbildung 5).

nachfragen, um Anoubis in den Lernmodus zu versetzen.” width=”300″ height=”225″ /> Abbildung 5: Im Regeleditor ändern Sie die Standard-Aktion auf nachfragen, um Anoubis in den Lernmodus zu versetzen.

Dort ändern Sie im rechten unteren Viertel des Fensters unter Aktion / Log die Einstellung Aktion vom voreingestellten erlauben auf nachfragen. Um die neue Einstellung zu übernehmen, übermitteln Sie sie mit einem Klick auf den Schalter Aktivieren ganz rechts unten an den Anoubis-Daemon. Die Status-Anzeige über dem Schalter verändert sich daraufhin nach einem kurzen sending to von verändert in nicht verändert.

Damit läuft Anoubis nun im Lernmodus: Bei jeder sicherheitsrelevanten Aktion eines Programms, die es noch nicht kennt, fragt es bei Ihnen nach, wie es diese behandeln soll. Die eben vorgenommene Übermittlung an den Daemon steht übrigens nach jeder Änderung von Regeln an, soll die Neueinstellung auch greifen – beachten Sie im Zweifelsfall genau die Status-Anzeige über dem Schalter Aktivieren.

Um sich die Wirkungsweise von Anoubis anzusehen, schließen Sie jetzt den Regeleditor und das Xanoubis-Fenster erst einmal. Starten Sie anschließend Firefox. Nun schlägt Xanoubis über das schon erwähnte rote Fragezeichen Alarm. Klicken Sie das Programmicon an, öffnet sich das Programmfenster im Benachrichtigungsmodus (Abbildung 6). Hier sehen Sie, welche sicherheitsrelevante Aktion die überwachte Anwendung unternehmen will – im konkreten Fall möchte Firefox via DNS einen Hostnamen auflösen. Sie haben nun die Wahl, die entsprechende Aktion zu gestatten oder zu unterbinden.

Abbildung 6: Klopf, klopf: Firefox möchte ins Internet und dazu einen Hostnamen via DNS in eine IP-Adresse auflösen. Anoubis fragt an, ob das auch gestattet ist.

Dazu stehen die verschiedensten Abstufungen von Einmalig bis Immer sowie von Port- und Rechner-Kombinationen zur Verfügung. Mit Rechner meint Anoubis hier – etwas missverständlich – grundsätzlich die Gegenstelle, nicht etwa den eigenen PC. Die Namensauflösung können Sie Firefox grundsätzlich gestattet, wozu Sie hier die Optionen Immer und dieser Port auf jedem Rechner wählen. Nun kann Firefox bei jedem Nameserver im Netz eine Namensauflösung beantragen. In gleicher Weise erlauben Sie dem Browser anschließend auch das Entgegennehmen der Antwort und die Kommunikation über den HTTP-Port 80.

Zauberei

Statt auf die Anfragen von Anoubis zu warten, können Sie den Umgang mit häufig gebrauchten Applikationen wie den Webbrowser Firefox aber auch schon einmal in Anoubis vorkonfigurieren. Starten Sie dazu aus dem Xanoubis-Fenster über dessen Menü-Eintrag Werkzeuge | Wizard… oder mittels [Alt]+[W] den Rule Wizard.

Er fragt zunächst einmal nach dem Programm, für das Sie einem Regelsatz erstellen wollen. Dabei will er einen kompletten Pfad zur Binärdatei wissen. Kennen Sie diesen nicht auswendig, hilft ein which Programm im Terminal weiter – für Firefox meldet which firefox, dass der Aufruf sich auf /usr/bin/firefox bezieht. Dies teilen Sie nun dem Wizard mit, der zuvorkommenderweise symbolische Links wie diesen selbständig auflöst und dabei offenbart, dass Firefox tatsächlich über ein Skript in /usr/lib/ gestartet wird.

Ein Klick auf Weiter führt zur Frage nach dem Ablaufkontext, den Sie hier wie in fast allen Fällen auf der Vorgabe belassen, sodass die Applikation die Rechte der aufrufenden Instanz erbt. Ein erneuter Klick auf Weiter führt Sie zu den Application Level Firewall Einstellungen. Hier wählen Sie die dritte Option, eingeschränkt mit der Option zur weiteren Konfiguration, und anschließend wieder den Schalter Weiter. Jetzt landen Sie in einem Fenster, in dem Sie erlaubte Dienste hinzufügen können. Hier wählen Sie zunächst den Schalter Standarddienste hinzufügen, was dazu führt, dass Anoubis der Applikation schon einmal die Namensauflösung gestattet.

Da das für einen Browser aber ein bisschen wenig ist, rufen Sie anschließend über Hinzufügen… das Dialogfenster Wizard Dienst hinzufügen auf. Seltsamerweise kennt Anoubis als Verfügbare vordefinierte Dienste weder HTTP noch HTTPS, sodass Sie die beiden manuell eintragen müssen. Wählen Sie also als Protokolltyp TCP und geben Sie als Portnummer(n)80 ein. Dann schließen Sie die Eingabe mit eigenen Dienst hinzufügen ab. Nun schließt sich das Dialogfenster, und der neue Dienst taucht in den Application Level Firewall Einstellungen auf. Dieses Spiel wiederholen Sie für Port 443: Anders als im Eingabefenster angegeben akzeptiert der Wizard nämlich bislang weder Mehrfachangaben noch Port-Bereiche.

Ein erneuter Klick auf Weiter führt Sie zu den Sandbox Einstellungen. Hier klicken Sie die mittlere Option an, Ja, Regeln aus Standardwerten laden. Das führt dazu, dass die Anwendung unter anderem auf Bibliotheksverzeichnisse zugreifen und andere Programme nachstarten kann, jedoch schreibend nur auf Ausgabegeräte, temporäre Verzeichnisse und ihr Home zugreifen darf. Erscheint Ihnen das noch zu weit gefasst, schränken Sie diese Rechte später im Regeleditor weiter einschränken.

Ein nochmaliges Weiter bringt sie in den letzten Dialog des Wizards. Hier bestätigen Sie mit Fertigstellen, dass der Wizard den eben erstellten Regelsatz nun aktivieren soll. Er reicht die neuen Einstellungen gleich an den Anoubis-Daemon durch, sodass sie sofort greifen. Davon können Sie sich bei Interesse im Regeleditor überzeugen, den Sie im Xanoubis-Menü oder über [Alt]+[R] aufrufen. Abbildung 7 zeigt den Regeleditor mit den drei neuen, für Firefox erstellten Regelsätzen.

Abbildung 7: Über den Wizard erzeugen Sie komplette Regelsätze für einzelnen Anwendungen, die Sie anschließend bei Bedarf im Regeleditor nach- oder entschärfen.

Ausblick

Damit kennen Sie nun die wichtigsten Grundfunktionen der Anoubis-Suite und können sich auf die ein oder andere Weise komplette Regelsätze für Ihre Zwecke zusammenstellen. Anoubis bietet, wie am Anfang des Artikels angerissen, jedoch noch weitaus mehr Funktionen. Selbst das sehr gute, knapp 70-seitige Handbuch [7] zur Security-Suite schafft es nicht, alle Möglichkeiten erschöpfend darzustellen – hier helfen nur eigene Versuche weiter. Zwei Anmerkungen erscheinen aber noch wichtig.

Die Entwickler haben versucht, in Form vorkonfigurierter Profile (Reiter Profile im Abschnitt Anoubis von Xanoubis) ein Set von Grundkonfigurationen auszuliefern, die sich laden lassen und wichtige Anwendungen wie gängige Browser, Mailclients, Virenscanner und Verschlüsselungswerkzeuge bereits abdecken. Diese Profile erfordern jedoch nach dem Laden noch so viel Feinschliff im Regeleditor, dass es in den meisten Fällen einfacher sein dürfte, die tatsächlich genutzten Anwendungen nach einer der beiden vorstehend beschriebenen Methoden zu erfassen. Immerhin kann man in den Profilen mal kurz spicken und sich Anregungen für eigene Regeln holen.

Außerdem schadet es nichts, selbst erstellte und gut funktionierende Regelsätze gelegentlich als eigene Profile zu speichern. Geht beim Konfigurieren mal etwas schief, stellen Sie außerdem über den Reiter Versionskontrolle im Abschnitt Anoubis der grafischen Oberfläche frühere Ausgaben des verwendeten Regelsatzes wieder her. Das hilft allerdings nicht immer weiter: Insbesondere bei unsachgemäßer Bedienung der Regeln des “sicheren Filesystems” SFS sperren Sie sich unter Umständen ganz schnell ungewollt völlig aus dem System aus. Dann funktioniert nicht einmal mehr die Anmeldung – der Einsatz eines Rettungssystems zum Deaktivieren von Anoubis bietet möglicherweise die einzige Notbremse. Gehen Sie bei SFS also mit äußerster Vorsicht vor.

Fazit

Als umfassende Sicherheitslösung für Linux-Rechner kombiniert Anoubis eine Application Level Firewall, eine Sandbox und ein Werkzeug zum Wahren der Integrität von Programmen, Dateien und Verzeichnissen zu einem probaten Rundumschutz.

Um das System vernünftig bedienen zu können, muss der Anwender einiges Grundwissen um die Funktion und Zuordnung von Ports und Protokollen mitbringen: Anders als typische “Personal Firewalls” unter Windows – Stichwort: Zone Alarm – nimmt Anoubis dem Benutzer das Denken in keiner Weise ab. Wer ohne die nötigen Vorkenntnisse unvorsichtig mit der Suite agiert, gerät in Gefahr, das System bis hin zur Unbrauchbarkeit zu vernageln. In dieser Hinsicht ähnelt Anoubis manchen frühen, noch nicht ganz ausgereiften Personal-Firewall-Varianten großer Anbieter unter Windows.

In diesem Sinn lässt sich Anoubis nicht wirklich als Werkzeug für den netzwerktechnisch unbeleckten Benutzer empfehlen. Wer jedoch ein wenig Kenntnisse um die Funktionsweise von Linux-Systemen und Netzwerken mitbringt, den unterstützt die Security-Suite mit zahlreichen hilfreichen Werkzeugen beim relativ komfortablen Zusammenstellen einer profunden Sicherheitspolicy für den Rechner.