Application Whitelisting mit fapolicyd

Die Sicherheit von Informationssystemen ist von vielen unterschiedlichen Faktoren abhängig. Das IT-Grundschutz-Kompendium des Bundesamtes für Sicherheit in der Informationstechnik (BSI) führt eine Vielzahl von Bausteinen auf, die zusammengenommen die Sicherheit einer IT-Landschaft bestimmen. Das Kapitel OPS.1.1.4 des Kompendiums, Schutz vor Schadprogrammen [1], zeigt so unter anderem, wie Administratoren die Integrität ihrer Systeme vor Schadsoftware schützen können.

Application Black- und Whitelisting

Um Schadsoftware von einem System fernzuhalten, gibt es grundsätzlich unterschiedliche Methoden. Zum Beispiel können Sie Buch über sämtliche Software führen, die Sie auf Ihren Rechnern nicht sehen wollen, was als Blacklisting bezeichnet wird. Oder aber Sie nennen explizit die Anwendungen, die Sie zuvor autorisiert haben, in diesem Fall ist die Rede von Whitelisting.

Anti-Virus-Software verwendet primär die erste Methode, um den Virusbefall anhand von bekannten Mustern festzumachen. Der zweite Ansatz kommt beim Festlegen einer Baseline zum Einsatz. Das System schlägt erst dann Alarm, wenn es eine Differenz zu der Baseline erkennt. Also beispielsweise wenn ein Programm ausgeführt werden soll, das in der Baseline entweder gar nicht oder mit einer anderen Prüfsumme hinterlegt wurde.

In diesem Beitrag beschäftigen wir uns mit Application Whitelisting. Bis vor wenigen Jahren kam für diesen Zweck Software zum Einsatz, um einen Snapshot vom einem System anzufertigen und den Ist-Zustand in regelmäßigen Abständen mit dem Snapshot abzugleichen. War eine Differenz vorhanden, deutete dies auf Änderungen hin und der Administrator musste entscheiden, ob es sich um autorisierte oder nicht-autorisierte Änderungen handelte. Bekannte Softwarepakete in dieser Kategorie sind beispielsweise Tripwire [2] oder auch AIDE [3].

File-Integrity-Monitoring-Tools wie Tripwire und AIDE

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.