Sichere Bank Linux

»SELinux« macht dicht – Open-Source-Betriebssysteme gelten von Hause aus als relativ sicher. Ist ein höheres Sicherheitsniveau erforderlich, hilft »Security Enhanced Linux« weiter.

Linux gewinnt als Server-Betriebssystem in den Unternehmen immer mehr an Boden. Die Meta Group, mittlerweile Gartner, veranschlagt, dass der Markanteil des freien Betriebssystems von sieben Prozent 2004 auf 20 Prozent 2009 empor schnellen wird. IDC sieht für Linux bereits für das Jahr 2008 einen Anteil von 29 Prozent voraus, mit der Startbasis von zwölf Prozent im Jahr 2004.Verlierer dieses massiven Trends werden Betriebssysteme wie Unix in den unterschiedlichen Derivaten,Windows und Legacy- Systeme sein.

Sicherheitskonzept stimmt

Hinter dieser prognostizierten Entwicklung stehen, neben den niedrigeren Kosten für das Open- Source-Betriebssystem,die höhere Sicherheit von Linux und den darauf laufenden Anwendungen.

Zumal mit »Security Enhanced Linux«, kurz »SELinux «, als integrierte Erweiterung zu Linux das Maß an Server-Sicherheit nochmals erhöht wurde.Vor allem bei für das Geschäft kritischen Internet-, Anwendungs- und Kommunikationsdiensten greifen die Unternehmen vermehrt auf Linux zurück.Denn Web-,Applikations- und E-Mail-Server, dazu Basisdienste wie DNS und Load-Balancer sind Verarbeitungssäulen für die Geschäftsprozesse, die keinesfalls ins Wanken geraten sollten. Die besseren Sicherheitskarten, beispielsweise gegenüber Windows, hatte Linux auf Grund eines überzeugenden und im Markt anerkannten Sicherheitskonzepts schon vor Selinux. Dazu zählen eine strikte Trennung von Prozessräumen für einzelne Anwendungen sowie Stack-Protection. Ersteres beugt der Gefahr vor, dass eventuell erfolgreiche Attacken auf einen der Prozessräume auf Anwendungen anderer Prozessräume übergreifen können. Stack- Protection ist die Grundvoraussetzung dafür, dass Attacken auf das Betriebssystem wie über Buffer- Overflows Viren,Würmer oder Trojaner keine Angriffsfläche finden. In Linux bewährt hat sich auch der Mechanismus, Speicheradressen dynamisch zuzuweisen.Dadurch bleiben die realen Speicheradressen für Angreifer im Dunkeln. Das erschwert es ihnen zusätzlich, ihre Schadprogramme anzusetzen.

Sicherheitsplus durch Selinux

Dieses angriffsbewährte Sicherheitskonzept war für die Softwareentwickler eine optimale Ausgangsposition, die freie Betriebssoftware und die darauf laufenden Prozesse noch unangreifbarer zu machen. Das Produkt dieser gemeinsamen Entwicklung von Red Hat, der NSA (National Security Agency) und der Open-Source-Software- Community, Selinux, ist seit April diesen Jahres integrierter Bestandteil von Red Hats Enterprise- Linux 4. Die Schutzphilosophie von Selinux: Alle Anwendungen werden, je nach ihrer Sensibilität für das Geschäft, innerhalb abgeschotteter Sicherheitszonen, sogenannter Security- Contexts, abgearbeitet.Diese sichere Separierung in einzelne Prozessräume unterschiedlichen Schutzniveaus entspricht unter anderem dem Sandbox-Prinzip von Browser-Anwendungen und Logical-Partions (LPAR) innerhalb von IBM-Rechnern.

Auf diese Weise wird eine besonders gut abgesicherte und kontrollierbare Ausführumgebung für den eingebetteten Programm-Code,Managed- Code, etabliert. Zusätzlich legt Selinux um Linux einen Zugriffskontrollschirm, der Einwahlversuche von innen und außen detailliert auf ihre Berechtigung abprüft. Dazu kann jedem Objekt der aktiven Rechnerumgebung – Datei, logischer Kommunikationsanschluss, physisches Gerät, ausführbarer Codeabschnitt, Prozess – vom Administrator ein Security-Typ zugeordnet werden. Parallel kann er über Regeln festlegen,welcher User welche Operationen auf welchen Objekten ausführen darf. Das Produkt insgesamt: ein Dreifachschutz des Betriebssystems Linux über Zugriffsrechte, Zugriffsregeln und für die Programmausführung hermetisch abgeschotteten Sicherheitszonen. Selbst wenn es einem Angreifer gelingen sollte, den fein granulierten Rechteschirm um Linux zu überwinden, wäre er dennoch im eng umgrenzten Security-Context aus limitierten Operationen und Objekten gefangen, ohne Chance,Prozesse anderer Sicherheitszonen attackieren zu können.

Allerdings ist die Verwaltung von Selinux entsprechend des erheblichen Zugewinns an Betriebssystem- und damit Anwendungssicherheit sowie der tiefen Verankerung im Linux- Kernel nicht trivial. Der Aufwand ist mit der Administration einer Firewall-Topologie vergleichbar.

Immerhin integriert Selinux leistungsfähige und komfortable Verwaltungswerkzeuge, mit denen der Administrator die Feinabstimmung von Objekten und ihren Rechten durchführen kann. So gestützt, sind Fehlkonfigurationen, die zu Schwachstellen um und innerhalb von Linux führen könnten,weitgehend ausgeschlossen.

Alternativen

Inwieweit andere Sicherheitserweiterungs-Alternativen für Linux zum Ziel führen, bleibt abzuwarten.

So geht Novell-Suse mit »AppArmor «, einem Produkt aus der Übernahme im Mai diesen Jahres von Immunix, einen anderen, proprietären Weg. In diesem Fall ist lediglich der LSM-Standard des Linux-Kernels Open-Source-Software-konform.Alle anderen Sicherheitserweiterungen sind herstellerspezifisch und lizenzpflichtig. Auf die grundsätzlichen Vorteile der freien Software – beliebig untersuch-, einsetz-, erweiter- und weiterreichbar – kann damit der Anwender bei der Novell-Suse-Sicherheitserweiterung für Linux nicht zählen. Neutrale Berater sehen diesen proprietären Ansatz als kritisch an,weil der Hersteller damit erstmals an den Grundfesten des freien Betriebssystems Linux rüttelt.

Eine weitere Alternative zur besseren Abschirmung von Linux und den darauf laufenden Anwendungen könnte aus der gemeinsamen Entwicklung von Mandriva, ehemals Mandrakesoft, mit Bertin, Jaluna, Oppida und Surlog hervorgehen. Das Quintett nutzt einen Dreijahresvertrag mit dem französischen Verteidigungsministerium, um seiner Sicherheitserweiterung für Linux über Multi-Level- Security-Linux (MSL) eine CC-EAL-5-Zertifizierung zu verleihen.Abgesehen davon, dass von dieser Seite mit einem fertigen Produkt nicht vor Sommer 2007 auszugehen ist, bezweifeln Kenner der Szene, dass es über Frankreich hinaus Fuß fassen könnte. Zumal bisher noch als unsicher gilt, ob sich die Mandriva- Lösung am offenen Selinux-Standard der Open-Source-Software-Entwicklungsgemeinde halten wird. Daneben ist es fraglich, ob speziell für Server-Einsätze unter Linux in Hochsicherheitsbereichen das Warten auf die französische Lösung mit CC-EAL-5-Zertifizierung lohnt. Die Open-Source-Software-Community, NSA und Red Hat arbeiten schon länger an einem Selinux mit zusätzlichen Vertraulichkeitsstufen. Hier liegt das standardkonforme, MSL-fähige Selinux schon als komplette Entwicklungsversion vor.

Offen für kundenfreundliche Support-Modelle

Wie wichtig eine von der Open-Source-Software- Gemeinde vorangetriebene Programmentwicklung und Standardkonformität rund um ein sicheres Linux für die Unternehmen sind, wird auch an der kundenfreundlichen Ausgestaltung des Support-Modells deutlich.

Bei Red Hat sind mit der Server-Subskription zum Pauschalpreis alle Upgrades, Patches, Fixes und Zertifizierungen inklusive.Mit im Preis eingeschlossen sind, neben beliebig vielen Client-Anschlüssen, auch weitere Server-nahe Dienste wie LDAP, SSL-VPN,DNS,Send-Mail und Samba als Dateidienst. Der Abonnementpreis bleibt der selbe, unabhängig davon, über wie viele Prozessoren der Linux-Server verfügt.

Für die Unterstützung bei Softwareproblemen gibt es kein Call-Limit. Bei Herstellern proprietärer Software oder mit einer Mischaufstellung zahlt der Kunden hingegen Vorfall-bezogen für jeden Anruf beim externen Help- Desk. Offen aufgestellt, braucht das Unternehmen eine Verflechtung von Open- Source- und proprietärer Software und damit zusätzlich eine Verkomplizierung des Support- Modells nicht zu fürchten, was, neben einer lästigen Herstellerbindung und umständlichen Abrechnung, in der Regel die Support-Kosten kräftig nach oben treibt. Anders bei Red Hat: Hier gibt es den Support für einen Enterprise- Linux-AS-Server in der höchsten Premium- Stufe mit Rund-um-die-Uhr-Hotline- Unterstützung und einer maximalen Reaktionszeit von einer Stunde bei Server-Problemen zum Pauschal-Listenpreis von 1999 Euro pro Jahr.

Fazit

Linux hat mit Selinux ein noch höheres Sicherheitsniveau erreicht. Insider gehen davon aus, dass dadurch das freie Betriebssystem nahezu unangreifbar geworden ist. Hinter dem aktuellen Stand von Selinux steht eine weltweite Softwareentwicklungs-Gemeinschaft, die auch in Zukunft für eine zügige Weiterentwicklung des Sicherheitsschirms um und innerhalb von Linux bürgt. Das nächste Produkt, ein MSLfähiges Selinux mit zusätzlichen Vertraulichkeitsstufen für den Einsatz in Hochsicherheitsbereichen, ist bereits auf der herstelleroffenen Softwareentwicklungsschiene abzusehen.

Dirk Kissinger,
Senior Manager EMEA
Marketing, Red Hat