![[externer Link]](../../../../images/link.gif)
www.linuxtag.org) fand in diesem Jahr vom 3. bis 6. Mai 2006 in den Rhein-Main-Hallen in Wiesbaden statt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) präsentierte dort seine aktuellen IT-Sicherheitslösungen auf Basis von Open Source Software (OSS).Den Schwerpunkt des BSI-Auftritts auf dem LinuxTag bildeten Komplettlösungen für Unternehmen und Behörden sowie spezielle IT-Sicherheitsanwendungen, auch für den privaten PC-Nutzer. Für Unternehmen, Behörden und Bürger stellte das BSI die freie Groupware Kolab, den auf Debian 3.1 Sarge basierenden Behördendesktop ERPOSS4, die Verschlüsselungs- und Signaturkomponente Ägypten sowie das SIRIOS-System zur Unterstützung bei IT-Sicherheitsvorfällen vor. Weitere Themen waren die freie Verschlüsselungssoftware für Windows gpg4win und die Prüfsoftware für Netzwerksicherheit BOSS.
Aufbauend auf OSS-Komponenten können leicht Verfahren und Werkzeuge für die Prüfung und Sicherung von informationstechnischen Systemen und Komponenten entwickelt sowie die Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen oder Komponenten durchgeführt werden. Natürlich sind die OSS-Lösungen des BSI nicht nur für Behörden des Bundes interessant. Daher nutzte das BSI die Gelegenheit auf dem LinuxTag seine Lösungen der breiten Öffentlichkeit zu präsentieren.
Das große Interesse, das dem BSI und seinen OSS-Projekten auch in diesem Jahr auf dem LinuxTag wieder entgegen gebracht wurde, zeigt den Bedarf an Sicherheitslösungen. Nicht nur Behördenvertreter, sondern auch Vertreter von Unternehmen unterschiedlicher Größe sowie Privatanwender und Interessenten aus dem Ausland haben den BSI-Stand besucht. Etliche lobten die auf freier Software basierenden IT-Sicherheitslösungen des BSI. Für einige werden die Lösungen des BSI sicherlich eine Grundlage für zukünftige Realisierungen neuer IT-Infrastrukturen bilden. Nicht zuletzt Bundesjustizministerin Brigitte Zypries oder auch der Begründer der Ubuntu Linux Distribution Mark Schuttelworth interessierten sich für die Entwicklungen des BSI.
Die freie Groupware Kolab vereinfacht die Zusammenarbeit in Unternehmen und Behörden durch eine zentrale Verwaltung von Terminen ( www.kolab.org). Mittels Kolab können Gruppentermine eingerichtet und E-Mails ausgetauscht werden. Mithilfe der Verschlüsselungs- und Signaturkomponente "Ägypten" des BSI werden E-Mails sicher über das Internet verschickt ( www.bsi.bund.de/fachthem/verwpki/aegypten/). Dabei ist die Verschlüsselung nach dem Public-Key-Verfahren mit OpenPGP oder S/MIME (SPHINX-konform) möglich.
![[Screenshot]](06-3-038-1.jpg)
Terminkalender des Open-Source-Groupware-Clients Kontact
Die Entwicklung Kolab wurde im Wesentlichen aus der Suche des BSI nach einem Serversystem initiert, dass sowohl von Windows- als auch von Linux-Arbeitsplätzen aus angesprochen werden kann, offline-fähige Systeme unterstützt (Telearbeitsplätze/Laptops), Gruppenordner ermöglicht und Sphinx-interoperable E-Mail-Services bereitstellen kann.
Der aktuelle Kolab Groupware-Server wird durch KDE unter Linux und Outlook unter Windows unterstützt. Eine webbasierte Oberfläche ermöglicht eine einfache Administration des Servers. Der integrierte globale LDAP-Dienst ermöglicht Verbindungen zu verschiedenen, verteilten Adress-Servern, deren Informationen den Arbeitsplatzrechnern zur Verfügung gestellt werden. Eine extreme Skalierbarkeit für die Anbindung von mehreren Tausend Nutzern, die volle Unterstützung von frei-/belegt-Listen, Gruppenkalendern und Gruppenkontaktordnern sowie die volle Offline-Fähigkeit, die dank dIMAP erreicht werden konnte, qualifizieren den Kolab Groupware-Server für den Einsatz in allen Unternehmens- und Behördenbereichen. Die Unterstützung durch das offiziell Sphinx-interoperable E-Mail-Programm Kontact ermöglicht einen sicheren Datenaustausch mit S/MIME-basierter E-Mail-Verschlüsselung auch über verteilte Kolab-Serversysteme.
Die Goupware-Lösung Kolab wurde mit dem Linux New Media Award auf der LinuxWorld Expo 2005 in der Kategorie "Bester Groupware Server" vor allen anderen nominierten Lösungen wie Open-Xchange, Open Groupware, GroupWise, eGroupware, Scalix und Lotus Notes ausgezeichnet.
Der Standard Ägypten wurde erstmals in die E-Mail-Programme KMail und Mutt implementiert. Diese S/MIME-basierte Erweiterung, die unter Kmail in der Groupware Kontact weiterentwickelt wurde, ermöglicht es heute mit anderen Sphinx-interoperablen E-Mail-Programmen verschlüsselt und signiert E-Mails auszutauschen (zu SPHINX s. a. www.bsi.bund.de/fachthem/verwpki/sphinx/). Über den integrierten grafischen Zertifikatsmanager Kleopatra kann auf eine bestehende Public-Key-Infrastruktur (PKI) zugegriffen werden, um Zertifikate und Schlüssel abzurufen oder zu validieren sowie Sperrlisten zu aktualisieren.
Das in Kontact integrierte weit verbreitete (Open)PGP wurde im Rahmen des Projekts Ägypten ebenfalls weiterentwickelt: Hierüber ist es nun möglich E-Mails mit PGP zu verschlüsseln und zu signieren. Eine weitere Schnittstelle für den BSI-eigenen symmetrischen Blockchiffrieralgorithmus Chiasmus wurde ebenso in Ägypten für Kontact implementiert.
Der im Projekt ERPOSS entwickelte Behördendesktop basiert auf einem Debian GNU/Linux 3.1 (sarge) mit KDE 3.3 ( www.bsi.bund.de/produkte/erposs/). Er besitzt einen DCC Linux Kernel 2.6.12 mit hardwareunabhängigem Ruhezustand. Mit der integrierten Dateisystemverschlüsselung (aes128) ist es möglich das Root-File-System, Datei-File-Systeme oder gar die Swap-Partition ohne Mehraufwand für den Anwender zu verschlüsseln. Zur Sicherheit kann ein zusätzlicher Schlüssel, der so genannte Masterkey, generiert werden. Ist dieser verfügbar, so kann auch nach Verlust der Zugangs-Passphrase der Zugriff auf die verschlüsselten Datenpartitionen ermöglicht und deren Inhalt gerettet werden. Weitere Sicherheitsfunktionen von ERPOSS4 sind eine vorkonfigurierte Personal-Firewall (iptables) und ein Viren- und Spamschutz (clamav, spamassassin) für den integrierten E-Mail-Client KMail.
Der Groupware-Client Kontact bietet die Möglichkeit der Anbindung an einen Kolab Groupware-Server. Damit ist es möglich zentrale Dienste des Servers wie das globale LDAP-Adressbuch, Gruppenkalender und Gruppenkontakte sowie die "disconnected IMAP"-Offline-Fähigkeit in der E-Mail-Kommunikation zu nutzen. Darüber hinaus können E-Mails durch die integrierte S/MIME-basierte und SPHINX-konforme Erweiterung von Kontact (Ägypten) komfortabel verschlüsselt und signiert werden.
Eine sichere E-Mail-Kommunikation ist sowohl für den privaten PC-Nutzer als auch für Unternehmen und Behörden von zunehmendem Interesse. Aufbauend auf GnuPG bietet das neu zusammengestellte E-Mail-Sicherheitspaket gpg4win nun Behörden, Unternehmen sowie Bürgerinnen und Bürgern eine benutzerfreundliche, kostenfreie Lösung zur E-Mail-Verschlüsselung und -Signatur unter Windows mit OpenPGP.
Der GNU Privacy Guard for Windows (gpg4win) basiert auf der freien Software GnuPG und erweitert deren Integration in etablierte Softwarekomponenten zu einem benutzerfreundlichen Gesamtpaket für das Windows-Betriebssystem ( www.gpg4win.de). Gpg4win ist einfach zu installieren und verfügt über eine grafische Benutzerführung. Dialogführung am Bildschirm sowie die Benutzerhandbücher sind auf Deutsch verfasst.
gpg4win ist ein Installationspaket für Windows (95/98/ME/2000/XP/2003) mit Computer-Programmen und Handbüchern für E-Mail- und Datei-Verschlüsselung. Die Software kann nur mit Administratorrechten installiert werden und stellt dann jedem Benutzer seine Funktionalität zur Verfügung. Ein besonderer Vorteil von gpg4win ist die Möglichkeit, E-Mails direkt in Microsoft Outlook 2003 zu ver- und entschlüsseln. Hierfür ist das Plug-in GPGol zuständig Für den, der Outlook nicht als E-Mail-Programm verwendet, ist ein komplettes E-Mail-Programm, Sylpheed-Claws, mit integrierter GnuPG-Bedienung im gpg4win-Paket enthalten.
Weitere Komponenten sind die beiden Schlüsselmanager GPA und WinPT: Damit verwaltet man auf einfache Art und Weise Schlüssel und kann Textinhalte aktiver Fenster und der Zwischenablage ver- und entschlüsseln oder signieren und verifizieren. So ist es beispielsweise möglich Verschlüsselung und Signatur in beliebigen Text-Dokumenten einzusetzen. Mittels GPGee, einer Erweiterung für den Windows Explorer, können einfach per Kontextmenü Dateien ver- und entschlüsselt werden.
Die beiden deutschen Handbücher "gpg4win für Einsteiger" und "gpg4win für Durchblicker" erklären die Grundlagen der Installation und Bedienung der Software, aber auch die Hintergründe der Kryptographie in verständlicher Form. Mit gpg4win kann jedermann E-Mails und Dateien einfach und kostenlos verschlüsseln und sigrnieren. Denn alle Komponenten von gpg4win sind freie Software (OSS) und daher lizenzkostenfrei und auch kommerziell nutzbar.
Die Open-Source-Software BOSS (BSI OSS Security Suite) ermöglicht Unternehmen und Behörden die zentral gesteuerte Sicherheitsprüfung eines gesamten IT-Netzes ( www.bsi.bund.de/produkte/boss/). Aufbauend auf dem freien Netzwerk-Scanner Nessus zeichnet BOSS sich durch eine funktionale, bedienerfreundliche Oberfläche aus. Wesentlicher Bestandteil von BOSS ist die Integration vieler lokaler Sicherheitsmodule, die über den Security Local Auditing Daemon (SLAD) gesteuert werden. Highlights der Weiterentwicklung von BOSS, die voraussichtlich Anfang August verfügbar ist, präsentierte das BSI bereits jetzt auf dem LinuxTag.
![[Screenshot]](06-3-038-2.jpg)
SLAD-Installation unter der neuen BOSS-Oberfläche
Durch seine Client-/Server-Architektur ermöglicht es BOSS von einem zentralen Administrationsplatz aus alle Prüfungen zu steuern und auszuwerten. Die Prüfergebnisse können grafisch aufbereitet, zum Beispiel als PDF- oder HTML-Berichte gespeichert werden. Hilfestellungen zu gefundenen Sicherheitsproblemen werden hierin verlinkt bereitgestellt.
BOSS baut im Wesentlichen auf dem bewährten Sicherheits-Scanner Nessus auf. Hinzu kommen neben verbesserter und erweiterter BOSS-Oberfläche verschiedene wichtige Sicherheitmodule, wie TIGER, John-The-Ripper, Tripwire, LSOF, ClamAV Antivirus oder Chkrootkit, die es ermöglichen auch lokale, sicherheitsrelevante Systeminformationen der Linux-Clients unter der BOSS-Oberfläche zentral aufzunehmen. Der Security Local Auditing Daemon (SLAD) übernimmt dabei die Steuerung der angebundenen lokalen Sicherheitssoftware und gibt dieser vor welche Prüfungen durchzuführen sind.
Mit der neuen Version von BOSS kann der SLAD auch von der BOSS-Oberfläche aus auf den Clients installiert werden. Wie bei der gesamten Kommunikation über das netzweit verteilte Sicherheits-Analysesystem BOSS, wird auch die Installation des SLAD hierbei über eine gesicherte, verschlüsselte Verbindung abgewickelt. Weitere Highlights der BOSS-Weiterentwicklung sind neben verbesserter Bedienoberfläche, Geschwindigkeitsoptimierung und Parallelverarbeitung die Einbindung weiterer Module wie SysLog-NG, SNMP-Trap, Snort-2 und Hardware-Log.
Die neue BOSS-Live-CD wird voraussichtlich im August als Image verfügbar sein und die Installationspakete für BOSS enthalten. Zusätzliche freie Sicherheitssoftware wie nmapfe, Ethereal, netcat, ngrep oder ntop wird wieder neben BOSS für den direkten Einsatz unter dem Betriebssystem Knoppix der Live-CD integriert sein.
Das Computer-Notfallteam des Bundes, CERT-Bund, informierte am BSI-Stand über SIRIOS, ein freies System zur Bearbeitung IT-sicherheitsrelevanter Vorkommnisse ( http://sirios.org/). Die Software wird seit drei Jahren auf Basis des Trouble-Ticket-Systems OTRS kontinuierlich weiterentwickelt und unterstützt mit erprobten und umfangreichen Funktionen die IT-Sicherheitsteams in Behörden und Unternehmen. Für die Beantwortung von Anfragen, das Veröffentlichen von Sicherheitswarnungen und die Weiterverfolgung von Hacking-Vorfällen stehen speziell entwickelte Module zur Verfügung, die sich flexibel in das System einbinden lassen.
![[Screenshot]](06-3-038-3.jpg)
Incident-Handling mit SIRIOS
SIRIOS wird bereits in mehreren deutschen Sicherheitsteams zur zentralen Erfassung aller Informationen mit CERT-Bezug eingesetzt. Der Vorteil gegenüber dem Einsatz unterschiedlicher Werkzeuge liegt in der Möglichkeit zur Verlinkung unterschiedlicher Daten, zum Beispiel der Zuordnung einer Vorfallsmeldung zu einer Schwachstellen-Information sowie zu einer früher herausgegebenen Warnung.
Zur Förderung der Kooperation zwischen Sicherheitsteams wurde SIRIOS mit allen Modulen von Anfang an als Open-Source-Software unter der GNU General Public License (GPL) entwickelt. Für den Austausch von Informationen verwendet die Software offene Standards, bei deren Entwicklung das Projektteam zum Teil mitgewirkt hat. Damit ist es möglich, Daten von anderen Sicherheitsteams manuell oder automatisiert zur Weiterverarbeitung zu importieren oder eigene Informationen zu übermitteln. Unterstützte Standards sind:
Da in SIRIOS sensitive Daten verarbeitet werden, wurde das Gesamtsystem von Beginn an mit einem deutlichen Schwerpunkt auf der Sicherheit der Anwendung entwickelt. Im Ergebnis werden daher beispielsweise keine aktiven Elemente wie JavaScript benötigt. Zusätzlich wurden diverse Filter eingebaut, die Cross-Site-Scripting-Angriffe verhindern.
Der Erfolg und das große Interesse auf dem diesjährigen LinuxTag haben gezeigt, dass das BSI mit seiner Strategie auf dem richtigen Weg ist. Auch in Zukunft wird uns die Sicherheit mit und durch freie Software am Herzen liegen. Bei der Vielzahl der Projekte kann das BSI mithilfe von OSS schnell, effektiv und anspruchsvoll, für alle verfügbar seine Erkenntnisse und Sicherheitsansprüche für den praktischen Einsatz umsetzen. In diesem Sinne sind bereits weitere Vorhaben auf dem Weg.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006#3, Seite 38
| 