ReCoBS

aus Wikipedia, der freien Enzyklopädie

Ein Remote-Controlled Browser System, kurz ReCoBS, ist laut Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Computersystem nach dem Client-Server-Modell.[1] Das ReCoBS besteht aus einem oder mehreren ReCoBS-Servern und einer beliebigen Anzahl Client-Rechnern. Letztere sind zumeist die Arbeitsplatzcomputer der Anwender, die einen Internetzugang nutzen. Der dedizierte ReCoBS-Server wird hierbei einem internen Rechnernetzwerk vorgeschaltet und führt den Webbrowser anstelle der im internen Netzwerk befindlichen Client-Rechner aus. Dies dient dem Schutz vor Angriffen aus dem Internet auf die Client-Rechner und Netzwerke. Das ReCoBS verhindert vorbeugend, dass Angreifer aus dem Internet Sicherheitslücken in lokal installierten Browsern oder Betriebssystemen ausnutzen. Der eingedeutschte Begriff „ferngesteuerter Webbrowser“ ist weniger gebräuchlich.

Idee

Die der Konstruktion eines Remote-Controlled Browser Systems zugrunde liegenden Überlegungen zielen auf die prinzipielle Verwundbarkeit des Webbrowsers in konventionellen Systemumgebungen ab. Browser sind komplexe Anwenderprogramme, die erwartungsgemäß immer sicherheitsrelevante Fehler aufweisen werden. Ergänzende Techniken wie Adobe Flash oder Oracle Java verschärfen diese Problematik[2]. Verstärkte Sicherheitsbemühungen der Hersteller und ausgefeilte Filtertechniken, etwa durch aktuelle Virenscanner, begegnen auftretenden Gefahrensituationen nur bedingt. Es verbleibt ein Restrisiko infolge gezielter Angriffe und Zero-Day-Exploits, das in sicherheitskritischen Umgebungen nicht akzeptabel ist. Ursächlich hierfür ist insbesondere die Tatsache, dass ein lokal installierter Webbrowser mit den Rechten des angemeldeten Benutzers betrieben wird. Ein Angreifer erlangt folglich dieselben Berechtigungen und kann sie unter Umständen noch weiter erhöhen.

Funktionsweise

Benutzer starten auf ihrem Arbeitsplatzrechner zur Nutzung des Internets nicht mehr den lokalen Webbrowser, sondern stattdessen ein Anzeigeprogramm zur Kommunikation mit dem ReCoBS-Server. Es erfolgt eine Verbindung zum ReCoBS-Server, dort wird in einem benutzereigenen Systembereich ein Webbrowser gestartet. Der ReCoBS-Server übermittelt die Bildschirminformation an den Client-Rechner. Das dort laufende Anzeigeprogramm decodiert daraus die gewohnte Browseransicht. Zugleich werden Maus- und Tastatursignale vom Arbeitsplatz an den Server zurückübertragen. Der Browser auf dem ReCoBS-Server wird vom Benutzer ferngesteuert.

Schutzwirkung

Ein ReCoBS schützt präventiv vor Gefahren, die durch Ausnutzung von Sicherheitslücken in gängigen Webbrowsern entstehen. Es filtert nicht und versucht Angreifer nicht als solche zu erkennen. Das ReCoBS-Konzept verlagert stattdessen die Ausführungsumgebung des angriffsgefährdeten Browsers auf einen Rechner außerhalb des zu schützenden Netzwerks. Angriffe über den Browser können sich damit allenfalls auf das externe Schutzsystem, nicht aber auf das interne Produktivsystem auswirken.

Ein Remote-Controlled Browser System hält Angriffe aus internen Systemen fern, bevor sie diese überhaupt erreichen. Malware, z. B., durch Drive-by-Downloads, kann sich auf den Arbeitsplatzrechnern nicht verankern. Ein ReCoBS ist weiterhin ein wichtiger Baustein zum Schutz gegen Datenabfluss (Data Loss Prevention). Sofern Client-Rechner im internen Netzwerk keinen anderweitigen Kontakt ins Internet haben, sind ungewollter Datenabfluss und Ausspähung ausgeschlossen. Die technische Abbildung des Abstandsprinzips durch ein ReCoBS gehört damit zu den stärksten Sicherungsmaßnahmen hinsichtlich Angriffen über den Webbrowser.

Stand der Technik sind ReCoB-Systeme, die nicht nur das interne Netzwerk und die darin befindlichen Ressourcen abschirmen, sondern auch einen starken Eigenschutz aufweisen. Diese Anlagen übertreffen die Anforderungen des Schutzprofils BSI-CC-PP-0040-2008 des Bundesamts für Sicherheit in der Informationstechnik, das lediglich ein Opfersystem fordert[3]. Umfassende Härtungsmaßnahmen bis hinab zur Kernebene des Serverbetriebssystems verhindern im Idealfall, dass gängige Angriffsverfahren zum Absturz oder zur Übernahme des Serverrechners durch Dritte führen. Produktabhängig neutralisieren sie weiterhin grundsätzliche Angriffsvektoren wie zu grobmaschige Rechteverwaltung konventioneller Betriebssysteme. Auch Zero-Day-Exploits derzeit noch unbekannter Sicherheitslücken laufen ins Leere. Zu diesem Zweck werden im Betriebssystem des Serverrechners je nach Anbieter mehr oder minder weitreichende Modifikationen vorgenommen. Diese sind bei Arbeitsplatzrechnern oder klassischen Servern nicht mit vertretbarem Aufwand möglich bzw. lassen sich aufgrund deren proprietärer Architektur nicht implementieren.

Hardware

Der ReCoBS-Server ist in der Regel ein Standard-Serverrechner mit gehärtetem oder virtualisiertem Betriebssystem. Seltener kommen Spezialrechner oder Desktop-Rechner zum Einsatz. Der Server befindet sich außerhalb des internen Bereichs eines lokalen Netzwerks, meist in der Demilitarisierten Zone (DMZ). Es sind alle internetgebundenen Programme installiert, die der ReCoBS-Server zur Verfügung stellen soll. In größeren Topologien ist der ReCoBS-Server als Rechnerverbund ausgeführt. Ein solcher Cluster kann eine entsprechend größere Zahl an Client-Rechnern bedienen und erhöht zudem die Verfügbarkeit des Gesamtsystems durch eine verteilte Datenhaltung.

Als Client-Rechner kommen marktübliche Personal Computer oder Thin Clients infrage. Deren Leistungsfähigkeit kann zur Nutzung mit einem ReCoBS-Server vergleichsweise gering sein.

Software

Es ist nur wenig Software auf den Client-Rechnern notwendig. Erforderlich ist mindestens ein Anzeigeprogramm (Viewer) zur Kontaktierung des ReCoBS-Servers. Es können alle Rechner als Client im Zusammenhang mit einem ReCoBS verwendet werden, für deren Betriebssystem die notwendige Client-Software verfügbar ist. Eine Variante bilden die browserbasierten ReCoBS-Clients, die den ReCoBS-Server über den lokalen Webbrowser mittels eines geeigneten Plug-ins kontaktieren.

Je nach Serverbetriebssystem hält der ReCoBS-Server einen der gängigen Webbrowser zur Nutzung an den Client-Rechnern bereit. Die Nutzung des Internet Explorers von Microsoft ist nur möglich, wenn der ReCoBS-Server mit Microsoft Windows betrieben wird. Oft werden jedoch besser zu härtende Linux-Betriebssysteme eingesetzt, womit nur Mozilla Firefox oder Google Chrome als Webbrowser infrage kommen.

Datenprotokoll

Zwischen dem ReCoBS-Server und den Client-Rechnern kommen je nach System unterschiedliche Datenprotokolle zum Einsatz. Einige ReCoB-Systeme nutzen das aus der Fernwartung von Rechnersystemen bekannte Virtual Network Computing (VNC), das eine Implementierung des Remote Framebuffer Protocol (RFB) darstellt. Es überträgt die Bildschirminhalte als Bitmaps und beinhaltet keine weiteren Funktionen. Es bietet daher wenig Angriffsfläche und Missbrauchspotenzial, gilt aber als vergleichsweise bandbreitenintensiv. Andere ReCoB-Systeme nutzen komplexere Protokolle mit erweitertem Funktionsumfang über die reine Übertragung von Bildschirminhalten hinaus. Eingesetzt werden das Remote Desktop Protocol (RDP) für Server mit Windows-Betriebssystemen oder Independent Computing Architecture (ICA) respektive das HDX-Protokoll für Citrix-Umgebungen. Funktionsreichere Protokolle vereinfachen die Implementierung des ReCoBS und können unter bestimmten Bedingungen Bandbreite zwischen Server und Client-Rechner sparen helfen. Sie bewirken jedoch prinzipbedingt eine schlechtere Trennung des vorgeschalteten Schutzsystems vom internen Netzwerk, bergen vermehrt Angriffsvektoren und gelten daher als weniger sicher.

Einsatzgebiete

ReCoBS werden dort eingesetzt, wo für das interne Netzwerk ein hohes Schutzniveau gefordert wird, konventionelle Maßnahmen zur Absicherung nicht ausreichen und Internetzugang am Arbeitsplatz unabdingbar ist. Diese Situation entsteht regelmäßig bei für Cyberkriminelle besonders attraktiven Angriffszielen. Dies sind beispielsweise Regierungs-, Polizei- und Justizbehörden im Bezug auf Ausspähung und Manipulation von Daten. Finanz- und Industrieunternehmen beugen mit ReCoBS der Wirtschaftsspionage vor, ohne auf Internetzugang zu verzichten. Energieversorger und Anlagenbetreiber schützen sich mittels ReCoBS vor Sabotage und Ausfall wichtiger Produktions- respektive Versorgungseinrichtungen infolge von Angriffen aus dem Internet.

Vorteile

Die Funktionalität des Internetzugangs wird kaum, im Gegensatz zu restriktiven Schutzmaßnahmen, beeinträchtigt. Gefährdete Web-Techniken wie Java müssen beispielsweise nicht aus sicherheitsstrategischen Überlegungen heraus deaktiviert werden. Einschränkungen des Internetzugangs können vielfach entfallen. Je nach bisheriger betrieblicher Praxis kann ein ReCoBS den Benutzern sogar mehr Freiheiten bei der Nutzung des Internets einräumen als ein lokal installierter Browser mit restriktivem Zugang.

ReCoB-Systeme sind ähnlich einem lokal installierten Webbrowser zu benutzen. Bestehende Arbeitsprozesse können unverändert beibehalten werden, Benutzer müssen sich nicht umgewöhnen. ReCoBS sind flexibel an betriebliche Infrastrukturen anpassbar und können plattformübergreifend mit unterschiedlichen Klientenrechnern genutzt werden.

Mit einem ReCoBS als Baustein des Sicherheitsgateways wird der Internetzugang für alle Client-Rechner zentralisiert, der gemeinsame Übergangspunkt erleichtert die Administration und ggf. die Inhaltskontrolle. Im Gegensatz zu filternden Schutzsystemen sind ReCoB-Systeme unter Sicherheitsaspekten nicht auf fortwährende Aktualisierungen angewiesen. Weiterhin setzen sie nicht auf Schädlings- respektive Angriffserkennung über Heuristikmodule oder Verhaltensanalysen. Hierdurch sind Probleme mit Fehlalarmen oder Nichterkennung prinzipiell ausgeschlossen.

Nachteile

Im Vergleich zu rein softwarebasierten IT-Schutzmaßnahmen erfordert ein dediziertes ReCoBS zusätzliche Hardware, einerseits für die Serverrechner, andererseits fallweise für zusätzliche Netzwerkinfrastruktur.

Der Bandbreitenbedarf zwischen ReCoBS-Server und Klientenrechner liegt je nach verwendetem Protokoll eine bis zwei Größenordnungen über dem für die reine Internetanbindung. Dieser technische Nachteil wirkt sich in modernen Gigabit-Netzwerken wenig aus.

Ein ReCoBS kann bei Ausfall des Serverrechners das gesamte interne Netzwerk vom Internet trennen, es wird zum Single Point of Failure. Durch zweckmäßige Redundanz oder Einsatz eines Verbundrechners lässt sich dieser Nachteil umgehen.

Zusätzliche Server bedeuten auch zusätzlichen Administrationsaufwand. Letzterer lässt sich durch Integration des ReCoBS in oft bereits vorhandene Verzeichnisdienste minimieren, sofern das System diese Vorgehensweise unterstützt.

Einzelnachweise

  1. Ausführliche Information zu ReCoBS nachzulesen auf der Website des Bundesamts für Sicherheit in der Informationstechnik
  2. Der Browser und Zusatzsoftware als Sicherheitsrisiko nachzulesen auf der Website von T-Online
  3. Certification Report des Schutzprofils BSI-CC-PP-0040-2008 auf der Website des Bundesamts für Sicherheit in der Informationstechnik

Weblinks

  • Artikel zu ReCoBS, Material des Bundesamtes für Sicherheit in der Informationstechnik