Anbieter grafischer Firewalls sind beispielsweise die Berliner m-privacy GmbH mit dem Produkt TightGate-Pro und die Ettlinger BWG Systemhaus Gruppe AG mit secureVD. TightGate-Pro [30] eignet sich Angaben des Herstellers zufolge für Nutzergruppen ab 10 Arbeitsplätzen und besonders für den Einsatz im behördlichen Umfeld.
Das Funktionsprinzip einer grafischen Firewall erläutert Abbildung 5 . SecureVD [31] ( Abbildung 6 ) basiert auf einer UTM-Firewall, deren gehärtetes Betriebssystem um einen KVM-Hypervisor erweitert wurde. Dadurch lassen sich über die webbasierende Administrationsoberfläche virtuelle Maschinen mit Windows oder Linux direkt auf der Firewall in Betrieb nehmen.
Dabei werden die virtuellen Netzwerkadapter der VMs mit dem physikalischen DMZ-Interface der Firewall über eine Bridge verbunden, sodass die virtuellen Maschinen ebenfalls in der DMZ isoliert sind. SecureVD kann daher grundsätzlich sowohl Server (wie zum Beispiel Web-, FTP- und Mailserver) als auch genauso gut Desktops virtualisieren. Da für die Virtualisierung von Desktops auf SecureVD sowohl Linux als auch Windows unterstützt werden, können die Anwender mit ihrer vom Arbeitsplatz gewohnten Software arbeiten.
Wird auf dem virtuellen Windows-Desktop zusätzlich noch ein RDP-Server wie zum Beispiel der XP/VS Terminal Server for Windows von Thinstuff [32] installiert, dann können sich problemlos auch mehrere Anwender einen einzelnen virtuellen Desktop teilen. Jeder Anwender erhält in diesem Fall seine ganz eigene Session.
Ab der Version Standard unterstützt der ThinStuff XP/VS Terminal Server darüber hinaus auch noch die TSX RemoteApp (Seamless Windows). Damit kann der Browser oder jede andere Anwendung über eine RDP-Verbindung aus der virtuellen Maschine gestartet und dann direkt am Arbeitsplatz angezeigt werden. Das für viele Anwender umständliche Handling mit zwei Desktops kann dann entfallen.
Die Verbreitung von Malware durch Drive-by-Downloads ist bereits heute die Methode der Wahl für Angreifer. Besserung ist kurzfristig nicht in Sicht. Admins sollten sich dringend mit diesem Thema auseinandersetzen. Doch ist die Situation keineswegs aussichtslos, denn durch einen sinnvollen Mix der im Artikel vorgestellten Techniken und durch die Aufklärung der Anwender kann dieser Bedrohung begegnet werden.
Ablauf eines Drive-by-Downloads
Für die Vorbereitung eines Drive-by-Download-Angriffs wird zunächst ein Webserver kompromittiert und der Startseite in einem iFrame zusätzlicher Code – meist in Javascript – untergeschoben. Der Code im iFrame verweist auf einen anderen Webserver, der unter der Kontrolle des Angreifers steht. Auf diesem befindet sich die Angriffssoftware, die die Version des Webbrowsers und die vorhandenen Plugins der Webseitenbesucher ermittelt und ihnen den passenden Exploit-Code unterschiebt. Sobald der Exploit erfolgreich ausgeführt wurde, wird der eigentliche Schadcode, zum Beispiel ein Trojaner, nachgeladen und unbemerkt vom Benutzer auf dem System ausgeführt – schon ist es passiert.
Die Abbildung 1 erläutert den typischen Ablauf einer Drive-by-Infektion.
Infos