Tags: Sicherheit, Linux, Windows, Mobile Computing, Server, Web-Browser, Mac OS
Cyber-Angriffen über Browser schiebt m-privacy GmbH einen Riegel vor. Mit TightGate-Pro hat das Berliner IT-Unternehmen einen "ferngesteuerten Browser" (Remote-Controlled Browser System, ReCoBS) entwickelt. Ferngesteuert bedeutet, dass der Browser nicht auf einem lokalen Gerät ausgeführt wird.
Er läuft vielmehr auf einer Appliance, die außerhalb des internen Netzwerks in der Demilitarized Zone (DMZ) platziert wird. Dadurch werden Angreifer vom Kernnetz des Unternehmens oder von öffentlichen Einrichtungen ferngehalten. Wie das Ganze funktioniert, wird auf der Web-Seite zu ReCoBS und der Seite mit Informationen zum Schutzkonzept von TightGate erläutert.
Drei Komponenten
Das TightGate-Pro-System besteht aus drei Komponenten:
- dem ReCoBS-Server außerhalb des Produktivnetzwerks. Auf ihm wird der Browser ausgeführt. Es handelt sich beim Server um ein physisches System, keine virtuelle Maschine;
- dem Klienten, also dem Arbeitsplatzrechner der User. Auf den Client werden die Daten vom ReCoBS-Server übermittelt. Der Nutzer hat den Eindruck, dass der den Browser lokal auf seinem PC, Linux-System oder Mac startet;
- einem Netzwerk.
Bei dem TightGate-Pro-Server handelt es sich um ein "gehärtetes" System auf Basis von Linux. Zu den Schutzmaßnahmen zählen die Beschränkung
auf die absolut notwendigen Dienste und Komponenten und eine
granulare Zugriffskontrolle mittels RSBAC (Rule Set Based Access Control).
Außerdem hat m-privacy die Sicherheitserweiterung PaX für Linux-Kernel implementiert. Sie schützt vor Buffer-Overflow-Attacken.
Besuch "gefährlicher" Web-Seiten bleibt folgenlos
Nach Angaben von m-privacy bleibt wegen der physischen Trennung zwischen Client und dem ferngesteuerten Browser selbst der Besuch einer kompromittierten Internet-Seite ohne Folgen, beispielsweise per Drive-by-Download Schadsoftware. Auch wenn Links von Phishing E-Mails geöffnet werden, die auf eine gefälschte Web-Seite weiterleiten (Link-Spoofing), entsteht kein Schaden. Die Unternehmensdaten sind auch in solchen Fällen sicher.
Ein weiterer Vorteil von TightGate besteht laut m-privacy darin, dass auch das "Absaugen" von Unternehmensdaten aus dem Unternehmensnetz mittels verseuchter E-Mail-Anhänge und USB-Sticks erschwert wird. Denn die Schadsoftware, die in E-Mail-Attachments oder auf Stick enthalten ist, kann keine Verbindung zu Command-and-Control-Servern aufnehmen und Malware nachladen. Auch der Transfer von Daten aus dem Intranet ins Internet und damit zu Cyber-Kriminellen ist nicht möglich.
Virtuelle Maschine für mobile Systeme
Für mobile Rechner unter Windows, Mac OS und Linux hat m-privacy eine spezielle Version von TightGate parat – TightGate-Mobile. Der Hintergrund ist, dass Notebooks oft über ungesicherte WLANs auf das Internet zugreifen. In diesem Fall steht ein vollständiger ReCoBS-Server in einer virtuellen Maschine auf dem Notebook bereit. Die Anzeige des Browsers erfolgt über einen separaten "Viewer" direkt auf dem Mobilrechner.
Noch ein Blick auf einige technische Daten von TightGate-Pro: Die Lösung ist skalierbar von 10 bis 1.200 Nutzern pro Installation. Auch ein Clustering ist möglich. Das Rechte-Management lässt sich mithilfe gängiger Verzeichnisdienste wie Microsoft Active Directory vornehmen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Bei der Zeitschrift "Network World" war Reder als stellvertretender Chefredakteur tätig. Von 2006 bis 2010 baute er die Online-Ausgabe "Network Computing" auf.
Derzeit ist Bernd Reder als freier Autor für diverse Print- und Online-Medien sowie für Firmen und PR-Agenturen aktiv.
// Kontakt: E-Mail, XING //
Ähnliche Beiträge
Weitere Links