Mercurialopensecurity_documentation / diff
summary | shortlog | changelog | graph | tags | bookmarks | branches | files | changeset | file | latest | revisions | annotate | diff | raw
| help
Papers/Opensecurity - DACH Paper.tex
changeset 34 19b2ef40ac9b
parent 33 af508dfcf163
child 35 f1d6b2fd3080 
     1.1 --- a/Papers/Opensecurity - DACH Paper.tex	Wed Apr 09 16:45:59 2014 +0100
     1.2 +++ b/Papers/Opensecurity - DACH Paper.tex	Thu Apr 10 11:29:07 2014 +0200
     1.3 @@ -97,19 +97,58 @@
     1.4  
     1.5  Die wichtigsten architektonischen Komponenten sind der Open Security Manager (OSM) und die Security Virtual Machine (SVM). Das Open Security System ist rund um die SVM, eine auf Linux basierende virtuellen Maschine inklusive der tatsächlichen Subsystemen, welche die Interaktion des Benutzers mit den unsicheren Ressourcen vermittelt, gebaut. Der OSM ist eine Management Schichte zur Steuerung der Virtuellen Maschinen samt Benutzeroberfläche und ist für die Verarbeitung von Benutzeranforderungen sowie Hardware-Events (bsp. USB) verantwortlich.
     1.6  
     1.7 +\subsection{Sicheres Surfen}
     1.8 +
     1.9  Beim Start einer Browser-Sitzung kümmert sich der OSM um die Instanziierung, Konfiguration und Start einer neuen SVM, welche speziell nur für diese Browser-Sitzung verantwortlich ist. Die neue SVM-Instanz wird als Disposable Virtual Maschine (DVM - ``Wegwerf'' Virtuelle Maschine) aus einer vorhandenen SVM-Vorlage erstellt .
    1.10  
    1.11  DVMs sind eigens hergestellte virtuelle Maschinen, die leicht instanziiert und wieder entsorgt werden können, mit ebenfalls sehr kurzen Bootzeiten. Das DVM Konzept wird durch die Nutzung von unveränderlichen virtuellen Festplatten-Snapshots und differenzierender Festplatten-Abbildungen sowie mit einer SVM-Vorlage im Ruhezustand implementiert. Diese Lösung stellt sicher, dass alle Änderungen der Browser-Sitzung (wie auch möglicherweise unerkannte Malware) in der DVM an der neuen SVM-Instanz gemacht werden und bei Beendigung der Sitzung gelöscht werden.
    1.12  
    1.13  Außerdem hat diese Lösung den Vorteil der Minimierung an Plattenplatznutzung und ermöglicht eine einfache Aktualisierung der SVM Vorlage. Durch das Update der Vorlage wirken Änderungen in allen neu erstellten SVM Instanzen. Der Update-Mechanismus wird durch das OSM Update-Backend angestoßen, welcher auf ein Paket-Repository des Open Security Projekt zurückgreift.
    1.14  
    1.15 -Die Referenz SVM-Implementierung basiert auf einer minimalen Debian Installation. Die installierten Software-Pakete enthalten einen Web-Browser, Verschlüsselungs-Software, Antiviresnsoftware, einen SSH-Server und einen SAMBA-Server.
    1.16 +Die Referenz SVM-Implementierung basiert auf einer minimalen Debian Installation. Die installierten Software-Pakete enthalten einen Web-Browser, Verschlüsselungs-Software, Antivirensoftware, einen SSH-Server und einen SAMBA-Server.
    1.17  
    1.18 -Aus Sicht des OSM umfasst das Starten einer neuen Browser-Sitzung mehrere Konfigurationsaufgaben. Der OSM startet einen X11-Server auf dem Host-Betriebssystem und nutzt einen SSH-Client mit X-Weiterleitung um den Browser innerhalb der SVM auszuführen. Dies ermöglicht eine nahtlose Integration des Browserfensters innerhalb der Host-Umgebung und lässt die Anwendung, welche in einer DVM läuft, native in der gewohnten Umgebung erscheinen. Um auf mögliche heruntergeladene Dokumente zuzugreifen, nachdem diese geprüft wurden, wird zusätzlich der Download-Ordner des Browsers von der SVM als SAMBA Netzlaufwerk im Hostsystem eingebunden. \textcolor{green}{\textbf{Neu}} (Die Schädlingsüberpüfung heruntergeladener inhalte) Virus checking downloaded contents is accomplished automatically upon save by the OsecFS virtual filesystem implementation within the SVM. The OsecFS provides a generic AntiVirus interface that makes it possible to use various local and server based AntiVirus solutions.
    1.19 +Aus Sicht des OSM umfasst das Starten einer neuen Browser-Sitzung mehrere Konfigurationsaufgaben. Der OSM startet einen X11-Server auf dem Host-Betriebssystem und nutzt einen SSH-Client mit X-Weiterleitung um den Browser innerhalb der SVM auszuführen. Dies ermöglicht eine nahtlose Integration des Browserfensters innerhalb der Host-Umgebung und lässt die Anwendung, welche in einer DVM läuft, native in der gewohnten Umgebung erscheinen. Um auf mögliche heruntergeladene Dokumente zuzugreifen, nachdem diese geprüft wurden, wird zusätzlich der Download-Ordner des Browsers von der SVM als SAMBA Netzlaufwerk im Hostsystem eingebunden. 
    1.20  
    1.21 -Der SVM-Instanz wird eine Host-Only-Netzwerkschnittstelle für die Kommunikation mit dem Host zugewiesen. Auf dieser sind nur vom Host initiierte Verbindungen zugelassen. Die SSH- Kommunikation wird durch automatisch generierte Public/Private Schlüsselpaare gesichert und der Verbindungsaufbau durch Bereitstellen der authorized\_keys Datei in einem spontan erzeugten ISO-Image ermöglicht. Zusätzlich wird der SVM eine NAT-Schnittstelle für den Zugriff auf das Internet zugewiesen, \textcolor{red}{\textbf{Also ich verstehe des ned!:}{auf welcher die Kommunikation durch den Host durchgeleitet wird.}}
    1.22 +Beim Zugriff auf heruntergeladene Inhalte wird die angesprochene Datei nicht direkt sofort auf das Hostsystem übermittelt, sondern duch den Einsatz von OsecFS automatisch mittels einer Anti-Virus Einheit auf Malware untersucht. Das OsecFS basiert dabei auf einen FUSE\footnote{Filesystem in user space} Ansatz und bietet somit ein virtuelles Dateisystem dem SAMBA Service innerhalb der SVM an. Das Backend des OsecFS bietet dabei generische Schnittstellen um adaptiv beliebige Anti-Viren Systeme anbinden zu können. Vorrangig gilt es dabei unternehmensweite Anti-Viren Server Systeme anzusprechen, allerdings sind auch lokale AV Prüfungssysteme integrierbar.
    1.23  
    1.24 - \textcolor{green}{\textbf{Neu}}
    1.25 - Mediation of the interaction with removable storage has the goal of protecting the user (and host OS) from malware and protecting sensible data. This use-case is realised in a similar manner to browsing by means of a SVM session. While automatic loading of the device drivers and mounting is disabled for removable storage within the host operating system, the OSM listens for hardware events attaching the device to a newly instantiated SVM upon connection. The device is exposed to the host as through SAMBA share ontop of the OsecFS layer providing malware protection. Protection of sensible data from accidental loss of removable devices storage is realized by enforcing encryption upon export (write) to such devices. This further filesystem layer beneath OsecFS uses by default the Truecrypt engine. The SVM can be extended with other encryption engines through dedicated interfaces.
    1.26 +Der SVM-Instanz wird eine Host-Only-Netzwerkschnittstelle für die Kommunikation mit dem Host zugewiesen. Auf dieser sind nur vom Host initiierte Verbindungen zugelassen. Die SSH- Kommunikation wird durch automatisch generierte Public/Private Schlüsselpaare gesichert und der Verbindungsaufbau durch Bereitstellen der authorized\_keys Datei in einem spontan erzeugten ISO-Image ermöglicht. Diese Verbindung dient zum einen dem OSM die Virtuelle Maschine zu administrieren, zum anderen auch um das GUI der jeweiligen Anwendung innerhalb der SVM auf den Host darzustellen. 
    1.27 +
    1.28 +Damit die SVM auch eine Verbindung nach aussen über den Host hinaus besitzt, verfügt schließlich die SVM auch über eine NAT-Schnittstelle für den Zugriff auf das Internet.
    1.29 +Die Kommunikation, welche über dieses NAT Interface läuft, wird durch die user-space Virtualisierungslösung (VirtualBox) über dessen Netzwerk Treiber durch den Host durchgeleitet.
    1.30 +
    1.31 +\subsection{Sichere Datenverwaltung auf externen Trägern}
    1.32 +
    1.33 +Der Umgang mit Daten auf externen Trägern wie USB Sticks hat neben dem Ziel den Anwender und damit das Host System von Malware zu schützen auch die Intention sensible Daten nur verschlüsselt auf diese Medien abzulegen. 
    1.34 +
    1.35 +Der OSM unterbindet das automatische Laden von Gerätetreiber und das Einhängen von geöffneten Dateisystemen am Hostsystem. Statt dessen wartet der OSM auf entsprechende Hardwareevents und leitet diese an neu instantiierte SVM Einheiten weiter. Diese SVMs binden nun die jeweiligen Gerätetreiber innerhalb ihres Systems ein, können damit die neu hinzugefügte Hardware ansprechen und öffnen den Datenträger. Analog zum Download Bereich aus vorigem Kapitel über das Sichere Surfen wird auch hier der Dateninhalt nicht unmittelbar über eine SAMBA Schnittstelle an das Hostsystem weitergeleitet. Vielmehr prüft auch hier eine OsecFS Instanz sämtliche open und read Anweisungen und leitet die betroffenen Dateiströme an ein Anti Viren System. Wird die betroffene Datei als kompromittiert erkannt, schlägt eine Öffnen dieser Datei somit mit einer entsprechenden Fehlermeldung fehl.
    1.36 +
    1.37 +Das Ablegen und Speichern von Dateien auf dem Medium erzwingt das Verschlüsseln dieser Dateien. Ein write auf den SAMBA Share im Hostsystem wird im OsecFS erkannt und stößt damit einen Verschlüsselungprozess an. Die aktuell verwendete Technologie dazu ist Truecrypt\footnote{http://www.truecrypt.org/}, es können aber auch andere Anbieter oder Technologien eingesetzt werden.
    1.38 +
    1.39 +Je nach eingesetzter Verschlüsselungstechnik kann in Folge der Datenträger auch von einem nicht Open Security System erkannt und geöffnet werden.
    1.40 +
    1.41 +\section{Sanfte Migration}
    1.42 +
    1.43 +Das Open Security Projekt zielt auf den Einsatz in der öffentlichen Verwaltung ab. Dabei sind diese Eckpunkte für den erfolgreichen Einsatz gegeben:
    1.44 +
    1.45 +\begin{itemize}
    1.46 +
    1.47 +\item Großflächiger Einsatz. Die Anzahl der Zielsysteme für eine Installation ist hoch ($> 1000$). Ein Rollout in einer derartigen IT Landschaft kann nicht autonom vom einzelnen Anwender selbst angestoßen werden, sondern muss über zentrale Dienste und organisatorische Einheiten erfolgen.
    1.48 +
    1.49 +\item Heterogene Systeme. Durch die gegebene Einkaufspolitik in einem Unternehmen oder einer Organisation dieser Größenordnungen sind selbst innerhalb eines Teilbaumes der Gesamtorganisation unterschiedlichste Systeme und Konfigurationen anzutreffen. Es ist nicht zweckmäßig weitreichende und detaillierte Anforderungen an die Zielsysteme durchzusetzen um ein optimales Funktionieren der eingesetzten Lösung garantieren zu können. Vielmehr ist es Aufgabe von Open Security sich an die Gegebenheiten anzupassen und die eigenen Anforderungen zu minimieren.
    1.50 +
    1.51 +\item Parallelbetrieb. Der Einsatz und die Integration dieser Security Lösung erfolgt am ``offenen Herzen''. Bereits eingesetzte Systeme, welche durch Open Security nicht ersetzt oder abgelöst werden, dürfen durch den Einsatz von Open Security nicht berührt werden. Die Sicherheitsmaßnahmen, welche durch Open Security eingeführt werden, gelten zusätzlich und lösen nur Teilaspekte im operativen Tagesgeschäft. Officeanwendungen, ERP/CRM oder beispielsweise domänenspezifische Applikationen laufen ohne Änderungen neben Open Security am gleichen System weiter.
    1.52 +
    1.53 +\item Know-How Anforderung. Open Security richtet sich an alle Anwender und nicht an eigens geschulte IT-affine Mitarbeiter. Die entwickelte Lösung bettet sich daher in das gewohnte Erscheinungsbild des Systems ein schafft durch die Verwendung bereits bekannter Elemente eine hohe Akzeptanz (bsp. Anstoßen von Open Security Funktionalitäten über eine System-Tray Applikation). Daneben erfüllt die Integration ihre Aufgaben unaufdringlich im Hintergrund und modifiziert damit das Wahrnehmungsbild des Anwenders über das System kaum.
    1.54 +
    1.55 +\end{itemize}
    1.56 +
    1.57 +Diese Technologie kann neben dem Sichern Surfen und die sichere Verwaltung von Daten auf externen Datenträgern auch auf weitere Anwendungsfälle ausgedehnt werden. Die zentrale Frage ist dabei lediglich, ob die Zielapplikation in eine SVM migriert werden kann oder nicht.
    1.58 +
    1.59 +Da das Open Security Projekt auf rein quelloffener Software besteht, fußen die verwendeten Technologien zum großen Teil aus Konzepten und Möglichkeiten aus dem Linux Umfeld (bsp. SAMBA, FUSE). SVMs sind in Folge daher Linux Snapshots, welche mit entsprechender Software und Rechtekonfigurationen versehen wurden.
    1.60 +
    1.61 +Werden nun andere Anwendungsfälle auf Open Security migriert, so ist daher ein entsprechender Ersatz auf Linux Basis oder zumindest auf einer Windows ähnlichen Schicht (bsp. Wine) vorausgesetzt. Existent dabei sind jedenfalls PDF Reader, Officesuite, Instant Messaging, Skype und Bildverarbeitung. All diese Anwendungen können Schritt für Schritt automatisch durch entsprechende Updates der SVMs aus einem Repository eingepflegt werden und in ihren jeweilig sicheren SVM Instanzen zur Ausführung gebracht werden.
    1.62 +
    1.63 +Durch den Parallelbetrieb von eingeschlossenen Linux Systemen sowie von proprietären Windowslösungen am gleichen System können die Vorteile beider Welten genutzt werden, ohne dass der Anwender sein gewohntes Umfeld verlassen muss.
    1.64 +
    1.65  
    1.66  \end{document}
opensecurity_documentation