![[Illustration]](06-6-067-1.jpg)
Abbildung 1: Mikrokernbasierte VM-Architektur L4-VM
Das Prinzip der Virtualisierung zur Kapselung eines im Allgemeinen nicht vertrauenswürdigen Gastbetriebssystems sorgt für einen zusätzlichen Schutz des Host-Betriebssystems. In herkömmlichen monolithischen Betriebssystemarchitekturen ist dieser Schutz nur gewährleistet, wenn der Virtuelle-Maschinen-Monitor (VMM) als vertrauenswürdig angesehen werden kann. Der VMM muss mit hohen Privilegien für den Hardwarezugriff ausgestattet sein. Ein vertrauenswürdiger VMM muss entweder im Quellcode zwecks Evaluation vorliegen oder auf anderem Wege, etwa durch eine Zertifizierung, dieses Vertrauen vorweisen. Beide Möglichkeiten sind jedoch aufgrund des Codeumfangs der VMM problematisch.
Im Falle eines mikrokernbasierten Systems [4,5,6] ist dieser Schutzmechanismus durch die fundamentale Kapselung der Applikationen durch den Mikrokern deutlich verstärkt. Zugriffe des Gastbetriebssystems werden von dem VMM ausschließlich über die vom Mikrokern bereitgestellte Kommunikationsinfrastruktur durchgeführt. Der Mikrokern benötigt zusätzlich eine funktionale Erweiterung, die die Virtualisierung der Hardware unterstützt. Die erhöhte Sicherheit führt zu einem zusätzlichen Overhead, der von dem VMM möglichst klein gehalten werden muss und nur mit einer effizienten Inter-Prozess-Kommunikation (IPC) realisiert werden kann.
Innerhalb des Gastbetriebssystems können Anwender auf unmodifizierte Applikationen zurückgreifen. Insgesamt bietet der VMM einen transparenten Zugriff auf die Hardware und die Systemressourcen. Im Gegensatz zu paravitualisierten Betriebssystemen, die direkt an die Mikrokernschnittstelle angepasst sind, sind Updates innerhalb der Gastbetriebssysteme problemloser, da im Allgemeinen keine Modifikationen innerhalb der Codebasis notwendig werden. Eine wesentliche Voraussetzung für die Realisierbarkeit dieses Konzepts ist die Bereitschaft eines Gastbetriebssystems, innerhalb einer virtualisierten Hardwareumgebung zu operieren.
Unter generischen Sicherheitseigenschaften versteht man die "klassischen" Ziele Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit. Hieraus abgeleitet sind die folgenden Kriterien und funktionalen Ziele, die für eine Multisession-Sicherheitsarchitektur zwingend notwendig sind und mit L4-VM realisiert werden können.
Die isolierte Ausführung eines Legacy-Betriebssystems und seiner Anwendungen als nicht vertrauenswürdiger Gast erfolgt in einer virtuellen Maschine. Hierfür wurde die VM-Technik der Firma InnoTek auf die L4-Plattform portiert. Dabei wurden von vornherein Sicherheitsanforderungen im Design berücksichtigt und umgesetzt.
Das Host-System besitzt die alleinigen Ring-0 Privilegien. Das vertrauenswürdige Host-Betriebssystem soll eine Größenordnung weniger komplex sein als Linux oder Windows (allein der Linux-Kern hat mehr als 500 000 Quelltextzeilen in typischer PC-Konfiguration). Der L4-Mikrokern und seine Umgebung sind hierfür eine minimalisierte Ausgangsbasis, die vom Design her bereits den Anforderungen einer kleinen Basisplattform entspricht.
Gastbetriebssysteme sollen von der Außenwelt vollkommen isoliert werden, um den Einfluss von schädlicher Software (Viren, Würmer, Trojaner usw.) einzudämmen – sowohl von außen nach innen als auch umgekehrt. Kommunikation mit der Außenwelt ist nur über vertrauenswürdige Softwarekomponenten möglich, die die Vertraulichkeit der Daten im Internet sicherstellen. Hierzu werden dem Isolationsparadigma folgend Komponenten der Linux-Plattform (L4-Linux) herangezogen. Die notwendigen Kommunikationswege werden über virtuelle Netze auf dem Host-System realisiert.
Sämtliche lokale Ressourcen (Massenspeicher, Schnittstellen, USB-Geräte, Hauptspeicher etc.) werden kontrolliert und über das Hostsystem verwaltet. Das Hostsystem stellt sicher, dass nicht vertrauenswürdige Komponenten nur kontrolliert (d. h. entsprechend einer konfigurierten Policy) auf lokale Ressourcen zugreifen können, beispielsweise durch die zwangsweise Verschlüsselung beim Speichern von Daten nicht vertrauenswürdiger Anwendungen auf der Festplatte. Auch hier sind die Kommunikationswege zwischen Systemkomponenten definiert.
Die Sicherheitsstrategie für den Multisessionbetrieb beruht im Wesentlichen auf Isolationstechniken, die für eine sichere Kapselung nicht vertrauenswürdiger Systemkomponenten sorgen. Nach Hohmuth et al. [7] werden zwei verschiedene Ausprägungen verwendet, die im Folgenden beschrieben werden.
Beschreibt das "Einhüllen" eines Zugriffes auf externe Geräte oder Ressourcen. Generell können damit physische Schnittstellen des Systems gemeint sein, also USB, seriell/parallel, Netzwerkkarte, Netzwerk-Stacks oder komplette Betriebssysteme. Da diese Geräte grundsätzlich dazu genutzt werden, um Daten aus dem System herauszugeben (oder einzulesen), sind damit auch direkt die genannten Schutzziele tangiert, sofern die Treiber und Protokoll-Stacks nicht vertrauenswürdig sind. Die Verwendung vorhandener Treiber und Protokoll-Stacks (bspw. Linux IP Stack, Windows-Gerätetreiber) ist wünschenswert, diese sind aber im Allgemeinen nicht vertrauenswürdig. Mit Perimeter Wrapping eingeschlossene (unsichere) Komponenten können als Teil der unsicheren Außenwelt betrachtet werden.
Werden schutzwürdige Daten an den Perimeter gegeben, müssen normalerweise kryptographische Mechanismen im Wrapper benutzt werden, die Vertraulichkeit und Integrität sicherstellen. Es kann in einigen Fällen auch vorkommen, dass auf dem System in einigen Containern oder Compartments keine vertrauenswürdigen Daten verarbeitet werden, sodass keine kryptographischen Verfahren angewendet werden müssen. Beispiele hierfür sind das Netzwerk (Integrität/Vertraulichkeit) oder das Drucken (Autorisierung).
Nicht vertrauenswürdige Systemkomponenten verarbeiten vertrauliche und offene Daten (z. B. Konvertierungsprogramme, Filter). Um zu verhindern, dass diese Daten das System unautorisiert verlassen, muss die nicht vertrauenswürdige Komponente vollständig isoliert werden und darf nur kontrolliert mit anderen nicht vertrauenswürdigen Komponenten kommunizieren. Hierbei ist ein besonderes Augenmerk auf so genannte Covert Channels zu legen. Ein Zugriff auf externe Geräte erfolgt nur über Perimeter Wrapper. Beispiele hierfür sind VMs oder eine Routing-Instanz.
Die L4-VM-Architektur ist in eine Reihe von Grundmodulen beziehungsweise Subsystemen untergliedert, die ihrerseits nur über definierte Schnittstellen untereinander kommunizieren (Isolation). Diese Subsysteme sind: Dienste für den Systemstart und teilweise Dienste zur sicheren Kommunikation mit Peripheriegeräten. Im Folgenden werden diese Subsysteme und ihre Aufgaben beschrieben.
Der Mikrokern verfügt über deutlich weniger Funktionen als ein monolithischer Kern. Diese sind Funktionen zur Speicher- und Prozessverwaltung sowie Grundfunktionen zur Synchronisation und Kommunikation. Eine Implementierung der L4-Schnittstelle ist die Fiasco-Implementierung der TU Dresden. Der Mikrokern ist die einzige privilegierte Instanz der L4-VM-Architektur. Neben dem L4-Mikrokern existieren zur Laufzeit eine Reihe von so genannten L4-Servern, die unter der Kontrolle des Mikrokerns dedizierte Funktionen ausführen.
Tastatur, Maus und grafische Ausgabe werden von der L4-Konsole (l4con) verwaltet. Dieser L4-Server sorgt dafür, dass nur jeweils der aktive Client die Eingaben über die Tastatur "zugestellt" bekommt und blendet (Memory Mapping) den physischen Grafikspeicher (Framebuffer) in den Speicherbereich des Client. Somit hat der Client direkten, wenn auch nicht hardwarebeschleunigten Zugriff auf die Bildschirmausgabe. Eine Statusanzeige am unteren Rand des Bildschirms, die den Client eindeutig identifiziert, kann nicht überschrieben werden. Diese vertrauenswürdige Statusanzeige (Session-Label) ist aus der Sicht der VM nicht manipulierbar und liefert dem Anwender zu jedem Zeitpunkt zum Beispiel Information über den Einstufungsgrad seiner aktiven Session.
L4-Linux ist eine paravirtualisierte Instanz von Linux, die für den Zugriff auf die angeschlossene Hardware verwendet wird, da der L4-Mikrokern selbst keine Treiber enthält. Diese Instanz ist für den Zugriff auf Massenspeicher, Netzwerkadapter und USB-Geräte zuständig. Externe Geräte werden nur über USB unterstützt. Zusätzlich ist L4-Linux für die Initialisierung der Gastbetriebssysteme zuständig. Die Speicherbereiche der angeschlossenen physischen Hardware werden vom L4-Mikrokern in den Speicherbereich von L4-Linux abgebildet (Shared Memory, Memory-mapped I/O).
L4-Linux und der L4-Mikrokern sind nur beschränkt in der Lage, eine Virtualisierung der Hardware durchzuführen. Es ist durchaus möglich, Treiberinstanzen als L4-Server zu portieren, indem man nur den direkten Zugriff auf die Hardware abfängt. Jeder Zugriff auf die Hardware hätte dann aber einen (zeitaufwändigen) Kontextwechsel zur Folge. Die Instanz, die die Virtualisierung durchführt, ist die VirtualBox der Firma InnoTek, die auf die L4-Plattform portiert wurde. Die VirtualBox ist in der Lage, neben Linux- und Windows-Betriebssystemen auch OpenBSD und OS/2 zu virtualisieren und bietet damit eine Auswahl an gängigen Betriebssystemen für den Multisessionbetrieb an.
Keine Instanz der L4-Server ist in der Lage, zur Laufzeit die aktuelle Privilegierungsstufe zu erhöhen. Die L4-Mikrokernschnittstelle wurde um einen Systemaufruf erweitert (PL0-Extension), der es dem VMM erlaubt, eine Eskalation der Privilegierungsstufen vorzunehmen, um die nötigen Datenstrukturen bei einem Kontextwechsel der virtuellen Maschine zu verwalten. Die VirtualBox-Anwendung hat die Aufgabe, Systemaufrufe und Ressourcenanforderungen der virtuellen Maschine entweder über einen Linux-Server an L4-Linux zu leiten oder, über die L4-Schnittstellen, indirekt an den entsprechenden L4-Server. Diese Fähigkeit des VMM macht ihn zum Teil der Trusted Computing Base (TCB).
Mit der Portierung von SINA-Linux (Sichere Inter-Netzwerk-Architektur) auf die L4-Mikrokernplattform steht eine weitere paravirtualisierte Instanz zur Verfügung, die die Rolle eines Security-Services-Subsystem übernehmen kann. Neben der Unterstützung einer Smartcard (USB-Token) sowie des Key- und Konfigurationsmanagements werden auch Krypto-Primitive und die Verschlüsselung der Festplatte angeboten.
Mit L4-VM stehen die Basiskomponenten einer innovativen mikrokernbasierten Sicherheitsarchitektur zur Verfügung. Die Bezeichnung M³-SA steht für Microkernel Modular Multi-Level Security Architecture (sprich: M-Cube SA). Der Aufbau der Architektur ist in Abbildung 1 dargestellt und liegt als Prototyp vor. Ergebnisse einer Gegenüberstellung der Leistungsfähigkeit unterschiedlicher Virtualisierungslösungen werden mit gängigen Benchmarks durchgeführt und zu einem späteren Zeitpunkt vorgestellt. Erste Ergebnisse aber zeigen, dass die L4-basierte Lösung im Vergleich mit der in Teil 1 dieses Beitrags gezeigten monolithischen Architektur nur geringe Einbußen zu verzeichnen hat.
Abbildung 1: Mikrokernbasierte VM-Architektur L4-VM
Ressourcenanforderungen einer VM werden über den VM-Monitor-(VMM)-Client mit Mechanismen der L4-Mikrokernarchitektur an den zuständigen L4-Server weitergeleitet. Über L4-Linux werden Massenspeicher, Netzwerkkarten und USB-Geräte angesprochen. Dazu läuft im L4-Linux eine entsprechende Server-Applikation (vboxserver). In einer Mikrokernarchitektur gehört L4-Linux, oder, im Falle der L4-SINA-Virtual-Workstation L4-SINA-Linux, nicht zur TCB. Die VMM-Erweiterungen von L4 gestatten dem VMM eine Eskalation der Privilegien unter kontrollierten Bedingungen.
Bei der vereinfachten Basiskomponente M³ geht es um eine sinnvolle Abwägung zwischen Sicherheit und Benutzbarkeit bei gleichzeitiger Optimierung der Flexibilität und damit auch der Nutzerakzeptanz. Die drei Hauptbestandteile sind der L4-Mikrokern (Fiasco oder Pistachio) mit verschiedenen dedizierten L4-Servern zur Unterstützung der Speicher- und Prozessverwaltung, L4-Linux (paravirtualisiertes Linux-2.6) und das Virtualisierungssystem VirtualBox (Fa. Innotek).
Der L4-Mikrokern mit VM-Erweiterungen aus dem L4-VM-Projekt ist die Instanz mit der höchsten Privilegierungsstufe (CPL 0) und läuft ausschließlich im Ring-0. L4-Linux läuft im Nutzer-Raum (Ring-3), stellt Dienste für den Systemstart zur Verfügung und ihm wird neben administrativen Aufgaben auch die physische Hardware des Systems zugeordnet. Die Treiber des L4-Linux sorgen für den Zugriff auf Massenspeicher mit transparenter Festplattenverschlüsselung und kontrollieren als interner virtualisierter Sicherheits-Gateway den Netzwerkzugang zum physischen Netzwerk und als virtuelle Bridge den Zugang zu den Gastbetriebssystemen.
Über L4-Linux werden die vorhandenen Gastbetriebssysteme bei Bedarf von der lokalen Platte gestartet oder auch Nutzersysteme, das heißt Virtual Disk Images (VDI) mit Nutzerdaten, aus dem externen Netz geladen. Der Nutzer authentifiziert sich über einen zentralen LDAP-Server oder über einen Sicherheits-Token beim Systemstart noch bevor die Gastbetriebssysteme geladen werden. Anschließend stehen eine oder mehrere voneinander separierte Sessions zur Verfügung.
Für die Zuständigkeiten in der Administration der M³-Sicherheitsarchitektur ergeben sich klare Abgrenzungen: Der L4-Mikrokern und seine Unterstützungskomponenten sind Teil der erweiterten Hardware und nach dem Systemstart aus Sicherheitsgründen nicht mehr zugänglich beziehungsweise rekonfigurierbar. Statusinformationen können über eine lokale Konsole eingesehen werden. L4-Linux ist als Administrationssystem nur noch über das Netzwerk mit einer VPN-Verbindung mit IPSec zu erreichen. Hier bietet sich ein zentrales Softwaremanagement an, das bei Bedarf Aktualisierungen für L4-Linux einspielt und die Systemkonfiguration und Zugriffslisten (Access Control Lists, ACL) verwaltet.
Für den Nutzer besteht prinzipiell die Möglichkeit, auch eigene Gastbetriebssysteme zu verwalten, falls dieses durch eine Policy erlaubt sein wird. Ansonsten stehen dem Nutzer verschiedene Gastbetriebssysteme zur Verfügung, unter anderem eine dedizierte Internet-Session mit geringen Einschränkungen in der Funktionalität. Durch die starken Isolationseigenschaften der M³-Architektur können sogar aktive Inhalte zugelassen werden. Jede Änderung der Systemeinstellung der Internet-Session, die im so genannten Persistent-Mode arbeitet, gehen beim Neustart der Session verloren.
Die Integration der bestehenden BSI Sicherheitsarchitekur SINA (Sichere Inter-Netzwerk-Architektur) [1] in die M³-SA ist durch Portierung der SINA-Virtual-Workstation (VW) erfolgt. Die paravirtualisierte Instanz (L4-SINA-Linux) besitzt alle funktionellen Eigenschaften einer SINA-Box. Damit können VPN-Tunnel direkt an dem Gerät terminieren. Mit der L4-SINA-VW ist ein weiterer Schritt für die angestrebte Modularisierung des Security-Subsystems von SINA erfolgt.
Das Sicherheits-Gateway M³-Gate ist eine kompakte Realisierung einer Schnittstelle zwischen unsicheren und vertrauenswürdigen Netzen mit Paketfilterung, die auch die Applikationsschicht einschließt. Dazu können unterschiedliche Sicherheitskomponenten als Filterkette in den Paketfluss am Netzwerkübergang positioniert werden. Diese Filter können neben einer nicht-invasiven Analyse auch eine Zwangskonvertierung von unerlaubten Dateiformaten in E-Mail-Anhängen durchführen. Wichtig ist ebenfalls eine Trennung der Netzwerk-Stacks in unterschiedliche L4-Server beziehungsweise getrennte Instanzen von L4-Linux, um die Integrität des Netzwerkübergangs zu erhöhen. Virtualisierung kann mehrere IT-Systeme zusammenfassen, redundante Komponenten ermöglichen und vor allem Ressourcen einsparen. Eine solche Lösung könnte für den mobilen Einsatz oder für Schnittstellen mit geringem Datendurchsatz interessant sein.
Die Weiterentwicklung von L4-VM wird mehrere Ziele verfolgen: Für die Unterstützung von hardwarebeschleunigter grafischer Ausgabe ist langfristig eine Portierung von Teilen des X-Servers als native L4-Anwendung wünschenswert. Für die transparente Nutzung von USB-Geräten in allen Sessions ist ein vertrauenswürdiger L4-USB-Multiplexer erforderlich. Diesem USB-Multiplexer sind zu jeder Zeit sämtliche USB-Geräte zugeordnet. Bei Änderungen der Topologie des Busses müssen die entsprechenden Treiber aktiviert werden und eine Session-Zuordnung erfolgen. Müssen sich mehrere Sessions den Zugriff auf ein Gerät teilen, so ist für eine sichere Aufteilung der Ressourcen zu sorgen und eine entsprechende Virtualisierung der Geräte zu realisieren.
Eine Weiterentwicklung des VMM betrifft primär die Reduzierung der (eigenen) vertrauenswürdigen Code-Basis auf ein Minimum. Dazu müssen sicherheitsunkritische Teile des VMM in einen eigenen L4-Task ausgelagert werden. Ein Meilenstein in der Weiterentwicklung ist der Übergang auf Hardware mit nativer Virtualisierungunterstützung zur Schließung noch vorhandener Virtualisierungslücken mit einem entsprechenden Update des L4-Mikrokerns und des VMM.
Im Folgenden werden die Administrationsinstrumente und Netzwerkvoraussetzungen beschrieben, die zum Aufbau einer Multisession-Infrastruktur mit integriertem Verschlussachen-(VS)-Arbeitsplatz notwendig sein werden. Die Applikationsschicht der L4-VM-Sicherheitsarchitektur wird durch Gastbetriebssysteme beschrieben. Diese Gastbetriebssysteme bieten Nutzern eine transparente Arbeitsumgebung, in der die zur Verfügung gestellten Ressourcen genutzt werden können. Gastbetriebssysteme werden als eine einzige Datei, so genannte Virtual Disk Images (VDI), bereitgestellt. Diese VDI-Dateien sind statisch und können bei Bedarf neu geladen werden.
Lokale Datenbereiche werden ebenfalls als VDI-Datei vorgehalten. In diesen virtuellen Datenträgern werden persönliche Daten und Zwischenmaterial laufender Arbeitsprozesse abgelegt. Diese Images verlassen den Arbeitsplatz nicht. Angestrebt ist eine initiale Installation des Multisession-IT-Arbeitsplatzes über eine Installations-CD mit automatischer Hardware-Erkennung. Für die Administration der Gastbetriebssysteme genügt eine Referenzinstallation der zuständigen IT-Fachkraft, die die entsprechende VDI-Datei auf einem zentralen Server vorhält. Von dort werden diese VDI-Dateien bei Bedarf auf die verteilten IT-Arbeitsplätze geladen. Bei VS-Sessions wird für die VPN-Struktur ein entprechender Tunnelendpunkt, in der Regel eine SINA-Box, benötigt.
Virtualisierte Betriebssysteme für Multisession-Arbeitsplätze bieten den Nutzern flexible Arbeitsplätze mit erweitertem Komfort. Internet-Recherchen und Online-Buchungen sind beliebte Anwendungen, deren Gebrauch durch netzinterne Policy zwar erlaubt, aber durch Filterung aktiver Inhalte oder Java-Skript meist nicht nutzbar sind. Durch Isolation nicht-vertrauenswürdiger Betriebssysteme können diese Beschränkungen aufgehoben werden. Arbeiten diese virtuellen Maschinen zusätzlich im Persistent-Mode, werden alle Änderungen der Systemeinstellungen zur Laufzeit und damit auch ungewollte Modifikationen bei einem Neustart verworfen.
Für den Hochsicherheitsbereich bedeutet Virtualisierung auch die Möglichkeit, Sessions mit unterschiedlichen Einstufungen oder kryptographischen Parametern parallel zu betreiben. Voraussetzung für den sicheren Einsatz aller Lösungen ist die Verwendung vertrauenswürdiger minimalisierter Subsysteme (Trusted Computing Base) in einer modularen Sicherheitsarchitekur mit wohldefinierten Schnittstellen. Mehrere Ansätze für Sicherheitsarchitekturen für den Multisessionbetrieb existieren bereits [2,8,9] und werden in den nächsten Jahren das Bild des IT-Arbeitsplatzes der Zukunft prägen.
![[externer Link]](../../../../images/link.gif)
www.bsi.bund.de/fachthem/sina http://os.inf.tu-dresden.de/fiasco/overview.html http://l4ka.org http://l4hq.org www.emscb.de www.opentc.net
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006#6, Seite 67
| 