Ferngesteuerter Browser TightGate-Pro für Sicherheitsbewusste

    m-privacy TightGate-Pro - FunktionCyber-Angriffen über Browser schiebt m-privacy GmbH einen Riegel vor. Mit TightGate-Pro hat das Berliner IT-Unternehmen einen "ferngesteuerten Browser" (Remote-Controlled Browser System, ReCoBS) entwickelt. Ferngesteuert bedeutet, dass der Browser nicht auf einem lokalen Gerät ausgeführt wird.

    Er läuft vielmehr auf einer Appliance, die außerhalb des internen Netzwerks in der Demilitarized Zone (DMZ) platziert wird. Dadurch werden Angreifer vom Kernnetz des Unternehmens oder von öffentlichen Einrichtungen ferngehalten. Wie das Ganze funktioniert, wird auf der Web-Seite zu ReCoBS und der Seite mit Informationen zum Schutzkonzept von TightGate erläutert.

    Drei Komponenten

    Das TightGate-Pro-System besteht aus drei Komponenten:

    • dem ReCoBS-Server außerhalb des Produktivnetzwerks. Auf ihm wird der Browser ausgeführt. Es handelt sich beim Server um ein physisches System, keine virtuelle Maschine;
    • dem Klienten, also dem Arbeitsplatzrechner der User. Auf den Client werden die Daten vom ReCoBS-Server übermittelt. Der Nutzer hat den Eindruck, dass der den Browser lokal auf seinem PC, Linux-System oder Mac startet;
    • einem Netzwerk.

    m-privacy TightGate-Pro - FunktionsweiseBei dem TightGate-Pro-Server handelt es sich um ein "gehärtetes" System auf Basis von Linux. Zu den Schutzmaßnahmen zählen die Beschränkung auf die absolut notwendigen Dienste und Komponenten und eine granulare Zugriffskontrolle mittels RSBAC (Rule Set Based Access Control). Außerdem hat m-privacy die Sicherheits­erweiterung PaX für Linux-Kernel implementiert. Sie schützt vor Buffer-Overflow-Attacken.

    Besuch "gefährlicher" Web-Seiten bleibt folgenlos

    Nach Angaben von m-privacy bleibt wegen der physischen Trennung zwischen Client und dem ferngesteuerten Browser selbst der Besuch einer kompro­mittierten Internet-Seite ohne Folgen, beispielsweise per Drive-by-Download Schadsoftware. Auch wenn Links von Phishing E-Mails geöffnet werden, die auf eine gefälschte Web-Seite weiterleiten (Link-Spoofing), entsteht kein Schaden. Die Unternehmens­daten sind auch in solchen Fällen sicher.

    Ein weiterer Vorteil von TightGate besteht laut m-privacy darin, dass auch das "Absaugen" von Unternehmens­daten aus dem Unternehmensnetz mittels verseuchter E-Mail-Anhänge und USB-Sticks erschwert wird. Denn die Schadsoftware, die in E-Mail-Attachments oder auf Stick enthalten ist, kann keine Verbindung zu Command-and-Control-Servern aufnehmen und Malware nachladen. Auch der Transfer von Daten aus dem Intranet ins Internet und damit zu Cyber-Kriminellen ist nicht möglich.

    Virtuelle Maschine für mobile Systeme

    m-privacy TightGate-Pro - Auch mit Schadsoftware präparierte Stick und E-Mail-Attachments werden neutralisiert.Für mobile Rechner unter Windows, Mac OS und Linux hat m-privacy eine spezielle Version von TightGate parat – TightGate-Mobile. Der Hintergrund ist, dass Notebooks oft über ungesicherte WLANs auf das Internet zugreifen. In diesem Fall steht ein vollständiger ReCoBS-Server in einer virtuellen Maschine auf dem Notebook bereit. Die Anzeige des Browsers erfolgt über einen separaten "Viewer" direkt auf dem Mobilrechner.

    Noch ein Blick auf einige technische Daten von TightGate-Pro: Die Lösung ist skalierbar von 10 bis 1.200 Nutzern pro Installation. Auch ein Clustering ist möglich. Das Rechte-Management lässt sich mithilfe gängiger Verzeichnisdienste wie Microsoft Active Directory vornehmen.

    Keine Kommentare