1.1 Binary file Papers/Diagrams.vsd has changed
2.1 Binary file Papers/Opensecurity - DACH Paper.pdf has changed
3.1 --- a/Papers/Opensecurity - DACH Paper.tex Wed Apr 09 11:27:42 2014 +0200
3.2 +++ b/Papers/Opensecurity - DACH Paper.tex Wed Apr 09 16:45:59 2014 +0100
3.3 @@ -9,6 +9,7 @@
3.4 \usepackage{microtype}
3.5 \usepackage{listings}
3.6 \usepackage{setspace}
3.7 +\usepackage{color}
3.8
3.9 \linespread{1.1}
3.10 \parskip=4pt
3.11 @@ -85,7 +86,14 @@
3.12
3.13 Prinzipiell kann eine bare-metal- als auch user-space- Virtualisierungslösungen verwendet werden. Im Open Security Projekt existiert eine generische Virtual Machine (VM) Orchestrierung Schicht, die leicht erweiterbar ist, um weitere Hypervisoren unterstützen können. Um eine fließende Migration einer bestehenden Infrastruktur zu ermöglichen basiert die aktuelle Implementierung auf einem user-space Virtualisierungslösung (VirtualBox) auf einem bereits existierenden Betriebssystem (Windows).
3.14
3.15 -\begin{center}\textbf{TBD:} Architechture Bild 6 - (Sichere Internet-Zugang)\end{center}
3.16 +\begin{center}
3.17 +\begin{figure}[ht!]
3.18 +\centering
3.19 +\includegraphics[width=120mm]{Safe_Internet_Access.jpg}
3.20 +\caption{Architektur - Sichere Internet-Zugang}
3.21 +\label{safeinternetaccess}
3.22 +\end{figure}
3.23 +\end{center}
3.24
3.25 Die wichtigsten architektonischen Komponenten sind der Open Security Manager (OSM) und die Security Virtual Machine (SVM). Das Open Security System ist rund um die SVM, eine auf Linux basierende virtuellen Maschine inklusive der tatsächlichen Subsystemen, welche die Interaktion des Benutzers mit den unsicheren Ressourcen vermittelt, gebaut. Der OSM ist eine Management Schichte zur Steuerung der Virtuellen Maschinen samt Benutzeroberfläche und ist für die Verarbeitung von Benutzeranforderungen sowie Hardware-Events (bsp. USB) verantwortlich.
3.26
3.27 @@ -97,9 +105,11 @@
3.28
3.29 Die Referenz SVM-Implementierung basiert auf einer minimalen Debian Installation. Die installierten Software-Pakete enthalten einen Web-Browser, Verschlüsselungs-Software, Antiviresnsoftware, einen SSH-Server und einen SAMBA-Server.
3.30
3.31 -Aus Sicht des OSM umfasst das Starten einer neuen Browser-Sitzung mehrere Konfigurationsaufgaben. Der OSM startet einen X11-Server auf dem Host-Betriebssystem und nutzt einen SSH-Client mit X-Weiterleitung um den Browser innerhalb der SVM auszuführen. Dies ermöglicht eine nahtlose Integration des Browserfensters innerhalb der Host-Umgebung und lässt die Anwendung, welche in einer DVM läuft, native in der gewohnten Umgebung erscheinen. Um auf mögliche heruntergeladene Dokumente zuzugreifen, nachdem diese geprüft wurden, wird zusätzliche der Download-Ordner des Browsers von der SVM als SAMBA Netzlaufwerk im Hostsystem eingebunden.
3.32 +Aus Sicht des OSM umfasst das Starten einer neuen Browser-Sitzung mehrere Konfigurationsaufgaben. Der OSM startet einen X11-Server auf dem Host-Betriebssystem und nutzt einen SSH-Client mit X-Weiterleitung um den Browser innerhalb der SVM auszuführen. Dies ermöglicht eine nahtlose Integration des Browserfensters innerhalb der Host-Umgebung und lässt die Anwendung, welche in einer DVM läuft, native in der gewohnten Umgebung erscheinen. Um auf mögliche heruntergeladene Dokumente zuzugreifen, nachdem diese geprüft wurden, wird zusätzlich der Download-Ordner des Browsers von der SVM als SAMBA Netzlaufwerk im Hostsystem eingebunden. \textcolor{green}{\textbf{Neu}} (Die Schädlingsüberpüfung heruntergeladener inhalte) Virus checking downloaded contents is accomplished automatically upon save by the OsecFS virtual filesystem implementation within the SVM. The OsecFS provides a generic AntiVirus interface that makes it possible to use various local and server based AntiVirus solutions.
3.33
3.34 -Der SVM-Instanz wird eine Host-Only-Netzwerkschnittstelle für die Kommunikation mit dem Host zugewiesen. Auf dieser sind nur vom Host initiierte Verbindungen zugelassen. Die SSH- Kommunikation wird durch automatisch generierte Public/Private Schlüsselpaare gesichert und der Verbindungsaufbau durch Bereitstellen der authorized\_keys Datei in einem spontan erzeugten ISO-Image ermöglicht. Zusätzlich wird der SVM eine NAT-Schnittstelle für den Zugriff auf das Internet zugewiesen, auf welcher die Kommunikation durch den Host durchgeleitet wird.
3.35 +Der SVM-Instanz wird eine Host-Only-Netzwerkschnittstelle für die Kommunikation mit dem Host zugewiesen. Auf dieser sind nur vom Host initiierte Verbindungen zugelassen. Die SSH- Kommunikation wird durch automatisch generierte Public/Private Schlüsselpaare gesichert und der Verbindungsaufbau durch Bereitstellen der authorized\_keys Datei in einem spontan erzeugten ISO-Image ermöglicht. Zusätzlich wird der SVM eine NAT-Schnittstelle für den Zugriff auf das Internet zugewiesen, \textcolor{red}{\textbf{Also ich verstehe des ned!:}{auf welcher die Kommunikation durch den Host durchgeleitet wird.}}
3.36
3.37 + \textcolor{green}{\textbf{Neu}}
3.38 + Mediation of the interaction with removable storage has the goal of protecting the user (and host OS) from malware and protecting sensible data. This use-case is realised in a similar manner to browsing by means of a SVM session. While automatic loading of the device drivers and mounting is disabled for removable storage within the host operating system, the OSM listens for hardware events attaching the device to a newly instantiated SVM upon connection. The device is exposed to the host as through SAMBA share ontop of the OsecFS layer providing malware protection. Protection of sensible data from accidental loss of removable devices storage is realized by enforcing encryption upon export (write) to such devices. This further filesystem layer beneath OsecFS uses by default the Truecrypt engine. The SVM can be extended with other encryption engines through dedicated interfaces.
3.39
3.40 \end{document}
4.1 Binary file Papers/Safe_Internet_Access.jpg has changed
