handbuch-bitbox.pdf

BitBoxBrowser in the BoxVersion 1.0.0

Eine virtuelle Surfumgebung für Behörden, Unternehmen und Privatanwender

Sirrix AG security technologiesLise-Meitner-Allee 444801 Bochum, Deutschlandhttp://www.sirrix.com

Im Auftrag des:

http://www.sirrix.com/

Autoren:

Christoph Göricke, Norbert Schirmer, Clemens Alexander Schulz, Marcel Selhorst, Christian Stüble

Sirrix AG security technologiesLise-Meitner-Allee 444801 Bochum, Deutschland

Im Auftrag für dasBundesamt für Sicherheit in der Informationstechnik (BSI)Referat 125 - „Penetrationszentrum, Abwehr von Internetangriffen“Godesberger Allee 185-18953175 Bonn, Deutschland

„Browser in the Box“ Installations- und Benutzerdokumentation 3

Inhaltsverzeichnis

Einleitung .........................................................................................11

1 Allgemeiner Teil ................................................................................131.1 Motivation ..................................................................................................131.2 Vergleich verschiedener Ansätze ................................................................141.3 Bedrohungsszenarien .................................................................................161.4 Architektur und Realisierung ......................................................................181.5 Kontrolle der VirtualBox Schnittstellen ........................................................201.6 Überblick über die BitBox Komponenten ....................................................211.7 Unterschiedliche Sicherheitsniveaus ..........................................................221.8 Mindestanforderungen ...............................................................................23

2 Installation von BitBox unter Windows ...............................................252.1 Automatische Installation mittels Installer ..................................................25

2.1.1 Installationsverlauf .........................................................................252.1.1.1 Installation von VirtualBox .............................................252.1.1.2 Installation von BitBox („Standardmodus“) ...................282.1.1.3 Installation von BitBox („Expertenmodus“) ...................332.1.1.4 Nicht-Interaktive Installation von BitBox aus der Konsole 35

2.2 Manuelle Installation ..................................................................................362.2.1 Vorbereitung des Systems ..............................................................362.2.2 Installation der von BitBox genutzten Gast-VM ..............................372.2.3 Anlegen eines zusätzlichen Benutzers für BitBox ...........................372.2.4 Installation von BitBox ...................................................................372.2.5 Einschränkung der Dateizugriffsrechte ..........................................382.2.6 Anpassung der Windows-Registry ..................................................392.2.7 Konfiguration des BitBox-Services ..................................................402.2.8 Konfiguration von Links ..................................................................412.2.9 Installation der Sicheren Zwischenablage ......................................41

2.3 Konfiguration von BitBox unter Windows ....................................................422.4 De-Installation von BitBox ..........................................................................45

3 Installation von BitBox unter Linux ...................................................473.1 Automatische Installation mittels Installer ..................................................47

3.1.1 Vorgehensweise zur automatischen Installation .............................473.2 Manuelle Installation ..................................................................................51

3.2.1 Vorbereiten des Host-Systems .......................................................513.2.2 Konfiguration des Host-Systems .....................................................53

3.2.2.1 Anlegen des Benutzers 'virtual' ....................................53

3.2.2.2 Anlegen einer Gruppe 'bitbox' ......................................533.2.2.3 Aktivieren der POSIX ACL-Listen für das Dateisystem . .53

3.2.3 Installation der von BitBox genutzten Gast-VM ..............................553.2.4 Installation und Konfiguration des BitBox-Hostsystems ..................55

3.2.4.1 BitBox-Komponenten auf dem Host-System installieren 553.2.4.2 Gruppe 'bitbox' das Ausführen von BitBox erlauben .....563.2.4.3 Benutzer 'virtual' das Ausführen des Virenscanners

erlauben 563.2.4.4 Konfiguration von Access Control Lists .........................573.2.4.5 Konfiguration von BitBox ..............................................583.2.4.6 Anklicken von Links unter Gnome ................................603.2.4.7 Anklicken von Links unter KDE .....................................613.2.4.8 Anklicken von Links unter Thunderbird ........................62

3.2.5 Secure Clipboard ............................................................................633.2.5.1 Installation vorkompilierter Dateien .............................633.2.5.2 Kompilieren von VBoxSharedClipboard.so ....................643.2.5.3 Kompilieren der Bestätigungs-GUI ................................65

3.3 De-Installation von BitBox ..........................................................................65

4 Installation der virtuellen Maschine ...................................................674.1 Import einer existierenden BitBox-VM .........................................................67

4.1.1 In den Benutzerkontext von Benutzer 'virtual' wechseln ................674.1.1.1 Windows ........................................................................674.1.1.2 Linux .............................................................................68

4.1.2 Importieren der virtuellen Maschine ...............................................684.1.3 BitBox-VM konfigurieren .................................................................704.1.4 Schnappschuss erzeugen ...............................................................71

4.2 Erstellen einer neuen BitBox-VM .................................................................714.2.1 Download von Debian-CD ..............................................................714.2.2 In den Benutzerkontext von Benutzer 'virtual' wechseln ................72

4.2.2.1 Windows ........................................................................724.2.2.2 Linux .............................................................................72

4.2.3 Starten von VirtualBox als Benutzer 'virtual' ..................................734.2.3.1 Windows ........................................................................734.2.3.2 Linux .............................................................................73

4.2.4 Virtuelle Maschine für BitBox erzeugen ..........................................744.2.5 Installation der Gasterweiterung ....................................................824.2.6 Benötigte Software installieren ......................................................824.2.7 Iceweasel 4 installieren ..................................................................824.2.8 Zweite Festplatte einrichten ...........................................................834.2.9 Shared Folder einrichten ................................................................834.2.10 Konfiguration der Soundkarte .........................................................84


4.2.11 Iceweasel-Wrapper schreiben .........................................................844.2.12 Soundproblematik beheben ...........................................................854.2.13 Permanenten DNS-Server eintragen ..............................................854.2.14 udev-Regeln verbieten ...................................................................854.2.15 X-Server Konfiguration erzeugen ....................................................864.2.16 GRUB konfigurieren ........................................................................864.2.17 OpenBox konfigurieren ...................................................................864.2.18 Iceweasel konfigurieren .................................................................874.2.19 Persistente Speicherung der Iceweasel-Daten ...............................884.2.20 Betriebssystem der Gast-VM härten ...............................................894.2.21 Abschluss der Installation ...............................................................904.2.22 Schnappschuss erzeugen ...............................................................91

5 Benutzung von BitBox .......................................................................935.1 Starten von BitBox ......................................................................................93

5.1.1 Windows .........................................................................................935.1.2 Linux ..............................................................................................93

5.2 Surfen im Internet ......................................................................................945.3 Verwalten von Lesezeichen / Persistente Daten ..........................................955.4 Herunterladen von Dateien ........................................................................955.5 Drucken aus BitBox ....................................................................................965.6 Sichere Zwischenablage .............................................................................99

6 Administration von BitBox ...............................................................1016.1.1 In den Benutzerkontext von Benutzer 'virtual' wechseln ..............101

6.1.1.1 Windows ......................................................................1016.1.1.2 Linux ...........................................................................101

6.1.2 Verwerfen des aktuellen Zustands ...............................................1026.1.3 Login in die virtuelle Maschine .....................................................1026.1.4 Durchführen der Änderungen .......................................................1036.1.5 Snapshot erzeugen ......................................................................103

6.2 Eine BitBox-VM exportieren ......................................................................1036.3 Signieren / Verifizeren von BitBox-VM Images ...........................................104

6.3.1 Erzeugen eines 2048-Bit RSA-Signaturschlüssels .........................1046.3.2 Erstellen des Verifikationszertifikats .............................................1046.3.3 Installation des X.509-Zertifikats ..................................................1056.3.4 Extrahieren des Verifikationsschlüssel aus X.509 Zertifikat ..........1056.3.5 Virtuelle Maschine und Shared Folder signieren ...........................1056.3.6 Virtuelle Maschine und Shared Folder vorm Installieren verifizieren 105

6.4 Verteilung von BitBox im Netzwerk ...........................................................1066.5 Nachträgliche Änderung an der BitBox-Konfiguration ...............................106

6 Installations- und Benutzerdokumentation „Browser in the Box“

6.5.1 Windows .......................................................................................1066.5.2 Linux ............................................................................................106

6.6 Update von BitBox ....................................................................................1066.7 Update von VirtualBox ..............................................................................107

7 Einbindung in ein Behördennetzwerk ...............................................1097.1 Trennung Internet/Intranet per NAT ..........................................................1097.2 Kapselung von BitBox mittels VPN am Beispiel von Windows 7 ................110

7.2.1 Einrichten einer VPN-Verbindung mit Windows 7 ..........................1107.2.2 Ändern der Zugriffsrechte auf die VPN-Verbindung ......................1147.2.3 VPN und BitBox-Interfaces bridgen ..............................................115

Support / F.A.Q. ..............................................................................117


AbbildungsverzeichnisAbbildung 1.1: Die Architektur von Browser in the Box ............................................. 18Abbildung 1.2: BitBox: Trennung in verschiedene Benutzerkonten ............................ 20Abbildung 1.3: BitBox Gesamtübersicht .................................................................... 21Abbildung 2.1: Entpacken der BitBox-Installationsdateien ......................................... 25Abbildung 2.2: Installation von VirtualBox ................................................................. 26Abbildung 2.3: Installation von VirtualBox - neue Netzwerkschnittstellen ................. 26Abbildung 2.4: Installation von VirtualBox - Gerätetreiber ......................................... 27Abbildung 2.5: Installation von VirtualBox - Abschluss .............................................. 27Abbildung 2.7: Akzeptieren der Lizenzbedingungen und Auswahl des Installationsmodus .................................................................................................... 28

Abbildung 2.6: Auswahl des Zielverzeichnisses für BitBox ........................................ 28Abbildung 2.8: Konfigurationsoptionen im Standardmodus ....................................... 29Abbildung 2.9: Konfiguration der BitBox-Persistenz ................................................... 31Abbildung 2.10: Konfiguration von Proxy-Server und Proxy-Port ................................ 32Abbildung 2.11: Konfigurationsoptionen im Expertenmodus ..................................... 33Abbildung 2.12: Konfiguration des BitBox-Service ..................................................... 40Abbildung 2.13: Das Anklicken von Links an BitBox weiterleiten ............................... 41Abbildung 2.14: Auswahl von Browser in the Box zur Deinstallation ......................... 45Abbildung 2.15: Deinstallation von BitBox unter Windows (1) ................................... 46Abbildung 2.16: Deinstallation von BitBox unter Windows (2) ................................... 46Abbildung 3.1: Wählen des Standard-Webbrowsers unter GNOME (1) ....................... 60Abbildung 3.2: Wählen des Standard-Webbrowsers unter GNOME (2) ....................... 60Abbildung 3.3: Wählen des Standard-Webbrowsers unter KDE (1) ............................. 61Abbildung 3.4: Wählen des Standard-Webbrowsers unter KDE (2) ............................. 61Abbildung 3.5: Wählen des Standard-Webbrowsers unter Thunderbird (1) ................ 62Abbildung 3.6: Wählen des Standard-Webbrowsers unter Thunderbird (2) ................ 62Abbildung 4.1: VirtualBox Startseite .......................................................................... 74Abbildung 4.2: Einstellung einer neuen virtuellen Maschine ...................................... 74Abbildung 4.3: Neue VM namens BitBox erstellen ..................................................... 75Abbildung 4.4: Speicher für BitBox-VM ...................................................................... 75Abbildung 4.5: Bestätigung, dass eine neue virtuelle Festplatte für die neue virtuelle Maschine erzeugt werden soll. .................................................................................. 76Abbildung 4.6: Einstellen des Festplattentyps ........................................................... 76Abbildung 4.7: Festplattengröße für BitBox-Festplatte 1 ............................................ 77Abbildung 4.8: Zusammenfassung über Festplattenerstellung .................................. 77Abbildung 4.9: Abstellen der Mini-Toolbar im Seamles-Modus ................................... 78Abbildung 4.10: Hinzufügen des Debian Images als Boot CD .................................... 79Abbildung 4.11: Festplattengröße für BitBox-Festplatte 2 .......................................... 79Abbildung 4.12: Fertige Massenspeicherkonfiguration für die BitBox-VM ................... 80


Abbildung 4.13: Auswahlpunkt zum Hinzufügen eines Ordner-Pfades für einen shared Folder ........................................................................................................................ 80Abbildung 4.14: Konfiguration der Soundkarte via alsamixer .................................... 84Abbildung 4.15: Iceweasel-Einstellungen innerhalb von BitBox ................................. 88Abbildung 4.16: Deaktivieren der Host-Key-Taste in VirtualBox ................................. 91Abbildung 5.1: Standard-Iceweasel-Ansicht beim Surfen mit BitBox .......................... 94Abbildung 5.2: Drucken aus BitBox ............................................................................ 96Abbildung 5.3: Druck-Dialog unter Linux ................................................................... 97Abbildung 5.4: Drucken aus dem Adobe Reader PlugIn ............................................. 98Abbildung 5.5: Bestätigungsdialog der Sicheren Zwischenablage ............................. 99Abbildung 6.1: Terminal in BitBox-VM ...................................................................... 102Abbildung 7.1: Festlegung des NAT-Modus sowie der zu verwendenden Netzwerkkarte unter VirtualBox ...................................................................................................... 110Abbildung 7.2: Netzwerk-Verbindungsverwaltung unter Windows 7 ........................ 111Abbildung 7.3: Herstellen einer VPN-Verbindung unter Windows 7 .......................... 115Abbildung 7.4: Erstellen einer Netzwerkbrücke zwischen BitBox und VPN ............... 116


Einleitung

Dieses Dokument ist im Rahmen des Projektes „Browser in the Box“ (BitBox) entstanden. Zunächst werden in einem allgemeinen Teil die Ziele von und Anforderungen an eine virtuelle Surfumgebung dargelegt. Im Anschluss daran folgen Installationsanleitungen, wie BitBox auf Windows- (siehe Kapitel 2) und Linuxsystemen (siehe Kapitel 3) installiert wird. Darüber hinaus ist in Kapitel 4 erläutert, wie die benötigte virtuelle Maschine für BitBox erstellt wird und wie diese ggf. weiter gehärtet werden kann. Kapitel 5 enthält ein Benutzerhandbuch und beschreibt, wie BitBox im produktiven Einsatz genutzt und gepflegt werden kann. Administrative Hinweise, vor allem im Hinblick auf Administration und Einbindung in existierende Netzwerke finden sich in Kapitel 6 und Kapitel 7. Abschließend sind in KapitelSupport / F.A.Q.Hinweise zum Support von BitBox aufgeführt.


1 Allgemeiner Teil

Dieses Kapitel beschreibt die grundlegenden Konzepte und Hintergrundinformationen, die für die Installation und Konfiguration des „Browser in the Box“ (BitBox) relevant sind. BitBox ist für das sichere und benutzerfreundliche Surfen im Internet entwickelt worden. Als wichtigster Schritt wird erreicht, dass die Benutzung von BitBox genauso leicht, intuitiv und ohne Einschränkungen möglich ist wie bei der heute üblichen direkten Benutzung des Browsers. Die Absicherung wird durch eine Kapselung des Browsers in einer virtuellen Maschine basierend auf VirtualBox und einem kleinen, gehärteten Linuxbetriebssystem erreicht. Durch diese Isolation wird ein hohes Maß an Sicherheit erreicht, sodass der Host gegenüber Angriffen aus dem Internet bestmöglich geschützt ist. Da diese vollständige Isolation aber für die praktische Nutzung des Browsers zu restriktiv ist, können in einem zweiten Schritt bestimmte kontrollierte Informationsflüsse wieder zugelassen werden. Beispiele sind das Herunterladen von Dateien nach einem Virencheck, oder das Kopieren und Einfügen über eine sichere Zwischenablage nach einer Benutzerbestätigung. Diese Flexibilität erlaubt es „Browser in the Box“ an die Sicherheitsrichtlinien einer Behörde oder Unternehmen anzupassen und ein gleichermaßen sicheres wie benutzerfreundliches Surfen im Internet zu ermöglichen.

Um unmittelbar mit der Installation zu beginnen, können die automatischen Installationswerkzeuge für Windows und Linux genutzt werden. Weitere Informationen hierzu befinden sich in den folgenden Kapiteln:

• Windows: Installation von BitBox unter Windows

• Linux: Installation von BitBox unter Linux

Eine Anleitung, wie BitBox im produktiven Einsatz verwendet werden kann, findet sich im Kapitel: Benutzung von BitBox

1.1Motivation

Die Verwendung des Internet ist aus dem heutigen Alltag -- alleine schon zur Informationsgewinnung -- kaum mehr wegzudenken. Gleichzeitig wird der PC zur Verarbeitung von vertraulichen Informationen verwendet, seien dies personenbezogene Daten, persönliche oder betriebsinterne, unternehmenskritische Daten. Insbesondere das Surfen im Internet birgt in diesem Szenario ein erhebliches Gefahrenpotential. Ursache dafür sind die so genannten „Aktiven Inhalte“, die aus heutigen Webseiten nicht mehr wegzudenken sind. In der Anfangsphase des Web dominierten rein passive Seiten, bei denen der Browser lediglich einen HTML-Text darstellte. Die einzige Interaktion mit der Webseite war das Anklicken von Links und


das Versenden von ausgefüllten Formularen. Moderne Webseiten bieten hingegen ein reiches Portfolio an Interaktionsmöglichkeiten und sind von vollwertigen nativen Anwendungen kaum noch zu unterscheiden. Technisch gesehen ist ein moderner Browser nicht mehr eine reine Darstellungskomponente für HTML-Text, sondern bietet eine reichhaltige Programmierschnittstelle für die Aktiven Inhalte einer Webseite an. Beispiele hierfür sind JavaScript, Java, ActiveX und VBScript, oder Anwendungen die PlugIns erfordern, wie solche zur Darstellung von Flash oder PDF Dateien. Diese Programmierschnittstellen erlauben auch den Zugriff auf den PC des Benutzers, etwa auf das Dateisystem, das Mikrofon oder eine angeschlossene Webcam. Damit ist der Zugriff auf vertrauliche Daten möglich, was das Surfen im Internet aus Sicht der IT-Sicherheit problematisch macht. Da ein Browser bei einer HTML-Seite nicht den HTML-Code selbst darstellt, sondern dessen Interpretation, werden die Aktiven Inhalte unbewusst vom Anwender aufgerufen und ausgeführt. Dieser Weg kann genutzt werden, um Schadprogramme auf den Rechner des Anwenders zu platzieren. Hierbei ist die Angriffsmethode „Drive-By-Downloads“ besonders gefährlich, bei der das bloße Aufrufen oder Ansehen einer Webseite ausreicht, um den Rechner mit einem Schadprogramm zu infizieren. Auch vertrauenswürdige Seiten können ohne Wissen der Betreiber Schadprogramme verbreiten, etwa über Reklameflächen, Cross-Site-Scripting oder über manipulierte Webseiten.

1.2Vergleich verschiedener Ansätze

Die grundlegende Methode zum Erreichen der vorgestellten Ziele ist die Trennung zwischen dem Browser und dem Rest des Betriebssystems. Hierfür gibt es verschiedene Möglichkeiten bei denen zwischen drei Ansätzen unterschieden werden kann, die im folgenden näher erläutert werden:

• Sandboxing,

• Virtualisierung und

• physikalische Trennung.Der erste Ansatz ist das Sandboxing (engl. Sandbox = Sandkasten). Sandboxing

beschreibt einen vom Betriebssystem bereitgestellten Sicherheitsmechanismus, welcher für die Trennung von verschiedenen laufenden Programmen zuständig ist. Hierbei wird dem Programm nur der Zugang zu den benötigten Ressourcen ermöglicht, alle weiteren Operationen werden jedoch verboten, oder zumindest stark eingeschränkt. Dies gilt insbesondere für den Dateizugriff und die Interaktion mit anderen Programmen oder Speicherbereichen, welche nicht für den eigentlichen Programmablauf benötigt werden. Eine starke Form des Sandboxing ist das Jail (engl. Jail = Gefängnis). Dieses beschreibt bereits eine Virtualisierung (s.u.), jedoch noch nicht im Kontext der Emulation einer ganzen Maschine. Dem Jail können bereits gewisse Restriktionen bzgl. der Hardwareressourcen mitgeben werden. Ein Browser der auf den Prinzipien des Sandboxing und Jailing aufbaut ist Google Chrome. Hierbei


beginnt das Sandboxing bereits während des Aufrufen von mehreren Webseiten in verschiedenen Tabs (englisch Tab = Reiter/Registerkarte). Jeder Tab ist dabei von den anderen Tabs abgeschottet, indem für ihn ein eigener Prozess in einer Sandbox gestartet wird. Dadurch kann ein einmal infizierter Tab keine Informationen aus anderen gleichzeitig geöffneten Tabs extrahieren. Ein Beispiel wäre eine Kreditkartennummer, welche in einem parallel geöffneten Tab eingegeben wird. Zusätzlich ist die Infizierung eines Tabs immer nur temporär, da nach dem Schließen der jeweilige Prozess beendet wird und ein neuer Tab immer wieder eine neue „saubere“ Instanz des Tab-Prozesses darstellt. Ein Angriff direkt auf den Browser könnte jedoch immer noch zu einer persistenten Kontamination des unterliegenden Betriebssystems führen. Um dem entgegen zu wirken wurde das Betriebssystem ChromeOS entworfen. Dieses führt das Prinzip des Sandboxings konsequent fort, so dass der Browser selbst nur noch in einer Sandbox läuft. Zusätzlich sind Sicherheitsmechanismen implementiert, welche persistente Angriffe nach einem Neustart des Systems bereinigen. Da es sich bei ChromeOS jedoch um ein eigenes Betriebssystem handelt muss es parallel zu bereits vorhanden Betriebssystemen betrieben werden.

Der zweite Ansatz ist die Virtualisierung. Das oben vorgestellt Jailing ist bereits eine Art der Virtualisierung. Hierbei arbeitet ein Kernel mit mehreren virtualisierten Nutzerräumen. Eine andere Form ist die Virtualisierung des kompletten Betriebssystems einschließlich des Kernels durch eine virtuelle Maschine (VM). Unter einer virtuellen Maschine wird ein Hardware/Software Duplikat der zugrunde liegenden realen Hardware verstanden. Die von der VM bereitgestellte Plattform wird Gastplattform bezeichnet, die Plattform, auf der die VM läuft, wird als Hostplattform bezeichnet. Üblicherweise läuft innerhalb der VM ein eigenes Betriebssystem (Gast Betriebssystem), welches nicht mit dem Betriebssystem des Host übereinstimmen muss. Da die virtualisierte CPU der Host CPU entspricht, kann die Ausführung von Programmen in der virtuellen Maschine größtenteils direkt auf der Host Hardware erfolgen und ist damit sehr effizient. Die korrekte Aufteilung der Ressourcen wie CPU und Speicher auf mehrere virtuelle Maschinen und die Isolation der virtuellen Maschinen voneinander und von der Hostplattform wird von dem Virtual Machine Monitor (VMM) überwacht. Je nach Aufgabengebiet und Vertrauenswürdigkeit der einzelnen Betriebssysteme wird den einzelnen Systemen der Zugriff auf kritische Ressourcen gewährt oder verweigert. Ein Browser könnte in diesem Beispiel nur Zugriff auf gewisse Seiten haben und von anderen ausgeschlossen werden. Ebenso könnte dem selben Browser der Zugriff auf Dateien für den Austausch zwischen Betriebssystemen gewährt oder verweigert werden. Gleichzeitig ist es möglich, dass der Browser selber nur temporäre Daten anlegen darf und er somit nach jedem Neustart wieder in den Ausgangszustand überführt werden kann. BitBox basiert auf diesem Prinzip.

Der dritte Ansatz ist die physikalische Trennung von Browser und Arbeitsrechner. Hierbei besteht die Lösung darin, dass separate Computer für den Internetzugriff bereit gestellt werden. Im sichersten Falle sind die für den Internetzugriff genutzten Rechner


nicht mit dem internen Behörden-, bzw. Unternehmensnetz verbunden und somit ist dieses vom Internet getrennt. Auch hier sind Einschränkungen in der Benutzbarkeit hinzunehmen, die durch diese strenge Trennung der Netze und Rechner entstehen. Bei einer weiteren Lösung wird über Terminal Server auf das Internet zugegriffen (wie etwa beim Remote-Controlled Browsers System (ReCoBS) des BSI1). Der Terminal Server ist zum einen am Internet angeschlossen und zum anderen über das interne Netz erreichbar. Diese Lösung ist durch den Einsatz von Terminal Servern mit hohen Kosten verbunden und für einige Funktionen müssen Hilfskonstruktionen bereitgestellt werden, um das interne Netz auch dann zu schützen, falls auf dem Terminal Server Schadprogramme ausgeführt werden. Des weiteren leidet die Darstellung von Multimediainhalten an den durch die Netzanbindung entstehenden Latenzen. Ein weiteres Problem entsteht durch die Tatsache, dass der Ausfall dieses Systems direkte Auswirkungen auf alle Nutzer hat.

Eine Sonderlösung bietet die Nutzung von SurfCDs. Dabei wird zum Surfen im Internet der Rechner mit der SurfCD neu gebootet, die ein eigenes Betriebssystem und den Browser enthält. Diese Lösung bieten ebenfalls die Sicherheit nach einem Neustart wieder in den Ausgangszustand zurückgesetzt zu werden. Somit sind persistente Angriffe auf das System der SurfCD nach einem Neustart hinfällig. Allerdings könnte ein Angreifer Änderungen am unterliegenden System vornehmen, sofern die Daten nicht vor einem Zugriff geschützt sind, z.B. durch Verschlüsselung. Die Benutzbarkeit ist ebenfalls eingeschränkt, da für das Arbeiten immer ein Neustart des gesamten Systems notwendig ist. Der Austausch mit dem eigentlichen Arbeitsbetriebssystem gestaltet sich entweder schwierig oder sicherheitskritisch, da hier immer ein zusätzliches Medium (z.B. USB-Stick) verwendet werden muss.

1.3Bedrohungsszenarien

Um zu verdeutlichen, welchen Bedrohungen ein Browser ausgesetzt ist, und wie Benutzer davor geschützt werden können, müssen zunächst die möglichen Angreifer identifiziert werden. In dieser Betrachtung wird das Host-System als bestmöglich abgesichert angenommen.

Im Kontext einer Firma oder einer Behörde kann nicht nur von externen Bedrohungen ausgegangen werden, sondern es muss auch die Gefahr eines internen Angreifers berücksichtigt werden. Bezogen auf einen Browser sollte sowohl eine Härtung gegen externe Angriffe erfolgen, als auch der Upload von Daten eingeschränkt, oder je nach Richtlinie sogar verboten werden. Die Methode der physikalischen Trennung erreicht in diesem Punkt das Optimum, da sich die kritischen Daten und der Browser auf verschiedenen Systemen befinden. Problematisch wird diese Lösung falls eine unidirektionaler Datentransfer aus dem Internet auf den Arbeitsrechner erlaubt sein soll, z.B. in der Form eines Downloads. Es sollte also eine Lösung angestrebt werden, die flexibel uni-, oder bidirektionale Verbindungen zulassen

1 https://www.bsi.bund.de/ContentBSI/Themen/Internet_Sicherheit/Gefaehrdungen/AktiveInhalte/schutzmoe glichkeiten/recobs/loesungsansatz.html


https://www.bsi.bund.de/ContentBSI/Themen/Internet_Sicherheit/Gefaehrdungen/AktiveInhalte/schutzmoeglichkeiten/recobs/loesungsansatz.html

https://www.bsi.bund.de/ContentBSI/Themen/Internet_Sicherheit/Gefaehrdungen/AktiveInhalte/schutzmoeglichkeiten/recobs/loesungsansatz.html

oder unterbinden kann.In Bezug auf externe Angriffe, kann für dieses Dokument zwischen Angriffen auf

den Browser bzw. dessen Nutzer und auf das Hostsystem unterschieden werden. Erstere richten sich gegen die Schwachstellen eines Browsers oder machen sich das Surfverhalten des Nutzers zu eigen. Ziel solcher Angriffsmethoden ist häufig das Ausspähen von sensiblen Daten, wie z.B. Kreditkartennummern, oder internen Firmengeheimnissen. Beispielsweise kann über Aktive Inhalte auf Daten in der systemweiten Zwischenablage zugegriffen werden und damit unbemerkt vertrauliche Daten ausgespäht werden, die gerade in einer anderen Anwendung bearbeitet werden. Dieser unbemerkte Zugriff kann unterbunden werden, indem ein Kopiervorgang in den Browser einer zusätzlichen Bestätigung durch den Benutzer bedarf. Ein anderes Beispiel sind Phishing Webseiten. Da diese Angriffe stark vom Sicherheitsbewusstsein des Nutzers abhängen können sie nur schwer geblockt werden. Aber auch hier kann das Verhindern eines einfachen Kopieren und Einfügens von Daten in ein Formular durchaus dazu führen, dass der Nutzer sich über die Relevanz der eingetragenen Daten noch einmal bewusst wird. Angriffe gegen den Browser kann durch die Behebung der Schwachstellen entgegnet werden. Gegen bisher unbekannte Sicherheitslücken, welche persistente Änderungen am Browser vornehmen, nützen Mechanismen, die den Browser nach einem Neustart wieder auf einen sicheren Zustand bringen. Zwar beugt diese Methode den Angriffen selber nicht vor, verhindert aber die dauerhafte Kontamination des Browsers.

Direkte Angriffe gegen das Hostsystem über den Browser sind noch schwerer zu verhindern. Neben möglichen Schwachstellen im Browser selber gibt es heutzutage viele zusätzlich PlugIns, wie z.B. PDF oder Flashplayer, die potentiell weitere Sicherheitslücken in einem System öffnen. Nachdem sich ein Angreifer auf dem System die entsprechenden Rechte verschafft hat, kann er prinzipiell beliebige Änderungen vornehmen. Sandboxing oder Virtualisierung erzeugen hier eine weitere Hürde, die ein Angreifer nehmen muss, um dieses Ziel zu erreichen. Da die Codebasis der kritischen Programmteile einer VM in der Regel kleiner ist, als die eines kompletten Betriebssystems, ist ein Fehler im Quellcode weniger wahrscheinlich.

Eine mögliche Lösung, welche alle beschriebenen Probleme berücksichtigt ist ein virtualisierter Browser. Im folgenden soll die Architektur eines solchen Konzepts beschrieben werden.


1.4Architektur und Realisierung

Die zentrale technische Komponente bei der Realisierung von „Browser in the Box“ (BitBox) ist die Virtualisierung. Der Browser wird in einer virtuellen Maschine ausgeführt (siehe Abbildung 1.1) und ist so von den anderen Anwendungen und dem Intranet isoliert.

Im Einsatzszenario von BitBox wird zwischen „Host Netzwerk“ und „Internet Netzwerk“ unterschieden. Das Host Netzwerk ist das lokale, Unternehmens- oder Behördennetzwerk, in dem BitBox zum Einsatz kommt. Das Internet Netzwerk ist das Netzwerk, in dem sich der Gast befindet, um auf das Internet zuzugreifen. Ein wichtiges Sicherheitsziel ist, dass aus dem Gast heraus kein Zugriff auf das Host Netzwerk möglich ist.

Als Virtualisierungslösung wird VirtualBox OSE von Oracle verwendet. In der virtuellen Maschine wird ein gehärtetes, minimales Debian Linux als Gastbetriebssystem ausgeführt. In der bereitgestellten virtuellen Maschine kommt Firefox / Iceweasel als Browser zum Einsatz. Die Lösung wird für die Host Betriebssysteme Debian Linux und Windows in den Versionen XP, Vista und 7 bereitgestellt. Das Host Netzwerk wird so konfiguriert, dass das Surfen im Internet nur über die virtuelle Maschine möglich ist. Der Browser ist von dem Host Netzwerk isoliert und kann somit nicht auf im Host gespeicherte Daten zugreifen. Selbst wenn die Gastplattform über das Internet mit Schadprogrammen infiziert wird, ist die Hostplattform davon nicht direkt betroffen.

Ein weiterer Schutzmechanismus wird durch die Verwendung von sogenannten Schnappschüssen umgesetzt. VirtualBox erlaubt es, den Systemzustand der gesamten


Abbildung 1.1: Die Architektur von Browser in the Box

virtuellen Maschine zu einem gewählten Zeitpunkt in einem Schnappschuss festzuhalten. Damit ist es möglich, bei jedem neuen Aufruf des Browsers von einem vordefinierten, sauberen Systemzustand des Gastes zu starten. Etwaige Schadprogramme, die während des Surfens auf dem Gast gelangt sind, sind somit bei einer neuen Sitzung wieder verschwunden. In dieser Konfiguration ist es nun, vom Standpunkt der Host Sicherheit aus, unbedenklich auch Aktive Inhalte anzuzeigen.

Um den Benutzerkomfort zu erhöhen, werden verschiedene Zusatzfunktionen implementiert, die teilweise auf Funktionen von VirtualBox aufbauen. Zunächst wird der sogenannte „Seamless“ Mode verwendet. Dabei wird darauf verzichtet, den kompletten Gast Desktop als ein einzelnes Fenster im Host anzuzeigen. Stattdessen wird ein einzelnes Anwendungsfenster (in diesem Fall das des Browsers) im Gast direkt auf ein einzelnes Fenster im Host abgebildet. Somit erscheint der Browser im Gast wie eine normale Host Anwendung und die Virtualisierung ist für den Benutzer transparent.

Die bisher beschriebene Konfiguration ist immer noch sehr restriktiv, da das Gastsystem komplett vom Host-System isoliert ist und kein Informationsfluss stattfindet, z.B. können keine Dateien aus dem Internet heruntergeladen und auf dem Hostsystem weiterverarbeitet werden. Diese Isolation ist vom Sicherheitsstandpunkt aus zwar sehr positiv, ist aber für eine breite Akzeptanz beim Anwender hinderlich. Daher werden im folgenden kontrollierte Informationsflüsse erlaubt.

Durch das Zurücksetzen der Schnappschüsse beim Neustart verliert der Browser zunächst sämtliche vom Benutzer vorgenommenen Einstellungen und insbesondere auch die gespeicherten Lesezeichen. Um dies zu vermeiden, wird die Funktionalität „Gemeinsame Ordner“ von VirtualBox verwendet, die es erlaubt, auf bestimmte Ordner im Host Dateisystem auch vom Gast aus zuzugreifen. In einem solchen gemeinsamen Ordner werden alle persistenten Konfigurationsdaten des Browsers gespeichert. Ebenso können aus dem Internet heruntergeladene Dateien über diesen Weg auf dem Host abgelegt und dort weiterverarbeitet werden. Darauf aufbauend wird das Herunterladen von Dateien weiter abgesichert, indem die Dateien zunächst einer Sicherheitsprüfung (Malware-Scan) unterzogen werden, bevor sie dem Benutzer im Host Dateisystem zur Verfügung stehen.

Für die Akzeptanz von BitBox ist die Benutzbarkeit der Zwischenablage erwünscht, um beispielsweise URL's aus einer E-Mail in den Browser zu kopieren. VirtualBox kann so konfiguriert werden, dass es Kopiervorgänge verbietet, dass es Kopiervorgänge nur in eine Richtung erlaubt (wahlweise vom Gast zu dem Host oder umgekehrt) oder dass es Kopiervorgänge in beide Richtungen erlaubt. Darüber hinaus wird in BitBox eine verfeinerte Variante der Zwischenablage implementiert, die einen Kopiervorgang nur nach Bestätigung des Benutzers erlaubt. Dadurch kann verhindert werden, dass ein Schadprogramm im Gast unbemerkt aus der Zwischenablage des Host liest, in der ggf. vertrauliche Daten liegen können.

Um sicherzustellen, dass nur autorisierte Schnappschüsse verwendet werden, findet eine Zertifizierung der Schnappschüsse statt.

Ein wichtiger Aspekt im Lebenszyklus von BitBox ist das Einspielen von Softwareaktualisierungen im Gast. Dies betrifft Aktualisierungen des Browsers als auch


des Gastbetriebssystems, insbesondere sicherheitsrelevante Aktualisierungen. Um diesen Vorgang zu unterstützen, kann der Administrator einen neuen Schnappschuss mit der aktualisierten Software erstellen und diesen Schnappschuss zertifizieren. Der zertifizierte Schnappschuss kann nun beim Benutzer installiert werden, und es wird mit Hilfe von digitalen Signaturen sichergestellt, dass nur zertifizierte Schnappschüsse installiert werden können. Damit kann eine unbemerkte und unerwünschte Manipulation der Schnappschüsse ausgeschlossen werden.

1.5Kontrolle der VirtualBox Schnittstellen

Die bisher beschriebenen Maßnahmen schützen das Hostsystem vor Angriffen aus dem Internet. Im Unternehmens- und Behördenumfeld ist aber eine weitere wichtige Frage, ob auch durch die Verwendung der Virtualisierung die internen Sicherheitsrichtlinien weiterhin eingehalten werden, insbesondere was die Rechte des Benutzers betrifft. Es sollte beispielsweise nicht möglich sein, dass der Benutzer beliebige Programme innerhalb des Gastes installieren und ausführen kann, die er auf dem Hostrechner nicht ausführen darf. Die Frage ist also wie die Benutzung von VirtualBox so einschränken werden kann, dass diese wirklich nur zum browsen im Internet verwendet werden kann.

Dazu müssen zunächst die Schnittstellen betrachtet werden die VirtualBox anbietet. Neben der grafischen Benutzerschnittstelle bietet VirtualBox beispielsweise auch eine Kommandozeilenschnittstelle an. Alle Schnittstellen gehen aber letzten Endes auf eine sehr reichhaltige öffentliche Programmierschnittstelle zurück, die es dem Benutzer erlaubt VirtualBox zu steuern, vom Anlegen, Konfigurieren, Starten und Stoppen von virtuellen Maschinen bis hin zur Steuerung des Gastbetriebssystems vom Host aus. Auf diese Schnittstelle sollte der Benutzer keinen direkten Zugriff mehr haben. Um dies zu erreichen lagern wir die Ausführung von BitBox mitsamt der kompletten VirtualBox Infrastruktur in ein anderes, gehärtetes Benutzerkonto aus. Auf dieses Konto hat der Benutzer keinen direkten Zugriff mehr. Der Zugriff wird indirekt durch Skripte hergestellt die beim Start des BitBox, oder beim Anklicken eines Links,


Abbildung 1.2: BitBox: Trennung in verschiedene Benutzerkonten

aufgerufen werden (siehe Abbildung 1.2). Auf einem Linux Hostrechner verwenden wir dazu das Kommando sudo, das es erlaubt ein Programm unter einem anderen Benutzerkonto zu starten (ohne das Passwort kennen zu müssen). Für einen Windows Hostrechner haben wir dazu einen eigenen Systemdienst entwickelt, der im Hintergrund läuft und Anfragen des Benutzers analog bearbeitet.

1.6Überblick über die BitBox Komponenten

Abbildung 1.3. stellt die Gesamtarchitektur von BitBox dar, wie sie in Abschnitt 1.4 im Einzelnen beschrieben wurden. Durch die Isolation in zwei verschiedene Benutzerkonten kann der Informationsfluss zwischen dem Browser und dem Benutzer kontrolliert werden. Alle gemeinsamen Ordner die aus der virtuellen Maschine (und damit dem Browser) und dem Host aus zugänglich sind, sind für den Benutzer zunächst unzugänglich. Erst wenn die Dateien (zum Download und zum Druck) einer Integritätsprüfung unterzogen worden sind, werden sie in einen Ordner kopiert, auf welchen der Benutzer zugreifen kann. Des Weiteren ist zu beachten, dass diese


Abbildung 1.3: BitBox Gesamtübersicht

Integritätsprüfungen auf dem Host stattfinden, den wir als sicher Annehmen und nicht im Gast durchgeführt werden, welcher kontaminiert sein könnte.

Die Aufgabe der „Browser Überwachung“ ist es das Beenden der letzten Browser-Instanz festzustellen. Wird das letzte Fenster geschlossen wird die gesamte virtuelle Maschine (und auch die anderen Überwachungs-Dienste) beendet. Damit werden die Ressourcen des Host Rechners geschont wenn kein Browser läuft.

1.7Unterschiedliche Sicherheitsniveaus

Nach IT-Grundschutz wird der Schutzbedarf einer Anwendung bzw. eines Systems in die Kategorien normal, hoch und sehr hoch unterteilt. Im Behördenbereich aber auch in einigen Unternehmensbereichen müssen darüber hinaus einige Anwendung unter der Berücksichtigung von nach der VSA eingestuften Niveaus ausgeführt werden.

Um das Surfen im Netz entsprechend des Schutzbedarfs abzusichern, empfiehlt das BSI für nach der VSA eingestufte Bereiche nur nach der VSA zugelassene Anwendungen und Systeme einzusetzen.

Für einen Schutzbedarf, der als hoch oder sehr hoch eingestuft wurde, wird empfohlen zertifizierte Produkte wie beispielsweise ReCoBS-Produkte einzusetzen.

Die hier vorgestellte Lösung BitBox eignet sich für den Einsatz bei einem normalen Schutzbedarf.


1.8Mindestanforderungen

Um BitBox einsetzen zu können, werden die folgenden Anforderungen an Hard- und Software gestellt:

Software:

• Betriebssystem:

◦ Microsoft Windows

▪ Microsoft Windows XP, mindestens Service Pack 2

▪ Microsoft Windows Vista

▪ Microsoft Windows 7

◦ Linux-OS mit grafischer Oberfläche (z.B. KDE/Gnome)

▪ Debian Linux 5

▪ Debian Linux 6

▪ (K)Ubuntu 10.04

▪ (K)Ubuntu 10.10

▪ (K)Ubuntu 11.04

• VirtualBox 4.0.10Hardware:

• Mindestanforderung:

◦ 1GB Arbeitsspeicher

◦ 1,6 GHz CPU (z.B. Core2Duo)

◦ mind. 2GB freier Festplattenspeicher

◦ Internetanbindung

• Empfehlenswert:

◦ 2GB Arbeitsspeicher

◦ 2 GHz CPU und höher

◦ 64-Bit Technologie

◦ Unterstützung für Virtualisierungstechnologien

▪ Intel VT-X

▪ AMD-V


2 Installation von BitBox unter Windows

Um BitBox unter Windows zu installieren, existieren zwei Möglichkeiten. Die erste Variante nutzt einen vollautomatischen Installer (siehe Kapitel 2.1). Alternativ kann BitBox auch manuell installiert und konfiguriert werden (siehe Kapitel 2.2).

2.1Automatische Installation mittels Installer

2.1.1 Installationsverlauf

Die automatische Installation kann mit einem Doppelklick auf den Installer BitBox.1.0.0.Archiv.exe gestartet werden. Es werden zwingend administrative Rechte für die Installation vorausgesetzt.

Zunächst entpackt BitBox seine zur Installation benötigten Installationsdateien und startet anschließend die Installationsroutine BitBoxSetup.1.0.0.exe.

Abbildung 2.1: Entpacken der BitBox-Installationsdateien

2.1.1.1Installation von VirtualBox

Falls VirtualBox von Oracle noch nicht installiert ist, bietet der BitBox-Installer Ihnen an, die Installation von VirtualBox zu starten. VirtualBox fragt nach ob eine Verknüpfung auf dem Desktop und der Quick Launch Bar erstellt werden soll. Dies ist beides für den Betrieb von BitBox nicht nötig, diese Optionen kann also deaktiviert werden:


Während der Installation von VirtualBox werden auch diverse Gerätetreiber in Windows installiert. Vor der Installation eines Gerätetreibers blendet Windows einen

Dialog ein. Die Installation durch drücken des Knopfes „Installieren“ zulassen.


Abbildung 2.2: Installation von VirtualBox

Abbildung 2.3: Installation von VirtualBox - neue Netzwerkschnittstellen

Nach der Installation fragt VirtualBox, ob VirtualBox gestartet werden soll. Dies ist für den Betrieb von BitBox nicht erforderlich und kann deshalb deaktiviert werden.


Abbildung 2.4: Installation von VirtualBox - Gerätetreiber

Abbildung 2.5: Installation von VirtualBox - Abschluss

2.1.1.2Installation von BitBox („Standardmodus“)

Nach der Installation von VirtualBox wird die Installation von BitBox fortgesetzt. Zunächst ist eine Bestätigung der Lizenzbedingungen notwendig. Anschließend kann zwischen „Standardmodus“ und „Expertenmodus“ gewählt werden. Im „Standardmodus“ wird als erstes der Installationspfad für BitBox gesetzt.

Abbildung 2.7: Akzeptieren der Lizenzbedingungen und Auswahl des Installationsmodus


Abbildung 2.6: Auswahl des Zielverzeichnisses für BitBox

Anschließend können in folgendem Dialog einige Konfigurationsoptionen gesetzt werden:

• Download◦ In dem unter „Download Ordner“ eingetragenen Verzeichnis werden aus

dem Internet heruntergeladene Dateien zur Verfügung gestellt.

• Virenscanner◦ Unter „Virenscanner“ kann ein Virenscanner ausgewählt werden, der

heruntergeladene Dateien und zu druckende Dateien scannt, bevor sie dem Nutzer zugänglich gemacht werden. Aktuell werden hier Avira Antivir und Symantec unterstützt. Für beide Programme benötigt man neben der Standardinstallation noch spezielle Kommandozeilenprogramme, die von BitBox aus gesteuert werden können:

• Avira AntiVir“: ist herunterladbar von der Seitehttp://www.avira.com/de/support-download-free-antivirus und der Kommandozeilenscanner scancl.exe ist herunterladbar von der Seite: http://www.avira.com/de/support-download-avira-antivir-command-line-scanner- scancl Für die Installation des Kommandozeilenscanners muss dieser zunächst entpackt werden. Die scancl.exe sowie alle weiteren


Abbildung 2.8: Konfigurationsoptionen im Standardmodus

http://www.avira.com/de/support-download-avira-antivir-command-line-scanner-scancl



http://www.avira.com/de/support-download-free-antivirusund

Dateien müssen in das Installationsverzeichnis von AntiVir Desktop verschoben werden. Hierfür muss gegebenenfalls zunächst der Manipulationsschutz von Antivir deaktiviert werden. Dies kann mit einem Rechtsklick auf das Antivir-Symbol in der Taskleiste und das Wählen des Punktes „AntiVir konfigurieren“ erfolgen. Hier muss der Expertenmodus aktiviert werden. Danach kann unter „Allgemeines“ → „Sicherheit“ der Punkt „Dateien und Registrierungseinträge vor Manipulation schützen“ deaktiviert werden. Danach können die Dateien in diesen Ordner kopiert werden. Abschließend muss der Manipulationsschutz von Antivir analog der bereits beschriebenen Methode wieder aktiviert werden.

• Symantec: Ähnlich wie bei Avira benötigt man für Symantec das Kommandozeilenprogramm nss.exe. Dies wird in einem Archiv ausgeliefert welches nach dem entpacken ein Verzeichnis SymSupport anlegt. Dieses Verzeichnis muss man in das Installationsverzeichnis von Symantec kopieren typischerweise: C:\Programme (x86)\Symantec. Danach sollte nss.exe über den Pfad: C:\Programme

(x86)\Symantec\SymSupport\nss.exe erreichbar sein.Bundesbehörden können das Tool nss.exe gegebenenfalls über das BSI beziehen. Hierzu wenden Sie sich bitte per E-Mail an:[email protected].

• Drucken◦ „BitBox das direkte Drucken erlauben“ legt fest, ob aus BitBox heraus

Dokumente über den Adobe Acrobat Reader direkt an einen Drucker weitergeleitet werden können. Diese Option kann nur gewählt werden, wenn eine Version von Adobe Acrobat Reader installiert ist.

• Zwischenablage◦ Durch die Kapselung des Browsers in BitBox ist die Zwischenablage von

Windows und des Browsers zunächst isoliert. Damit ist ein Kopieren / Einfügen zwischen Browser und Windows nicht möglich. Es werden verschiedene Konfigurationsmöglichkeiten angeboten, um einen kontrollierten Informationsfluss zu gestatten.

• Unidirektional: Gast → HostHier ist ein Kopieren / Einfügen von BitBox nach Windows möglich und die umgekehrte Richtung grundsätzlich verhindert. Schadsoftware im Gast (Browser) hat also keine Möglichkeit, aus dem Clipboard vertrauliche Daten im Host (Windows) zu erspähen.

• Unidirektional: Host → GastHier ist ein Kopieren / Einfügen von einer Windows-Anwendung in BitBox möglich, aber nicht umgekehrt. Dadurch kann verhindert werden, dass schadhafter Inhalt (z.B. virenbefallene Daten) aus dem Browser in den Host Rechner gelangen kann.


mailto:[email protected]

• BidirektionalHier ist ein Kopieren / Einfügen in beide Richtungen erlaubt. Da aber der Benutzer jedes Kopieren / Einfügen ohnehin explizit bestätigen muss, kann er dennoch verhindern, dass Schadsoftware unbemerkt über die Zwischenablage verfügen kann.

• BlockenHier ist kein Kopieren / Einfügen möglich.

• Standardbrowser◦ Der letzte Punkt „BitBox als Standardbrowser einrichten“ legt fest, ob BitBox

nach der Installation als Standardbrowser des Systems eingerichtet werden soll.

• Persistente Speicherung von Daten◦ Anschließend hat man die Möglichkeit, die Datenhaltung von BitBox zu

konfigurieren. Um Daten persistent zu speichern, stehen hier drei Auswahlmöglichkeiten zur Verfügung:

▪ Alle (Konfiguration, Lesezeichen)

▪ Nur Lesezeichen

▪ Keine


Abbildung 2.9: Konfiguration der BitBox-Persistenz

• Proxy-Einstellungen◦ Im nächsten Fenster kann ein Proxy-Server für die Verbindung des Browsers

zum Internet eingestellt werden. Wenn keine Proxy-Server verwendet wird sollten die Felder leer gelassen werden.

Anschließend wird die Installation von BitBox durchgeführt. Der Installer informiert den Nutzer über den gelungenen Abschluss der Installation.


Abbildung 2.10: Konfiguration von Proxy-Server und Proxy-Port

2.1.1.3Installation von BitBox („Expertenmodus“)

Im Expertenmodus bestehen neben den Einstellungen des Standardmodus noch weitere Konfigurationsmöglichkeiten.

• Nutzername◦ BitBox wird nicht im Konto des Benutzers ausgeführt sondern in einem

speziell angelegten Benutzerkonto. Hier kann der Name des Benutzerkontos festgelegt werden. Es darf sich dabei nicht um ein bereits existierendes, anderweitig genutztes Konto handeln.

• Benutzung der Zwischenablage bestätigen◦ Mit der Option „Benutzung der Zwischenablage bestätigen“ wird festgelegt,

ob bei dem Kopieren / Einfügen zwischen BitBox und einer anderen Applikation eine explizite Benutzerbestätigung eingegeben werden muss. Dadurch kann Schadsoftware nicht unbemerkt aus der Zwischenablage lesen.

• Zufälliges Root-Passwort in der virtuellen Maschine◦ Der Webbrowser in BitBox wird in einer virtuellen Maschine unter Debian


Abbildung 2.11: Konfigurationsoptionen im Expertenmodus

Linux ausgeführt. Mit der Option „Ein zufälliges Root-Passwort in der virtuellen Maschine setzen“, legt fest, dass bei der Installation ein neues zufällig generiertes Root-Passwort in das Debian Linux eingesetzt wird.

• Zugriffsrechte auf VirtualBox Ordner◦ Mit der Option „Den Order von VirtualBox für normale Nutzer sperren“

werden die Zugriffsrechte auf die entsprechenden Programmordner eingeschränkt. Normalen Nutzern ist der direkte Zugriff auf VirtualBox verwehrt.


2.1.1.4Nicht-Interaktive Installation von BitBox aus der Konsole

Das Installationsprogramm kann auch aus der Konsole mit Parametern aufgerufen, so dass die Installation ohne weitere Benutzerinteraktion abläuft.

Parameter Beschreibung Optionen Standardwert

/D Installationsverzeichnis C:\Program Files (x86)\BitBox

-userName Name des dummy Nutzers

BitBox

-sharedFolder Pfad zum „shared folder“ C:\Users\Public\Downloads

-virusScanner Virenscanner Avira AntiVir, Symantec Antivirus

kein Virenscanner

-printer Direktes drucken aus der BitBox

0 oder 1 1

-clipboardDirection Erlaubter Informationsfluss durch die Zwischenablage

bidirectional, hosttoguest, guesttohost, disabled

bidirectional

-secureClipboard Benutzerbestätigung der Zwischenablage

0 oder 1 1

-standardBrowser BitBox als Standard-Webbrowser

0 oder 1 1

-randomGuestRoot<Password>

Ein zufälliges Passwort für die virtuelle Maschine generieren

0 oder 1 1

-restrictFolderAccessRights Zugriff auf Virtual Box einschränken

0 oder 1 1

-proxyAddress Proxy Adresse

-proxyPort Proxy Port

-persistentData Daten die dauerhaft gespeichert werden

none, bookmarks, all

none


2.2Manuelle Installation

Für die manuelle Installation der virtuellen Surfumgebung unter Windows sind die folgenden Schritte notwendig:

1. Vorbereitung des Systems2. Installation der von BitBox genutzten Gast-VM3. Anlegen eines zusätzlichen Benutzers für BitBox4. Installation von BitBox5. Einschränkung der Dateizugriffsrechte6. Anpassung der Windows-Registry7. Konfiguration des BitBox-Services8. Konfiguration von Links9. Installation der Sicheren Zwischenablage

2.2.1 Vorbereitung des Systems

Für eine lauffähige virtuelle Surfumgebung mit allen Features werden die folgenden Softwarekomponenten benötigt. Die folgenden Komponenten müssen zunächst heruntergeladen und analog zu der entsprechenden Installationsanleitung auf dem Windows-Rechner installiert werden:

• VirtualBox Version 4.0.10 für Windowshttp://www.virtualbox.org

• Adobe Reader 10.0.1http://www.adobe.com

Aktuell werden von BitBox Antivirensoftware von Symantec und Avira unterstützt. Für Privatanwender, die keine gültige Symantec-Lizenz besitzen, empfiehlt sich der Einsatz des kostenlosen Antiviren-Produkts: „Avira AntiVir“, downloadbar unter:

http://www.avira.com/de/support-download-free-antivirus sowie der Kommandozeilenscanner scancl.exe, downloadbar unter: http://www.avira.com/de/support-download-avira-antivir-command-line-scanner-

scanclFür die Installation des Kommandozeilenscanners muss dieser zunächst entpackt

werden. Die scancl.exe sowie alle weiteren Dateien müssen in das Installationsverzeichnis von AntiVir Desktop verschoben werden. Hierfür muss zunächst der Manipulationsschutz von Antivir deaktiviert werden. Dies kann mit einem Rechtsklick auf das Antivir-Symbol in der Taskleiste und das wählen des Punktes „AntiVir konfigurieren“ erfolgen. Hier muss der Expertenmodus aktiviert werden. Danach kann unter „Allgemeines“ → „Sicherheit“ der Punkt „Dateien und Registrierungseinträge vor Manipulation schützen“ deaktiviert werden. Danach können




http://www.avira.com/de/support-download-free-antivirus

http://www.adobe.com/

http://www.virtualbox.org/

die Dateien in diesen Ordner kopiert werden. Abschließend muss der Manipulationsschutz von Antivir analog der bereits beschriebenen Methode wieder aktiviert werden.

2.2.2 Installation der von BitBox genutzten Gast-VM

Die genaue Beschreibung, wie eine BitBox-kompatible virtuelle Maschine erzeugt werden kann, ist in Kapitel 4.1 zu finden.

2.2.3 Anlegen eines zusätzlichen Benutzers für BitBox

Nach der Installation der Software muss ein neuer Windows-Benutzer angelegt werden. Dieser „Dummy“-Nutzer dient als weitere Sicherungsschicht zwischen der virtuellen Maschine und dem Endnutzer. Dieser Nutzer darf keine administrativen Rechte besitzen. Für den weiteren Verlauf des Installationshandbuches wird angenommen, dass der Nutzer 'virtual' mit dem Passwort 'box' angelegt wurde. Diese Daten dienen nur als Beispiel und sollten keinesfalls in einer produktiven Umgebung verwendet werden! Der Nutzername muss später in die Konfigurationsdatei „bitb.conf“ eingetragen werden. Das Passwort muss verschlüsselt in der Datei „bitb.enc“ gespeichert werden. Beides wird später noch erläutert.

Um den Benutzer anzulegen, existieren als Administrator 2 Möglichkeiten:1. [Windows XP] Über die Windows-Management-GUI unter: „Start“ →

„Einstellungen“ → „Systemsteuerung“ → „Benutzerkonten“ → „Neues Konto erstellen“[Windows Vista / 7] Über die Windows-Management-GUI unter: „Start“ → „Systemsteuerung“ → „Benutzerkonten hinzufügen und entfernen“ → „Neues Konto erstellen“

2. Über die Konsole: „Start“ → „Ausführen“ → „cmd“ eingeben:

// net user <username> <password> /add> net user virtual box /add

2.2.4 Installation von BitBox

Für diesen Schritt muss der Ordner BitBox mit den Skripten nach C:\Programme\BitBox kopiert werden. Die Verzeichnis-Struktur und die wichtigsten Konfigurationsdateien sollte dann die folgende sein:

<BitBox-Ordner>\BITB\bitb.enc<BitBox-Ordner>\BITB\...<BitBox-Ordner>\bitb.conf<BitBox-Ordner>\Client\...<BitBox-Ordner>\OpenSSLBin\...<BitBox-Ordner>\Service\BitBoxService.exe<BitBox-Ordner>\Service\BitBoxService.ini<BitBox-Ordner>\Service\...


In der bitb.conf müssen jetzt einige notwendige Änderungen vorgenommen werden. Bei Vorgehen nach dieser Anleitung müssen lediglich die folgenden Abschnitte angepasst werden:

• In [startApplicationAsUser] müssen der Benutzername (username) und die Domäne (domain) eingestellt werden. Dies sind die Angaben des vorher angelegten Windows-Nutzers „virtual“. Wenn das domain-Feld leer gelassen wird, verwendet BitBox automatisch die Domäne des lokalen PCs.

• In [vbox] muss sharedfolder auf den in den oben konfigurierten shared Folder gesetzt werden. In diesem Fall ist der Ordner der Pfad „<PfadzuSharedFolder>\BitBox\downloads“, der printerfolder dementsprechend „<PfadzuSharedFolder>\BitBox\print“ und schließlich der datafolder „<PfadzuSharedFolder>\BitBox“

• In [folders] muss downloadfolder auf den gewünschten Zielordner für heruntergeladene Dateien gesetzt werden. Dies kann ein beliebiger Ordner sein, auf den sowohl der Nutzer (Endbenutzer des Browsers) als auch „virtual“ Zugriff hat.

• Im Abschnitt [print] muss printapp auf den Pfad zu dem Acrobat-Reader AcroRd32.exe zeigen.

• Im Abschnitt [dependencies] muss vboxmanageexecutable auf den Pfad zu VBoxManage.exe, vboxheadlessexecutable auf den Pfad zu VBoxHeadless.exe und vboxexecutable auf VirtualBox.exe zeigen.

• Danach muss die Datei bitb.enc angelegt werden. Hierfür wird in einer Kommandokonsole das mitgeliefert Tool Password_encryption.exe aufgerufen (im Ordner „BITB“). Als Argument wird das Passwort des virtual Nutzers übergeben (in unserem Beispiel „box“). Der Aufruf ist also:

> Password_encryption.exe <dummy User Password>

In der Datei BitBoxService.ini muss der Pfad unter filename auf das Profil Verzeichnis des virtual Nutzers verweisen, also C:\users\virtual\BitBoxService.log.

2.2.5 Einschränkung der Dateizugriffsrechte

Nun müssen die Zugriffsrechte auf die Unterverzeichnisse eingeschränkt werden. Insbesondere soll die Passwort-Datei bitb.enc vor Zugriff durch normale Benutzer geschützt werden. Wir empfehlen folgende Einstelllung für den BitBox-Ordner:

• BITB: Lesen/Schreiben/Ausführen nur durch die Benutzer „virtual“, „Administratoren“ und „System“

• Service: Lesen/Schreiben/Ausführen nur durch die Benutzer „Administratoren“ und „System“

• Alle anderen Verzeichnisse und Dateien dürfen auch normale Nutzer lesen und ausführen aber nicht ändern (schreiben). Dies sollte die Standardeinstellung im


Programme Unterverzeichnis sein. Ebenso sollten die Zugriffsrechte auf den Programmorder von VirtualBox (C:\Programme\Oracle\VirtualBox) so eingeschränkt werden, dass normale Benutzer VirtualBox nicht ausführen können. Für den Betrieb der BitBox reicht es wenn der Benutzer virtual die Programme ausführen kann.

2.2.6 Anpassung der Windows-Registry

Der nachfolgende Schritt erfordert die Anpassung der Registry-Einträge von Windows. Es existiert eine vorgefertigte Registry-Datei (BitBox.reg), welche bereits die nötigen Einträge enthält. Eine Konfiguration dieser Datei kann mit einem beliebigen Texteditor erfolgen (z.B. Notepad). Änderungen sind in den folgenden Abschnitten notwendig, sofern ein anderes Arbeitsverzeichnis als C:\Programme\BitBox gewählt worden ist, muss C:\Programme\BitBox durch das stattdessen gewählte Verzeichnis ersetzt werden.

1. Unter [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\BitBox.exe\shell\open\command]

@="<BitBox-Ordner>"

2. Unter [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BitBoxHTML\shell\open\command]

@="\"<BitBox-Ordner>" \"%1\""

3. Unter [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BitBoxURL\shell\open\command]

@="\"<BitBox-Ordner>" \"%1\""

Achtung: Ein '\' innerhalb einer Pfadangabe muss als '\\' in die Datei eingetragen werden. Ein Beispiel für <BitBox-Ordner> wäre dann C:\\Programme\\BitBox\\Client\\BitBox.exe

Windows XP Nutzer (nicht Vista und 7) müssen zusätzlich noch eine weitere Registry Datei editieren (BitBox_WindowXP_addition.reg). Änderungen sind in den folgenden Abschnitten notwendig, auch hier sofern ein anderes Arbeitsverzeichnis als C:\Programme\BitBox gewählt worden ist, muss C:\Programme\BitBox durch das stattdessen gewählte Verzeichnis ersetzt werden.

1. Unter [HKEY_CLASSES_ROOT\ftp\shell\open\command]

@="\"C:\\Programme\\BitBox\\BITB\\BitBox.exe\""

2. Unter [HKEY_CLASSES_ROOT\http\shell\open\command]


3. Unter [HKEY_CLASSES_ROOT\https\shell\open\command]



Wichtig: Nach dem Editieren der Registry-Dateien müssen diese mittels eines Doppelklicks installiert werden.

2.2.7 Konfiguration des BitBox-Services

Nach der erfolgreichen Installation und Konfiguration der einzelnen Komponenten muss abschließend das System für die Verwendung der virtuellen Surfumgebung konfiguriert werden.

Erster Schritt ist die Aktivierung des Systemdienstes von BitBox. Hierfür wird eine Kommandokonsole mit administrativen Rechten benötigt. Das heißt unter Windows XP unter einem Administrator account eine Konsole öffnen. Unter Windows Vista – 7 im Startmenü nach „cmd“ suchen. Das Ergebnis mit der rechten Maustaste anklicken und „Als Administrator ausführen“ wählen.

In Kommandokonsole werden nun die folgenden Kommandos ausgeführt:

<BitBox-Ordner>\Service\BitBoxService –install ““<BitBox-Ordner>\Service\sc start BitBoxService

Der somit gestartete Systemdienst muss danach so konfiguriert werden, dass er bei jedem Systemstart automatischen mit gestartet wird. Erfolgt dieser Schritt nicht, muss dieser Dienst nach jedem Systemstart manuell gestartet werden. Hierfür wird unter „Start“ → „Systemsteuerung“ → „Computeradministration“ / bei XP „Verwaltung“ → „Dienste“ der „Startuptyp“ des Dienstes „BitBoxService“ von „Manuell“ auf den „Automatisch“ gestellt. Unter XP muss zusätzlich unter Anmelden die Option „Datenaustausch zwischen Dienst und Desktop zulassen“ aktiviert werden.


Abbildung 2.12: Konfiguration des BitBox-Service

2.2.8 Konfiguration von Links

Die letzte Einstellung dient der Weiterleitung von Links an die virtuelle Surfumgebung. Hierfür muss das FTP, HTTP und das HTTPS Protokoll mit BitBox assoziiert werden. Dies kann unter Windows Vista – 7 unter dem Systemsteuerungspunkt „Programme“ → „Standardprogramme“ → „Dateizuordnung festlegen“ bewerkstelligt werden:

Unter Windows XP ist die Einstellung bereits durch die Installation der Registry-Files durchgeführt worden.

2.2.9 Installation der Sicheren Zwischenablage

Für die sichere Zwischenablage werden die Dateien im Verzeichnis SecureClipboard benötigt.

Als erstes sollte die noch vorhandene „VboxSharedClipboard.dll“ im Installationsordner von VirtualBox umbenannt werden nach „VboxSharedClipboard.dll.old“. Danach müssen (je nach Architektur) alle Dateien aus dem Verzeichnis SecureClipboard\x86 bzw. SecureClipboard\amd64 in den

VirtualBox-Installationsordner kopiert werden. Um die sichere Zwischenablage in BitBox zu verwenden muss in der bitb.conf im Unterpunkt „secureClipboard“ die Option „usesecureclipboard“ auf „true“ gesetzt werden.

[secureClipboard]usesecureclipboard = true


Abbildung 2.13: Das Anklicken von Links an BitBox weiterleiten

2.3Konfiguration von BitBox unter Windows

Unter Windows existiert nach der Installation im Installationsverzeichnis von BitBox eine Konfigurationsdatei namens bitb.conf. Sie ist in mehrere Segmente unterteilt, wobei jedes Segment mit einer in eckige Klammern gefasste Überschrift beginnt z.B. [default]. Im Folgenden steht eine Beispiel-Konfigurationsdatei, in der die einzelnen Optionen erklärt werden. Rauten in der Datei (#) markieren hierbei Kommentare:

[default]# Kann true oder false sein. Gibt an ob ein zusätzliches Fenster # mit Debuginformationen beim Start von BitBox geöffnet werden soll. # Der BitBox Service muss neu gestartet werden, damit diese Option # eine Auswirkung hat.debugmode = false# Kann die Werte debug, info, warning, error, critical, none haben.# Gibt an welche Informationen in die logdatei BitBox.log# geschrieben werden, die sich im Verzeichnis des „virtual“ Nutzers # befinden.logginglevel = error

[startApplicationAsUser]# Die folgenden beiden Optionen (username und domain) beschreiben # den virtuellen Benutzer von BitBox.# Domain kann leer bleiben. In diesem Fall wird die lokale von # BitBox die lokale Domain verwendet. Das Passwort des Nutzers liegt # in bitb.enc verschlüsselt vor.username = virtualdomain =

[vbox]# datafolder enthält den Pfad zum Root Ordner, der zwischen Guest # und Host geteilt wirddatafolder = C:\Users\virtual\sharedfolder\BitBox# datafolder enthält den Pfad zum Profil Ordner des virtual # Benutzershomefolder = C:\Users\virtual# persistentdata legt fest welche Daten dauerhaft gespeichert werden # sollen. Mögliche werte sind none, bookmarks, allpersistentdata = all# sharedfolder enthält den Pfad zum Ordner, der heruntergeladene # Dateien enthältsharedfolder = C:\Users\virtual\sharedfolder\BitBox\downloads# printerfolder enthält den Pfad zum Root Ordner, der zu druckende # Dateien enthältprinterfolder = C:\Users\virtual\sharedfolder\BITB\print# vmname enthält den Namen des BitBox-Images


vmname = BitBox# image enthält den Namen des BitBox-Snapshotsimage = BitBox

[guest]# user enthält den Nutzernamen innerhalb des Gastes der den Browser # ausführt.user = vm# userhome enthält das Heimatverzeichniss dieses Nutzersuserhome = /home/vm# script enthält den Pfad zu dem Wrapper zum Starten des Browsersscript = /usr/bin/iceweasel-wrapper.sh

[folders]# downloadfolder enthält den Pfad in dem Dateien Benutzern des # Systems zugänglich gemacht werden.downloadfolder = C:\Users\<BitBox-Benutzer>\Downloads

[antivirus]# checkforvirus kann true oder false sein. Im Letzterem Fall wird # virusApp ignoriertcheckforvirus = true# virusapp enthält die Art des Virenscanners, während cmdline die # Kommandozeile enthält mit der Dateien von BitBox nach Viren # gescannt werdenvirusapp = aviracmdline = C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe

[print]# print kann true oder false sein. Im Letzterem Fall wird printapp # ignoriertprint = true# printapp enthält die Kommandozeile mit der Dateien von BitBox # gedruckt werdenprintapp = C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AcroRd32.exe

[secureClipboard]# usesecureclipboard legt fest, ob die sichere Zwischenablage # genutzt wird.usesecureclipboard = true

[dependencies]# Die folgenden Optionen beinhalten die Pfade zu den Exe Dateien der # Programme, die von BitBox benötigt werden.vboxmanageexecutable = C:\Program Files\Oracle\VirtualBox\VBoxManage.exevboxheadlessexecutable = C:\Program Files\Oracle\VirtualBox\VBoxHeadless.exe


vboxexecutable = C:\Program Files\Oracle\VirtualBox\VirtualBox.exe[proxy]

[proxy]# Die Optionen legen die Proxy Einstellungen festproxy = falseaddress = port =

[installation]# Diese Optionen werde bei der automatischen Installation und beim # Update benötigt tempfolder = C:\Users\sirrix\AppData\Local\Temp\BitBoxInstallation\BitBox_VMtemplog = C:\Users\sirrix\AppData\Local\Temp\BitBoxInstallation\outputImageCreation.lograndomrootpassword = trueclipboard = bidirectionalbitbimage = C:\Users\sirrix\AppData\Local\Temp\BitBoxInstallation\BitBox_VM\BitBox_VM_v1.0.zipbitbzipedsharedfolder = C:\Users\sirrix\AppData\Local\Temp\BitBoxInstallation\BitBox_VM\sharedfolder.zip


2.4De-Installation von BitBox

Um BitBox für Windows zu deinstallieren, werden zwingend administrative Rechte für vorausgesetzt. Um den De-Installationsprozess zu starten, existieren zwei Möglichkeiten:

• Im Installations-Ordner von BitBox manuell die Datei BitBoxuninstall.exe per Doppelklick ausführen:

C:\Programme\BitBox\BitBoxuninstall.exe

• Alternativ lässt sich BitBox auch über die Software-Verwaltung in der Systemsteuerung deinstallieren.

◦ „Start“ → „Einstellungen“ → „Systemsteuerung“ → „Software“ bzw. „Programme deinstallieren oder ändern“

◦ Anschließend in der Liste mit Software den Eintrag „Browser in the Box“ auswählen und auf „Deinstallieren“ klicken.

◦ Falls auch Oracle VirtualBox deinstalliert werden soll, kann dies nach der De-Installation von BitBox ebenfalls über die Software-Verwaltung erfolgen.

◦ Es öffnet sich das folgende Fenster, welches noch einmal den Installationspfad von BitBox anzeigt:


Abbildung 2.14: Auswahl von Browser in the Box zur Deinstallation

◦ Im nächsten Fenster kann entschieden werden, ob der während der Installation angelegte Nutzer wieder gelöscht werden soll.

◦ Nach einem letzten Klick auf "Deinstallieren" wird BitBox von dem

System entfernt.


Abbildung 2.15: Deinstallation von BitBox unter Windows (1)

Abbildung 2.16: Deinstallation von BitBox unter Windows (2)

3 Installation von BitBox unter Linux

Um BitBox unter Linux zu installieren, existieren zwei Möglichkeiten. Die erste Variante nutzt einen vollautomatischen Installer (siehe Kapitel 3.1). Alternativ kann BitBox auch manuell installiert und konfiguriert werden (siehe Kapitel 3.2).

3.1Automatische Installation mittels Installer

Um BitBox unter Linux zu installieren, existiert ein Installer. Der Installer unterstützt derzeit die folgenden Distributionen:

• Debian 5

• Debian 6

• (K)Ubuntu 10.04 LTS

• (K)Ubuntu 10.10

• (K)Ubuntu 11.04Der Installer setzt folgendes voraus:

• Grundinstallation einer der oben genannten Linux-Distributionen

• Eingeschaltete „Access-Control-Lists“ (ACL)-Funktionalität des zugrunde liegenden Dateisystems (siehe 3.2.4.4)

• Eine Netzwerk-Verbindung ins Internet

• bash, mindestens Version 3.2Die Installation des Virenscanners muss im Vorfeld geschehen, damit der Installer

diesen automatisch finden und konfigurieren kann (siehe Kapitel 3.2.1)

3.1.1 Vorgehensweise zur automatischen Installation

• Ein Terminal öffnen (z.B. über Alt+F2 → „xterm“ oder „konsole“)

• root werden

Unter Debian:# su

Unter (K)Ubuntu# sudo su

• Falls die installierte Version von VirtualBox ungleich Version 4.0.10 ist, muss zunächst die De-Installation der installierten VirtualBox-Version erfolgen:

# apt-get remove virtualbox-4.0bzw.# apt-get remove virtualbox-3.2bzw.# apt-get remove virtualbox


bzw.# /opt/VirtualBox/uninstall.sh# rm /etc/init.d/vbox*

• Archiv von BitBox entpacken (falls nicht schon geschehen)

# tar -xzf BitBox_Linux_<VERSION>_Install.tar.gz# cd BitBox_Linux_<VERSION>_Install# cd BitBox_Linux_<VERSION>

• Da die BitBox-Gast-VM signiert ist, muss zunächst das BitBox-Zertifikat installiert werden.

• Ab Version 0.9.2 wird zur Signatur das Sirrix Produkt-Zertifikat verwendet. Daher muss zwingend der folgende Schritt durchgeführt werden:

# cp ../BitBox_VM/BitBox.x509.crt /etc/ssl/certs

Das Sirrix-Produkt-CA-Zertifikat kann alternativ von folgender Webseite heruntergeladen werden:http://www.sirrix.com/content/pages/impressum.html

• Sollte sich auf dem System noch eine alte Installation von „BITB“ befinden (nicht BitBox!), muss diese zuvor gelöscht werden. Hierzu den De-Installer von BITB aufrufen und mit „YES“ bzw. „JA“ bestätigen:

# bash ./BITB_remover.sh

• Eventuell vorhandene Installation von „BitBox“ löschen (mit „YES“ bzw. „JA“ bestätigen)

# bash ./BitBox_remover.sh

• Installer ausführen (bitte sicherstellen, dass der Installer tatsächlich mit „bash“ ausgeführt wird, eine Kompatibilität zu anderen Shells (wie „sh“ oder „ash“ ist nicht gegeben!)

# bash ./BitBox_installer.sh

• Nun den Installationsanweisungen am Bildschirm folgen

• Der Installer testet zunächst, ob die ACL-Erweiterung des Dateisystems eingeschaltet ist. Für den Fall, dass dies noch nicht geschehen ist, liefert er ausführliche Informationen, wie ACL eingeschaltet werden kann. Bitte den Anweisungen folgen (siehe auch Kapitel 3.2.4.4)und den Installer neu starten.

• Während der Installation werden folgende Optionen abgefragt:

◦ Standardbrowser

▪ Der Punkt „BitBox als Standardbrowser einrichten“ legt fest, ob BitBox nach der Installation als Standardbrowser des Systems eingerichtet werden soll.

◦ Drucken

▪ „BitBox das unmittelbare Drucken erlauben“ legt fest, ob aus BitBox heraus Dokumente direkt an einen Drucker weitergeleitet werden


http://www.sirrix.com/content/pages/impressum.html

können. Dies setzt einen installierten CUPS-Druckerserver sowie den X-Druckdialog „xpp“ voraus. Letzterer wird während der Installation mit installiert.

◦ VirtualBox Zwischenablage

▪ Durch die Kapselung des Browsers in BitBox ist die Zwischenablage von Linux und des Browsers zunächst isoliert. Damit ist ein Kopieren / Einfügen zwischen Browser und Linux nicht möglich. Es werden verschiedene Konfigurationsmöglichkeiten angeboten, um einen kontrollierten Informationsfluss zu gestatten.

• DisabledHier ist kein Kopieren / Einfügen möglich.

• BidirektionalHier ist ein Kopieren / Einfügen in beide Richtungen erlaubt. Da aber der Benutzer jedes Kopieren / Einfügen ohnehin explizit bestätigen muss, kann er dennoch verhindern, dass Schadsoftware unbemerkt über die Zwischenablage verfügen kann.

• Unidirektional: Host → GastHier ist ein Kopieren / Einfügen von einer Linux-Anwendung in BitBox möglich, aber nicht umgekehrt. Dadurch kann verhindert werden, dass schadhafter Inhalt (z.B. virenbefallene Daten) aus dem Browser in den Host Rechner gelangen kann.

• Unidirektional: Gast → HostHier ist ein Kopieren / Einfügen von BitBox nach Linux möglich und die umgekehrte Richtung grundsätzlich verhindert. Schadsoftware im Gast (Browser) hat also keine Möglichkeit, aus dem Clipboard vertrauliche Daten im Host (Linux) zu erspähen.

◦ Sichere Zwischenablage

▪ Beim Einschalten dieser Option wird der Benutzer vor der Durchführung eines Copy&Paste-Befehls um Erlaubnis gebeten.

◦ VirtualBox Audio Backend

▪ Unter Linux stehen verschiedene Audio-Backends zur Verfügung, zwischen denen hier ausgewählt werden kann:

• ALSA

• OSS

• Pulse AudioIn der Regel kann ALSA gewählt werden.

◦ BitBox Persistenz

▪ In diesem Punkt kann man wählen, welche Daten von BitBox persistent gehalten werden sollen. Unter Linux stehen die folgenden Optionen zur Auswahl:

• All – Speichere alles (Lesezeichen, Konfiguration, PlugIns)


• Bookmarks – Speichere nur Lesezeichen (keine Konfig., keine PlugIns)

• None – speichere nichts

◦ Proxy-Einstellungen

▪ Im letzten Schritt kann ein Proxy-Server für die Verbindung des Browsers zum Internet eingestellt werden. Hierzu die Frage mit „Ja“ beantworten und die Proxy-URL sowie den Proxy-Port eingeben.

• Nach erfolgreicher Installation, sollte das System neu gestartet werden. Zumindest aber die Benutzer der BitBox-Gruppe müssen sich vom System abmelden und wieder anmelden.

• BitBox kann anschließend wie in Kapitel 5 beschrieben verwendet werden.


3.2Manuelle Installation

Für die manuelle Installation der virtuellen Surfumgebung unter Linux sind die folgenden Schritte notwendig:

1. Vorbereiten des Host-Systems2. Konfiguration des Host-Systems

1. Anlegen des Benutzers 'virtual'2. Anlegen einer Gruppe 'bitbox'3. Aktivieren der POSIX ACL-Listen für das Dateisystem4. Installation der von BitBox genutzten Gast-VM

3. Installation der von BitBox genutzten Gast-VM4. Installation und Konfiguration des BitBox-Hostsystems

1. BitBox-Komponenten auf dem Host-System installieren2. Gruppe 'bitbox' das Ausführen von BitBox erlauben3. Benutzer 'virtual' das Ausführen des Virenscanners erlauben4. Konfiguration von Access Control Lists5. Konfiguration von BitBox6. Anklicken von Links unter Gnome7. Anklicken von Links unter KDE8. Anklicken von Links unter Thunderbird

5. Secure Clipboard1. Installation vorkompilierter Dateien2. Kompilieren von VboxSharedClipboard.so3. Kompilieren der Bestätigungs-GUI

Eine genauere Erklärung der einzelnen Abschnitte kann in den jeweiligen Kapiteln gefunden werden. Für das weitere Vorgehen in den nächsten Kapiteln wird von einer 64-Bit Installation ausgegangen. Sollte es sich bei dem Zielsystem noch um ein 32-Bit System handeln, sind die entsprechenden Schritte entsprechend anzupassen. Die Punkte müssen sequentiell genau in der beschriebenen Reihenfolge abgearbeitet werden, um eine korrekte Installation zu gewährleisten.

3.2.1 Vorbereiten des Host-Systems

Für eine lauffähige virtuelle Surfumgebung werden die folgenden Softwarekomponenten benötigt:

• Ein korrekt installiertes und konfiguriertes Linux-Betriebssystem (z.B. basierend auf den Distributionen Debian 5, Debian 6, (K)Ubuntu 10.04, (K)Ubuntu 10.10 oder (K)Ubuntu 11.04

◦ Installation bitte anhand der entsprechenden Debian-/(K)Ubuntu/-Dokumentation durchführen.

◦ Unbedingt eine Netzwerk-Konfiguration durchführen, sodass ein Zugang zum Internet möglich ist.


• Symantec Antivirus

◦ Als root am System anmelden (z.B. in Konsole)

◦ Installations-CD einlegen, einhängen und Pakete installieren

# mount /dev/scd0 /media/cdrom0# cd /media/cdrom0/SAVLINUX/deb# dpkg -i sav*.amd64.deb# cd# umount /media/cdrom0# reboot

◦ Nach erfolgreicher Installation, das System neu starten

◦ Der Virenscanner ist standardmäßig in /opt/Symantec installiert.

• VirtualBox Version 4.0.10 für Linux

◦ Als root am System anmelden (z.B. in Konsole)

◦ VirtualBox 4 in der richtigen Version (Debian- und Architektur) von der Webseite herunterladen

◦ VirtualBox mit samt Abhängigkeiten installieren

# wget http://download.virtualbox.org/virtualbox/4.0.10/virtualbox-4.0_4.0.10-72479~Debian~squeeze_amd64.deb

# dpkg -i virtualbox-4.0_4.0.10-72479~Debian~squeeze_amd64.deb

// Dieser Befehl wird mit Fehlern abbrechen, da Abhängigkeiten// nicht aufgelöst werden können. Diese können wie folgt aufgelöst // werden:

# apt-get install -f

• Weitere notwendige Komponenten

◦ acl (getfacl setfacl)

◦ bash

◦ bc

◦ curl

◦ dialog

◦ dkms

◦ inotify-tools (inotifywait)

◦ openssl

◦ sudo

◦ unzip

◦ x11-xserver-utils

◦ xdg-utils

◦ xpp

◦ Linux Standard Tools (awk cat chmod chown cp clear cut df du find free grep groupadd groupdel head id ln lsmod mkdir mount mv ps rm


sed sh sleep stat su tail tar test touch tr uname uniq useradd

userdel usermod wget who whoami xhost)

◦ DKMS zum automatischen Aktualisieren der VirtualBox-Kernelmodule (dkms)

• Diese bitte je nach Distribution nach-installieren, z.B.:

# apt-get install acl bc curl dialog dpkg inotify-tools openssl sudo unzip x11-xserver-utils xdg-utils xpp

3.2.2 Konfiguration des Host-Systems

3.2.2.1 Anlegen des Benutzers 'virtual'

• Es wird ein Benutzer 'virtual' benötigt.

• Unter diesem Benutzer wird die virtuelle Surfumgebung ausgeführt.

• Dieser Benutzer benötigt Zugriff auf die folgenden Gruppen:

◦ audio

◦ video

◦ plugdev

◦ lp

◦ vboxusers

• Dieser Benutzer kann sich nicht normal über eine Konsole einloggen, da ihm kein Passwort zugewiesen wird und sein System-Zugang gesperrt wird. Hierzu:

• Als root am System anmelden (z.B. in Konsole)

# useradd -G audio,video,plugdev,lp,vboxusers -m \ -s /bin/bash virtual

# usermod -p "" virtual# usermod -L virtual

3.2.2.2 Anlegen einer Gruppe 'bitbox'

• Es wird eine Benutzergruppe 'bitbox' benötigt.

• Nur Mitglieder dieser Gruppe dürfen die virtuelle Surfumgebung verwenden.

• Zunächst muss dazu die Gruppe erstellt werden, danach werden die Systembenutzer als Mitglied (hier am Beispiel des Benutzer 'srx') der Gruppe hinzugefügt.


# groupadd bitbox# usermod -a -G bitbox srx

3.2.2.3 Aktivieren der POSIX ACL-Listen für das Dateisystem

• Für das Dateisystem, auf dem die /home/-Verzeichnisse liegen, müssen die ACL-


Erweiterungen aktiviert werden, um im späteren Verlauf dedizierte Zugriffsrechte setzen zu können.

• Diese sind nötig, damit der Benutzer 'virtual' heruntergeladene Dateien in dem Download-Ordner der Benutzer ablegen darf.

• Dazu müssen in der Linux-Kernel-Konfiguration zunächst die POSIX-ACL-Erweiterung aktiviert werden. Bei einer regulären Debian- oder (K)Ubuntu-basierten Distribution sind diese Optionen bereits standardmäßig einkompiliert. Bei Verwendung eines selbst erstellten Linux-Kerns müssen jedoch die folgenden Optionen (je nach Dateisystem) eingeschaltet werden:

◦ CONFIG_EXT2_FS_POSIX_ACL=y



◦ CONFIG_EXT4DEV_FS_POSIX_ACL=y

◦ CONFIG_JFS_POSIX_ACL=y

◦ CONFIG_REISERFS_FS_POSIX_ACL=y

◦ CONFIG_XFS_FS_POSIX_ACL=y

• Anschließend muss die POSIX-ACL-Erweiterung noch im Dateisystem beim Systemstart aktiviert werden.

• Hierzu muss die Datei /etc/fstab editiert werden und die „Mount“-Option „acl“ hinzugefügt werden:


• Die Datei /etc/fstab editieren

# nano /etc/fstab

• Mount-Option „acl“ bei /home hinzufügen. Wenn die Home-Partition nicht separat existiert, „acl“ für die root-Partition „/“ aktivieren

# <file system><mount point><type><options> <dump><pass>UUID=bc703... / ext3 acl,errors=remount-ro 0 1

• Abspeichern und das System neu starten. Nach dem Neustart die Übernahme überprüfen durch:

# mount | grep acl/dev/sda1 on / type ext3 (rw,acl,errors=remount-ro)


3.2.3 Installation der von BitBox genutzten Gast-VM

Die genaue Beschreibung, wie eine BitBox-kompatible virtuelle Maschine erzeugt werden kann, ist in Kapitel 4.1 zu finden.

3.2.4 Installation und Konfiguration des BitBox-Hostsystems

3.2.4.1 BitBox-Komponenten auf dem Host-System installieren

• Die virtuelle Surfumgebung wird standardmäßig nach /opt/BitBox installiert

• Einzig der Benutzer 'virtual' hat Zugriffsrechte auf diesen Ordner und die darunter liegenden Skripte.


• Installation des BitBox-Hostsystem:

# cd /opt# tar -xzf BitBox_Linux_<ver>.tar.gz

• Installation des BitBox-Splashscreens

# cp /opt/BitBox/client/splashscreen/dist/<distro>/* \ /opt/BitBox/client/splashscreen

• Setzen der Berechtigungen

# chown virtual:virtual /opt/BitBox -R# chmod 700 /opt/BitBox# chmod 700 /opt/BitBox/*# chmod 700 /opt/BitBox/bin -R# chmod 700 /opt/BitBox/clipboard/*.sh -R# chmod 600 /opt/BitBox/bitbox.conf

• Installation des BitBox-Client, welcher durch die Benutzer der Gruppe 'bitbox' benutzt werden darf.

# cp /opt/BitBox/client/bitbox.sh /usr/local/bin# chmod 755 /usr/local/bin/bitbox.sh

• Anlegen einer Desktop-Verknüpfung für BitBox

# cp /opt/BitBox/client/bitbox.desktop /usr/share/applications# chmod 644 /usr/share/applications/bitbox.desktop

• Installation der BitBox-Icons

# mkdir /usr/share/icons/BitBox -p# chmod 755 /usr/share/icons/BitBox# cp /opt/BitBox/client/icons/* /usr/share/icons/BitBox# chmod 644 /usr/share/icons/BitBox/*

• Zusätzlich muss für jedes Mitglied der Gruppe 'bitbox' die BitBox-Verknüpfung ins Startmenü hinzugefügt werden.


# su -c "xdg-desktop-icon install –novendor \ /usr/share/applications/bitbox.desktop" <Benutzername># touch "/home/<Benutzername>/.bitbox_first_start"# chown <Benutzername>:<Benutzername> \ "/home/<Benutzername>/.bitbox_first_start"

• Soll BitBox als Standard-Browser installiert werden, ist noch folgender Schritt nötig:

# touch "/home/<Benutzername>/.bitbox_set_default"# chown <Benutzername>:<Benutzername> \ "/home/<Benutzername>/.bitbox_set_default"

• BitBox führt dann automatisch beim ersten Start die folgenden Befehle aus, um BitBox als Standard-Browser zu registrieren:

# xdg-desktop-menu install --novendor \ /usr/share/applications/bitbox.desktop# xdg-desktop-icon install --novendor \ /usr/share/applications/bitbox.desktop# xdg-desktop-menu forceupdate# chmod 700 /home/<Benutzer>/Desktop/bitbox.desktop# xdg-settings set default-web-browser bitbox.desktop

• Sollte dies nicht automatisch funktionieren (z.B. weil xdg-settings nicht verfügbar ist), kann das automatische Anklicken von Links auch manuell wie in Kapiteln 3.2.4.6, 3.2.4.7 und 3.2.4.8 beschrieben, konfiguriert werden.

3.2.4.2 Gruppe 'bitbox' das Ausführen von BitBox erlauben

• Alle Mitglieder der Benutzergruppe 'bitbox' dürfen BitBox starten.

• Da BitBox unter dem Benutzer 'virtual' ausgeführt wird, muss die Gruppe den Benutzer wechseln dürfen.

• Um der Gruppe 'bitbox' das Ausführen von BitBox als Benutzer 'virtual' zu erlauben, findet ein Privilegienwechsel mit Hilfe des Werkzeugs 'sudo' statt.

• Die nötige Konfiguration wird wie folgt durchgeführt:


• Die /etc/sudoers-Datei editieren

# visudo

• Dann folgende Zeilen am Ende der Datei einfügen:

%bitbox ALL=(virtual) NOPASSWD: /opt/BitBox/bin/BitBox.sh

3.2.4.3 Benutzer 'virtual' das Ausführen des Virenscanners erlauben

• Der Benutzer 'virtual' benötigt Zugriffsrechte auf den Virenscanner.

• Da Symantec zum Ausführen 'root'-Rechte benötigt, muss eine weitere sudo-Regel hinzugefügt werden:



• Die /etc/sudoers-Datei editieren

# visudo

• Dann folgende Zeilen am Ende der Datei einfügen:

# Allow user virtual to execute the virus scannervirtual ALL=(ALL) NOPASSWD: /opt/Symantec/symantec_antivirus/

3.2.4.4 Konfiguration von Access Control Lists

• Der Benutzer 'virtual' benötigt Zugriffsrechte auf das Downloads-Verzeichnis des regulären Benutzers, um diesem heruntergeladene Dateien zur Verfügung stellen zu können.

• Normalerweise gibt es bereits einen Ordner „~/Downloads“, ansonsten muss dieser erzeugt werden, und dem Benutzer 'virtual' die Zugriffsrechte darauf ermöglicht werden.


# mkdir -p /home/srx/Downloads# chown srx:srx /home/srx/Downloads# chmod 700 /home/srx/Downloads# setfacl -m u:virtual:x /home/srx# setfacl -m u:virtual:rwx /home/srx/Downloads

// Überprüfen der Einstellungen:# getfacl /home/srx # file: home/srx # owner: srx # group: srx user::rwx user:virtual:--x group::r-x mask::r-x other::r-x

# getfacl /home/srx/Downloads # file: home/srx/Downloads/ # owner: srx # group: srx user::rwx user:virtual:rwx group::--- mask::rwx other::---

Anmerkung: Dieser Schritt (3.2.4.4) muss für alle Benutzer durchgeführt werden, die die virtuelle Surfumgebung benutzen sollen. Darüber hinaus müssen diese Benutzer auch Mitglied der Gruppe 'bitbox' sein.


3.2.4.5 Konfiguration von BitBox

• Die virtuelle Surfumgebung kann durch eine Konfigurationsdatei an die eigenen Bedürfnisse angepasst werden. Diese liegt unter /opt/BitBox/bitbox.conf und kann nur durch den Benutzer 'root' oder 'virtual' editiert werden.

# Der Host-Benutzer, unter dem BitBox läuftBITBOX_USER="virtual"

# Die Gruppe von Benutzern, die BitBox verwenden dürfenBITBOX_GROUP="bitbox"

# Der zu verwendende Virenscanner, mögliche Optionen sind:# BITBOX_ANTIVIR="AVIRA" # für AVIRA AntiVir# BITBOX_ANTIVIR="SAV" # für Symantec Enterprise Protection (SEP 11.06)# Konfigurationsmöglichkeiten zu den Virenscannern am Ende der Datei.BITBOX_ANTIVIR=""

# Dieser Eintrag legt fest, ob BitBox direkt drucken sollBITBOX_DIRECT_PRINTING="1"

# Dieser Eintrag legt fest, ob das Secure Clipboard verwendet werden sollBITBOX_SECURE_CLIPBOARD="1"

################################################################## AB HIER SOLLTE NICHTS MEHR GEÄNDERT WERDEN! ################################################################### Die installierte Version von BitBoxBITBOX_VERSION="1.0.0"

# Dieser Eintrag legt den Installationsordner von BitBox festBITBOX_INSTALL_DIR="/opt/BitBox"

# Der Zielpfad von heruntergeladenen Dateien für den BenutzerBITBOX_TARGET_DOWNLOAD_PATH="/home/$SUDO_USER/Downloads"

# Der Quellpfad von heruntergeladenen Dateien für den WatchdogBITBOX_SOURCE_DOWNLOAD_PATH="/home/$BITBOX_USER/sharedfolder/BitBox/downloads"

# Der Quellpfad von gedruckten Dateien für den WatchdogBITBOX_PRINT_PATH="/home/$BITBOX_USER/sharedfolder/BitBox/print"

# Mit dieser Option lässt sich der Debug-Modus ein- bzw. ausschalten.BITBOX_DEBUG="0"

# Die virtuelle Maschine, die ausgeführt werden sollBITBOX_VM="BitBox"

# Der Snapshot, der wiederhergestellt werden sollBITBOX_VM_SNAPSHOT="BitBox"

# Der Benutzer innerhalb der Gast-VMBITBOX_VM_USER_NAME="vm"


# Dieser Eintrag legt den zu öffnenden Browser im Gast festBITBOX_VM_BROWSER="/usr/bin/iceweasel-wrapper.sh"

# Interne Watchdog SkripteBITBOX_WATCHDOG="bin/BitBoxWatchdog.sh"BITBOX_WATCHFILE="bin/BitBoxWatchfile.sh"BITBOX_WATCHPRINT="bin/BitBoxPrinter.sh"

# Konfigurationsoptionen für AVIRA AntiVirBITBOX_ANTIVIR_AVIRA="/usr/bin/antivir"BITBOX_ANTIVIR_AVIRA_ARGS="-noboot -nombr -nodef"

# Konfigurationsoptionen für Symantec SEV 11.06BITBOX_ANTIVIR_SAV="/opt/Symantec/symantec_antivirus/sav"BITBOX_ANTIVIR_SAV_ARGS="manualscan -c"


3.2.4.6 Anklicken von Links unter Gnome

• Um das automatische Öffnen von Links mit BitBox zu ermöglichen, muss der Standard-Browser in Gnome wie folgt umgestellt werden:

◦ System → Einstellungen → Bevorzugte Anwendungen

◦ Webbrowser: Benutzerdefiniert

◦ Befehl: /usr/local/bin/bitbox.sh


Abbildung 3.1: Wählen des Standard-Webbrowsers unter GNOME (1)

Abbildung 3.2: Wählen des Standard-Webbrowsers unter GNOME (2)

3.2.4.7 Anklicken von Links unter KDE

• Um das automatische Öffnen von Links mit BitBox zu ermöglichen, muss der Standard-Browser in KDE wie folgt umgestellt werden:

◦ [K] Menü → Rechner → Systemeinstellungen → Standard-Komponenten

◦ Webbrowser (links auswählen)

◦ mit folgendem Browser: /usr/local/bin/bitbox.sh


Abbildung 3.3: Wählen des Standard-Webbrowsers unter KDE (1)

Abbildung 3.4: Wählen des Standard-Webbrowsers unter KDE (2)

3.2.4.8 Anklicken von Links unter Thunderbird

• Um das automatische Öffnen von Links in Thunderbird mit BitBox zu ermöglichen, muss Thunderbird wie folgt konfiguriert werden:

• Menüeinstellungen: „Bearbeiten“ → „Einstellungen“ öffnen

• Reiter „Anhänge“ auswählen

• Dateityp „http“ und „https“ umstellen auf:

◦ Andere Anwendung

◦ Im Auswahldialog nach /usr/local/bin wechseln, bitbox.sh auswählen, mit „Öffnen“ bestätigen


Abbildung 3.5: Wählen des Standard-Webbrowsers unter Thunderbird (1)

Abbildung 3.6: Wählen des Standard-Webbrowsers unter Thunderbird (2)

3.2.5 Secure Clipboard

• Zur Verwendung des Secure Clipboard werden folgende Komponenten benötigt:1. eine modifizierte VirtualBox-Komponente namens

VboxSharedClipboard.so

2. eine GUI namens BitBox_ack_gui, mit der ein Benutzer seine Zustimmung zum Einfügen erteilen kann.

3.2.5.1 Installation vorkompilierter Dateien

Die beiden benötigten Komponenten (GUI + neue VirtualBox-Komponente) liegen dem Installationswerkzeug für einige ausgewählte Distributionen bei, sodass diese nicht notwendigerweise selbst kompiliert werden müssen. Wichtig ist, dass jeweils die korrekte Architektur (amd64 = 64-Bit, x86 = 32-Bit) übernommen wird.

• Als root am Terminal einloggen

• Entpacken des Secure Clipboard

# tar -xzf BitBox_Linux_<VERSION>.tar.gz

• Ersetzen der originalen Datei VboxSharedClipboard.so entweder in /opt/VirtualBox bzw. in /usr/lib/virtualbox (Pfad je Installation bitte anpassen)

# cp BitBox/clipboard/dist/<distro>/VBoxSharedClipboard.so \ /opt/VirtualBox/

• Vorkompilierte Objekte stehen für folgende Distributionen zur Verfügung:

◦ debian_5_amd64

◦ debian_5_x86

◦ debian_6_amd64

◦ debian_6_x86

◦ ubuntu_10.04_amd64

◦ ubuntu_10.04_x86


◦ ubuntu_10.10_x86


◦ ubuntu_11.04_x86

• Zusätzlich müssen die Berechtigungen richtig gesetzt werden:

# chown root:root /opt/VirtualBox/VBoxSharedClipboard.so# chmod 755 /opt/VirtualBox/VBoxSharedClipboard.so

• Die Bestätigungs-GUI muss standardmäßig unter /opt/BitBox/clipboard liegen

• Es liegen ebenfalls vorkompilierte Versionen im selben <distro>-Verzeichnis (s.o.)

# cp BitBox/clipboard/dist/<distro>/BitBox_ack_gui \


/opt/BitBox/clipboard# chown virtual:virtual /opt/BitBox/clipboard/BitBox_ack_gui# chmod 755 /opt/BitBox/clipboard/BitBox_ack_gui

3.2.5.2 Kompilieren von VBoxSharedClipboard.so

• Um die sichere Zwischenablage zu kompilieren, muss VirtualBox kompiliert werden.

• Dazu wird sowohl der Quelltext von VirtualBox benötigt, als auch die neuen Quellen der Zwischenablage. Diese liegen im Installationspaket unter: BitBox/clipboard/src/clipboard/VirtualBox-4.0.4-SecureClipboard.tar.gz2

• Um VirtualBox unter Debian 5/6 zu kompilieren, müssen folgende Abhängigkeiten installiert werden:

# apt-get install bcc bin86 g++ gcc iasl libasound2-dev libcap-dev \ libcurl4-openssl-dev libglu1-mesa-dev libhal-dev libidl-dev libpam0g-dev \libpng-dev libpulse-dev libqt4-dev libqt4-opengl-dev libsdl1.2-dev \libssl-dev libstdc++5 libxcursor-dev libxinerama-dev libxml2-dev \libxmu-dev libxrandr-dev libxslt1-dev linux-kernel-headers \ makeself mesa-common-dev openjdk-6-jdk python-dev python2.5-dev3 \qt4-dev-tools uuid-dev xsltproc zlib1g-dev

• Für ein 64-Bit System müssen zusätzlich noch diese Pakete installiert werden:

# apt-get install ia32-libs libc6-dev-i386 lib32gcc1 gcc-multilib \lib32stdc++6 g++-multilib

• Herunterladen und Entpacken des VirtualBox-Sourcecodes

# wget http://download.virtualbox.org/virtualbox/4.0.10/VirtualBox-4.0.10.tar.bz2# tar -xjf VirtualBox-4.0.10.tar.bz2

• Ersetzen der Service-Datei und Kompilieren von VirtualBox

# cd VirtualBox-4.0.10_OSE# tar -xzf </path>/BitBox/clipboard/src/clipboard/VirtualBox-4.0.4\ -SecureClipboard.tar.gz# ./configure --build-libxml2 --build-libxslt --disable-pulse \ --enable-hardening --disable-docs# source env.sh# kmk

• Ersetzen der originalen Datei in /opt/VirtualBox bzw. in /usr/lib/virtualbox (Pfad je Installation bitte anpassen) mit der neu kompilierten.

• Die neu kompilierte Datei befindet sich je nach Architektur unter VirtualBox-4.0.10_OSE/out/linux.<amd64|x86>/release/bin

2 Die Versionsnummer ist hier absichtlich noch 4.0.4, da sich der Quellcode der Zwischenablage seitdem nicht verändert hat.

3 Ist ggf. nicht mehr verfügbar, in dem Falle muss python-dev gewählt werden


http://download.virtualbox.org/virtualbox/4.0.4/VirtualBox-4.0.4.tar.bz2

http://download.virtualbox.org/virtualbox/4.0.4/VirtualBox-4.0.4.tar.bz2

# cp VirtualBox-4.0.10_OSE/out/linux.x86/release/bin/\ VboxSharedClipboard.so /opt/VirtualBox/

• Zusätzlich müssen die Berechtigungen richtig gesetzt werden:

# chown root:root /opt/VirtualBox/VBoxSharedClipboard.so# chmod 755 /opt/VirtualBox/VBoxSharedClipboard.so

3.2.5.3 Kompilieren der Bestätigungs-GUI

• Die Bestätigungs-GUI liegt standardmäßig unter /opt/BitBox/clipboard

• Zum Kompilieren der GUI werden folgende Befehle ausgeführt:

# tar -xzf BitBox_Linux_<VERSION>.tar.gz# cd BitBox/clipboard/src/gui# qmake BitBox_ack_gui.pro# make

• Zum Installieren der GUI werden folgende Befehle ausgeführt:

# cp BitBox_ack_gui /opt/BitBox/clipboard# chown virtual:virtual /opt/BitBox/clipboard/BitBox_ack_gui# chmod 755 /opt/BitBox/clipboard/BitBox_ack_gui

3.3De-Installation von BitBox

• Um BitBox wieder vom Host zu deinstallieren, ist dem Installationswerkzeug auch ein De-Installationsskript beigefügt.

• Archiv von BitBox entpacken (falls nicht schon geschehen)

# tar -xzf BitBox_Linux_<VERSION>_Install.tar.gz# cd BitBox_Linux_<VERSION>_Install# cd BitBox_Linux_<VERSION>

• De-Installer aufrufen und die De-Installation mit „YES“ bzw. „JA“ bestätigen

# bash ./BitBox_remover.sh


4 Installation der virtuellen Maschine

Das BitBox-Image enthält die virtuelle Surfumgebung. Sie besteht aus einem VirtualBox-Image, welches als Gast auf dem Host ausgeführt wird. Als Betriebssystem kommt eine Linux-Distribution zum Einsatz inkl. aller benötigter Pakete, um einen Browser (wie z.B. Iceweasel, oder Firefox) zu starten. Prinzipiell kommen fast alle Linux-Distributionen und Webbrowser in Frage. Diese Anleitung bezieht sich auf die Kombination Debian und dem Firefox-Derivat Iceweasel. Abhängig von dem Hostsystem (Windows oder Linux) unterscheiden sich einige Punkte in der Ausführung. Für diese Anleitung muss bereits ein weiterer (unprivilegierter) Nutzer auf dem System erstellt worden sein. Die Empfehlung für den Namen des Nutzers ist „virtual“. Dieser Name wird in dieser Anleitung weiterhin für die Bezeichnung dieses Kontos verwendet.

Liegt bereits eine virtuelle Maschine für BitBox vor, kann diese wie in Kapitel 4.1 beschrieben, importiert werden.

Liegt keine virtuelle Maschine vor, muss eine neue erstellt werden. Kapitel 4.2 beschreibt die dazu notwendigen Schritte. Diese Punkte müssen sequentiell genau in der beschriebenen Reihenfolge abgearbeitet werden, um eine korrekte Installation zu gewährleisten.

4.1 Import einer existierenden BitBox-VM

4.1.1 In den Benutzerkontext von Benutzer 'virtual' wechseln

4.1.1.1Windows

• Wenn der Benutzeraccount nicht gesperrt ist, kann unter Windows der Benutzer 'virtual' am System angemeldet werden bzw. über „Benutzer wechseln“ ausgewählt werden.

• Alternativ kann VirtualBox direkt als Benutzer 'virtual' aufgerufen werden. Hierzu muss eine Konsole geöffnet werden ( „Start“ → „Ausführen“ → „cmd“)

>runas /user:virtual cmd

• Bei der automatischen Installation von BitBox wird das Passwort des Benutzers virtual zufällig generiert und verschlüsselt im BitBox Programm Ordner

hinterlegt (bitb.enc). Das Passwort kann dort wie folgt auslesen werden: Als

Administrator eine Konsole (cmd) öffnen, in das Verzeichnis

C:\Programme\BitBox\BITB wechseln und folgenden Befehl ausführen:


>Password_decryption bitb.enc

• Anschließend in den Ordner des Benutzers wechseln

>cd C:\Dokumente und Einstellungen\virtual

• Im Folgenden werden nun einige Befehle mit Hilfe von VirtualBox bzw. VBoxManage durchgeführt. Hinweis: Der nötige Befehl <VBoxManage> lautet unter Linux und Windows anders, im Folgenden muss <VBoxManage> bitte entsprechend ersetzt werden:

◦ [Windows] C:\Programme\Oracle\VirtualBox\VBoxManage.exe

4.1.1.2Linux

• Unter Linux muss zunächst eine grafische Oberfläche gestartet werden, z.B. X-Server mit KDE oder Gnome.

• Dann wird ein Terminal (z.B. ALT+F2 → „xterm“) geöffnet und die folgenden Kommandos ausgeführt:

$ xhost local:virtualbei Debian: $ su bei (K)Ubuntu: $ sudo su# su virtual$ cd


◦ [Linux] vboxmanage

4.1.2 Importieren der virtuellen Maschine

• Wenn eine vorkonfigurierte virtuelle Maschine für BitBox vorliegt, besteht diese aus zwei Teilen:◦ BitBox_VM_v1.0.zip

◦ sharedfolder.zip

• Zunächst muss im Benutzerordner von 'virtual' die Datei „sharedfolder.zip“ entpackt werden. Anschließend sollten folgende Unterverzeichnisse existieren:

Windows:

C:\Dokumente und Einstellungen\virtual\sharedfolder\C:\Dokumente und Einstellungen\virtual\sharedfolder\BitBoxC:\Dokumente und Einstellungen\virtual\sharedfolder\BitBox\downloadsC:\Dokumente und Einstellungen\virtual\sharedfolder\BitBox\print

Linux:

/home/virtual/sharedfolder/home/virtual/sharedfolder/BitBox/home/virtual/sharedfolder/BitBox/downloads


/home/virtual/sharedfolder/BitBox/print

• Anschließend muss die virtuelle Maschine entpackt und importiert werden. Dazu wird die Datei BitBox_VM_v1.0.zip entpackt. Man erhält dann folgende Dateien:

BitBox.ovaBitBox-disk1.vmdkBitBox-disk2.vmdk

• Import der BitBox-VM

<VBoxManage> import BitBox.ova

• Einhängen der virtuellen Festplatte 1

<VBoxManage> storageattach BitBox \--storagectl SATA-Controller --device 0 --port 0 --type hdd \--medium BitBox-disk1.vmdk

• Einhängen der virtuellen Festplatte 2

<VBoxManage> storageattach BitBox \--storagectl SATA-Controller --device 0 --port 1 --type hdd \--medium BitBox-disk2.vmdk

• Konfigurieren der zweiten Festplatte

<VBoxManage> modifyhd /Pfad/zu/BitBox-disk2.vmdk --type writethrough

• Einhängen des „sharedfolder“Windows:

<VBoxManage> sharedfolder add BitBox --name BitBox –hostpath \ C:\Dokumente und Einstellungen\virtual\sharedfolder\BitBox

Linux:

<VBoxManage> sharedfolder add BitBox --name BitBox --hostpath \/home/virtual/sharedfolder/BitBox/

• Meldungen von VirtualBox unterdrücken

<VBoxManage> setextradata global GUI/SuppressMessages confirmGoingSeamless,confirmInputCapture,confirmRemoveMedium,confirmVMReset,remindAboutAutoCapture,remindAboutInaccessibleMedia,remindAboutMouseIntegrationOn,remindAboutMouseIntegrationOff,remindAboutWrongColorDepth,showRuntimeError.warning.BridgedInterfaceDown,showRuntimeError.warning.DvdOrFloppyImageInaccessibleshowRuntimeError.warning.ExtPackNoEhci,showRuntimeError.warning.Ext4PartitionDetected,showRuntimeError.warning.HostAudioNotResponding

• Konfiguration des Arbeitsspeichers

◦ Bei mehr als 3 GB Host-Speicher

<VBoxManage> modifyvm BitBox --memory 768






◦ sonst


• Konfiguration des Audio-Backends

<VBoxManage> modifyvm BitBox --audio alsabzw.<VBoxManage> modifyvm BitBox --audio ossbzw.<VBoxManage> modifyvm BitBox --audio pulse

• Konfiguration der Zwischenablage

<VBoxManage> modifyvm BitBox --clipboard bidirectionalbzw.<VBoxManage> modifyvm BitBox --clipboard hosttoguestbzw.<VBoxManage> modifyvm BitBox --clipboard guesttohostbzw.<VBoxManage> modifyvm BitBox --clipboard disabled

• Abschließende Konfiguration der Virtuellen Maschine

<VBoxManage> setextradata BitBox "GUI/ShowMiniToolBar" no<VBoxManage> setextradata BitBox "GUI/SaveMountedAtRuntime" no<VBoxManage> setextradata BitBox "GUI/Seamless" on<VBoxManage> setextradata global "GUI/Input/HostKey" 0

4.1.3 BitBox-VM konfigurieren

• Nach erfolgreichem Import und Konfiguration der VM kann diese nun gestartet werden. Nach Aufruf des folgenden Befehls sieht man, wie innerhalb der virtuellen Maschine das Linux gestartet wird. Der Bootvorgang ist beendet, sobald man eine grafische Oberfläche sieht, in der lediglich ein grauer Kasten mit schwarzem Hintergrund zu sehen ist.

<VBoxManage> startvm BitBox

• Nun kann eingestellt werden, wie BitBox mit persistenten Daten umgeht:

◦ Speichere alles: <option> = all

◦ Speichere nur Lesezeichen: <option> = bookmarks

◦ Speichere nichts: <option> = none

• Dazu existiert in der VM ein script, mit welchem diese Konfiguration vorgenommen werden kann. Hierbei bitte <option> durch gewünschten obigen Wert ersetzen:

<VBoxManage> guestcontrol execute BitBox /root/set_mozilla_persistence.sh --username root --password keins --arguments <option> --wait-for exit

• Anschließend kann noch das Standard-Passwort des Benutzers root in der VM


ersetzt werden:

<VBoxManage> guestcontrol execute BitBox /root/change_root_password.sh --username root --password keins --arguments <neues Password> --wait-for exit

• Um die soeben durchgeführten Einstellungen zu übernehmen, muss die BitBox-VM neu gestartet werden. Dazu zunächst die Maschine ausschalten:

<VBoxManage> controlvm BitBox acpipowerbutton --wait-for exit

4.1.4 Schnappschuss erzeugen

• Anschließend die virtuelle Maschine wieder starten:


• Sobald das System gestartet ist, sieht man erneut lediglich einen schwarzen Hintergrund in einer grafischen Oberfläche. Sobald dies zu sehen ist, kann der Schnappschuss erzeugt werden:

<VBoxManage> snapshot BitBox take BitBox

• Nun kann die Maschine ausgeschaltet werden

<VBoxManage> controlvm BitBox poweroff --wait-for exit

• Nun den Benutzerkontext des 'virtual'-Benutzers wieder verlassen:

Windows:

> exit

Linux:

$ exit

• Die manuelle BitBox-Installation ist nun abgeschlossen. BitBox kann jetzt wie in Kapitel 5 beschrieben, verwendet werden.

4.2Erstellen einer neuen BitBox-VM

4.2.1 Download von Debian-CD

In der hier vorliegenden Version von BitBox kommt Debian 6 als Basis-Betriebssystem in der Gast-VM zum Einsatz. Zur Installation des BitBox-Images wird ein aktuelles Debian-Installations-Image benötigt. Für die Zwecke der virtuellen Surfumgebung reicht dabei eine Net-Installations-CD. Bitte folgende Datei herunterladen und so ablegen, dass der Benutzer virtual darauf zugreifen kann (z.B. unter Gemeinsame Dokumente): http://ftp.de.debian.org/debian-cd/6.0.2.1/i386/iso-cd/debian-6.0.2.1-i386-netinst.iso


http://ftp.de.debian.org/debian-cd/6.0.2.1/i386/iso-cd/debian-6.0.2.1-i386-netinst.iso


4.2.2.1Windows


• Alternativ kann VirtualBox direkt als Bentuzer 'virtual' aufgerufen werden. Hierzu muss eine Konsole geöffnet werden ( „Start“ → „Ausführen“ → „cmd“)







• Anschließend in den Ordner des Benutzers wechseln

>cd C:\Dokumente und Einstellungen\virtual


◦ [Windows] C:\Programme\Oracle\VirtualBox\VBoxManage.exe

4.2.2.2Linux



$ xhost local:virtualbei Debian: $ su bei (K)Ubuntu: $ sudo su# su virtual$ cd


◦ [Linux] vboxmanage


4.2.3 Starten von VirtualBox als Benutzer 'virtual'

4.2.3.1Windows

• Zunächst muss im Benutzerordner von 'virtual' ein gemeinsamer Ordner „sharedfolder“ angelegt werden, mit den folgenden Unterverzeichnissen:

> md C:\Dokumente und Einstellungen\virtual\sharedfolder\BitBox> md C:\Dokumente und Einstellungen\virtual\sharedfolder\BitBox\downloads> md C:\Dokumente und Einstellungen\virtual\sharedfolder\BitBox\print

• Starten von VirtualBox:

"C:\Programme\Oracle\VirtualBox\VirtualBox.exe"

4.2.3.2Linux

• Zunächst muss im Benutzerordner von 'virtual' ein gemeinsamer Ordner „sharedfolder“ angelegt werden, mit den folgenden Unterverzeichnissen:

$ mkdir /home/virtual/sharedfolder/BitBox/downloads -p$ mkdir /home/virtual/sharedfolder/BitBox/print -p

• Starten von VirtualBox:

$ VirtualBox


4.2.4 Virtuelle Maschine für BitBox erzeugen

• Nun ist eine neue virtuelle Maschine anzulegen durch Klicken auf „Neu“.

• Während des nun folgenden Dialogs sollten die folgenden Punkte eingestellt werden:

◦ Als Name für die virtuelle Maschine ist „BitBox“ einzugeben. Anmerkung: Hier sind auch andere Namen möglich, jedoch muss dann im


Abbildung 4.1: VirtualBox Startseite

Abbildung 4.2: Einstellung einer neuen virtuellen Maschine

späteren Verlauf die Konfigurationsdatei bitbox.conf angepasst werden!

◦ Das einzustellende Betriebssystem ist Linux, die Version ist Debian.

◦ Mit einem Klick auf „Weiter“ wird die Speicherverwaltung erreicht. Hier wird die Hauptspeichergröße eingestellt. Da diese abhängig vom verfügbaren Speicher des Hosts ist, werden folgende Einstellungen empfohlen:

▪ Host RAM >= 3GB: 768 MB RAM für die VM



▪ Sonst: 256 MB RAM

◦ Im Anschluss wird mit „Weiter“ bestätigt.


Abbildung 4.3: Neue VM namens BitBox erstellen

Abbildung 4.4: Speicher für BitBox-VM

◦ Im nächsten Menüpunkt wird eine neue Festplatte erzeugt:

◦ Ein Festplatte fester Größe wird mit 2 GB Speicherplatz und dem Namen „BitBox-disk1“ erstellt.


Abbildung 4.5: Bestätigung, dass eine neue virtuelle Festplatte für die neue virtuelle Maschine erzeugt werden soll.

Abbildung 4.6: Einstellen des Festplattentyps

◦ Mit Klick auf „Weiter“ wird die erste Festplatte für BitBox erstellt:

◦ Nach dem Abschließen findet sich nun links eine neue virtuelle Maschine mit dem Namen „BitBox“. Für diese müssen noch einige Änderungen vorgenommen werden. Dies kann mittels des Buttons „Ändern“ oder der Tastenkombination Strg+S durchgeführt werden.

◦ Unter „Allgemein“ → „Erweitert“ die Mini-Toolbar unter dem Punkt „Zeigt im Fullscreen/Seamless-Modus“ deaktivieren. Dies verhindert, dass der


Abbildung 4.7: Festplattengröße für BitBox-Festplatte 1

Abbildung 4.8: Zusammenfassung über Festplattenerstellung

Benutzer im „Seamless-Modus“ verschiedene Konfigurationen vornehmen kann.

◦ Als nächstes muss das Debian Image als CD geladen werden. Diese Einstellung wird unter dem Menüpunkt „Massenspeicher“ vorgenommen. Mit einem Klick auf das CD-Symbol mit einem grünen Plus neben „IDE-Controller“ öffnet sich ein Dialog in dem „Medium auswählen“ gewählt wird. Hier kann das vorher heruntergeladene Debian Image selektiert und geöffnet werden.


Abbildung 4.9: Abstellen der Mini-Toolbar im Seamles-Modus

◦ Nun muss eine weitere Festplatte namens „BitBox-disk2“ für BitBox konfiguriert werden. Diese soll später persistente Daten halten. Hierzu wählt man im „Massenspeicher“ bei „SATA-Controller“ → „Festplatte hinzufügen“. Es öffnet sich wieder der Festplattendialog:

◦ Anschließend sieht die Konfiguration der BitBox-Massenspeicher wie folgt aus:


Abbildung 4.10: Hinzufügen des Debian Images als Boot CD

Abbildung 4.11: Festplattengröße für BitBox-Festplatte 2

◦ Weiterhin muss die zweite Festplatte so konfiguriert werden, dass alle Daten unmittelbar geschrieben werden. Dazu in einer Konsole den folgenden Befehl eintippen (<VBoxManage> analog zu 4.2.2):

<VBoxManage> modifyhd /Pfad/zu/BitBox-disk2.vmdk --type writethrough

◦ Der letzte Punkt ist das Anlegen eines „shared Folders“. Dies ist unter dem Menüpunkt „Gemeinsame Ordner“ möglich. Ein neuer Ordner kann mit Klick auf das Ordnersymbol mit einem grünen Plus, oder mittels der Taste „Einfg“ bewerkstelligt werden. Es folgt ein Auswahldialog, in dem der gewünschte Ordnerpfad selber eingeben werden kann. Alternativ bietet das Drop-Down Menü unter dem Punkt „Ändern“ eine grafische Auswahlmöglichkeit für den Ordner. Der Punkt „Nur lesbar“ darf nicht aktiviert werden.

◦ Für die BitBox ist ein separater Ordner im Benutzerverzeichnis des


Abbildung 4.13: Auswahlpunkt zum Hinzufügen eines Ordner-Pfades für einen shared Folder

Abbildung 4.12: Fertige Massenspeicherkonfiguration für die BitBox-VM

Benutzers „virtual“ zu wählen.

◦ Die Ordner wurden bereits im Vorfeld erstellt, unter Linux unter /home/virtual/sharedfolder/BitBox, unter Windows ebenfalls im Benutzerverzeichnis. Hier ist jeweils der Ordner BitBox als shared Folder auszuwählen.

◦ Es sollte aber sichergestellt sein das nur der „virtual“ Nutzer darauf Zugriff hat, sofern der Benutzer später keine Gelegenheit haben soll, mittels der virtuellen Surfumgebung Dateien in das Internet hochzuladen.

◦ Alle Änderungen können jetzt mittels „Ok“ bestätigt werden.

• Nach der Einrichtung der virtuellen Maschine kann das Linux System installiert werden. Es können zunächst die Standard-Einstellungen verwendet werden, sofern nicht explizit anders erwähnt. Gestartet wird die virtuelle Maschine mittels des „Starten“ Knopfs. Falls nicht anders angegeben, können die Dialoge immer mit Standard-Einstellungen und „Enter“ bestätigt werden.

◦ Alle von VirtualBox angezeigten Meldungen und Warnhinweise können akzeptiert werden. Weiterhin diese so markieren, dass sie später nicht erneut angezeigt werden.

◦ Im „Installer Boot Menu“ „Install“ auswählen und mit „Enter“ bestätigen.

◦ Nun als Sprache und Keyboardlayout Deutsch (German) auswählen.

◦ Rechnername und Domainname je nach Firmenpolicy auswählen. Im Zweifelsfall die bereits eingetragenen Werte benutzen.

◦ Die folgenden Punkte zur Festplattenpartitionierung sind bereits richtig gewählt. Erst auf die Frage „Änderungen auf Festplatte schreiben“ muss ja gewählt werden.

◦ Das Passwort für „root“ ist nicht für die Skripte relevant, kann also beliebig gewählt werden. Das Passwort sollte jedoch analog zu den BSI-Sicherheitsrichtlinien für Passworte gewählt werden.

◦ Als Benutzername wird: „vm“ genutzt, das Passwort ist ebenfalls für die Skripte nicht relevant und kann somit beliebig gewählt werden.

◦ Im nächsten Schritten „Paketmanager“ wird ein deutscher Spiegelserver in der Nähe gewählt, z.B. debian.uni-duisburg-essen.de

◦ Proxydaten werden entsprechend der lokalen Netzwerk-Konfiguration eingetragen (im Zweifelsfall leer lassen)

◦ Für den Punkt Softwareauswahl alles mittels Leertaste abwählen (auch das Standardsystem). Dann mittels Tab „weiter“ anwählen und mit „Enter“ bestätigen.

◦ Installationsroutine mit Minimalinstallation durchführen. Es sollten keine Zusatzpakete, also auch nicht die Standardpakete, installiert werden.

◦ Nach Abschluss der Installation, wenn dazu die Aufforderung erfolgt, muss die CD ausgeworfen werden. Unter VirtualBox handelt es sich hierbei um das virtuelle Debian Image, welches über den Menüpunkt „Geräte“ →


„CD/DVD-Laufwerke“->IDE-Controller (Primärer Master) durch Klicken des Punktes „Medium entfernen“ entfernt werden kann. Danach kann der Dialog in der virtuellen Maschine mittels „Enter“ beendet werden und die Maschine startet neu.

4.2.5 Installation der Gasterweiterung

• Nach der Installation in der virtuellen Maschine als Benutzer „root“ einloggen mit dem während der Installation eingestellten Passwort.

• Nun werden die nötigen Pakete zur Installation der VM-Gasterweiterung installiert:

# apt-get install make g++ linux-headers-2.6-686 bzip2 sudo

• Der folgende Schritt beschreibt die Installation der Gasterweiterung. Hierfür wird zunächst über den Menüpunkte „Geräte“ → „Gasterweiterung installieren“ die Gasterweiterung geladen. Diese kann dann wie folgt installiert werden.

# mount /dev/cdrom /media/cdrom# sh /media/cdrom/VBoxLinuxAdditions-x86.run# umount /media/cdrom

• Anschließend, die Gasterweiterungs-CD wieder entfernen über: „Geräte“ → „CD/DVD-Laufwerke“ → „Medium entfernen“

4.2.6 Benötigte Software installieren

• Nun werden die folgenden benötigten Pakete nachinstalliert (Für das bessere Verständnis: l10n → L10N, libcurl3 → LIBCURL3):

# apt-get install x-window-system openbox iceweasel-l10n-de alsa libcurl3 obconf obmenu gecko-mediaplayer4

# wget http://ardownload.adobe.com/pub/adobe/reader/unix/9.x/9.4.0/deu/AdbeRdr9.4-1_i386linux_deu.deb

# wget http://fpdownload.macromedia.com/get/flashplayer/current/install_flash_player_10_linux.deb

# dpgk -i AdbeRdr9.4-1_i386linux_deu.deb# dpgk -i install_flash_player_10_linux.deb# rm *.deb

4.2.7 Iceweasel 4 installieren

• Das standardmäßig von Debian 6 mitgelieferte Firefox-Derivat „Iceweasel“ liegt nur in Version 3 vor.

4 Unter Debian 5 heißt der „gecko-mediaplayer“ noch „mozilla-mplayer“


• Um Version 4 oder neuerdings Version 5 von Iceweasel unter Debian zu installieren, muss analog zu den Anleitungen auf folgender Webseite vorgegangen werden: http://mozilla.debian.net/

4.2.8 Zweite Festplatte einrichten

• Um die zweite Festplatte als Ablage für persistente Iceweasel-Daten zu konfigurieren, muss diese zunächst partitioniert und formatiert werden:

# fdisk /dev/sdbCommand (m for help): nCommand action: pPartition number: 1First cylinder: 1Last cylinder: 492 (bzw. durch Drücken von Enter bestätigen)

Command (m for help): w

• Anschließend muss die Festplatte mit dem Dateisystem „ext2“ formatiert werden

# mkfs.ext2 /dev/sdb1

• Diese wird nun in folgendes Verzeichnis eingehängt

# mkdir /home/vm/.mozilla_persistent# chown vm:vm /home/vm/.mozilla_persistent# chmod 700 /home/vm/.mozilla_persistent# mount /dev/sdb1 /home/vm/.mozilla_persistent

• Damit diese Einbindung automatisch beim Systemstart geschieht, wird noch ein Eintrag in die /etc/fstab hinzugefügt

# nano /etc/fstab/dev/sdb1 /home/vm/.mozilla_persistent ext2 rw,sync 0 0

• Datei abspeichern und beenden (STRG+X, yes, Enter)

4.2.9 Shared Folder einrichten

• Nun muss ein Ordner für den „shared Folder“ angelegt werden (hier /home/vm/BitBox)

# mkdir /home/vm/BitBox# chown vm:vm /home/vm/BitBox# nano /etc/fstab

• Der Ordner muss ebenfalls in die Datei /etc/fstab eingetragen werden, damit dieser automatisch nach dem Systemstart eingehängt wird:

BitBox /home/vm/BitBox vboxsf rw,uid=1000,gid=1000 0 0



http://mozilla.debian.net/

4.2.10 Konfiguration der Soundkarte

• Danach muss noch die Soundausgabe konfiguriert werden. Dazu wird Alsa (Advanced Linux Sound Architecture) mittels „alsamixer“ konfiguriert:

# alsamixer

• „alsamixer“ dient der Einstellung der Lautstärke. Hier kann mit den Pfeiltasten navigiert werden. Der erste Balken (Master) sollte hierbei kurz vor dem roten Bereich liegen. Außerdem muss für die einzelnen Kanäle noch die Stummschaltung (mute) per Taste „m“ deaktiviert werden. Beendet wird durch Druck der „Escape“-Taste.

4.2.11 Iceweasel-Wrapper schreiben

• Da Iceweasel von außen durch BitBox kontrolliert wird, ist ein Workaround nötig, um einen Fehler zu unterbinden.

• Dazu muss das folgende Skript geschrieben werden:

• Datei /usr/bin/iceweasel-wrapper.sh öffnen

# nano /usr/bin/iceweasel-wrapper.sh

• Folgenden Inhalt einfügen:

#!/bin/bash cd /home/vm/BitBox/print unset SUDO_UID SUDO_GID SUDO_USER /usr/bin/iceweasel $* & exit



Abbildung 4.14: Konfiguration der Soundkarte via alsamixer

• Anschließend noch die Dateiberechtigungen auf „ausführbar“ setzen:

# chmod 755 /usr/bin/iceweasel-wrapper.sh

4.2.12 Soundproblematik beheben

• Damit es möglich ist, auf Webseiten Flash-Videos auch mit Ton anzuschauen, muss ein weiterer Workaround ein existierendes Problem beheben.

• Dazu muss ein Eintrag in die /etc/sudoers-Datei erfolgen:

• sudoers-Datei editieren

# visudo

• Am Ende der Datei die folgenden Zeilen einfügen

vm ALL=(vm) NOPASSWD: /usr/bin/iceweasel-wrapper.shvm ALL=(root) NOPASSWD: /sbin/dhclientbzw. bei Debian 5:vm ALL=(root) NOPASSWD: /sbin/dhclient3

• Speichern und Beenden

4.2.13 Permanenten DNS-Server eintragen

• Um beim Starten ein DHCP-request und somit unnötige Wartezeiten zu verhindern, kann ein öffentlicher DNS-Server eingetragen werden.

• Hier wird der öffentlichen Google-DNS-Server5 ausgewählt:

# nano /etc/dhcp/dhclient-enter-hooks.d/nodnsupdatebzw. bei Debian 5:# nano /etc/dhcp3/dhclient-enter-hooks.d/nodnsupdate

• Folgenden Inhalt einfügen

#!/bin/shmake_resolv_conf(){ echo nameserver 8.8.8.8 > /etc/resolv.conf echo nameserver 8.8.4.4 >> /etc/resolv.conf}

• Dann speichern und beenden - (STRG+X, yes, Enter)

• Die Datei ausführbar machen

# chmod 755 /etc/dhcp/dhclient-enter-hooks.d/nodnsupdatebzw. bei Debian 5:# chmod 755 /etc/dhcp3/dhclient-enter-hooks.d/nodnsupdate

4.2.14 udev-Regeln verbieten

• VirtualBox vergibt bei der Installation zufällige MAC-Adressen. Um zu verhindern, dass die Netzwerkkarten im Gast bei einem Update durchnummeriert werden (von eth0 bis ethn) und so kein Zugriff mehr auf das

5 Andere DNS-Server sind selbstverständlich ebenfalls möglich


Netzwerk möglich ist, kann folgender Trick angewendet werden:

# rm /etc/udev/rules.d/70-persistent-net.rules# mkdir /etc/udev/rules.d/70-persistent-net.rules

4.2.15 X-Server Konfiguration erzeugen

• Prinzipiell ist es nicht nötig, eine Konfiguration für X zu erzeugen, da der X-Server die Einstellungen beim Start automatisch herausfindet. Um aber zum Beispiel zu verhindern, dass Benutzer über die Tastenkombination STRG+ALT+Fx in ein Terminalfenster wechselt, muss die Option „DontVTSwitch“ im X-Server eingeschaltet werden.

• Daher wird zunächst eine Standard-X-Konfiguration angelegt

# X -configure# cp /root/xorg.conf.new /etc/X11/xorg.conf

• Dann die Konfigurationsdatei editieren und am Ende der Datei:

# nano /etc/X11/xorg.confSection "ServerFlags"

Option "DontVTSwitch" "true"EndSection

• Speichern und Beenden

4.2.16 GRUB konfigurieren

• Boot-Vorgang beschleunigen, dazu in /boot/grub/grub.conf den „set timeout“-Wert auf 0 setzen:

• Datei editieren

# nano /boot/grub/grub.cfg

• Timeout-Wert ändern

set timeout 0

• Nun die Maschine neu starten

# reboot

4.2.17 OpenBox konfigurieren

• Nach dem Neustart der Maschine, als Benutzer vm in der VM einloggen.

• Im nächsten Schritt wird der X-Server gestartet.

$ startx

• Mittels eines Klicks der rechten Maustaste öffnet sich ein „Menü“. Der „Menüpunkt“ „Terminal emulator“ öffnet ein Konsole. In der Konsole das Tool „obconf“ aufrufen:

$ obconf


• „obconf“ wird für die Konfiguration des Aussehens der Fenster genutzt. Wichtig ist hierbei der Menüpunkt „Appearance“. Hier wird die Buttonreihenfolge „LMC“ eingetragen. Unter dem Menüpunkt „Dektops“ → „Number of desktops“ auf „1“ setzen. Danach wird das Programm mit „Schließen“ beendet.

• Als nächstes das Werkzeug „obmenu“ aufrufen:

$ obmenu

• Per „obmenu“ kann das Menü konfiguriert werden, das nach einem Rechtsklick angezeigt wird und somit z.B. den Zugang zur Kommandokonsole unterbunden werden.

• Aktuell sollten alle Menüpunkte bis auf den „Terminal emulator“ entfernt werden. Das Ergebnis wird dann mittels einem Klick auf die Diskette gespeichert und „obmenu“ kann geschlossen werden.

4.2.18 Iceweasel konfigurieren

• Nun müssen die initialen Einstellungen für Iceweasel vorgenommen werden. Hierzu zunächst Iceweasel starten

$ iceweasel

• und die Grundeinstellungen vornehmen, d.h.

◦ Startseite festlegen: „Bearbeiten“ → „Einstellungen“ → „Allgemein“ → Bei „Startseite:“ die gewünschte URL eintragen

◦ Downloads festlegen: Downloads werden auf der gleichen Seite konfiguriert. Diese müssen standardmäßig ohne Nachfrage in folgendem Ordner gespeichert werden: „/home/vm/BitBox/downloads“

◦ Einstellen eines Proxy-Servers unter: „Bearbeiten“ → „Einstellungen“ → „Erweitert“ → „Netzwerk“ → „Einstellungen“

• Iceweasel kann so konfiguriert werden, dass neue Fenster grundsätzlich in neuen Tabs geöffnet werden. Dazu in der Adresszeile von Iceweasel „about:config“ eingeben und folgende Zeilen editieren:◦ browser.link.open_newwindow → 3

◦ browser.link.open_newwindow.restriction → 0

• An dieser Stelle besteht zusätzlich die Möglichkeit, Firefox-PlugIns zur weiteren Härtung des Iceweasel hinzuzufügen. Empfehlenswert sind z.B.:

◦ AdBlock Plus, siehe: https://addons.mozilla.org/de/firefox/addon/adblock-plus/

◦ NoScript, siehe: https://addons.mozilla.org/de/firefox/addon/noscript/

◦ RefControl, siehe: https://addons.mozilla.org/de/firefox/addon/refcontrol/

◦ Web-of-Trust, siehe: https://addons.mozilla.org/de/firefox/addon/wot-safe-browsing-tool/


https://addons.mozilla.org/de/firefox/addon/wot-safe-browsing-tool/

https://addons.mozilla.org/de/firefox/addon/refcontrol/

https://addons.mozilla.org/de/firefox/addon/noscript/

https://addons.mozilla.org/de/firefox/addon/adblock-plus/

• Es muss dabei allerdings genau abgewägt werden, wie viel Mehrnutzen die einzelnen PlugIns/Add-Ons bringen. Es wird darauf hingewiesen, dass die hier genannten Add-Ons relativ häufig gepatched werden. Das bedeutet, dass jeweils ein neues Image erstellt werden muss, wenn ein Update eingespielt werden muss.

• Darüber hinaus ist das Testen der existierenden PlugIns des Adobe Readers (durch Öffnen eines PDFs im Internet) sowie des Flash-Players (z.B. durch Aufruf der Webseite: http://www.youtube.de sinnvoll.

• Nach Abschluss der Konfiguration, den Iceweasel beenden

4.2.19 Persistente Speicherung der Iceweasel-Daten

• An dieser Stelle ist es möglich, die persistente Speicherung von Iceweasel-Daten zu konfigurieren. Je nach benötigtem Sicherheitsniveau lassen sich folgende drei Varianten unterscheiden:

◦ Speichere alles (ideal für Privatanwender oder Personen mit niedrigem Schutzbedarf)

◦ Speichere nur Lesezeichen (gut für Firmen und Behörden, bei denen die Administratoren die Gesamtkonfiguration im Vorfeld vornehmen)

◦ Speichere nichts (für hohen Schutzbedarf)

• Im Folgenden wird daher beschrieben, wie die oben genannten Varianten eingestellt werden können:


Abbildung 4.15: Iceweasel-Einstellungen innerhalb von BitBox

http://www.youtube.de/

◦ Speichere alles:Hierzu wird zunächst die aktuelle Konfiguration von Iceweasel in das persistente Datenverzeichnis auf der zweiten Festplatte (eingehängt unter ./home/vm/.mozilla_persistent) verschoben. Anschließend wird ein symbolischer Link von .mozilla_persistent auf .mozilla angelegt, wodurch alle Zugriffe auf die zweite Festplatte umgeleitet werden.

$ cd /home/vm$ mv .mozilla/* .mozilla_persistent/$ rm -rf .mozilla$ ln -s .mozilla_persistent .mozilla

◦ Speichere nur Lesezeichen:Bei dieser Konfiguration wird das Konfigurationsverzeichnis von Mozilla beibehalten und lediglich einige Dateien zur Lesezeichenverwaltung auf die zweite Festplatte umgeleitet:

$ cd /home/vm/.mozilla/firefox/*.default$ mv bookmarkbackups /home/vm/.mozilla_persistent/$ mv bookmarks.html /home/vm/.mozilla_persistent/$ mv places.sqlite /home/vm/.mozilla_persistent/$ mv places.sqlite-shm /home/vm/.mozilla_persistent/$ mv places.sqlite-wal /home/vm/.mozilla_persistent/$ ln -s /home/vm/.mozilla_persistent/bookmarkbackups$ ln -s /home/vm/.mozilla_persistent/bookmarks.html$ ln -s /home/vm/.mozilla_persistent/places.sqlite$ ln -s /home/vm/.mozilla_persistent/places.sqlite-shm$ ln -s /home/vm/.mozilla_persistent/places.sqlite-wal

◦ Speichere nichts:Für diesen Fall ist nichts weiter zu tun.

4.2.20 Betriebssystem der Gast-VM härten

• Um die Gast-VM weiter zu härten, muss der Benutzer 'vm' eingeschränkt werden.

• Dazu werden zunächst dem Benutzer 'vm' die Login-Rechte innerhalb des Linux entzogen:

$ su# usermod -s /bin/false vm

• Zusätzlich wird das Passwort des Benutzers entfernt

• Hierzu die Datei /etc/passwd editieren und alle Zeichen zwischen den ersten beiden „:“ entfernen

# nano /etc/passwdvm::1000:1000:vm,,,:/home/vm:/bin/false

• Anschließend Speichern und Beenden und die Datei /etc/shadow öffnen, und auch hier alle Zeichen zwischen den ersten beiden „:“ entfernen


# nano /etc/shadowvm::15030:0:99999:7:::

• Weiterhin werden die zusätzlichen Login-Konsolen unter STRG+ALT+<F2-F6> entfernt. Hierzu die Datei /etc/inittab editieren:

# nano /etc/inittab

• Auskommentieren der folgenden Zeile von

1:2345:respawn:/sbin/getty 38400 tty12:23:respawn:/sbin/getty 38400 tty23:23:respawn:/sbin/getty 38400 tty34:23:respawn:/sbin/getty 38400 tty45:23:respawn:/sbin/getty 38400 tty56:23:respawn:/sbin/getty 38400 tty6

• in

#1:2345:respawn:/sbin/getty 38400 tty1#2:23:respawn:/sbin/getty 38400 tty2#3:23:respawn:/sbin/getty 38400 tty3#4:23:respawn:/sbin/getty 38400 tty4#5:23:respawn:/sbin/getty 38400 tty5#6:23:respawn:/sbin/getty 38400 tty6

• Da es nun nicht mehr möglich ist, sich am System anzumelden, wird dafür gesorgt, dass der Benutzer root automatisch am System angemeldet wird und für den Benutzer vm die grafische Oberfläche startet. Dazu muss zunächst ebenfalls in die /etc/inittab folgende Zeile hinzugefügt werden:

1:2345:respawn:/bin/login -f root tty1 </dev/tty1 >/dev/tty1 2>&1

• Datei speichern und beenden. Im Anschluss die Datei /root/.bashrc editieren und dafür sorgen, dass root automatisch den X-Server für Benutzer vm startet

# nano /root/.bashrc

• Einfügen folgender Zeilen am Ende der Datei

if [ -z "$DISPLAY" ] && [ $(tty) == /dev/tty1 ] ; then su -c startx -s /bin/bash vm ; exitfi

4.2.21 Abschluss der Installation

• Zum Abschluss der Installation muss noch die root-Sitzung im Terminal-Fenster beendet werden.

• Wichtig: Nur einmal exit eingeben, da das Terminal-Fenster noch benötigt wird!

# exit

• Nun wird der Menüeintrag „Terminal Emulator“ aus dem „obmenu“ entfernt, um auch ein nachträgliches Aufrufen der Konsole zu Unterbinden.


$ obmenu

• Im Menü den Eintrag „Terminal Emulator“ entfernen, abspeichern und zum Schluss das System neu starten.

$ su -c reboot

• Das System startet nun automatisch den X-Server als Benutzer vm

4.2.22 Schnappschuss erzeugen

• Mittels „Hosttaste+L“ in den Seamlessmodus gehen und den aktuellen Stand mittels „Hosttaste+S“ unter „BitBox“ speichern. Die Hosttaste ist standardmäßig die rechte „Strg“-Taste.

• Die Virtuelle Maschine beenden (Strg+Q) und mittels ACPI ausschalten.

• Abschließend unter „Datei“ → „Globale Einstellungen“ im Untermenü „Eingabe“ die Host-Taste deaktivieren, indem mittels eines Klicks auf das rote Kreuz der Host-Key auf „None“ gesetzt wird.

• Weiterhin sollten die automatischen Updates abgeschaltet werde, indem unter „Update“ das Häkchen bei „Nach Updates suchen“ entfernt wird. Beides kann mittels OK bestätigt werden.

• Schließlich, VirtualBox beenden und den Benutzer „virtual“ abmelden.

• Um nachträglich noch Änderungen an der virtuellen Maschine durchzuführen, siehe Kapitel 6.


Abbildung 4.16: Deaktivieren der Host-Key-Taste in VirtualBox

5 Benutzung von BitBox

In diesem Abschnitt beschreiben wir einige Konfigurationsoptionen im Hinblick auf das Spannungsfeld zwischen Benutzerkomfort und Sicherheitsrisiken.

5.1Starten von BitBox

Nach der Installation und Konfiguration von BitBox ist die virtuelle Surfumgebung fertig konfiguriert und kann eingesetzt werden. Das Nutzen von Links sollte bereits durch die entsprechenden Einstellungen (in Windows, KDE, Gnome, Thunderbird) funktionieren, so dass BitBox direkt gestartet wird.

5.1.1 Windows

Unter Windows kann BitBox aber auch direkt durch den Aufruf der Datei „BitBox.exe“ gestartet werden. Um die Handhabung zu erleichtern wird eine Verknüpfung auf dem Desktop und dem Windows Startmenü erstellt.

Nach dem Doppelklick auf „BitBox.exe“ oder der Verknüpfung öffnet sich die virtuelle Surfumgebung mit der Iceweasel-Startseite. Bei bereits geöffnetem Iceweasel öffnet sich ein neues Fenster. Bei dem Klick auf Links zu Webseiten öffnet sich die entsprechende Webseite entweder in einem neuen Iceweasel Fenster, wenn bisher noch keine Fenster gestartet wurden oder im bestehenden Fenster in einem neuen Tab.

5.1.2 Linux

Unter Linux bestehen ebenfalls drei Möglichkeiten, die virtuelle Surfumgebung zu benutzen:

1. Durch Anklicken des Desktop-Symbols 'BitBox'2. Durch Aufruf des Befehls /usr/local/bin/bitbox.sh in einer Konsole3. Durch Anklicken eines Links in einer Anwendung, sofern es wie in Kapitel

3.2.4.6 bzw. 3.2.4.7 beschrieben, eingerichtet wurde.Nach Aufruf von BitBox öffnet sich die virtuelle Surfumgebung mit der Iceweasel-

Startseite. Bei bereits geöffnetem Iceweasel öffnet sich ein neues Fenster. Bei dem Klick auf Links zu Webseiten öffnet sich die entsprechende Webseite entweder in einem neuen Iceweasel Fenster, wenn bisher noch keine Fenster gestartet wurden oder im bestehenden Fenster in einem neuen Tab.


5.2Surfen im Internet

Wenn BitBox gestartet ist kann sie wie jeder andere Browser benutzt werden, um damit im Internet zu surfen. BitBox selbst verwendet dabei das Firefox-Derivat „Iceweasel“, um Webseiten anzuzeigen. Der Browser beinhaltet alle gewohnten Funktionalitäten eines Firefox-Browsers und lässt sich auch wie ein solcher bedienen.

In der Adressleiste können wahlweise direkt Webseiten eingetragen werden oder aber über gespeicherte Lesezeichen geöffnet werden.

Falls auf einer Webseite ein neues Fenster geöffnet werden soll, wird diese Seite automatisch als neuer Tab dem bereits geöffnetem Iceweasel-Fenster hinzugefügt. Dies geschieht, wie bereits erwähnt, ebenfalls, wenn von außerhalb (also auf dem Hostsystem) ein Link angeklickt wird und bereits eine Iceweasel-Instanz gestartet wurde.

Da der Iceweasel auf dem Mozilla Firefox-Browser basiert ist es ebenfalls möglich, Plugins für diesen nachzuladen und zu installieren. Hierzu sind ggf. Administrationsrechte in der virtuellen Maschine BitBox von Nöten. Standardmäßig sind Plugins für Adobe Flash und Adobe Reader mit installiert.


Abbildung 5.1: Standard-Iceweasel-Ansicht beim Surfen mit BitBox

5.3Verwalten von Lesezeichen / Persistente Daten

Der im Gast verwendete Browser „Iceweasel“ speichert Daten wie Lesezeichen oder Cache Dateien in einem Unterverzeichnis im Gast ab. Bei jedem Neustart von BitBox wird von dem gleichen sauberen Zustand aus gestartet. D.h. diese Daten gehen grundsätzlich zunächst bei jedem Neustart verloren. Diese sehr restriktive Einstellung ist vom Sicherheitsgedanken her am konsequentesten, da keinerlei Daten auf das Hostsystem gelangen. Allerdings ist die Benutzbarkeit dadurch sehr eingeschränkt.

Um gegebenenfalls (Teile) der Daten persistent zu halten bietet BitBox während der Installation drei Optionen an:

• Alle (Konfigurationsdaten und Lesezeichen)

• Nur Lesezeichen

• KeineDie persistenten Daten werden in einer zusätzlichen virtuellen Festplatte im Gast

gespeichert die beim Neustart nicht zurückgesetzt wird. Durch persistente Daten geht ein Teil der Sicherheitsfunktionalität verloren, der ansonsten durch das Vergessen aller Daten beim Neustart erfolgt. Ist in den gespeicherten Daten Schadsoftware enthalten, die den Browser beeinträchtigt, so bleibt diese Beeinträchtigung nach dem Neustart erhalten. Allerdings betrifft diese Beeinträchtigung nur das Gast-System, da die Daten nur vom Iceweasel im Gast verwendet werden, nicht aber aktiv vom Host, da sie hier nur passiv innerhalb der virtuellen Festplatte liegen. Ein kleines Restrisiko durch die Daten auf dem Host bleibt erhalten, falls ein Programm auf dem Host (z.B. ein Virenscanner, oder eine automatische Dateiindexierung) diese liest und dabei eine Sicherheitslücke ausgenutzt wird. Das gleiche Restrisiko betrifft aber alle Daten die während des laufenden Betriebs der BitBox in der virtuellen Festplatte gespeichert werden.

Weitere Hinweise zu der Einstellung der persistenten Daten während der Installation sind in Kapitel 2.1.1.2 (Windows) und 3.1.1. (Linux) genannt. Bei der manuellen Installation der Gast-VM finden sich Informationen zur persistenten Datenhaltung in Kapitel 4.2.19.

5.4Herunterladen von Dateien

Das Herunterladen von Inhalten oder Dateien aus BitBox heraus auf das Hostsystem wird in mehreren Schritten durchgeführt. Zunächst wird im Browser selbst die Datei wie bei jedem anderen Browser auch gespeichert. Hierzu ist es zwingend notwendig, die Datei in folgendem Ordner abzulegen:

/home/vm/BitBox/downloads

Während der Konfiguration des Iceweasel (s. Kapitel 4.2.18) wird der Standard-Download-Ordner bereits auf dieses Verzeichnis gesetzt.

Auf der Hostseite läuft ein Dienst, welcher dieses Verzeichnis auf neu eingetroffene Dateien überprüft. Ist ein neuer Download vorhanden, wird automatisch ein Virencheck


durchgeführt, auf dessen Grundlage dann über den Verbleib der Datei entschieden wird.

Falls die Datei ohne jegliche Fehler oder Virenerkennungen gescannt wurde, wird sie in das Standard-Downloadverzeichnis des Benutzers des Hostsystems verschoben und ist nun dort frei für diesen zugänglich. Unter Linux ist dies /home/<user>/Downloads, unter Windows der während der Installation angegebene Download-Pfad.

Falls die Virenerkennung der Datei positiv angeschlagen hat, wird die Datei ebenfalls in das Standard-Downloadverzeichnis verschoben, jedoch mit der Endung .VIRUS_FOUND versehen, wodurch dem Benutzer signalisiert wird, dass er mit dieser Datei nicht mehr weiterarbeiten sollte.

Falls kein Antiviren-Produkt bei der Installation von BitBox angegeben wurde, werden alle heruntergeladenen Dateien in das Standard-Downloadverzeichnis verschoben. BitBox fügt jedoch den Text „BITBOX_UNTESTED.“ vor den Dateinamen an, um diese Datei als unsicher zu markieren.

Es wird in jedem Falle empfohlen einen der unterstützten Antiviren-Produkte auf dem Hostsystem installiert zu haben, um einen besseren Schutz am Surfen gewährleisten zu können.

5.5Drucken aus BitBox

Das Drucken einer Datei oder Webseite aus BitBox heraus erfolgt in mehreren Schritten. Im Browser wird die Datei nicht direkt auf einen Drucker ausgegeben


Abbildung 5.2: Drucken aus BitBox

sondern in eine Datei gedruckt. Wenn eine Webseite gedruckt werden soll, muss wie folgt vorgegangen werden:

• „Datei“ → „Drucken“

• Es muss als Drucker „Print to File“ ausgewählt werden

• Unter „Name“ muss dann ein Dateiname für diesen Druck festgelegt werden

• Zusätzlich muss das Output-Format festgelegt werden. Hier muss „PDF“ ausgewählt werden.

• Anschließend mit „Print“ den Druckauftrag starten.

Sobald die Datei fertig gedruckt ist, wird sie im Gast in folgendem Ordner abgelegt:

/home/vm/BitBox/print

Auf dem Host läuft ebenfalls ein Dienst, welcher diesen Ordner auf neue Druckdaten überwacht. Falls der Administrator während der Installation die Option „Direktes Drucken“ ausgewählt hat, wird die Datei automatisch von einem Programm (beispielsweise Adobe Reader) im Host geöffnet, mit dem sie gedruckt werden kann.

Unter Linux wird ein Druckpanel geöffnet, in dem der gewünschten Drucker ausgewählt sowie ggf. weitere Einstellungen vorgenommen werden kann. Mit Druck auf den „Print“ Knopf wird die Datei an den entsprechenden Drucker geleitet.

Falls diese Option nicht gewünscht wurde, erscheint die Datei als regulärer


Abbildung 5.3: Druck-Dialog unter Linux

Download im Download-Verzeichnis des Benutzers. BitBox stellt jedoch den Text „BITBOX_PRINTED“ dem Dateinamen voran.

Weiterhin ist es möglich, innerhalb der Gast-VM auch PDF-Dokumente innerhalb des Iceweasel anzeigen zu lassen. Auch von hier ist es möglich, zu drucken, jedoch muss ebenfalls der Umweg über das Dateisystem gegangen werden.

• Auf das Drucker-Symbol klicken, es öffnet sich ein Druck-Dialog

• Hier muss am unteren Ende der Einstellungsseite die Option „Ausgabe in Datei“ angeklickt werden.

• Zusätzlich ist ein Dateiname mit der Endung „.ps“ bzw. „.pdf“ festzulegen

• Mit Klick auf „OK“ wird die Datei ebenfalls ins Dateisystem in den Ordner

/home/vm/BitBox/print

gedruckt und vom Host-System weiter verarbeitet.


Abbildung 5.4: Drucken aus dem Adobe Reader PlugIn

5.6Sichere Zwischenablage

Durch die Kapselung des Browsers in der virtuellen Maschine ist die Zwischenablage im Host und im Gast zunächst isoliert. Damit ist ein Kopieren / Einfügen zwischen Gast und Host nicht möglich. Diese Einstellung ist sehr sicher aber macht das Arbeiten mit BitBox beschwerlich, da z.B. kein Link kopiert werden kann.

Während der Installation von BitBox werden verschiedene Konfigurationsmöglichkeiten angeboten, um einen kontrollierten Informationsfluss zu gestatten.

• Unidirektional: Gast → HostHier ist ein Kopieren / Einfügen von BitBox in den Host Rechner möglich. Aber nicht umgekehrt. Schadsoftware im Gast hat also keine Möglichkeit aus dem Clipboard vertrauliche Daten im Host zu erspähen. Wird zusätzlich die Option 'Sichere Zwischenablage' aktiviert, so muss der Benutzer jedes Kopieren / Einfügen zusätzlich noch bestätigen.

• Unidirektional: Host → GastHier ist ein Kopieren / Einfügen von einer Host-Anwendung in BitBox möglich, aber nicht umgekehrt. Dadurch kann verhindert werden, dass schadhafter Inhalt (z.B. virenbefallene Daten) aus dem Browser in den Host Rechner gelangen kann. Wird zusätzlich die Option 'Sichere Zwischenablage' aktiviert, so muss der Benutzer das Kopieren / Einfügen zusätzlich noch bestätigen. Dadurch kann verhindert werden das Schadsoftware im Gast unbemerkt auf Inhalte in der Zwischenablage zugreift.

• BidirektionalHier ist ein Kopieren / Einfügen in beide Richtungen erlaubt. Wird zusätzlich die Option Option 'Sichere Zwischenablage' aktiviert so muss der Benutzer jedes Kopieren / Einfügen zusätzlich noch bestätigen. Dadurch kann der Benutzer sicher sein, dass die Aktivität von ihm veranlasst wurde und nicht von einer Schadsoftware.


Abbildung 5.5: Bestätigungsdialog der Sicheren Zwischenablage

6 Administration von BitBox


6.1.1.1Windows


• Alternativ kann VirtualBox direkt als Bentuzer 'virtual' aufgerufen werden. Hierzu muss eine Konsole geöffnet werden ( „Start“ → „Ausführen“ → „cmd“)







• Die VirtualBox-GUI muss zunächst entsperrt werden

>C:\Programme\Oracle\VirtualBox\VBoxManage.exe setextradata global GUI/Customizations

6.1.1.2Linux



$ xhost local:virtualbei Debian: $ su bei (K)Ubuntu: $ sudo su# su virtual$ cd$ VBoxManage setextradata global GUI/Customizations


6.1.2 Verwerfen des aktuellen Zustands

• Um den aktuellen Zustand der BitBox-VM zu verwerfen, muss zunächst die virtuelle Maschine beendet werden:


• Anschließend muss der erstellte Snapshot gelöscht werden:

<VBoxManage> snapshot BitBox delete BitBox

6.1.3 Login in die virtuelle Maschine

• Virtuelle Maschine starten:


• Der Bootvorgang ist beendet, sobald man eine grafische Oberfläche sieht, in der lediglich ein grauer Kasten mit schwarzem Hintergrund zu sehen ist.

• Um sich nun wieder auf im Gast einloggen zu können, muss ein zweites Terminal als Benutzer 'virtual' analog zu Kapitel 6.1.1 geöffnet und die folgenden Befehle eingeben werden:

• via VBoxManage root Zugriff auf den X-Server geben

<VBoxManage> guestcontrol execute BitBox /usr/bin/xhost --environment "DISPLAY=:0.0 HOME=/home/vm LANG=de" --username vm --verbose --arguments "+" --wait-for exit

• via VBoxManage root eine Konsole öffnen

<VBoxManage> guestcontrol execute BitBox /usr/bin/xterm --environment "DISPLAY=:0.0 HOME=/root LANG=de" --username root --password <root-passwort der VM>

• Nun öffnet sich ein X-Terminal im Gast, an der ein Administrator seine Änderungen durchführen kann.

# bash# source /etc/profile


Abbildung 6.1: Terminal in BitBox-VM

6.1.4 Durchführen der Änderungen

• Nun können in dem soeben geöffneten Fenster die gewünschten Änderungen und Updates durchgeführt werden.

• Um die History der durchgeführten Arbeiten zu löschen, sind noch folgende Befehle empfehlenswert:

# rm /root/.bash_history# history -c

• Unbedingt im Anschluss die virtuelle Maschine ausschalten, damit die Änderungen persistent gespeichert werden.

# halt

6.1.5 Snapshot erzeugen

• Virtuelle Maschine starten:


• Der Bootvorgang ist beendet, sobald man eine grafische Oberfläche sieht, in der lediglich ein grauer Kasten mit schwarzem Hintergrund zu sehen ist.

• Nun einen Snapshot erzeugen:

<VBoxManage> snapshot BitBox take BitBox

• Nun kann die Maschine ausgeschaltet werden


• VirtualBox beenden und Benutzer vom Host wieder abmelden, bzw. die Konsolen schließen.

6.2Eine BitBox-VM exportieren

• Beim Exportieren der BitBox-VM ist es aus Kompatibilitätsgründen zwischen Windows und Linux nötig, im Vorfeld die virtuellen Festplatten sowie den Shared Folder aus der VM auszuhängen.

• Dazu zunächst in den Benutzerkontext des Benutzers 'virtual' wechseln, siehe 6.1.1.

• Aushängen des Shared Folder:

<VBoxManage> sharedfolder remove BitBox --name BitBox

• Aushängen der virtuellen Festplatten:

<VBoxManage> storageattach BitBox --storagectl SATA-Controller \ --device 0 --port 0 --type hdd --medium none<VBoxManage> storageattach BitBox --storagectl SATA-Controller \ --device 0 --port 1 --type hdd --medium none

• Exportieren der BitBox-VM


<VBoxManage> export BitBox -o BitBox.ova

• Anschließend werden die folgenden Dateien in ein Zip-Archiv namens „BitBox_VM_<Versionsnummer>.zip“ zusammengefasst:◦ BitBox.ova

◦ BitBox-disk1.vmdk (aus dem Unterordner „VirtualBox VMs/BitBox“)◦ BitBox-disk2.vmdk (aus dem Unterordner „VirtualBox VMs/BitBox“)

• Nun muss noch der „Shared Folder“ gepackt werden:

# cd /home/virtual# zip -r sharedfolder.zip sharedfolder

• Die Dateien BitBox_VM_<Versionsnummer>.zip und sharedfolder.zip sollten nun noch vor der Distribution wie in Kapitel 6.3 beschrieben signiert werden.

6.3Signieren / Verifizeren von BitBox-VM Images

Um ein „Sicheres Update“ zu ermöglichen und somit nur zertifizierte BitBox-VMs zuzulassen, ist es nötig, diese zu signieren. Grundsätzlich werden von BitBox alle Signaturverfahren unterstützt, die von OpenSSL unterstützt werden. Dieses Kapitel beschreibt beispielhaft, wie ein RSA-2048-Bit Schlüssel erzeugt und zum Signieren verwendet wird.

Achtung: Es wird empfohlen, echte X.509-Zertifikate zu verwenden, um auch die Echtheit der Schlüssel durch eine CA zertifizieren zu lassen. Zusätzlich ist anzuraten, den öffentlichen Verifikationsschlüssel vor der eigentlichen Installation auf den Zielsystemen zu installieren und nicht den Verifikationsschlüssel mit samt der Installationsdateien auszuliefern, da ansonsten die Integrität der Daten nicht gewährleistet werden kann.

6.3.1 Erzeugen eines 2048-Bit RSA-Signaturschlüssels

• OpenSSL installieren

• Einen RSA-Schlüssel erzeugen mit 2048-Bit

$ openssl genrsa -out BitBox.private_key.pem 2048

6.3.2 Erstellen des Verifikationszertifikats

• Über den öffentlichen Teil des soeben erzeugten RSA-Schlüssels kann wie folgt ein Zertifikat erstellt werden:

◦ zunächst Erstellung eines Certificate-Signing-Requests (CSR)

$ openssl req -new -key BitBox.private_key.pem -out BitBox.x509.csr

◦ anschließend diesen CSR durch eine vertrauenswürdige Certification Authority (CA) signieren lassen. Dies kann alternativ auch selbst-signiert wie folgt durchgeführt werden:


$ openssl x509 -req -days 365 -in BitBox.x509.csr \ -signkey BitBox.private_key.pem -out BitBox.x509.crt

6.3.3 Installation des X.509-Zertifikats

• Unter Linux wird während der Installation erwartet, dass der öffentliche Verifikationsschlüssel unter /etc/ssl/certs vorliegt.

$ sudo su# cp BitBox_VM/BitBox.x509.crt /etc/ssl/certs

• Windows

◦ Kopieren der Datei BitBox.x509.crt in den Ordner „BitBox_VM“

◦ Anmerkung: Dieses Verfahren wird später durch den echten Windows-Zertifikatsspeicher ersetzt und dient daher derzeit lediglich als proof-of-concept.

6.3.4 Extrahieren des Verifikationsschlüssel aus X.509 Zertifikat

$ openssl x509 -pubkey -noout -in /etc/ssl/certs/BitBox.x509.crt \ > /tmp/BitBox.pubkey.pem

6.3.5 Virtuelle Maschine und Shared Folder signieren

• Aktuell benötigen beide Installer (für Linux und Windows) die folgenden Dateien zur automatischen Installation:

◦ BitBox_VM_<Versionsnummer>.zip

◦ BitBox_VM_<Versionsnummer>.zip.sig

◦ sharedfolder.zip

◦ sharedfolder.zip.sig

• Die Dateien BitBox_VM_<Versionsnummer>.zip und sharedfolder.zip sind bereits in Kapitel 6.2 erzeugt worden. Um die zugehörigen Signaturen zu erstellen, müssen diese Dateien noch mit dem Signaturschlüssel signiert werden:

# openssl dgst -sha256 -sign BitBox.private_key.pem -out \ BitBox_VM_<Versionsnummer>.zip.sig BitBox_VM_<Versionsnummer>.zip

# openssl dgst -sha256 -sign BitBox.private_key.pem -out \ sharedfolder.zip.sig sharedfolder.zip

6.3.6 Virtuelle Maschine und Shared Folder vorm Installieren verifizieren

• Die Verifikation der Daten mit Hilfe des Verifikationsschlüssels sieht wie folgt


aus:

# openssl dgst -sha256 -verify /tmp/BitBox.pubkey.pem -signature \ BitBox_VM_<Versionsnummer>.zip.sig BitBox_VM_<Versionsnummer>.zip

# openssl dgst -sha256 -verify /tmp/BitBox.pubkey.pem -signature \ sharedfolder.zip.sig sharedfolder.zip

6.4Verteilung von BitBox im Netzwerk

Um eine Verteilung von BitBox im Netzwerk zu erleichtern, ist es sinnvoll, die Installationsdateien auf einem Netzwerklaufwerk freizugeben (z.B. über eine Windows-Freigabe oder über Samba)

Dieses sollte so eingerichtet werden, dass die entsprechenden Rechner darauf zugreifen dürfen.

Unter Windows kann der Administrator auf die Konsolen-Installation von BitBox zurückgreifen (siehe Seite 35), die keine grafische Benutzeroberfläche benötigt.

Unter Linux kann die Installation ebenfalls remote erfolgen. Dazu muss sich der Administrator auf dem Zielsystem einloggen und eine Konsole öffnen (z.B. per SSH). Im Anschluss kann die Installation wie gewohnt durchgeführt werden.

6.5Nachträgliche Änderung an der BitBox-Konfiguration

6.5.1 Windows

Um BitBox nachträglich unter Windows zu konfigurieren, kann wie in Kapitel 2.3 beschrieben, die Konfigurationsdatei bitb.conf unter C:\Programme\BitBox editiert werden.

6.5.2 Linux

Um BitBox nachträglich unter Linux zu konfigurieren, kann wie in Kapitel 3.2.4.5 beschrieben, die Konfigurationsdatei /opt/BitBox/bitbox.conf editiert werden.

6.6Update von BitBox

In der hier vorliegenden Version von BitBox kommt ein Update von BitBox einer Neu-Installation gleich, sodass hier aktuellere Versionen der automatischen Installationswerkzeuge (siehe Kapitel 2.1 und 3.1) verwendet werden können.

Die BitBox Installationswerkzeuge sind so aufgebaut, dass vom Administrator ein signiertes Gastimage (und ein Shared Folder) beigelegt werden muss. Die Signatur


wird vor der Installation geprüft und das Image bei Erfolg installiert. Um die Gast-VM in BitBox zu aktualisieren, müssen die zu aktualisierenden VM-Daten „BitBox.zip“ und „sharedfolder.zip“ mit samt der zugehörigen Signaturen in den entsprechenden Installationsordnern kopiert werden (in den Ordner „BitBox_VM“).

Anschließend kann der Original BitBox-Installer aufgerufen werden, welche dann das Update der Gast-VM durchführen.

[Windows] Alternativ kann ein update auch vom Benutzer selbst durchgeführt werden. Dazu müssen die zu aktualisierenden VM-Daten „BitBox_VM_<Versionsnummer>.zip“ und „sharedfolder.zip“ mit samt der zugehörigen Signaturen in einen Ordner kopiert werden. Dann startet der Benutzer eine Kommandokonsole (cmd) und führt den folgenden Befehl aus:

> C:\Programme\BitBox\Client\BitBox_update <Pfad zu BitBox_VM_<Versionsnummer>.zip>

6.7Update von VirtualBox

BitBox benutzt derzeit VirtualBox Version 4.0.10 zur Virtualisierung. Solange sich die Schnittstellen von VirtualBox nicht verändern, funktioniert BitBox auch nach einer Aktualisierung von VirtualBox weiter. Allerdings ist zu bedenken, dass die Funktionalität der „Sicheren Zwischenablage“ eine Bibliothek von VirtualBox austauscht. Wenn diese Funktionalität weiterhin benutzt werden soll, muss diese gegebenenfalls für die neue VirtualBox Version neu übersetzt werden (siehe Kapitel 3.2.5).


7 Einbindung in ein Behördennetzwerk

Grundlegend gibt es mehrere Möglichkeiten BitBox sicher in ein Behördennetzwerk einzubinden. Dabei unterscheiden sich die Konzepte in erster Linie durch die Art der Netzwerk-Konfiguration in VirtualBox. VirtualBox bietet für die Anbindung und Konfiguration von Netzwerkanschlüssen folgende drei Möglichkeiten: NAT, Bridged Adapter und Hostinterface.

Beim „Hostinterface“ wird direkt der beim Host bei der Installation angelegte Netzwerkanschluss benutzt. Hier muss die Verbindung beim Hostsystem konfiguriert werden.

Im „Bridged Adapter“ Modus wird die in VirtualBox konfigurierte Netzwerkschnittstelle mit einem Netzwerkanschluss des Hostsystems überbrückt. VirtualBox hat nun also direkten Zugriff auf das Hostinterface. Der virtuellen Maschine kann damit eine eigene IP-Adresse zugewiesen werden.

Der „NAT“ Modus implementiert eine klassische NAT Konfiguration. Alle Datenpakete werden an den Host geschickt und dieser leitet Pakete, die an die virtuelle Maschine gerichtet sind weiter an die jeweilige VM. Der virtuellen Maschine kann keine eigene IP-Adresse zugewiesen werden.

Nachfolgend wird zunächst die Trennung von Internet und Intranet per NAT erläutert und anschließend wird die Kapselung von BitBox mittels VPN am Beispiel von Windows 7 per Bridged Adapter erläutert.

7.1Trennung Internet/Intranet per NAT

Der schnellste und einfachste Weg BitBox von dem Netzwerkverkehr des Hosts zu trennen ist die Einrichtung von NAT in VirtualBox. Zunächst muss sichergestellt werden, dass die virtuelle Maschine BitBox heruntergefahren wurde, damit die Einstellungen in VirtualBox editiert werden kann. Im Detail wird dabei in VirtualBox für die BitBox VM das Netzwerkinterface angepasst und bei „Angeschlossen an:“ NAT ausgewählt.


Nun hat BitBox keine Möglichkeit mehr den Netzwerkverkehr des Hosts auszuspähen, da dieser nur noch Datenpakete, die für die virtuelle Maschine gedacht sind, sofort an BitBox weiterleitet. Abbildung 7.1 zeigt noch einmal die genaue Konfiguration.

7.2Kapselung von BitBox mittels VPN am Beispiel von Windows 7

Diese Anleitung zeigt, wie BitBox und das Hostsystem in der Netzwerkkonfiguration getrennt werden und welche Schritte dafür nötig sind. Zunächst wird erklärt, wie allgemein unter Windows 7 eine VPN Verbindung aufbaut werden kann, um anschließend auf die eigentliche Konfiguration bezüglich der Sicherheit von BitBox und dem Hostsystem einzugehen.

Falls bereits eine VPN Verbindung auf dem Windows 7 System vorhanden sein sollte oder diese durch ein anderes Verfahren erstellt wird, kann direkt in Kapitel 7.2.3 weiter gelesen werden.

7.2.1 Einrichten einer VPN-Verbindung mit Windows 7

Dieses Kapitel beschreibt, wie eine VPN Verbindung unter Windows 7 erstellt


Abbildung 7.1: Festlegung des NAT-Modus sowie der zu verwendenden Netzwerkkarte unter VirtualBox

werden kann. Das Kapitel kann übersprungen werden, wenn bereits eine VPN Verbindung erfolgreich eingerichtet wurde und genutzt wird oder über einen anderen Weg eingerichtet wurde.

In diesem Beispiel wird OpenVPN benutzt um die VPN Verbindung aufzubauen. OpenVPN kann kostenfrei von der offiziellen Homepage heruntergeladen werden und wird mit den Standardeinstellungen installiert.

OpenVPN Downloads: http://www.openvpn.net/index.php/open-source/downloads.html

Bei der Installation von OpenVPN wird eine extra Netzwerkschnittstelle erzeugt, die auch ebenfalls in den Netzwehrverbindungen von Windows 7 angesehen werden kann. Es gilt nun in Zukunft diese Schnittstelle zu konfigurieren.

Die Konfiguration selbst wird dabei von OpenVPN durchgeführt. In der Konfigurationsdatei, die im OpenVPN-Stammordner unter config liegen, kann die dazu nötige Einstellungen vorgenommen werden. In diesem Beispiel wurde die folgende Konfiguration benutzt, um eine VPN-Verbindung zu OpenVPN aufzubauen:

############################################### BitBox client-side OpenVPN 2.0 config file ## for connecting to OpenVPN. ###############################################

# Specify that we are a client and that we# will be pulling certain config file directives# from the server.


Abbildung 7.2: Netzwerk-Verbindungsverwaltung unter Windows 7

http://www.openvpn.net/index.php/open-source/downloads.html

client

# Use the same setting as you are using on# the server.# On most systems, the VPN will not function# unless you partially or fully disable# the firewall for the TUN/TAP interface.;dev tapdev tun

# Windows needs the TAP-Win32 adapter name# from the Network Connections panel# if you have more than one. On XP SP2,# you may need to disable the firewall# for the TAP adapter.;dev-node MyTap

# Are we connecting to a TCP or# UDP server? Use the same setting as# on the server.;proto tcpproto udp

# The hostname/IP and port of the server.# You can have multiple remote entries# to load balance between the servers.remote appliance1.sirrix.de 1194;remote appliance2.sirrix.de 1194

# Choose a random host from the remote# list for load-balancing. Otherwise# try hosts in the order specified.;remote-random

# Keep trying indefinitely to resolve the# host name of the OpenVPN server. Very useful# on machines which are not permanently connected# to the internet such as laptops.resolv-retry infinite

# Most clients don't need to bind to# a specific local port number.nobind

# Downgrade privileges after initializationuser virtual

# Downgrade privileges after initialization (non-Windows only);group nobody


# Try to preserve some state across restarts.persist-keypersist-tun

# If you are connecting through an# HTTP proxy to reach the actual OpenVPN# server, put the proxy server/IP and# port number here. See the man page# if your proxy server requires# authentication.;http-proxy-retry # retry on connection failures;http-proxy [proxy server] [proxy port #]

# Wireless networks often produce a lot# of duplicate packets. Set this flag# to silence duplicate packet warnings.;mute-replay-warnings

# SSL/TLS parms.# See the server config file for more# description. It's best to use# a separate .crt/.key file pair# for each client. A single ca# file can be used for all clients.ca ca.crtcert bitbhost.crtkey bitbhost.key

# Verify server certificate by checking# that the certicate has the nsCertType# field set to "server". This is an# important precaution to protect against# a potential attack discussed here:# http://openvpn.net/howto.html#mitm## To use this feature, you will need to generate# your server certificates with the nsCertType# field set to "server". The build-key-server# script in the easy-rsa folder will do this.ns-cert-type server

# If a tls-auth key is used on the server# then every client must also have the key.;tls-auth ta.key 1

# Select a cryptographic cipher.# If the cipher option is used on the server# then you must also specify it here.


;cipher x

# Enable compression on the VPN link.# Don't enable this unless it is also# enabled in the server config file.comp-lzo

# Set log file verbosity.verb 3

# Silence repeating messages;mute 20

Dabei muss in jedem Falle darauf geachtet werden, dass, falls die Authentifizierung per Zertifikate durchgeführt werden soll, diese ebenfalls in OpenVPN hinterlegt wurden!

Mit dieser Beispielkonfiguration sollte es nun möglich sein die VPN Verbindung herzustellen. Dies kann getestet werden, in dem der Windows 7 Dienst OpenVPN unter Dienste neu gestartet bzw. gestartet wird.

7.2.2 Ändern der Zugriffsrechte auf die VPN-Verbindung

Als nächstes muss dafür gesorgt werden, dass die erstellte VPN Verbindung nur von dem Benutzer virtual benutzt werden darf. Dazu gibt es mehrere Wege, die davon abhängig sind wie und womit die VPN-Verbindung eingerichtet wurde.

Im Beispiel von OpenVPN ergibt sich aus der Konfigurationsdatei. Hier werden die Einstellungen „user“ und „group“ dazu verwendet die VPN Verbindung nur einem bestimmten Benutzer oder einer bestimmten Benutzergruppe zuzuweisen. Diese Einstellung ist ebenfalls in der Beispielkonfiguration aus dem vorherigen Kapitel zu finden.

Als weiteres Beispiel wird noch eine VPN-Verbindung erläutert, die direkt mit dem Windows 7 VPN Client erstellt wurde. Dieser unterstützt jedoch nur die Protokolle IKEv2 und PEA. Hier geschieht die Einrichtung direkt bei der Erstellung der Verbindung. Die Verbindung wird bei der Erstellung entweder für alle Benutzer des Systems erstellt oder nur für den aktuellen Benutzer. Standardmäßig erstellt Windows 7 VPN-Verbindungen immer nur für den aktuellen Benutzer. Es sollte jedoch darauf geachtet werden, dass die Option ausgeschaltet ist. Eine neue VPN-Verbindung mit dem Standard Windows 7 VPN Client kann im „Netzwerk- und Freigabecenter“ erstellt werden. Dabei ist darauf zu achten, dass natürlich die VPN Verbindung mit dem Benutzer virtual erstellt wird, damit auch nur dieser nachher Zugriff darauf erhält.


Hier die Einstellungen, wie sie auszusehen haben. Die IP-Adresse und der Verbindungsname können variieren.

7.2.3 VPN und BitBox-Interfaces bridgen

Weiter müssen die erstellte VPN Verbindung und die BitBox VirtualBox Verbindung überbrückt werden. Dies muss direkt in VirtualBox erledigt werden während die virtuelle Maschine ausgeschaltet ist. Dabei ist darauf zu achten, dass VirtualBox ebenfalls als Benutzer virtual ausführt werden muss, um anschließend die Überbrückung für seinen Account und damit BitBox zu erstellen.


Abbildung 7.3: Herstellen einer VPN-Verbindung unter Windows 7

Nachdem die virtuelle Maschine BitBox heruntergefahren wurde und kein Snapshot mehr aktiv sein darf, kann im Hauptfenster von VirtualBox die Einstellung Netzwerk geändert werden durch einmaliges Klicken. Im anschließend erscheinenden Einstellungsfenster wird der Unterpunkt „Angeschlossen an“: auf „Netzwerkbrücke“ geändert und als Name die VPN-Leitung ausgewählt (in diesem Falle der „OpenVPN Adapter TAP-Win32 Adapter V9“), damit die erste Netzwerkschnittstelle direkt an die VPN Verbindung angeschlossen wird und das Gastsystem keinen Zugriff mehr auf das Hostsystem erhält.


Abbildung 7.4: Erstellen einer Netzwerkbrücke zwischen BitBox und VPN

Support / F.A.Q.

• Bitte überprüfen Sie zunächst, ob Sie die neuste Version von BitBox installiert haben. Diese können Sie stets unter folgender URL herunterladen:

http://www.sirrix.de/content/pages/BitBox

• Eine regelmäßig aktualisierte F.A.Q. findet sich hier:

http://www.sirrix.de/content/pages/BitBox_FAQ_de.htm

• Bei Fragen, Anregungen oder Problemen, schicken Sie bitte eine E-Mail an das Servicecenter des BSI unter: [email protected] oder an das BitBox-Team der Sirrix AG unter: [email protected]




handbuch-bitbox.pdf

Documents