close

Anmelden

Neues Passwort anfordern?

Anmeldung mit OpenID

Dokumentation Browser in the Box (BitBox) (pdf, 4 - BSI - Bund.de

EinbettenHerunterladen
Im Auftrag des:
BitBox
Browser in the Box
Version 1.0.0
Eine virtuelle Surfumgebung für
Behörden, Unternehmen und
Privatanwender
Sirrix AG security technologies
Lise-Meitner-Allee 4
44801 Bochum, Deutschland
http://www.sirrix.com
Autoren:
Christoph Göricke, Norbert Schirmer, Clemens Alexander Schulz,
Marcel Selhorst, Christian Stüble
Sirrix AG security technologies
Lise-Meitner-Allee 4
44801 Bochum, Deutschland
Im Auftrag für das
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Referat 125 - „Penetrationszentrum, Abwehr von Internetangriffen“
Godesberger Allee 185-189
53175 Bonn, Deutschland
„Browser in the Box“
Installations- und Benutzerdokumentation
3
Inhaltsverzeichnis
Einleitung .........................................................................................11
1
Allgemeiner Teil ................................................................................13
1.1 Motivation .................................................................................................. 13
1.2 Vergleich verschiedener Ansätze ................................................................14
1.3 Bedrohungsszenarien .................................................................................16
1.4 Architektur und Realisierung ......................................................................18
1.5 Kontrolle der VirtualBox Schnittstellen ........................................................20
1.6 Überblick über die BitBox Komponenten ....................................................21
1.7 Unterschiedliche Sicherheitsniveaus ..........................................................22
1.8 Mindestanforderungen ...............................................................................23
2
Installation von BitBox unter Windows ...............................................25
2.1 Automatische Installation mittels Installer ..................................................25
2.1.1 Installationsverlauf .........................................................................25
2.1.1.1
Installation von VirtualBox .............................................25
2.1.1.2
Installation von BitBox („Standardmodus“) ...................28
2.1.1.3
Installation von BitBox („Expertenmodus“) ...................33
2.1.1.4
Nicht-Interaktive Installation von BitBox aus der Konsole
35
2.2 Manuelle Installation ..................................................................................36
2.2.1 Vorbereitung des Systems ..............................................................36
2.2.2 Installation der von BitBox genutzten Gast-VM ..............................37
2.2.3 Anlegen eines zusätzlichen Benutzers für BitBox ...........................37
2.2.4 Installation von BitBox ...................................................................37
2.2.5 Einschränkung der Dateizugriffsrechte ..........................................38
2.2.6 Anpassung der Windows-Registry ..................................................39
2.2.7 Konfiguration des BitBox-Services ..................................................40
2.2.8 Konfiguration von Links ..................................................................41
2.2.9 Installation der Sicheren Zwischenablage ......................................41
2.3 Konfiguration von BitBox unter Windows ....................................................42
2.4 De-Installation von BitBox ..........................................................................45
3
Installation von BitBox unter Linux ...................................................47
3.1 Automatische Installation mittels Installer ..................................................47
3.1.1 Vorgehensweise zur automatischen Installation .............................47
3.2 Manuelle Installation ..................................................................................51
3.2.1 Vorbereiten des Host-Systems .......................................................51
3.2.2 Konfiguration des Host-Systems .....................................................53
3.2.2.1
Anlegen des Benutzers 'virtual' ....................................53
3.2.2.2
Anlegen einer Gruppe 'bitbox' ......................................53
3.2.2.3
Aktivieren der POSIX ACL-Listen für das Dateisystem . .53
3.2.3 Installation der von BitBox genutzten Gast-VM ..............................55
3.2.4 Installation und Konfiguration des BitBox-Hostsystems ..................55
3.2.4.1
BitBox-Komponenten auf dem Host-System installieren
55
3.2.4.2
Gruppe 'bitbox' das Ausführen von BitBox erlauben .....56
3.2.4.3
Benutzer 'virtual' das Ausführen des Virenscanners
erlauben
56
3.2.4.4
Konfiguration von Access Control Lists .........................57
3.2.4.5
Konfiguration von BitBox ..............................................58
3.2.4.6
Anklicken von Links unter Gnome ................................60
3.2.4.7
Anklicken von Links unter KDE .....................................61
3.2.4.8
Anklicken von Links unter Thunderbird ........................62
3.2.5 Secure Clipboard ............................................................................63
3.2.5.1
Installation vorkompilierter Dateien .............................63
3.2.5.2
Kompilieren von VBoxSharedClipboard.so ....................64
3.2.5.3
Kompilieren der Bestätigungs-GUI ................................65
3.3 De-Installation von BitBox ..........................................................................65
4
Installation der virtuellen Maschine ...................................................67
4.1 Import einer existierenden BitBox-VM .........................................................67
4.1.1 In den Benutzerkontext von Benutzer 'virtual' wechseln ................67
4.1.1.1
Windows ........................................................................67
4.1.1.2
Linux .............................................................................68
4.1.2 Importieren der virtuellen Maschine ...............................................68
4.1.3 BitBox-VM konfigurieren .................................................................70
4.1.4 Schnappschuss erzeugen ...............................................................71
4.2 Erstellen einer neuen BitBox-VM .................................................................71
4.2.1 Download von Debian-CD ..............................................................71
4.2.2 In den Benutzerkontext von Benutzer 'virtual' wechseln ................72
4.2.2.1
Windows ........................................................................72
4.2.2.2
Linux .............................................................................72
4.2.3 Starten von VirtualBox als Benutzer 'virtual' ..................................73
4.2.3.1
Windows ........................................................................73
4.2.3.2
Linux .............................................................................73
4.2.4 Virtuelle Maschine für BitBox erzeugen ..........................................74
4.2.5 Installation der Gasterweiterung ....................................................82
4.2.6 Benötigte Software installieren ......................................................82
4.2.7 Iceweasel 4 installieren ..................................................................82
4.2.8 Zweite Festplatte einrichten ...........................................................83
4.2.9 Shared Folder einrichten ................................................................83
4.2.10 Konfiguration der Soundkarte .........................................................84
„Browser in the Box“
Installations- und Benutzerdokumentation
5
4.2.11
4.2.12
4.2.13
4.2.14
4.2.15
4.2.16
4.2.17
4.2.18
4.2.19
4.2.20
4.2.21
4.2.22
Iceweasel-Wrapper schreiben .........................................................84
Soundproblematik beheben ...........................................................85
Permanenten DNS-Server eintragen ..............................................85
udev-Regeln verbieten ...................................................................85
X-Server Konfiguration erzeugen ....................................................86
GRUB konfigurieren ........................................................................86
OpenBox konfigurieren ...................................................................86
Iceweasel konfigurieren .................................................................87
Persistente Speicherung der Iceweasel-Daten ...............................88
Betriebssystem der Gast-VM härten ...............................................89
Abschluss der Installation ...............................................................90
Schnappschuss erzeugen ...............................................................91
5
Benutzung von BitBox .......................................................................93
5.1 Starten von BitBox ......................................................................................93
5.1.1 Windows .........................................................................................93
5.1.2 Linux ..............................................................................................93
5.2 Surfen im Internet ......................................................................................94
5.3 Verwalten von Lesezeichen / Persistente Daten ..........................................95
5.4 Herunterladen von Dateien ........................................................................95
5.5 Drucken aus BitBox ....................................................................................96
5.6 Sichere Zwischenablage .............................................................................99
6
Administration von BitBox ...............................................................101
6.1.1 In den Benutzerkontext von Benutzer 'virtual' wechseln ..............101
6.1.1.1
Windows ......................................................................101
6.1.1.2
Linux ...........................................................................101
6.1.2 Verwerfen des aktuellen Zustands ...............................................102
6.1.3 Login in die virtuelle Maschine .....................................................102
6.1.4 Durchführen der Änderungen .......................................................103
6.1.5 Snapshot erzeugen ......................................................................103
6.2 Eine BitBox-VM exportieren ......................................................................103
6.3 Signieren / Verifizeren von BitBox-VM Images ...........................................104
6.3.1 Erzeugen eines 2048-Bit RSA-Signaturschlüssels .........................104
6.3.2 Erstellen des Verifikationszertifikats .............................................104
6.3.3 Installation des X.509-Zertifikats ..................................................105
6.3.4 Extrahieren des Verifikationsschlüssel aus X.509 Zertifikat ..........105
6.3.5 Virtuelle Maschine und Shared Folder signieren ...........................105
6.3.6 Virtuelle Maschine und Shared Folder vorm Installieren verifizieren
105
6.4 Verteilung von BitBox im Netzwerk ...........................................................106
6.5 Nachträgliche Änderung an der BitBox-Konfiguration ...............................106
6
Installations- und Benutzerdokumentation
„Browser in the Box“
6.6
6.7
7
6.5.1
6.5.2
Update
Update
Windows .......................................................................................106
Linux ............................................................................................106
von BitBox ....................................................................................106
von VirtualBox ..............................................................................107
Einbindung in ein Behördennetzwerk ...............................................109
7.1 Trennung Internet/Intranet per NAT ..........................................................109
7.2 Kapselung von BitBox mittels VPN am Beispiel von Windows 7 ................110
7.2.1 Einrichten einer VPN-Verbindung mit Windows 7 ..........................110
7.2.2 Ändern der Zugriffsrechte auf die VPN-Verbindung ......................114
7.2.3 VPN und BitBox-Interfaces bridgen ..............................................115
Support / F.A.Q. ..............................................................................117
„Browser in the Box“
Installations- und Benutzerdokumentation
7
Abbildungsverzeichnis
Abbildung 1.1: Die Architektur von Browser in the Box .............................................
Abbildung 1.2: BitBox: Trennung in verschiedene Benutzerkonten ............................
Abbildung 1.3: BitBox Gesamtübersicht ....................................................................
Abbildung 2.1: Entpacken der BitBox-Installationsdateien .........................................
Abbildung 2.2: Installation von VirtualBox .................................................................
Abbildung 2.3: Installation von VirtualBox - neue Netzwerkschnittstellen .................
Abbildung 2.4: Installation von VirtualBox - Gerätetreiber .........................................
Abbildung 2.5: Installation von VirtualBox - Abschluss ..............................................
Abbildung 2.7: Akzeptieren der Lizenzbedingungen und Auswahl des
Installationsmodus ....................................................................................................
18
20
21
25
26
26
27
27
Abbildung 2.6: Auswahl des Zielverzeichnisses für BitBox ........................................
Abbildung 2.8: Konfigurationsoptionen im Standardmodus .......................................
Abbildung 2.9: Konfiguration der BitBox-Persistenz ...................................................
Abbildung 2.10: Konfiguration von Proxy-Server und Proxy-Port ................................
Abbildung 2.11: Konfigurationsoptionen im Expertenmodus .....................................
Abbildung 2.12: Konfiguration des BitBox-Service .....................................................
Abbildung 2.13: Das Anklicken von Links an BitBox weiterleiten ...............................
Abbildung 2.14: Auswahl von Browser in the Box zur Deinstallation .........................
Abbildung 2.15: Deinstallation von BitBox unter Windows (1) ...................................
Abbildung 2.16: Deinstallation von BitBox unter Windows (2) ...................................
Abbildung 3.1: Wählen des Standard-Webbrowsers unter GNOME (1) .......................
Abbildung 3.2: Wählen des Standard-Webbrowsers unter GNOME (2) .......................
Abbildung 3.3: Wählen des Standard-Webbrowsers unter KDE (1) .............................
Abbildung 3.4: Wählen des Standard-Webbrowsers unter KDE (2) .............................
Abbildung 3.5: Wählen des Standard-Webbrowsers unter Thunderbird (1) ................
Abbildung 3.6: Wählen des Standard-Webbrowsers unter Thunderbird (2) ................
Abbildung 4.1: VirtualBox Startseite ..........................................................................
Abbildung 4.2: Einstellung einer neuen virtuellen Maschine ......................................
Abbildung 4.3: Neue VM namens BitBox erstellen .....................................................
Abbildung 4.4: Speicher für BitBox-VM ......................................................................
Abbildung 4.5: Bestätigung, dass eine neue virtuelle Festplatte für die neue virtuelle
Maschine erzeugt werden soll. ..................................................................................
Abbildung 4.6: Einstellen des Festplattentyps ...........................................................
Abbildung 4.7: Festplattengröße für BitBox-Festplatte 1 ............................................
Abbildung 4.8: Zusammenfassung über Festplattenerstellung ..................................
Abbildung 4.9: Abstellen der Mini-Toolbar im Seamles-Modus ...................................
Abbildung 4.10: Hinzufügen des Debian Images als Boot CD ....................................
Abbildung 4.11: Festplattengröße für BitBox-Festplatte 2 ..........................................
Abbildung 4.12: Fertige Massenspeicherkonfiguration für die BitBox-VM ...................
28
29
31
32
33
40
41
45
46
46
60
60
61
61
62
62
74
74
75
75
8
Installations- und Benutzerdokumentation
„Browser in the Box“
28
76
76
77
77
78
79
79
80
Abbildung 4.13: Auswahlpunkt zum Hinzufügen eines Ordner-Pfades für einen shared
Folder ........................................................................................................................ 80
Abbildung 4.14: Konfiguration der Soundkarte via alsamixer .................................... 84
Abbildung 4.15: Iceweasel-Einstellungen innerhalb von BitBox ................................. 88
Abbildung 4.16: Deaktivieren der Host-Key-Taste in VirtualBox ................................. 91
Abbildung 5.1: Standard-Iceweasel-Ansicht beim Surfen mit BitBox .......................... 94
Abbildung 5.2: Drucken aus BitBox ............................................................................ 96
Abbildung 5.3: Druck-Dialog unter Linux ................................................................... 97
Abbildung 5.4: Drucken aus dem Adobe Reader PlugIn ............................................. 98
Abbildung 5.5: Bestätigungsdialog der Sicheren Zwischenablage ............................. 99
Abbildung 6.1: Terminal in BitBox-VM ...................................................................... 102
Abbildung 7.1: Festlegung des NAT-Modus sowie der zu verwendenden Netzwerkkarte
unter VirtualBox ...................................................................................................... 110
Abbildung 7.2: Netzwerk-Verbindungsverwaltung unter Windows 7 ........................ 111
Abbildung 7.3: Herstellen einer VPN-Verbindung unter Windows 7 .......................... 115
Abbildung 7.4: Erstellen einer Netzwerkbrücke zwischen BitBox und VPN ............... 116
„Browser in the Box“
Installations- und Benutzerdokumentation
9
Einleitung
Dieses Dokument ist im Rahmen des Projektes „Browser in the Box“ (BitBox)
entstanden. Zunächst werden in einem allgemeinen Teil die Ziele von und
Anforderungen an eine virtuelle Surfumgebung dargelegt. Im Anschluss daran folgen
Installationsanleitungen, wie BitBox auf Windows- (siehe Kapitel 2) und Linuxsystemen
(siehe Kapitel 3) installiert wird. Darüber hinaus ist in Kapitel 4 erläutert, wie die
benötigte virtuelle Maschine für BitBox erstellt wird und wie diese ggf. weiter gehärtet
werden kann. Kapitel 5 enthält ein Benutzerhandbuch und beschreibt, wie BitBox im
produktiven Einsatz genutzt und gepflegt werden kann. Administrative Hinweise, vor
allem im Hinblick auf Administration und Einbindung in existierende Netzwerke finden
sich in Kapitel 6 und Kapitel 7. Abschließend sind in KapitelSupport / F.A.Q.Hinweise
zum Support von BitBox aufgeführt.
„Browser in the Box“
Installations- und Benutzerdokumentation
11
1 Allgemeiner Teil
Dieses Kapitel beschreibt die grundlegenden Konzepte und Hintergrundinformationen,
die für die Installation und Konfiguration des „Browser in the Box“ (BitBox) relevant
sind. BitBox ist für das sichere und benutzerfreundliche Surfen im Internet entwickelt
worden. Als wichtigster Schritt wird erreicht, dass die Benutzung von BitBox genauso
leicht, intuitiv und ohne Einschränkungen möglich ist wie bei der heute üblichen
direkten Benutzung des Browsers. Die Absicherung wird durch eine Kapselung des
Browsers in einer virtuellen Maschine basierend auf VirtualBox und einem kleinen,
gehärteten Linuxbetriebssystem erreicht. Durch diese Isolation wird ein hohes Maß an
Sicherheit erreicht, sodass der Host gegenüber Angriffen aus dem Internet bestmöglich
geschützt ist. Da diese vollständige Isolation aber für die praktische Nutzung des
Browsers zu restriktiv ist, können in einem zweiten Schritt bestimmte kontrollierte
Informationsflüsse wieder zugelassen werden. Beispiele sind das Herunterladen von
Dateien nach einem Virencheck, oder das Kopieren und Einfügen über eine sichere
Zwischenablage nach einer Benutzerbestätigung. Diese Flexibilität erlaubt es „Browser
in the Box“ an die Sicherheitsrichtlinien einer Behörde oder Unternehmen anzupassen
und ein gleichermaßen sicheres wie benutzerfreundliches Surfen im Internet zu
ermöglichen.
Um unmittelbar mit der Installation zu beginnen, können die automatischen
Installationswerkzeuge für Windows und Linux genutzt werden. Weitere Informationen
hierzu befinden sich in den folgenden Kapiteln:
• Windows: Installation von BitBox unter Windows
•
Linux: Installation von BitBox unter Linux
Eine Anleitung, wie BitBox im produktiven Einsatz verwendet werden kann, findet
sich im Kapitel: Benutzung von BitBox
1.1 Motivation
Die Verwendung des Internet ist aus dem heutigen Alltag -- alleine schon zur
Informationsgewinnung -- kaum mehr wegzudenken. Gleichzeitig wird der PC zur
Verarbeitung
von
vertraulichen
Informationen
verwendet,
seien
dies
personenbezogene Daten, persönliche oder betriebsinterne, unternehmenskritische
Daten. Insbesondere das Surfen im Internet birgt in diesem Szenario ein erhebliches
Gefahrenpotential. Ursache dafür sind die so genannten „Aktiven Inhalte“, die aus
heutigen Webseiten nicht mehr wegzudenken sind. In der Anfangsphase des Web
dominierten rein passive Seiten, bei denen der Browser lediglich einen HTML-Text
darstellte. Die einzige Interaktion mit der Webseite war das Anklicken von Links und
„Browser in the Box“
Installations- und Benutzerdokumentation
13
das Versenden von ausgefüllten Formularen. Moderne Webseiten bieten hingegen ein
reiches Portfolio an Interaktionsmöglichkeiten und sind von vollwertigen nativen
Anwendungen kaum noch zu unterscheiden. Technisch gesehen ist ein moderner
Browser nicht mehr eine reine Darstellungskomponente für HTML-Text, sondern bietet
eine reichhaltige Programmierschnittstelle für die Aktiven Inhalte einer Webseite an.
Beispiele hierfür sind JavaScript, Java, ActiveX und VBScript, oder Anwendungen die
PlugIns erfordern, wie solche zur Darstellung von Flash oder PDF Dateien. Diese
Programmierschnittstellen erlauben auch den Zugriff auf den PC des Benutzers, etwa
auf das Dateisystem, das Mikrofon oder eine angeschlossene Webcam. Damit ist der
Zugriff auf vertrauliche Daten möglich, was das Surfen im Internet aus Sicht der ITSicherheit problematisch macht. Da ein Browser bei einer HTML-Seite nicht den HTMLCode selbst darstellt, sondern dessen Interpretation, werden die Aktiven Inhalte
unbewusst vom Anwender aufgerufen und ausgeführt. Dieser Weg kann genutzt
werden, um Schadprogramme auf den Rechner des Anwenders zu platzieren. Hierbei
ist die Angriffsmethode „Drive-By-Downloads“ besonders gefährlich, bei der das bloße
Aufrufen oder Ansehen einer Webseite ausreicht, um den Rechner mit einem
Schadprogramm zu infizieren. Auch vertrauenswürdige Seiten können ohne Wissen der
Betreiber Schadprogramme verbreiten, etwa über Reklameflächen, Cross-Site-Scripting
oder über manipulierte Webseiten.
1.2 Vergleich verschiedener Ansätze
Die grundlegende Methode zum Erreichen der vorgestellten Ziele ist die Trennung
zwischen dem Browser und dem Rest des Betriebssystems. Hierfür gibt es
verschiedene Möglichkeiten bei denen zwischen drei Ansätzen unterschieden werden
kann, die im folgenden näher erläutert werden:
• Sandboxing,
•
Virtualisierung und
• physikalische Trennung.
Der erste Ansatz ist das Sandboxing (engl. Sandbox = Sandkasten). Sandboxing
beschreibt einen vom Betriebssystem bereitgestellten Sicherheitsmechanismus,
welcher für die Trennung von verschiedenen laufenden Programmen zuständig ist.
Hierbei wird dem Programm nur der Zugang zu den benötigten Ressourcen ermöglicht,
alle weiteren Operationen werden jedoch verboten, oder zumindest stark
eingeschränkt. Dies gilt insbesondere für den Dateizugriff und die Interaktion mit
anderen Programmen oder Speicherbereichen, welche nicht für den eigentlichen
Programmablauf benötigt werden. Eine starke Form des Sandboxing ist das Jail (engl.
Jail = Gefängnis). Dieses beschreibt bereits eine Virtualisierung (s.u.), jedoch noch
nicht im Kontext der Emulation einer ganzen Maschine. Dem Jail können bereits
gewisse Restriktionen bzgl. der Hardwareressourcen mitgeben werden. Ein Browser der
auf den Prinzipien des Sandboxing und Jailing aufbaut ist Google Chrome. Hierbei
14
Installations- und Benutzerdokumentation
„Browser in the Box“
beginnt das Sandboxing bereits während des Aufrufen von mehreren Webseiten in
verschiedenen Tabs (englisch Tab = Reiter/Registerkarte). Jeder Tab ist dabei von den
anderen Tabs abgeschottet, indem für ihn ein eigener Prozess in einer Sandbox
gestartet wird. Dadurch kann ein einmal infizierter Tab keine Informationen aus
anderen gleichzeitig geöffneten Tabs extrahieren. Ein Beispiel wäre eine
Kreditkartennummer, welche in einem parallel geöffneten Tab eingegeben wird.
Zusätzlich ist die Infizierung eines Tabs immer nur temporär, da nach dem Schließen
der jeweilige Prozess beendet wird und ein neuer Tab immer wieder eine neue
„saubere“ Instanz des Tab-Prozesses darstellt. Ein Angriff direkt auf den Browser
könnte jedoch immer noch zu einer persistenten Kontamination des unterliegenden
Betriebssystems führen. Um dem entgegen zu wirken wurde das Betriebssystem
ChromeOS entworfen. Dieses führt das Prinzip des Sandboxings konsequent fort, so
dass der Browser selbst nur noch in einer Sandbox läuft. Zusätzlich sind
Sicherheitsmechanismen implementiert, welche persistente Angriffe nach einem
Neustart des Systems bereinigen. Da es sich bei ChromeOS jedoch um ein eigenes
Betriebssystem handelt muss es parallel zu bereits vorhanden Betriebssystemen
betrieben werden.
Der zweite Ansatz ist die Virtualisierung. Das oben vorgestellt Jailing ist bereits eine
Art der Virtualisierung. Hierbei arbeitet ein Kernel mit mehreren virtualisierten
Nutzerräumen. Eine andere Form ist die Virtualisierung des kompletten
Betriebssystems einschließlich des Kernels durch eine virtuelle Maschine (VM). Unter
einer virtuellen Maschine wird ein Hardware/Software Duplikat der zugrunde liegenden
realen Hardware verstanden. Die von der VM bereitgestellte Plattform wird
Gastplattform bezeichnet, die Plattform, auf der die VM läuft, wird als Hostplattform
bezeichnet. Üblicherweise läuft innerhalb der VM ein eigenes Betriebssystem (Gast
Betriebssystem), welches nicht mit dem Betriebssystem des Host übereinstimmen
muss. Da die virtualisierte CPU der Host CPU entspricht, kann die Ausführung von
Programmen in der virtuellen Maschine größtenteils direkt auf der Host Hardware
erfolgen und ist damit sehr effizient. Die korrekte Aufteilung der Ressourcen wie CPU
und Speicher auf mehrere virtuelle Maschinen und die Isolation der virtuellen
Maschinen voneinander und von der Hostplattform wird von dem Virtual Machine
Monitor (VMM) überwacht. Je nach Aufgabengebiet und Vertrauenswürdigkeit der
einzelnen Betriebssysteme wird den einzelnen Systemen der Zugriff auf kritische
Ressourcen gewährt oder verweigert. Ein Browser könnte in diesem Beispiel nur Zugriff
auf gewisse Seiten haben und von anderen ausgeschlossen werden. Ebenso könnte
dem selben Browser der Zugriff auf Dateien für den Austausch zwischen
Betriebssystemen gewährt oder verweigert werden. Gleichzeitig ist es möglich, dass
der Browser selber nur temporäre Daten anlegen darf und er somit nach jedem
Neustart wieder in den Ausgangszustand überführt werden kann. BitBox basiert auf
diesem Prinzip.
Der dritte Ansatz ist die physikalische Trennung von Browser und Arbeitsrechner.
Hierbei besteht die Lösung darin, dass separate Computer für den Internetzugriff bereit
gestellt werden. Im sichersten Falle sind die für den Internetzugriff genutzten Rechner
„Browser in the Box“
Installations- und Benutzerdokumentation
15
nicht mit dem internen Behörden-, bzw. Unternehmensnetz verbunden und somit ist
dieses vom Internet getrennt. Auch hier sind Einschränkungen in der Benutzbarkeit
hinzunehmen, die durch diese strenge Trennung der Netze und Rechner entstehen. Bei
einer weiteren Lösung wird über Terminal Server auf das Internet zugegriffen (wie etwa
beim Remote-Controlled Browsers System (ReCoBS) des BSI 1). Der Terminal Server ist
zum einen am Internet angeschlossen und zum anderen über das interne Netz
erreichbar. Diese Lösung ist durch den Einsatz von Terminal Servern mit hohen Kosten
verbunden und für einige Funktionen müssen Hilfskonstruktionen bereitgestellt
werden, um das interne Netz auch dann zu schützen, falls auf dem Terminal Server
Schadprogramme ausgeführt werden. Des weiteren leidet die Darstellung von
Multimediainhalten an den durch die Netzanbindung entstehenden Latenzen. Ein
weiteres Problem entsteht durch die Tatsache, dass der Ausfall dieses Systems direkte
Auswirkungen auf alle Nutzer hat.
Eine Sonderlösung bietet die Nutzung von SurfCDs. Dabei wird zum Surfen im
Internet der Rechner mit der SurfCD neu gebootet, die ein eigenes Betriebssystem und
den Browser enthält. Diese Lösung bieten ebenfalls die Sicherheit nach einem Neustart
wieder in den Ausgangszustand zurückgesetzt zu werden. Somit sind persistente
Angriffe auf das System der SurfCD nach einem Neustart hinfällig. Allerdings könnte
ein Angreifer Änderungen am unterliegenden System vornehmen, sofern die Daten
nicht vor einem Zugriff geschützt sind, z.B. durch Verschlüsselung. Die Benutzbarkeit
ist ebenfalls eingeschränkt, da für das Arbeiten immer ein Neustart des gesamten
Systems notwendig ist. Der Austausch mit dem eigentlichen Arbeitsbetriebssystem
gestaltet sich entweder schwierig oder sicherheitskritisch, da hier immer ein
zusätzliches Medium (z.B. USB-Stick) verwendet werden muss.
1.3 Bedrohungsszenarien
Um zu verdeutlichen, welchen Bedrohungen ein Browser ausgesetzt ist, und wie
Benutzer davor geschützt werden können, müssen zunächst die möglichen Angreifer
identifiziert werden. In dieser Betrachtung wird das Host-System als bestmöglich
abgesichert angenommen.
Im Kontext einer Firma oder einer Behörde kann nicht nur von externen
Bedrohungen ausgegangen werden, sondern es muss auch die Gefahr eines internen
Angreifers berücksichtigt werden. Bezogen auf einen Browser sollte sowohl eine
Härtung gegen externe Angriffe erfolgen, als auch der Upload von Daten
eingeschränkt, oder je nach Richtlinie sogar verboten werden. Die Methode der
physikalischen Trennung erreicht in diesem Punkt das Optimum, da sich die kritischen
Daten und der Browser auf verschiedenen Systemen befinden. Problematisch wird
diese Lösung falls eine unidirektionaler Datentransfer aus dem Internet auf den
Arbeitsrechner erlaubt sein soll, z.B. in der Form eines Downloads. Es sollte also eine
Lösung angestrebt werden, die flexibel uni-, oder bidirektionale Verbindungen zulassen
1
16
https://www.bsi.bund.de/ContentBSI/Themen/Internet_Sicherheit/Gefaehrdungen/AktiveInhalte/schutzmoe
glichkeiten/recobs/loesungsansatz.html
Installations- und Benutzerdokumentation
„Browser in the Box“
oder unterbinden kann.
In Bezug auf externe Angriffe, kann für dieses Dokument zwischen Angriffen auf
den Browser bzw. dessen Nutzer und auf das Hostsystem unterschieden werden.
Erstere richten sich gegen die Schwachstellen eines Browsers oder machen sich das
Surfverhalten des Nutzers zu eigen. Ziel solcher Angriffsmethoden ist häufig das
Ausspähen von sensiblen Daten, wie z.B. Kreditkartennummern, oder internen
Firmengeheimnissen. Beispielsweise kann über Aktive Inhalte auf Daten in der
systemweiten Zwischenablage zugegriffen werden und damit unbemerkt vertrauliche
Daten ausgespäht werden, die gerade in einer anderen Anwendung bearbeitet werden.
Dieser unbemerkte Zugriff kann unterbunden werden, indem ein Kopiervorgang in den
Browser einer zusätzlichen Bestätigung durch den Benutzer bedarf. Ein anderes
Beispiel sind Phishing Webseiten. Da diese Angriffe stark vom Sicherheitsbewusstsein
des Nutzers abhängen können sie nur schwer geblockt werden. Aber auch hier kann
das Verhindern eines einfachen Kopieren und Einfügens von Daten in ein Formular
durchaus dazu führen, dass der Nutzer sich über die Relevanz der eingetragenen
Daten noch einmal bewusst wird. Angriffe gegen den Browser kann durch die
Behebung der Schwachstellen entgegnet werden. Gegen bisher unbekannte
Sicherheitslücken, welche persistente Änderungen am Browser vornehmen, nützen
Mechanismen, die den Browser nach einem Neustart wieder auf einen sicheren
Zustand bringen. Zwar beugt diese Methode den Angriffen selber nicht vor, verhindert
aber die dauerhafte Kontamination des Browsers.
Direkte Angriffe gegen das Hostsystem über den Browser sind noch schwerer zu
verhindern. Neben möglichen Schwachstellen im Browser selber gibt es heutzutage
viele zusätzlich PlugIns, wie z.B. PDF oder Flashplayer, die potentiell weitere
Sicherheitslücken in einem System öffnen. Nachdem sich ein Angreifer auf dem
System die entsprechenden Rechte verschafft hat, kann er prinzipiell beliebige
Änderungen vornehmen. Sandboxing oder Virtualisierung erzeugen hier eine weitere
Hürde, die ein Angreifer nehmen muss, um dieses Ziel zu erreichen. Da die Codebasis
der kritischen Programmteile einer VM in der Regel kleiner ist, als die eines kompletten
Betriebssystems, ist ein Fehler im Quellcode weniger wahrscheinlich.
Eine mögliche Lösung, welche alle beschriebenen Probleme berücksichtigt ist ein
virtualisierter Browser. Im folgenden soll die Architektur eines solchen Konzepts
beschrieben werden.
„Browser in the Box“
Installations- und Benutzerdokumentation
17
1.4 Architektur und Realisierung
Abbildung 1.1: Die Architektur von Browser in the Box
Die zentrale technische Komponente bei der Realisierung von „Browser in the Box“
(BitBox) ist die Virtualisierung. Der Browser wird in einer virtuellen Maschine
ausgeführt (siehe Abbildung 1.1) und ist so von den anderen Anwendungen und dem
Intranet isoliert.
Im Einsatzszenario von BitBox wird zwischen „Host Netzwerk“ und „Internet
Netzwerk“ unterschieden. Das Host Netzwerk ist das lokale, Unternehmens- oder
Behördennetzwerk, in dem BitBox zum Einsatz kommt. Das Internet Netzwerk ist das
Netzwerk, in dem sich der Gast befindet, um auf das Internet zuzugreifen. Ein
wichtiges Sicherheitsziel ist, dass aus dem Gast heraus kein Zugriff auf das Host
Netzwerk möglich ist.
Als Virtualisierungslösung wird VirtualBox OSE von Oracle verwendet. In der
virtuellen
Maschine
wird
ein
gehärtetes,
minimales
Debian
Linux
als
Gastbetriebssystem ausgeführt. In der bereitgestellten virtuellen Maschine kommt
Firefox / Iceweasel als Browser zum Einsatz. Die Lösung wird für die Host
Betriebssysteme Debian Linux und Windows in den Versionen XP, Vista und 7
bereitgestellt. Das Host Netzwerk wird so konfiguriert, dass das Surfen im Internet nur
über die virtuelle Maschine möglich ist. Der Browser ist von dem Host Netzwerk isoliert
und kann somit nicht auf im Host gespeicherte Daten zugreifen. Selbst wenn die
Gastplattform über das Internet mit Schadprogrammen infiziert wird, ist die
Hostplattform davon nicht direkt betroffen.
Ein weiterer Schutzmechanismus wird durch die Verwendung von sogenannten
Schnappschüssen umgesetzt. VirtualBox erlaubt es, den Systemzustand der gesamten
18
Installations- und Benutzerdokumentation
„Browser in the Box“
virtuellen Maschine zu einem gewählten Zeitpunkt in einem Schnappschuss
festzuhalten. Damit ist es möglich, bei jedem neuen Aufruf des Browsers von einem
vordefinierten, sauberen Systemzustand des Gastes zu starten. Etwaige
Schadprogramme, die während des Surfens auf dem Gast gelangt sind, sind somit bei
einer neuen Sitzung wieder verschwunden. In dieser Konfiguration ist es nun, vom
Standpunkt der Host Sicherheit aus, unbedenklich auch Aktive Inhalte anzuzeigen.
Um den Benutzerkomfort zu erhöhen, werden verschiedene Zusatzfunktionen
implementiert, die teilweise auf Funktionen von VirtualBox aufbauen. Zunächst wird
der sogenannte „Seamless“ Mode verwendet. Dabei wird darauf verzichtet, den
kompletten Gast Desktop als ein einzelnes Fenster im Host anzuzeigen. Stattdessen
wird ein einzelnes Anwendungsfenster (in diesem Fall das des Browsers) im Gast direkt
auf ein einzelnes Fenster im Host abgebildet. Somit erscheint der Browser im Gast wie
eine normale Host Anwendung und die Virtualisierung ist für den Benutzer transparent.
Die bisher beschriebene Konfiguration ist immer noch sehr restriktiv, da das
Gastsystem komplett vom Host-System isoliert ist und kein Informationsfluss
stattfindet, z.B. können keine Dateien aus dem Internet heruntergeladen und auf dem
Hostsystem weiterverarbeitet werden. Diese Isolation ist vom Sicherheitsstandpunkt
aus zwar sehr positiv, ist aber für eine breite Akzeptanz beim Anwender hinderlich.
Daher werden im folgenden kontrollierte Informationsflüsse erlaubt.
Durch das Zurücksetzen der Schnappschüsse beim Neustart verliert der Browser
zunächst sämtliche vom Benutzer vorgenommenen Einstellungen und insbesondere
auch die gespeicherten Lesezeichen. Um dies zu vermeiden, wird die Funktionalität
„Gemeinsame Ordner“ von VirtualBox verwendet, die es erlaubt, auf bestimmte Ordner
im Host Dateisystem auch vom Gast aus zuzugreifen. In einem solchen gemeinsamen
Ordner werden alle persistenten Konfigurationsdaten des Browsers gespeichert.
Ebenso können aus dem Internet heruntergeladene Dateien über diesen Weg auf dem
Host abgelegt und dort weiterverarbeitet werden. Darauf aufbauend wird das
Herunterladen von Dateien weiter abgesichert, indem die Dateien zunächst einer
Sicherheitsprüfung (Malware-Scan) unterzogen werden, bevor sie dem Benutzer im
Host Dateisystem zur Verfügung stehen.
Für die Akzeptanz von BitBox ist die Benutzbarkeit der Zwischenablage erwünscht,
um beispielsweise URL's aus einer E-Mail in den Browser zu kopieren. VirtualBox kann
so konfiguriert werden, dass es Kopiervorgänge verbietet, dass es Kopiervorgänge nur
in eine Richtung erlaubt (wahlweise vom Gast zu dem Host oder umgekehrt) oder dass
es Kopiervorgänge in beide Richtungen erlaubt. Darüber hinaus wird in BitBox eine
verfeinerte Variante der Zwischenablage implementiert, die einen Kopiervorgang nur
nach Bestätigung des Benutzers erlaubt. Dadurch kann verhindert werden, dass ein
Schadprogramm im Gast unbemerkt aus der Zwischenablage des Host liest, in der ggf.
vertrauliche Daten liegen können.
Um sicherzustellen, dass nur autorisierte Schnappschüsse verwendet werden,
findet eine Zertifizierung der Schnappschüsse statt.
Ein wichtiger Aspekt im Lebenszyklus von BitBox ist das Einspielen von
Softwareaktualisierungen im Gast. Dies betrifft Aktualisierungen des Browsers als auch
„Browser in the Box“
Installations- und Benutzerdokumentation
19
des Gastbetriebssystems, insbesondere sicherheitsrelevante Aktualisierungen. Um
diesen Vorgang zu unterstützen, kann der Administrator einen neuen Schnappschuss
mit der aktualisierten Software erstellen und diesen Schnappschuss zertifizieren. Der
zertifizierte Schnappschuss kann nun beim Benutzer installiert werden, und es wird mit
Hilfe von digitalen Signaturen sichergestellt, dass nur zertifizierte Schnappschüsse
installiert werden können. Damit kann eine unbemerkte und unerwünschte
Manipulation der Schnappschüsse ausgeschlossen werden.
1.5 Kontrolle der VirtualBox Schnittstellen
Die bisher beschriebenen Maßnahmen schützen das Hostsystem vor Angriffen aus
dem Internet. Im Unternehmens- und Behördenumfeld ist aber eine weitere wichtige
Frage, ob auch durch die Verwendung der Virtualisierung die internen
Sicherheitsrichtlinien weiterhin eingehalten werden, insbesondere was die Rechte des
Benutzers betrifft. Es sollte beispielsweise nicht möglich sein, dass der Benutzer
beliebige Programme innerhalb des Gastes installieren und ausführen kann, die er auf
dem Hostrechner nicht ausführen darf. Die Frage ist also wie die Benutzung von
VirtualBox so einschränken werden kann, dass diese wirklich nur zum browsen im
Internet verwendet werden kann.
Abbildung 1.2: BitBox: Trennung in verschiedene Benutzerkonten
Dazu müssen zunächst die Schnittstellen betrachtet werden die VirtualBox
anbietet. Neben der grafischen Benutzerschnittstelle bietet VirtualBox beispielsweise
auch eine Kommandozeilenschnittstelle an. Alle Schnittstellen gehen aber letzten
Endes auf eine sehr reichhaltige öffentliche Programmierschnittstelle zurück, die es
dem Benutzer erlaubt VirtualBox zu steuern, vom Anlegen, Konfigurieren, Starten und
Stoppen von virtuellen Maschinen bis hin zur Steuerung des Gastbetriebssystems vom
Host aus. Auf diese Schnittstelle sollte der Benutzer keinen direkten Zugriff mehr
haben. Um dies zu erreichen lagern wir die Ausführung von BitBox mitsamt der
kompletten VirtualBox Infrastruktur in ein anderes, gehärtetes Benutzerkonto aus. Auf
dieses Konto hat der Benutzer keinen direkten Zugriff mehr. Der Zugriff wird indirekt
durch Skripte hergestellt die beim Start des BitBox, oder beim Anklicken eines Links,
20
Installations- und Benutzerdokumentation
„Browser in the Box“
aufgerufen werden (siehe Abbildung 1.2). Auf einem Linux Hostrechner verwenden wir
dazu das Kommando sudo, das es erlaubt ein Programm unter einem anderen
Benutzerkonto zu starten (ohne das Passwort kennen zu müssen). Für einen Windows
Hostrechner haben wir dazu einen eigenen Systemdienst entwickelt, der im
Hintergrund läuft und Anfragen des Benutzers analog bearbeitet.
1.6 Überblick über die BitBox Komponenten
Abbildung 1.3: BitBox Gesamtübersicht
Abbildung 1.3. stellt die Gesamtarchitektur von BitBox dar, wie sie in Abschnitt 1.4 im
Einzelnen beschrieben wurden. Durch die Isolation in zwei verschiedene
Benutzerkonten kann der Informationsfluss zwischen dem Browser und dem Benutzer
kontrolliert werden. Alle gemeinsamen Ordner die aus der virtuellen Maschine (und
damit dem Browser) und dem Host aus zugänglich sind, sind für den Benutzer
zunächst unzugänglich. Erst wenn die Dateien (zum Download und zum Druck) einer
Integritätsprüfung unterzogen worden sind, werden sie in einen Ordner kopiert, auf
welchen der Benutzer zugreifen kann. Des Weiteren ist zu beachten, dass diese
„Browser in the Box“
Installations- und Benutzerdokumentation
21
Integritätsprüfungen auf dem Host stattfinden, den wir als sicher Annehmen und nicht
im Gast durchgeführt werden, welcher kontaminiert sein könnte.
Die Aufgabe der „Browser Überwachung“ ist es das Beenden der letzten BrowserInstanz festzustellen. Wird das letzte Fenster geschlossen wird die gesamte virtuelle
Maschine (und auch die anderen Überwachungs-Dienste) beendet. Damit werden die
Ressourcen des Host Rechners geschont wenn kein Browser läuft.
1.7 Unterschiedliche Sicherheitsniveaus
Nach IT-Grundschutz wird der Schutzbedarf einer Anwendung bzw. eines Systems in
die Kategorien normal, hoch und sehr hoch unterteilt. Im Behördenbereich aber auch in
einigen Unternehmensbereichen müssen darüber hinaus einige Anwendung unter der
Berücksichtigung von nach der VSA eingestuften Niveaus ausgeführt werden.
Um das Surfen im Netz entsprechend des Schutzbedarfs abzusichern, empfiehlt das
BSI für nach der VSA eingestufte Bereiche nur nach der VSA zugelassene
Anwendungen und Systeme einzusetzen.
Für einen Schutzbedarf, der als hoch oder sehr hoch eingestuft wurde, wird
empfohlen zertifizierte Produkte wie beispielsweise ReCoBS-Produkte
einzusetzen.
Die hier vorgestellte Lösung BitBox eignet sich für den Einsatz bei einem normalen
Schutzbedarf.
22
Installations- und Benutzerdokumentation
„Browser in the Box“
1.8 Mindestanforderungen
Um BitBox einsetzen zu können, werden die folgenden Anforderungen an Hard- und
Software gestellt:
Software:
• Betriebssystem:
◦
◦
Microsoft Windows
▪
Microsoft Windows XP, mindestens Service Pack 2
▪
Microsoft Windows Vista
▪
Microsoft Windows 7
Linux-OS mit grafischer Oberfläche (z.B. KDE/Gnome)
▪
Debian Linux 5
▪
Debian Linux 6
▪
(K)Ubuntu 10.04
▪
(K)Ubuntu 10.10
▪
(K)Ubuntu 11.04
• VirtualBox 4.0.10
Hardware:
• Mindestanforderung:
•
◦
1GB Arbeitsspeicher
◦
1,6 GHz CPU (z.B. Core2Duo)
◦
mind. 2GB freier Festplattenspeicher
◦
Internetanbindung
Empfehlenswert:
◦
2GB Arbeitsspeicher
◦
2 GHz CPU und höher
◦
64-Bit Technologie
◦
Unterstützung für Virtualisierungstechnologien
▪
Intel VT-X
▪
AMD-V
„Browser in the Box“
Installations- und Benutzerdokumentation
23
2 Installation von BitBox unter Windows
Um BitBox unter Windows zu installieren, existieren zwei Möglichkeiten. Die erste
Variante nutzt einen vollautomatischen Installer (siehe Kapitel 2.1). Alternativ kann
BitBox auch manuell installiert und konfiguriert werden (siehe Kapitel 2.2).
2.1 Automatische Installation mittels Installer
2.1.1
Installationsverlauf
Die automatische Installation kann mit einem Doppelklick auf den Installer
BitBox.1.0.0.Archiv.exe gestartet werden. Es werden zwingend administrative Rechte
für die Installation vorausgesetzt.
Zunächst entpackt BitBox seine zur Installation benötigten Installationsdateien und
startet anschließend die Installationsroutine BitBoxSetup.1.0.0.exe.
Abbildung 2.1: Entpacken der BitBox-Installationsdateien
2.1.1.1Installation von VirtualBox
Falls VirtualBox von Oracle noch nicht installiert ist, bietet der BitBox-Installer Ihnen
an, die Installation von VirtualBox zu starten. VirtualBox fragt nach ob eine
Verknüpfung auf dem Desktop und der Quick Launch Bar erstellt werden soll. Dies ist
beides für den Betrieb von BitBox nicht nötig, diese Optionen kann also deaktiviert
werden:
„Browser in the Box“
Installations- und Benutzerdokumentation
25
Abbildung 2.2: Installation von VirtualBox
Während der Installation von VirtualBox werden auch diverse Gerätetreiber in
Windows installiert. Vor der Installation eines Gerätetreibers blendet Windows einen
Abbildung 2.3: Installation von VirtualBox - neue
Netzwerkschnittstellen
Dialog ein. Die Installation durch drücken des Knopfes „Installieren“ zulassen.
26
Installations- und Benutzerdokumentation
„Browser in the Box“
Abbildung 2.4: Installation von VirtualBox - Gerätetreiber
Nach der Installation fragt VirtualBox, ob VirtualBox gestartet werden soll. Dies ist für
den Betrieb von BitBox nicht erforderlich und kann deshalb deaktiviert werden.
Abbildung 2.5: Installation von VirtualBox - Abschluss
„Browser in the Box“
Installations- und Benutzerdokumentation
27
2.1.1.2Installation von BitBox („Standardmodus“)
Nach der Installation von VirtualBox wird die Installation von BitBox fortgesetzt.
Zunächst ist eine Bestätigung der Lizenzbedingungen notwendig. Anschließend kann
zwischen
„Standardmodus“
und
„Expertenmodus“
gewählt
werden.
Im
„Standardmodus“ wird als erstes der Installationspfad für BitBox gesetzt.
Abbildung 2.7: Akzeptieren der Lizenzbedingungen und Auswahl des Installationsmodus
Abbildung 2.6: Auswahl des Zielverzeichnisses für BitBox
28
Installations- und Benutzerdokumentation
„Browser in the Box“
Anschließend können in folgendem Dialog einige Konfigurationsoptionen gesetzt
werden:
Abbildung 2.8: Konfigurationsoptionen im Standardmodus
•
Download
◦
•
In dem unter „Download Ordner“ eingetragenen Verzeichnis werden aus
dem Internet heruntergeladene Dateien zur Verfügung gestellt.
Virenscanner
◦
Unter „Virenscanner“ kann ein Virenscanner ausgewählt werden, der
heruntergeladene Dateien und zu druckende Dateien scannt, bevor sie dem
Nutzer zugänglich gemacht werden. Aktuell werden hier Avira Antivir und
Symantec unterstützt. Für beide Programme benötigt man neben der
Standardinstallation noch spezielle Kommandozeilenprogramme, die von
BitBox aus gesteuert werden können:
• Avira
AntiVir“:
ist
herunterladbar
von
der
Seite
http://www.avira.com/de/support-download-free-antivirus
und
der
Kommandozeilenscanner scancl.exe ist herunterladbar von der Seite:
http://www.avira.com/de/support-download-avira-antivir-command-linescanner-scancl Für die Installation des Kommandozeilenscanners muss
dieser zunächst entpackt werden. Die scancl.exe sowie alle weiteren
„Browser in the Box“
Installations- und Benutzerdokumentation
29
•
•
Drucken
◦
•
„BitBox das direkte Drucken erlauben“ legt fest, ob aus BitBox heraus
Dokumente über den Adobe Acrobat Reader direkt an einen Drucker
weitergeleitet werden können. Diese Option kann nur gewählt werden, wenn
eine Version von Adobe Acrobat Reader installiert ist.
Zwischenablage
◦
30
Dateien müssen in das Installationsverzeichnis von AntiVir Desktop
verschoben werden. Hierfür muss gegebenenfalls zunächst der
Manipulationsschutz von Antivir deaktiviert werden. Dies kann mit einem
Rechtsklick auf das Antivir-Symbol in der Taskleiste und das Wählen des
Punktes „AntiVir konfigurieren“ erfolgen. Hier muss der Expertenmodus
aktiviert werden. Danach kann unter „Allgemeines“ → „Sicherheit“ der
Punkt „Dateien und Registrierungseinträge vor Manipulation schützen“
deaktiviert werden. Danach können die Dateien in diesen Ordner kopiert
werden. Abschließend muss der Manipulationsschutz von Antivir analog
der bereits beschriebenen Methode wieder aktiviert werden.
Symantec: Ähnlich wie bei Avira benötigt man für Symantec das
Kommandozeilenprogramm nss.exe. Dies wird in einem Archiv
ausgeliefert welches nach dem entpacken ein Verzeichnis SymSupport anlegt. Dieses Verzeichnis muss man in das Installationsverzeichnis von
Symantec kopieren typischerweise: C:\Programme (x86)\Symantec.
Danach
sollte
nss.exe
über
den
Pfad: C:\Programme (x86)\Symantec\SymSupport\nss.exe
erreichbar
sein.
Bundesbehörden können das Tool nss.exe gegebenenfalls über das BSI
beziehen.
Hierzu
wenden
Sie
sich
bitte
per
E-Mail
an:
service-center@bsi.bund.de.
Durch die Kapselung des Browsers in BitBox ist die Zwischenablage von
Windows und des Browsers zunächst isoliert. Damit ist ein Kopieren /
Einfügen zwischen Browser und Windows nicht möglich. Es werden
verschiedene
Konfigurationsmöglichkeiten
angeboten,
um
einen
kontrollierten Informationsfluss zu gestatten.
• Unidirektional: Gast → Host
Hier ist ein Kopieren / Einfügen von BitBox nach Windows möglich und
die umgekehrte Richtung grundsätzlich verhindert. Schadsoftware im
Gast (Browser) hat also keine Möglichkeit, aus dem Clipboard
vertrauliche Daten im Host (Windows) zu erspähen.
• Unidirektional: Host → Gast
Hier ist ein Kopieren / Einfügen von einer Windows-Anwendung in BitBox
möglich, aber nicht umgekehrt. Dadurch kann verhindert werden, dass
schadhafter Inhalt (z.B. virenbefallene Daten) aus dem Browser in den
Host Rechner gelangen kann.
Installations- und Benutzerdokumentation
„Browser in the Box“
•
•
•
Standardbrowser
◦
•
Bidirektional
Hier ist ein Kopieren / Einfügen in beide Richtungen erlaubt. Da aber der
Benutzer jedes Kopieren / Einfügen ohnehin explizit bestätigen muss,
kann er dennoch verhindern, dass Schadsoftware unbemerkt über die
Zwischenablage verfügen kann.
Blocken
Hier ist kein Kopieren / Einfügen möglich.
Der letzte Punkt „BitBox als Standardbrowser einrichten“ legt fest, ob BitBox
nach der Installation als Standardbrowser des Systems eingerichtet werden
soll.
Persistente Speicherung von Daten
◦
Anschließend hat man die Möglichkeit, die Datenhaltung von BitBox zu
konfigurieren. Um Daten persistent zu speichern, stehen hier drei
Auswahlmöglichkeiten zur Verfügung:
▪ Alle (Konfiguration, Lesezeichen)
▪
Nur Lesezeichen
▪
Keine
Abbildung 2.9: Konfiguration der BitBox-Persistenz
„Browser in the Box“
Installations- und Benutzerdokumentation
31
•
Proxy-Einstellungen
◦
Im nächsten Fenster kann ein Proxy-Server für die Verbindung des Browsers
zum Internet eingestellt werden. Wenn keine Proxy-Server verwendet wird
sollten die Felder leer gelassen werden.
Anschließend wird die Installation von BitBox durchgeführt. Der Installer informiert
den Nutzer über den gelungenen Abschluss der Installation.
Abbildung 2.10: Konfiguration von Proxy-Server und
Proxy-Port
32
Installations- und Benutzerdokumentation
„Browser in the Box“
2.1.1.3Installation von BitBox („Expertenmodus“)
Im Expertenmodus bestehen neben den Einstellungen des Standardmodus noch
weitere Konfigurationsmöglichkeiten.
Abbildung 2.11: Konfigurationsoptionen im Expertenmodus
•
Nutzername
◦
•
Benutzung der Zwischenablage bestätigen
◦
•
BitBox wird nicht im Konto des Benutzers ausgeführt sondern in einem
speziell angelegten Benutzerkonto. Hier kann der Name des Benutzerkontos
festgelegt werden. Es darf sich dabei nicht um ein bereits existierendes,
anderweitig genutztes Konto handeln.
Mit der Option „Benutzung der Zwischenablage bestätigen“ wird festgelegt,
ob bei dem Kopieren / Einfügen zwischen BitBox und einer anderen
Applikation eine explizite Benutzerbestätigung eingegeben werden muss.
Dadurch kann Schadsoftware nicht unbemerkt aus der Zwischenablage
lesen.
Zufälliges Root-Passwort in der virtuellen Maschine
◦
Der Webbrowser in BitBox wird in einer virtuellen Maschine unter Debian
„Browser in the Box“
Installations- und Benutzerdokumentation
33
Linux ausgeführt. Mit der Option „Ein zufälliges Root-Passwort in der
virtuellen Maschine setzen“, legt fest, dass bei der Installation ein neues
zufällig generiertes Root-Passwort in das Debian Linux eingesetzt wird.
•
Zugriffsrechte auf VirtualBox Ordner
◦
34
Mit der Option „Den Order von VirtualBox für normale Nutzer sperren“
werden die Zugriffsrechte auf die entsprechenden Programmordner
eingeschränkt. Normalen Nutzern ist der direkte Zugriff auf VirtualBox
verwehrt.
Installations- und Benutzerdokumentation
„Browser in the Box“
2.1.1.4Nicht-Interaktive Installation von BitBox aus der Konsole
Das Installationsprogramm kann auch aus der Konsole mit Parametern aufgerufen, so
dass die Installation ohne weitere Benutzerinteraktion abläuft.
Parameter
Beschreibung
Optionen
Standardwert
/D
Installationsverzeichnis
C:\Program Files
(x86)\BitBox
-userName
Name des dummy
Nutzers
BitBox
-sharedFolder
Pfad zum „shared folder“
C:\Users\Public\
Downloads
-virusScanner
Virenscanner
-printer
Direktes drucken aus der 0 oder 1
BitBox
1
-clipboardDirection
Erlaubter
bidirectional,
Informationsfluss durch hosttoguest,
die Zwischenablage
guesttohost,
disabled
bidirectional
-secureClipboard
Benutzerbestätigung der 0 oder 1
Zwischenablage
1
-standardBrowser
BitBox als StandardWebbrowser
0 oder 1
1
-randomGuestRoot
<Password>
Ein zufälliges Passwort
0 oder 1
für die virtuelle Maschine
generieren
1
-restrictFolderAccessRights
Zugriff auf Virtual Box 0 oder 1
einschränken
1
-proxyAddress
Proxy Adresse
-proxyPort
Proxy Port
-persistentData
Daten
die
dauerhaft none,
gespeichert werden
bookmarks,
all
„Browser in the Box“
Installations- und Benutzerdokumentation
Avira AntiVir,
Symantec
Antivirus
kein
Virenscanner
none
35
2.2 Manuelle Installation
Für die manuelle Installation der virtuellen Surfumgebung unter Windows sind die
folgenden Schritte notwendig:
1. Vorbereitung des Systems
2. Installation der von BitBox genutzten Gast-VM
3. Anlegen eines zusätzlichen Benutzers für BitBox
4. Installation von BitBox
5. Einschränkung der Dateizugriffsrechte
6. Anpassung der Windows-Registry
7. Konfiguration des BitBox-Services
8. Konfiguration von Links
9. Installation der Sicheren Zwischenablage
2.2.1
Vorbereitung des Systems
Für eine lauffähige virtuelle Surfumgebung mit allen Features werden die folgenden
Softwarekomponenten benötigt. Die folgenden Komponenten müssen zunächst
heruntergeladen und analog zu der entsprechenden Installationsanleitung auf dem
Windows-Rechner installiert werden:
•
VirtualBox Version 4.0.10 für Windows
http://www.virtualbox.org
•
Adobe Reader 10.0.1
http://www.adobe.com
Aktuell werden von BitBox Antivirensoftware von Symantec und Avira unterstützt.
Für Privatanwender, die keine gültige Symantec-Lizenz besitzen, empfiehlt sich der
Einsatz des kostenlosen Antiviren-Produkts: „Avira AntiVir“, downloadbar unter:
http://www.avira.com/de/support-download-free-antivirus
sowie der Kommandozeilenscanner scancl.exe, downloadbar unter:
http://www.avira.com/de/support-download-avira-antivir-command-line-scannerscancl
Für die Installation des Kommandozeilenscanners muss dieser zunächst entpackt
werden. Die scancl.exe sowie alle weiteren Dateien müssen in das
Installationsverzeichnis von AntiVir Desktop verschoben werden. Hierfür muss
zunächst der Manipulationsschutz von Antivir deaktiviert werden. Dies kann mit einem
Rechtsklick auf das Antivir-Symbol in der Taskleiste und das wählen des Punktes
„AntiVir konfigurieren“ erfolgen. Hier muss der Expertenmodus aktiviert werden.
Danach kann unter „Allgemeines“ → „Sicherheit“ der Punkt „Dateien und
Registrierungseinträge vor Manipulation schützen“ deaktiviert werden. Danach können
36
Installations- und Benutzerdokumentation
„Browser in the Box“
die Dateien in diesen Ordner kopiert werden. Abschließend muss der
Manipulationsschutz von Antivir analog der bereits beschriebenen Methode wieder
aktiviert werden.
2.2.2
Installation der von BitBox genutzten Gast-VM
Die genaue Beschreibung, wie eine BitBox-kompatible virtuelle Maschine erzeugt
werden kann, ist in Kapitel 4.1 zu finden.
2.2.3
Anlegen eines zusätzlichen Benutzers für BitBox
Nach der Installation der Software muss ein neuer Windows-Benutzer angelegt
werden. Dieser „Dummy“-Nutzer dient als weitere Sicherungsschicht zwischen der
virtuellen Maschine und dem Endnutzer. Dieser Nutzer darf keine administrativen
Rechte besitzen. Für den weiteren Verlauf des Installationshandbuches wird
angenommen, dass der Nutzer ' virtual' mit dem Passwort 'box' angelegt wurde. Diese
Daten dienen nur als Beispiel und sollten keinesfalls in einer produktiven Umgebung
verwendet werden! Der Nutzername muss später in die Konfigurationsdatei
„bitb.conf“ eingetragen werden. Das Passwort muss verschlüsselt in der Datei
„bitb.enc“ gespeichert werden. Beides wird später noch erläutert.
Um den Benutzer anzulegen, existieren als Administrator 2 Möglichkeiten:
1. [Windows XP] Über die Windows-Management-GUI unter: „Start“ →
„Einstellungen“ → „Systemsteuerung“ → „Benutzerkonten“ → „Neues Konto
erstellen“
[Windows Vista / 7] Über die Windows-Management-GUI unter: „Start“ →
„Systemsteuerung“ → „Benutzerkonten hinzufügen und entfernen“ →
„Neues Konto erstellen“
2. Über die Konsole: „Start“ → „Ausführen“ → „cmd“ eingeben:
// net user <username> <password> /add
> net user virtual box /add
2.2.4
Für
Installation von BitBox
diesen
Schritt muss der Ordner BitBox mit den Skripten nach
C:\Programme\BitBox kopiert werden. Die Verzeichnis-Struktur und die wichtigsten
Konfigurationsdateien sollte dann die folgende sein:
<BitBox-Ordner>\BITB\bitb.enc
<BitBox-Ordner>\BITB\...
<BitBox-Ordner>\bitb.conf
<BitBox-Ordner>\Client\...
<BitBox-Ordner>\OpenSSLBin\...
<BitBox-Ordner>\Service\BitBoxService.exe
<BitBox-Ordner>\Service\BitBoxService.ini
<BitBox-Ordner>\Service\...
„Browser in the Box“
Installations- und Benutzerdokumentation
37
In der bitb.conf müssen jetzt einige notwendige Änderungen vorgenommen
werden. Bei Vorgehen nach dieser Anleitung müssen lediglich die folgenden Abschnitte
angepasst werden:
• In [startApplicationAsUser] müssen der Benutzername ( username) und die
Domäne (domain) eingestellt werden. Dies sind die Angaben des vorher
angelegten Windows-Nutzers „virtual“. Wenn das domain-Feld leer gelassen
wird, verwendet BitBox automatisch die Domäne des lokalen PCs.
• In [vbox] muss sharedfolder auf den in den oben konfigurierten shared
Folder gesetzt werden. In diesem Fall ist der Ordner der Pfad
„<PfadzuSharedFolder>\BitBox\downloads“,
der
printerfolder
dementsprechend „<PfadzuSharedFolder>\BitBox\print“ und schließlich der
datafolder „<PfadzuSharedFolder>\BitBox“
•
In [folders] muss downloadfolder auf den gewünschten Zielordner für
heruntergeladene Dateien gesetzt werden. Dies kann ein beliebiger Ordner
sein, auf den sowohl der Nutzer (Endbenutzer des Browsers) als auch
„virtual“ Zugriff hat.
•
Im Abschnitt [print] muss printapp auf den Pfad zu dem Acrobat-Reader
AcroRd32.exe zeigen.
•
Im Abschnitt [dependencies] muss vboxmanageexecutable auf den Pfad zu
VBoxManage.exe, vboxheadlessexecutable auf den Pfad zu VBoxHeadless.exe
und vboxexecutable auf VirtualBox.exe zeigen.
•
Danach muss die Datei bitb.enc angelegt werden. Hierfür wird in einer
Kommandokonsole das mitgeliefert Tool Password_encryption.exe aufgerufen
(im Ordner „BITB“). Als Argument wird das Passwort des virtual Nutzers
übergeben (in unserem Beispiel „box“). Der Aufruf ist also:
> Password_encryption.exe <dummy User Password>
In der Datei BitBoxService.ini muss der Pfad unter filename auf das Profil Verzeichnis
des virtual Nutzers verweisen, also C:\users\virtual\BitBoxService.log.
2.2.5
Einschränkung der Dateizugriffsrechte
Nun müssen die Zugriffsrechte auf die Unterverzeichnisse eingeschränkt werden.
Insbesondere soll die Passwort-Datei bitb.enc vor Zugriff durch normale Benutzer
geschützt werden. Wir empfehlen folgende Einstelllung für den BitBox-Ordner:
• BITB:
Lesen/Schreiben/Ausführen
nur
durch
die
Benutzer
„virtual“,
„Administratoren“ und „System“
• Service: Lesen/Schreiben/Ausführen nur durch die Benutzer „Administratoren“
und „System“
• Alle anderen Verzeichnisse und Dateien dürfen auch normale Nutzer lesen und
ausführen aber nicht ändern (schreiben). Dies sollte die Standardeinstellung im
38
Installations- und Benutzerdokumentation
„Browser in the Box“
Programme Unterverzeichnis sein.
Ebenso sollten die Zugriffsrechte auf den Programmorder von VirtualBox
(C:\Programme\Oracle\VirtualBox) so eingeschränkt werden, dass normale Benutzer
VirtualBox nicht ausführen können. Für den Betrieb der BitBox reicht es wenn der
Benutzer virtual die Programme ausführen kann.
2.2.6
Anpassung der Windows-Registry
Der nachfolgende Schritt erfordert die Anpassung der Registry-Einträge von
Windows. Es existiert eine vorgefertigte Registry-Datei (BitBox.reg), welche bereits die
nötigen Einträge enthält. Eine Konfiguration dieser Datei kann mit einem beliebigen
Texteditor erfolgen (z.B. Notepad). Änderungen sind in den folgenden Abschnitten
notwendig, sofern ein anderes Arbeitsverzeichnis als C:\Programme\BitBox gewählt
worden ist, muss C:\Programme\BitBox durch das stattdessen gewählte Verzeichnis
ersetzt werden.
1. Unter
[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\
BitBox.exe\shell\open\command]
@="<BitBox-Ordner>"
2. Unter
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BitBoxHTML\shell\open\
command]
@="\"<BitBox-Ordner>" \"%1\""
3. Unter
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BitBoxURL\shell\open\
command]
@="\"<BitBox-Ordner>" \"%1\""
Achtung: Ein '\' innerhalb einer Pfadangabe muss als '\\' in die Datei eingetragen
werden.
Ein
Beispiel
für
<BitBox-Ordner>
wäre
dann
C:\\Programme\\BitBox\\Client\\BitBox.exe
Windows XP Nutzer (nicht Vista und 7) müssen zusätzlich noch eine weitere
Registry Datei editieren (BitBox_WindowXP_addition.reg). Änderungen sind in den
folgenden Abschnitten notwendig, auch hier sofern ein anderes Arbeitsverzeichnis als
C:\Programme\BitBox gewählt worden ist, muss C:\Programme\BitBox durch das
stattdessen gewählte Verzeichnis ersetzt werden.
1. Unter [HKEY_CLASSES_ROOT\ftp\shell\open\command]
@="\"C:\\Programme\\BitBox\\BITB\\BitBox.exe\""
2. Unter [HKEY_CLASSES_ROOT\http\shell\open\command]
@="\"C:\\Programme\\BitBox\\BITB\\BitBox.exe\""
3. Unter [HKEY_CLASSES_ROOT\https\shell\open\command]
@="\"C:\\Programme\\BitBox\\BITB\\BitBox.exe\""
„Browser in the Box“
Installations- und Benutzerdokumentation
39
Wichtig: Nach dem Editieren der Registry-Dateien müssen diese mittels eines
Doppelklicks installiert werden.
2.2.7
Konfiguration des BitBox-Services
Nach der erfolgreichen Installation und Konfiguration der einzelnen Komponenten muss
abschließend das System für die Verwendung der virtuellen Surfumgebung konfiguriert
werden.
Erster Schritt ist die Aktivierung des Systemdienstes von BitBox. Hierfür wird eine
Kommandokonsole mit administrativen Rechten benötigt. Das heißt unter Windows XP
unter einem Administrator account eine Konsole öffnen. Unter Windows Vista – 7 im
Startmenü nach „cmd“ suchen. Das Ergebnis mit der rechten Maustaste anklicken und
„Als Administrator ausführen“ wählen.
In Kommandokonsole werden nun die folgenden Kommandos ausgeführt:
<BitBox-Ordner>\Service\BitBoxService –install ““
<BitBox-Ordner>\Service\sc start BitBoxService
Der somit gestartete Systemdienst muss danach so konfiguriert werden, dass er bei
jedem Systemstart automatischen mit gestartet wird. Erfolgt dieser Schritt nicht, muss
dieser Dienst nach jedem Systemstart manuell gestartet werden. Hierfür wird unter
„Start“ → „Systemsteuerung“ → „Computeradministration“ / bei XP „Verwaltung“ →
„Dienste“ der „Startuptyp“ des Dienstes „BitBoxService“ von „Manuell“ auf den
„Automatisch“ gestellt. Unter XP muss zusätzlich unter Anmelden die Option
„Datenaustausch zwischen Dienst und Desktop zulassen“ aktiviert werden.
Abbildung 2.12: Konfiguration des BitBox-Service
40
Installations- und Benutzerdokumentation
„Browser in the Box“
2.2.8
Konfiguration von Links
Die letzte Einstellung dient der Weiterleitung von Links an die virtuelle
Surfumgebung. Hierfür muss das FTP, HTTP und das HTTPS Protokoll mit BitBox
assoziiert werden. Dies kann unter Windows Vista – 7 unter dem
Systemsteuerungspunkt „Programme“ → „Standardprogramme“ → „Dateizuordnung
festlegen“ bewerkstelligt werden:
Unter Windows XP ist die Einstellung bereits durch die Installation der Registry-Files
durchgeführt worden.
Abbildung 2.13: Das Anklicken von Links an BitBox weiterleiten
2.2.9
Installation der Sicheren Zwischenablage
Für die sichere Zwischenablage werden die Dateien im Verzeichnis SecureClipboard
benötigt.
Als erstes sollte die noch vorhandene „VboxSharedClipboard.dll“ im
Installationsordner
von
VirtualBox
umbenannt
werden
nach
„VboxSharedClipboard.dll.old“. Danach müssen (je nach Architektur) alle Dateien aus
dem Verzeichnis SecureClipboard\x86 bzw. SecureClipboard\amd64 in den
VirtualBox-Installationsordner kopiert werden. Um die sichere Zwischenablage in
BitBox zu verwenden muss in der bitb.conf im Unterpunkt „secureClipboard“ die
Option „usesecureclipboard“ auf „true“ gesetzt werden.
[secureClipboard]
usesecureclipboard = true
„Browser in the Box“
Installations- und Benutzerdokumentation
41
2.3 Konfiguration von BitBox unter Windows
Unter Windows existiert nach der Installation im Installationsverzeichnis von BitBox
eine Konfigurationsdatei namens bitb.conf. Sie ist in mehrere Segmente unterteilt,
wobei jedes Segment mit einer in eckige Klammern gefasste Überschrift beginnt z.B.
[default]. Im Folgenden steht eine Beispiel-Konfigurationsdatei, in der die einzelnen
Optionen erklärt werden. Rauten in der Datei (#) markieren hierbei Kommentare:
[default]
# Kann true oder false sein. Gibt an ob ein zusätzliches Fenster
# mit Debuginformationen beim Start von BitBox geöffnet werden soll.
# Der BitBox Service muss neu gestartet werden, damit diese Option
# eine Auswirkung hat.
debugmode = false
# Kann die Werte debug, info, warning, error, critical, none haben.
# Gibt an welche Informationen in die logdatei BitBox.log
# geschrieben werden, die sich im Verzeichnis des „virtual“ Nutzers
# befinden.
logginglevel = error
[startApplicationAsUser]
# Die folgenden beiden Optionen (username und domain) beschreiben
# den virtuellen Benutzer von BitBox.
# Domain kann leer bleiben. In diesem Fall wird die lokale von
# BitBox die lokale Domain verwendet. Das Passwort des Nutzers liegt
# in bitb.enc verschlüsselt vor.
username = virtual
domain =
[vbox]
# datafolder enthält den Pfad zum Root Ordner, der zwischen Guest
# und Host geteilt wird
datafolder = C:\Users\virtual\sharedfolder\BitBox
# datafolder enthält den Pfad zum Profil Ordner des virtual
# Benutzers
homefolder = C:\Users\virtual
# persistentdata legt fest welche Daten dauerhaft gespeichert werden
# sollen. Mögliche werte sind none, bookmarks, all
persistentdata = all
# sharedfolder enthält den Pfad zum Ordner, der heruntergeladene
# Dateien enthält
sharedfolder = C:\Users\virtual\sharedfolder\BitBox\downloads
# printerfolder enthält den Pfad zum Root Ordner, der zu druckende
# Dateien enthält
printerfolder = C:\Users\virtual\sharedfolder\BITB\print
# vmname enthält den Namen des BitBox-Images
42
Installations- und Benutzerdokumentation
„Browser in the Box“
vmname = BitBox
# image enthält den Namen des BitBox-Snapshots
image = BitBox
[guest]
# user enthält den Nutzernamen innerhalb des Gastes der den Browser
# ausführt.
user = vm
# userhome enthält das Heimatverzeichniss dieses Nutzers
userhome = /home/vm
# script enthält den Pfad zu dem Wrapper zum Starten des Browsers
script = /usr/bin/iceweasel-wrapper.sh
[folders]
# downloadfolder enthält den Pfad in dem Dateien Benutzern des
# Systems zugänglich gemacht werden.
downloadfolder = C:\Users\<BitBox-Benutzer>\Downloads
[antivirus]
# checkforvirus kann true oder false sein. Im Letzterem Fall wird
# virusApp ignoriert
checkforvirus = true
# virusapp enthält die Art des Virenscanners, während cmdline die
# Kommandozeile enthält mit der Dateien von BitBox nach Viren
# gescannt werden
virusapp = avira
cmdline = C:\Program Files (x86)\Avira\AntiVir Desktop\scancl.exe
[print]
# print kann true oder false sein. Im Letzterem Fall wird printapp
# ignoriert
print = true
# printapp enthält die Kommandozeile mit der Dateien von BitBox
# gedruckt werden
printapp = C:\Program Files (x86)\Adobe\Reader
10.0\Reader\AcroRd32.exe
[secureClipboard]
# usesecureclipboard legt fest, ob die sichere Zwischenablage
# genutzt wird.
usesecureclipboard = true
[dependencies]
# Die folgenden Optionen beinhalten die Pfade zu den Exe Dateien der
# Programme, die von BitBox benötigt werden.
vboxmanageexecutable = C:\Program
Files\Oracle\VirtualBox\VBoxManage.exe
vboxheadlessexecutable = C:\Program
Files\Oracle\VirtualBox\VBoxHeadless.exe
„Browser in the Box“
Installations- und Benutzerdokumentation
43
vboxexecutable = C:\Program
Files\Oracle\VirtualBox\VirtualBox.exe[proxy]
[proxy]
# Die Optionen legen die Proxy Einstellungen fest
proxy = false
address =
port =
[installation]
# Diese Optionen werde bei der automatischen Installation und beim
# Update benötigt
tempfolder =
C:\Users\sirrix\AppData\Local\Temp\BitBoxInstallation\BitBox_VM
templog =
C:\Users\sirrix\AppData\Local\Temp\BitBoxInstallation\outputImageCre
ation.log
randomrootpassword = true
clipboard = bidirectional
bitbimage =
C:\Users\sirrix\AppData\Local\Temp\BitBoxInstallation\BitBox_VM\BitB
ox_VM_v1.0.zip
bitbzipedsharedfolder =
C:\Users\sirrix\AppData\Local\Temp\BitBoxInstallation\BitBox_VM\shar
edfolder.zip
44
Installations- und Benutzerdokumentation
„Browser in the Box“
2.4 De-Installation von BitBox
Um BitBox für Windows zu deinstallieren, werden zwingend administrative Rechte
für vorausgesetzt. Um den De-Installationsprozess zu starten, existieren zwei
Möglichkeiten:
• Im Installations-Ordner von BitBox manuell die Datei BitBoxuninstall.exe
per Doppelklick ausführen:
C:\Programme\BitBox\BitBoxuninstall.exe
•
Alternativ lässt sich BitBox auch über die Software-Verwaltung in der
Systemsteuerung deinstallieren.
◦ „Start“ → „Einstellungen“ → „Systemsteuerung“ → „Software“ bzw.
„Programme deinstallieren oder ändern“
◦ Anschließend in der Liste mit Software den Eintrag „Browser in the Box“
auswählen und auf „Deinstallieren“ klicken.
◦ Falls auch Oracle VirtualBox deinstalliert werden soll, kann dies nach der
De-Installation von BitBox ebenfalls über die Software-Verwaltung
erfolgen.
Abbildung 2.14: Auswahl von Browser in the Box zur Deinstallation
◦
Es öffnet sich das folgende Fenster, welches noch einmal den
Installationspfad von BitBox anzeigt:
„Browser in the Box“
Installations- und Benutzerdokumentation
45
Abbildung 2.15: Deinstallation von BitBox unter Windows (1)
◦
◦
Im nächsten Fenster kann entschieden werden, ob der während der
Installation angelegte Nutzer wieder gelöscht werden soll.
Nach einem letzten Klick auf "Deinstallieren" wird BitBox von dem
Abbildung 2.16: Deinstallation von BitBox unter Windows (2)
System entfernt.
46
Installations- und Benutzerdokumentation
„Browser in the Box“
3 Installation von BitBox unter Linux
Um BitBox unter Linux zu installieren, existieren zwei Möglichkeiten. Die erste Variante
nutzt einen vollautomatischen Installer (siehe Kapitel 3.1). Alternativ kann BitBox auch
manuell installiert und konfiguriert werden (siehe Kapitel 3.2).
3.1 Automatische Installation mittels Installer
Um BitBox unter Linux zu installieren, existiert ein Installer. Der Installer unterstützt
derzeit die folgenden Distributionen:
• Debian 5
•
Debian 6
•
(K)Ubuntu 10.04 LTS
•
(K)Ubuntu 10.10
• (K)Ubuntu 11.04
Der Installer setzt folgendes voraus:
• Grundinstallation einer der oben genannten Linux-Distributionen
•
•
Eingeschaltete „Access-Control-Lists“ (ACL)-Funktionalität des zugrunde
liegenden Dateisystems (siehe 3.2.4.4)
Eine Netzwerk-Verbindung ins Internet
• bash, mindestens Version 3.2
Die Installation des Virenscanners muss im Vorfeld geschehen, damit der Installer
diesen automatisch finden und konfigurieren kann (siehe Kapitel 3.2.1)
3.1.1
Vorgehensweise zur automatischen Installation
•
Ein Terminal öffnen (z.B. über Alt+F2 → „xterm“ oder „konsole“)
•
root werden
Unter Debian:
# su
Unter (K)Ubuntu
# sudo su
•
Falls die installierte Version von VirtualBox ungleich Version 4.0.10 ist, muss
zunächst die De-Installation der installierten VirtualBox-Version erfolgen:
# apt-get remove virtualbox-4.0
bzw.
# apt-get remove virtualbox-3.2
bzw.
# apt-get remove virtualbox
„Browser in the Box“
Installations- und Benutzerdokumentation
47
bzw.
# /opt/VirtualBox/uninstall.sh
# rm /etc/init.d/vbox*
•
Archiv von BitBox entpacken (falls nicht schon geschehen)
# tar -xzf BitBox_Linux_<VERSION>_Install.tar.gz
# cd BitBox_Linux_<VERSION>_Install
# cd BitBox_Linux_<VERSION>
•
•
Da die BitBox-Gast-VM signiert ist, muss zunächst das BitBox-Zertifikat
installiert werden.
Ab Version 0.9.2 wird zur Signatur das Sirrix Produkt-Zertifikat
verwendet.
Daher
muss
zwingend
der
folgende
Schritt
durchgeführt werden:
# cp ../BitBox_VM/BitBox.x509.crt /etc/ssl/certs
•
Das Sirrix-Produkt-CA-Zertifikat kann alternativ von folgender Webseite
heruntergeladen werden:
http://www.sirrix.com/content/pages/impressum.html
Sollte sich auf dem System noch eine alte Installation von „BITB“ befinden
(nicht BitBox!), muss diese zuvor gelöscht werden. Hierzu den De-Installer
von BITB aufrufen und mit „YES“ bzw. „JA“ bestätigen:
# bash ./BITB_remover.sh
•
Eventuell vorhandene Installation von „BitBox“ löschen (mit „YES“ bzw. „JA“
bestätigen)
# bash ./BitBox_remover.sh
•
Installer ausführen (bitte sicherstellen, dass der Installer tatsächlich mit
„bash“ ausgeführt wird, eine Kompatibilität zu anderen Shells (wie „ sh“ oder
„ash“ ist nicht gegeben!)
# bash ./BitBox_installer.sh
•
Nun den Installationsanweisungen am Bildschirm folgen
•
Der Installer testet zunächst, ob die ACL-Erweiterung des Dateisystems
eingeschaltet ist. Für den Fall, dass dies noch nicht geschehen ist, liefert er
ausführliche Informationen, wie ACL eingeschaltet werden kann. Bitte den
Anweisungen folgen (siehe auch Kapitel 3.2.4.4)und den Installer neu
starten.
Während der Installation werden folgende Optionen abgefragt:
•
◦
Standardbrowser
Der Punkt „BitBox als Standardbrowser einrichten“ legt fest, ob
BitBox nach der Installation als Standardbrowser des Systems
eingerichtet werden soll.
Drucken
▪
◦
▪
48
„BitBox das unmittelbare Drucken erlauben“ legt fest, ob aus BitBox
heraus Dokumente direkt an einen Drucker weitergeleitet werden
Installations- und Benutzerdokumentation
„Browser in the Box“
◦
können. Dies setzt einen installierten CUPS-Druckerserver sowie den
X-Druckdialog „xpp“ voraus. Letzterer wird während der Installation
mit installiert.
VirtualBox Zwischenablage
Durch die Kapselung des Browsers in BitBox ist die Zwischenablage
von Linux und des Browsers zunächst isoliert. Damit ist ein Kopieren /
Einfügen zwischen Browser und Linux nicht möglich. Es werden
verschiedene Konfigurationsmöglichkeiten angeboten, um einen
kontrollierten Informationsfluss zu gestatten.
• Disabled
Hier ist kein Kopieren / Einfügen möglich.
• Bidirektional
Hier ist ein Kopieren / Einfügen in beide Richtungen erlaubt. Da
aber der Benutzer jedes Kopieren / Einfügen ohnehin explizit
bestätigen
muss,
kann
er
dennoch
verhindern,
dass
Schadsoftware unbemerkt über die Zwischenablage verfügen
kann.
• Unidirektional: Host → Gast
Hier ist ein Kopieren / Einfügen von einer Linux-Anwendung in
BitBox möglich, aber nicht umgekehrt. Dadurch kann verhindert
werden, dass schadhafter Inhalt (z.B. virenbefallene Daten) aus
dem Browser in den Host Rechner gelangen kann.
• Unidirektional: Gast → Host
Hier ist ein Kopieren / Einfügen von BitBox nach Linux möglich
und die umgekehrte Richtung grundsätzlich verhindert.
Schadsoftware im Gast (Browser) hat also keine Möglichkeit, aus
dem Clipboard vertrauliche Daten im Host (Linux) zu erspähen.
Sichere Zwischenablage
▪
◦
◦
▪
Beim Einschalten dieser Option wird der Benutzer vor
Durchführung eines Copy&Paste-Befehls um Erlaubnis gebeten.
VirtualBox Audio Backend
der
▪
Unter Linux stehen verschiedene Audio-Backends zur Verfügung,
zwischen denen hier ausgewählt werden kann:
• ALSA
•
◦
OSS
• Pulse Audio
In der Regel kann ALSA gewählt werden.
BitBox Persistenz
▪
In diesem Punkt kann man wählen, welche Daten von BitBox
persistent gehalten werden sollen. Unter Linux stehen die folgenden
Optionen zur Auswahl:
• All – Speichere alles (Lesezeichen, Konfiguration, PlugIns)
„Browser in the Box“
Installations- und Benutzerdokumentation
49
•
•
◦
Bookmarks – Speichere nur Lesezeichen (keine Konfig., keine
PlugIns)
None – speichere nichts
Proxy-Einstellungen
Im letzten Schritt kann ein Proxy-Server für die Verbindung des
Browsers zum Internet eingestellt werden. Hierzu die Frage mit „Ja“
beantworten und die Proxy-URL sowie den Proxy-Port eingeben.
Nach erfolgreicher Installation, sollte das System neu gestartet werden.
Zumindest aber die Benutzer der BitBox-Gruppe müssen sich vom System
abmelden und wieder anmelden.
BitBox kann anschließend wie in Kapitel 5 beschrieben verwendet werden.
▪
•
•
50
Installations- und Benutzerdokumentation
„Browser in the Box“
3.2 Manuelle Installation
Für die manuelle Installation der virtuellen Surfumgebung unter Linux sind die
folgenden Schritte notwendig:
1. Vorbereiten des Host-Systems
2. Konfiguration des Host-Systems
1. Anlegen des Benutzers 'virtual'
2. Anlegen einer Gruppe 'bitbox'
3. Aktivieren der POSIX ACL-Listen für das Dateisystem
4. Installation der von BitBox genutzten Gast-VM
3. Installation der von BitBox genutzten Gast-VM
4. Installation und Konfiguration des BitBox-Hostsystems
1. BitBox-Komponenten auf dem Host-System installieren
2. Gruppe 'bitbox' das Ausführen von BitBox erlauben
3. Benutzer 'virtual' das Ausführen des Virenscanners erlauben
4. Konfiguration von Access Control Lists
5. Konfiguration von BitBox
6. Anklicken von Links unter Gnome
7. Anklicken von Links unter KDE
8. Anklicken von Links unter Thunderbird
5. Secure Clipboard
1. Installation vorkompilierter Dateien
2. Kompilieren von VboxSharedClipboard.so
3. Kompilieren der Bestätigungs-GUI
Eine genauere Erklärung der einzelnen Abschnitte kann in den jeweiligen Kapiteln
gefunden werden. Für das weitere Vorgehen in den nächsten Kapiteln wird von einer
64-Bit Installation ausgegangen. Sollte es sich bei dem Zielsystem noch um ein 32-Bit
System handeln, sind die entsprechenden Schritte entsprechend anzupassen. Die
Punkte müssen sequentiell genau in der beschriebenen Reihenfolge abgearbeitet
werden, um eine korrekte Installation zu gewährleisten.
3.2.1
Vorbereiten des Host-Systems
Für
eine
lauffähige
virtuelle
Surfumgebung
werden
die
folgenden
Softwarekomponenten benötigt:
• Ein korrekt installiertes und konfiguriertes Linux-Betriebssystem (z.B.
basierend auf den Distributionen Debian 5, Debian 6, (K)Ubuntu 10.04,
(K)Ubuntu 10.10 oder (K)Ubuntu 11.04
◦ Installation bitte anhand der entsprechenden Debian-/(K)Ubuntu/Dokumentation durchführen.
◦ Unbedingt eine Netzwerk-Konfiguration durchführen, sodass ein Zugang
zum Internet möglich ist.
„Browser in the Box“
Installations- und Benutzerdokumentation
51
•
#
#
#
#
#
#
•
Symantec Antivirus
◦
Als root am System anmelden (z.B. in Konsole)
◦
Installations-CD einlegen, einhängen und Pakete installieren
mount /dev/scd0 /media/cdrom0
cd /media/cdrom0/SAVLINUX/deb
dpkg -i sav*.amd64.deb
cd
umount /media/cdrom0
reboot
◦
Nach erfolgreicher Installation, das System neu starten
◦
Der Virenscanner ist standardmäßig in /opt/Symantec installiert.
VirtualBox Version 4.0.10 für Linux
◦
Als root am System anmelden (z.B. in Konsole)
◦
VirtualBox 4 in der richtigen Version (Debian- und Architektur) von der
Webseite herunterladen
VirtualBox mit samt Abhängigkeiten installieren
◦
# wget http://download.virtualbox.org/virtualbox/4.0.10/virtualbox4.0_4.0.10-72479~Debian~squeeze_amd64.deb
# dpkg -i virtualbox-4.0_4.0.10-72479~Debian~squeeze_amd64.deb
// Dieser Befehl wird mit Fehlern abbrechen, da Abhängigkeiten
// nicht aufgelöst werden können. Diese können wie folgt aufgelöst
// werden:
# apt-get install -f
•
Weitere notwendige Komponenten
setfacl)
◦
acl (getfacl
◦
bash
◦
bc
◦
curl
◦
dialog
◦
dkms
◦
inotify-tools (inotifywait)
◦
openssl
◦
sudo
◦
unzip
◦
x11-xserver-utils
◦
xdg-utils
◦
xpp
◦
Linux Standard Tools (awk cat chmod chown cp clear cut df du find
free grep groupadd groupdel head id ln lsmod mkdir mount mv ps rm
52
Installations- und Benutzerdokumentation
„Browser in the Box“
sed sh sleep stat su tail tar test touch tr uname uniq useradd
userdel usermod wget who whoami xhost)
◦
•
DKMS zum automatischen Aktualisieren der VirtualBox-Kernelmodule
(dkms)
Diese bitte je nach Distribution nach-installieren, z.B.:
# apt-get install acl bc curl dialog dpkg inotify-tools openssl sudo
unzip x11-xserver-utils xdg-utils xpp
3.2.2
Konfiguration des Host-Systems
3.2.2.1 Anlegen des Benutzers 'virtual'
•
Es wird ein Benutzer 'virtual' benötigt.
•
Unter diesem Benutzer wird die virtuelle Surfumgebung ausgeführt.
•
Dieser Benutzer benötigt Zugriff auf die folgenden Gruppen:
•
•
◦
audio
◦
video
◦
plugdev
◦
lp
◦
vboxusers
Dieser Benutzer kann sich nicht normal über eine Konsole einloggen, da ihm
kein Passwort zugewiesen wird und sein System-Zugang gesperrt wird. Hierzu:
Als root am System anmelden (z.B. in Konsole)
# useradd -G audio,video,plugdev,lp,vboxusers -m \
-s /bin/bash virtual
# usermod -p "" virtual
# usermod -L virtual
3.2.2.2 Anlegen einer Gruppe 'bitbox'
•
Es wird eine Benutzergruppe 'bitbox' benötigt.
•
Nur Mitglieder dieser Gruppe dürfen die virtuelle Surfumgebung verwenden.
•
Zunächst muss dazu die Gruppe erstellt werden, danach werden die
Systembenutzer als Mitglied (hier am Beispiel des Benutzer ' srx') der Gruppe
hinzugefügt.
Als root am System anmelden (z.B. in Konsole)
•
# groupadd bitbox
# usermod -a -G bitbox srx
3.2.2.3 Aktivieren der POSIX ACL-Listen für das Dateisystem
•
Für das Dateisystem, auf dem die /home/-Verzeichnisse liegen, müssen die ACL-
„Browser in the Box“
Installations- und Benutzerdokumentation
53
•
•
Erweiterungen aktiviert werden, um im späteren Verlauf dedizierte
Zugriffsrechte setzen zu können.
Diese sind nötig, damit der Benutzer ' virtual' heruntergeladene Dateien in dem
Download-Ordner der Benutzer ablegen darf.
Dazu müssen in der Linux-Kernel-Konfiguration zunächst die POSIX-ACLErweiterung aktiviert werden. Bei einer regulären Debian- oder (K)Ubuntubasierten Distribution sind diese Optionen bereits standardmäßig einkompiliert.
Bei Verwendung eines selbst erstellten Linux-Kerns müssen jedoch die
folgenden Optionen (je nach Dateisystem) eingeschaltet werden:
◦ CONFIG_EXT2_FS_POSIX_ACL=y
◦
CONFIG_EXT3_FS_POSIX_ACL=y
◦
CONFIG_EXT4_FS_POSIX_ACL=y
◦
CONFIG_EXT4DEV_FS_POSIX_ACL=y
◦
CONFIG_JFS_POSIX_ACL=y
◦
CONFIG_REISERFS_FS_POSIX_ACL=y
◦
CONFIG_XFS_FS_POSIX_ACL=y
•
Anschließend muss die POSIX-ACL-Erweiterung noch im Dateisystem beim
Systemstart aktiviert werden.
Hierzu muss die Datei /etc/fstab editiert werden und die „Mount“-Option „ acl“
hinzugefügt werden:
Als root am System anmelden (z.B. in Konsole)
•
Die Datei /etc/fstab editieren
•
•
# nano /etc/fstab
•
Mount-Option „acl“ bei /home hinzufügen. Wenn die Home-Partition nicht
separat existiert, „acl“ für die root-Partition „/“ aktivieren
# <file system><mount point><type><options>
<dump><pass>
UUID=bc703... /
ext3 acl,errors=remount-ro 0
1
•
Abspeichern und das System neu starten. Nach dem Neustart die Übernahme
überprüfen durch:
# mount | grep acl
/dev/sda1 on / type ext3 (rw,acl,errors=remount-ro)
54
Installations- und Benutzerdokumentation
„Browser in the Box“
3.2.3
Installation der von BitBox genutzten Gast-VM
Die genaue Beschreibung, wie eine BitBox-kompatible virtuelle Maschine erzeugt
werden kann, ist in Kapitel 4.1 zu finden.
3.2.4
Installation
Hostsystems
und
Konfiguration
des
BitBox-
3.2.4.1 BitBox-Komponenten auf dem Host-System installieren
•
Die virtuelle Surfumgebung wird standardmäßig nach /opt/BitBox installiert
•
•
Einzig der Benutzer 'virtual' hat Zugriffsrechte auf diesen Ordner und die
darunter liegenden Skripte.
Als root am System anmelden (z.B. in Konsole)
•
Installation des BitBox-Hostsystem:
# cd /opt
# tar -xzf BitBox_Linux_<ver>.tar.gz
•
Installation des BitBox-Splashscreens
# cp /opt/BitBox/client/splashscreen/dist/<distro>/* \
/opt/BitBox/client/splashscreen
•
Setzen der Berechtigungen
#
#
#
#
#
#
•
chown
chmod
chmod
chmod
chmod
chmod
virtual:virtual /opt/BitBox -R
700 /opt/BitBox
700 /opt/BitBox/*
700 /opt/BitBox/bin -R
700 /opt/BitBox/clipboard/*.sh -R
600 /opt/BitBox/bitbox.conf
Installation des BitBox-Client, welcher durch die Benutzer der Gruppe ' bitbox'
benutzt werden darf.
# cp /opt/BitBox/client/bitbox.sh /usr/local/bin
# chmod 755 /usr/local/bin/bitbox.sh
•
Anlegen einer Desktop-Verknüpfung für BitBox
# cp /opt/BitBox/client/bitbox.desktop /usr/share/applications
# chmod 644 /usr/share/applications/bitbox.desktop
•
Installation der BitBox-Icons
#
#
#
#
•
mkdir /usr/share/icons/BitBox -p
chmod 755 /usr/share/icons/BitBox
cp /opt/BitBox/client/icons/* /usr/share/icons/BitBox
chmod 644 /usr/share/icons/BitBox/*
Zusätzlich muss für jedes Mitglied der Gruppe 'bitbox' die BitBox-Verknüpfung
ins Startmenü hinzugefügt werden.
„Browser in the Box“
Installations- und Benutzerdokumentation
55
# su -c "xdg-desktop-icon install –novendor \
/usr/share/applications/bitbox.desktop" <Benutzername>
# touch "/home/<Benutzername>/.bitbox_first_start"
# chown <Benutzername>:<Benutzername> \
"/home/<Benutzername>/.bitbox_first_start"
•
Soll BitBox als Standard-Browser installiert werden, ist noch folgender Schritt
nötig:
# touch "/home/<Benutzername>/.bitbox_set_default"
# chown <Benutzername>:<Benutzername> \
"/home/<Benutzername>/.bitbox_set_default"
•
BitBox führt dann automatisch beim ersten Start die folgenden Befehle aus, um
BitBox als Standard-Browser zu registrieren:
# xdg-desktop-menu install --novendor \
/usr/share/applications/bitbox.desktop
# xdg-desktop-icon install --novendor \
/usr/share/applications/bitbox.desktop
# xdg-desktop-menu forceupdate
# chmod 700 /home/<Benutzer>/Desktop/bitbox.desktop
# xdg-settings set default-web-browser bitbox.desktop
•
Sollte dies nicht automatisch funktionieren (z.B. weil xdg-settings nicht
verfügbar ist), kann das automatische Anklicken von Links auch manuell wie in
Kapiteln 3.2.4.6, 3.2.4.7 und 3.2.4.8 beschrieben, konfiguriert werden.
3.2.4.2 Gruppe 'bitbox' das Ausführen von BitBox erlauben
•
Alle Mitglieder der Benutzergruppe 'bitbox' dürfen BitBox starten.
•
Da BitBox unter dem Benutzer 'virtual' ausgeführt wird, muss die Gruppe den
Benutzer wechseln dürfen.
Um der Gruppe 'bitbox' das Ausführen von BitBox als Benutzer 'virtual' zu
erlauben, findet ein Privilegienwechsel mit Hilfe des Werkzeugs ' sudo' statt.
•
•
Die nötige Konfiguration wird wie folgt durchgeführt:
•
Als root am System anmelden (z.B. in Konsole)
•
Die /etc/sudoers-Datei editieren
# visudo
•
Dann folgende Zeilen am Ende der Datei einfügen:
%bitbox ALL=(virtual) NOPASSWD: /opt/BitBox/bin/BitBox.sh
3.2.4.3 Benutzer 'virtual' das Ausführen des Virenscanners erlauben
•
Der Benutzer 'virtual' benötigt Zugriffsrechte auf den Virenscanner.
•
Da Symantec zum Ausführen 'root'-Rechte benötigt, muss eine weitere sudoRegel hinzugefügt werden:
Als root am System anmelden (z.B. in Konsole)
•
56
Installations- und Benutzerdokumentation
„Browser in the Box“
•
Die /etc/sudoers-Datei editieren
# visudo
•
Dann folgende Zeilen am Ende der Datei einfügen:
# Allow user virtual to execute the virus scanner
virtual ALL=(ALL) NOPASSWD: /opt/Symantec/symantec_antivirus/
3.2.4.4 Konfiguration von Access Control Lists
•
•
•
Der Benutzer 'virtual' benötigt Zugriffsrechte auf das Downloads-Verzeichnis
des regulären Benutzers, um diesem heruntergeladene Dateien zur Verfügung
stellen zu können.
Normalerweise gibt es bereits einen Ordner „ ~/Downloads“, ansonsten muss
dieser erzeugt werden, und dem Benutzer ' virtual' die Zugriffsrechte darauf
ermöglicht werden.
Als root am System anmelden (z.B. in Konsole)
#
#
#
#
#
mkdir -p /home/srx/Downloads
chown srx:srx /home/srx/Downloads
chmod 700 /home/srx/Downloads
setfacl -m u:virtual:x /home/srx
setfacl -m u:virtual:rwx /home/srx/Downloads
// Überprüfen der Einstellungen:
# getfacl /home/srx
# file: home/srx
# owner: srx
# group: srx
user::rwx
user:virtual:--x
group::r-x
mask::r-x
other::r-x
# getfacl /home/srx/Downloads
# file: home/srx/Downloads/
# owner: srx
# group: srx
user::rwx
user:virtual:rwx
group::--mask::rwx
other::---
Anmerkung: Dieser Schritt (3.2.4.4) muss für alle Benutzer durchgeführt werden, die
die virtuelle Surfumgebung benutzen sollen. Darüber hinaus müssen diese Benutzer
auch Mitglied der Gruppe 'bitbox' sein.
„Browser in the Box“
Installations- und Benutzerdokumentation
57
3.2.4.5 Konfiguration von BitBox
•
Die virtuelle Surfumgebung kann durch eine Konfigurationsdatei an die eigenen
Bedürfnisse angepasst werden. Diese liegt unter /opt/BitBox/bitbox.conf und
kann nur durch den Benutzer 'root' oder 'virtual' editiert werden.
# Der Host-Benutzer, unter dem BitBox läuft
BITBOX_USER="virtual"
# Die Gruppe von Benutzern, die BitBox verwenden dürfen
BITBOX_GROUP="bitbox"
# Der zu verwendende Virenscanner, mögliche Optionen sind:
# BITBOX_ANTIVIR="AVIRA" # für AVIRA AntiVir
# BITBOX_ANTIVIR="SAV"
# für Symantec Enterprise Protection (SEP 11.06)
# Konfigurationsmöglichkeiten zu den Virenscannern am Ende der Datei.
BITBOX_ANTIVIR=""
# Dieser Eintrag legt fest, ob BitBox direkt drucken soll
BITBOX_DIRECT_PRINTING="1"
# Dieser Eintrag legt fest, ob das Secure Clipboard verwendet werden soll
BITBOX_SECURE_CLIPBOARD="1"
###############################################################
###
AB HIER SOLLTE NICHTS MEHR GEÄNDERT WERDEN!
###
###############################################################
# Die installierte Version von BitBox
BITBOX_VERSION="1.0.0"
# Dieser Eintrag legt den Installationsordner von BitBox fest
BITBOX_INSTALL_DIR="/opt/BitBox"
# Der Zielpfad von heruntergeladenen Dateien für den Benutzer
BITBOX_TARGET_DOWNLOAD_PATH="/home/$SUDO_USER/Downloads"
# Der Quellpfad von heruntergeladenen Dateien für den Watchdog
BITBOX_SOURCE_DOWNLOAD_PATH="/home/
$BITBOX_USER/sharedfolder/BitBox/downloads"
# Der Quellpfad von gedruckten Dateien für den Watchdog
BITBOX_PRINT_PATH="/home/$BITBOX_USER/sharedfolder/BitBox/print"
# Mit dieser Option lässt sich der Debug-Modus ein- bzw. ausschalten.
BITBOX_DEBUG="0"
# Die virtuelle Maschine, die ausgeführt werden soll
BITBOX_VM="BitBox"
# Der Snapshot, der wiederhergestellt werden soll
BITBOX_VM_SNAPSHOT="BitBox"
# Der Benutzer innerhalb der Gast-VM
BITBOX_VM_USER_NAME="vm"
58
Installations- und Benutzerdokumentation
„Browser in the Box“
# Dieser Eintrag legt den zu öffnenden Browser im Gast fest
BITBOX_VM_BROWSER="/usr/bin/iceweasel-wrapper.sh"
# Interne Watchdog Skripte
BITBOX_WATCHDOG="bin/BitBoxWatchdog.sh"
BITBOX_WATCHFILE="bin/BitBoxWatchfile.sh"
BITBOX_WATCHPRINT="bin/BitBoxPrinter.sh"
# Konfigurationsoptionen für AVIRA AntiVir
BITBOX_ANTIVIR_AVIRA="/usr/bin/antivir"
BITBOX_ANTIVIR_AVIRA_ARGS="-noboot -nombr -nodef"
# Konfigurationsoptionen für Symantec SEV 11.06
BITBOX_ANTIVIR_SAV="/opt/Symantec/symantec_antivirus/sav"
BITBOX_ANTIVIR_SAV_ARGS="manualscan -c"
„Browser in the Box“
Installations- und Benutzerdokumentation
59
3.2.4.6 Anklicken von Links unter Gnome
•
Um das automatische Öffnen von Links mit BitBox zu ermöglichen, muss der
Standard-Browser in Gnome wie folgt umgestellt werden:
◦ System → Einstellungen → Bevorzugte Anwendungen
◦
Webbrowser: Benutzerdefiniert
◦
Befehl: /usr/local/bin/bitbox.sh
Abbildung 3.1: Wählen des Standard-Webbrowsers unter GNOME (1)
Abbildung 3.2: Wählen des Standard-Webbrowsers unter GNOME (2)
60
Installations- und Benutzerdokumentation
„Browser in the Box“
3.2.4.7 Anklicken von Links unter KDE
•
Um das automatische Öffnen von Links mit BitBox zu ermöglichen, muss der
Standard-Browser in KDE wie folgt umgestellt werden:
◦ [K] Menü → Rechner → Systemeinstellungen → Standard-Komponenten
◦
Webbrowser (links auswählen)
◦
mit folgendem Browser: /usr/local/bin/bitbox.sh
Abbildung 3.3: Wählen des Standard-Webbrowsers unter KDE (1)
Abbildung 3.4: Wählen des Standard-Webbrowsers unter KDE (2)
„Browser in the Box“
Installations- und Benutzerdokumentation
61
3.2.4.8 Anklicken von Links unter Thunderbird
•
Um das automatische Öffnen von Links in Thunderbird mit BitBox zu
ermöglichen, muss Thunderbird wie folgt konfiguriert werden:
Menüeinstellungen: „Bearbeiten“ → „Einstellungen“ öffnen
•
Reiter „Anhänge“ auswählen
•
Dateityp „http“ und „https“ umstellen auf:
•
◦
Andere Anwendung
◦
Im Auswahldialog nach /usr/local/bin wechseln, bitbox.sh auswählen, mit
„Öffnen“ bestätigen
Abbildung 3.5: Wählen des StandardWebbrowsers unter Thunderbird (1)
Abbildung 3.6: Wählen des Standard-Webbrowsers
unter Thunderbird (2)
62
Installations- und Benutzerdokumentation
„Browser in the Box“
3.2.5
•
Secure Clipboard
Zur Verwendung des Secure Clipboard werden folgende Komponenten benötigt:
1. eine modifizierte VirtualBox-Komponente namens
VboxSharedClipboard.so
2. eine GUI namens BitBox_ack_gui, mit der ein Benutzer seine Zustimmung
zum Einfügen erteilen kann.
3.2.5.1 Installation vorkompilierter Dateien
Die beiden benötigten Komponenten (GUI + neue VirtualBox-Komponente) liegen
dem Installationswerkzeug für einige ausgewählte Distributionen bei, sodass diese
nicht notwendigerweise selbst kompiliert werden müssen. Wichtig ist, dass jeweils die
korrekte Architektur (amd64 = 64-Bit, x86 = 32-Bit) übernommen wird.
• Als root am Terminal einloggen
•
Entpacken des Secure Clipboard
# tar -xzf BitBox_Linux_<VERSION>.tar.gz
•
Ersetzen
der
originalen
Datei
VboxSharedClipboard.so
entweder
in
/opt/VirtualBox bzw. in /usr/lib/virtualbox (Pfad je Installation bitte
anpassen)
# cp BitBox/clipboard/dist/<distro>/VBoxSharedClipboard.so \
/opt/VirtualBox/
•
•
Vorkompilierte Objekte stehen für folgende Distributionen zur Verfügung:
◦
debian_5_amd64
◦
debian_5_x86
◦
debian_6_amd64
◦
debian_6_x86
◦
ubuntu_10.04_amd64
◦
ubuntu_10.04_x86
◦
ubuntu_10.10_amd64
◦
ubuntu_10.10_x86
◦
ubuntu_11.04_amd64
◦
ubuntu_11.04_x86
Zusätzlich müssen die Berechtigungen richtig gesetzt werden:
# chown root:root /opt/VirtualBox/VBoxSharedClipboard.so
# chmod 755 /opt/VirtualBox/VBoxSharedClipboard.so
•
Die Bestätigungs-GUI muss standardmäßig unter /opt/BitBox/clipboard liegen
•
Es liegen ebenfalls vorkompilierte Versionen im selben < distro>-Verzeichnis
(s.o.)
# cp BitBox/clipboard/dist/<distro>/BitBox_ack_gui \
„Browser in the Box“
Installations- und Benutzerdokumentation
63
/opt/BitBox/clipboard
# chown virtual:virtual /opt/BitBox/clipboard/BitBox_ack_gui
# chmod 755 /opt/BitBox/clipboard/BitBox_ack_gui
3.2.5.2 Kompilieren von VBoxSharedClipboard.so
•
•
Um die sichere Zwischenablage zu kompilieren, muss VirtualBox kompiliert
werden.
Dazu wird sowohl der Quelltext von VirtualBox benötigt, als auch die neuen
Quellen der Zwischenablage. Diese liegen im Installationspaket unter:
BitBox/clipboard/src/clipboard/VirtualBox-4.0.4-SecureClipboard.tar.gz2
•
Um VirtualBox unter Debian 5/6
Abhängigkeiten installiert werden:
zu
kompilieren,
müssen
folgende
# apt-get install bcc bin86 g++ gcc iasl libasound2-dev libcap-dev \
libcurl4-openssl-dev libglu1-mesa-dev libhal-dev libidl-dev
libpam0g-dev \
libpng-dev libpulse-dev libqt4-dev libqt4-opengl-dev libsdl1.2-dev \
libssl-dev libstdc++5 libxcursor-dev libxinerama-dev libxml2-dev \
libxmu-dev libxrandr-dev libxslt1-dev linux-kernel-headers \
makeself mesa-common-dev openjdk-6-jdk python-dev python2.5-dev3
\qt4-dev-tools uuid-dev xsltproc zlib1g-dev
•
Für ein 64-Bit System müssen zusätzlich noch diese Pakete installiert werden:
# apt-get install ia32-libs libc6-dev-i386 lib32gcc1 gcc-multilib \
lib32stdc++6 g++-multilib
•
Herunterladen und Entpacken des VirtualBox-Sourcecodes
# wget http://download.virtualbox.org/virtualbox/4.0.10/VirtualBox4.0.10.tar.bz2
# tar -xjf VirtualBox-4.0.10.tar.bz2
•
Ersetzen der Service-Datei und Kompilieren von VirtualBox
# cd VirtualBox-4.0.10_OSE
# tar -xzf </path>/BitBox/clipboard/src/clipboard/VirtualBox-4.0.4\
-SecureClipboard.tar.gz
# ./configure --build-libxml2 --build-libxslt --disable-pulse \
--enable-hardening --disable-docs
# source env.sh
# kmk
•
•
Ersetzen der originalen Datei in /opt/VirtualBox bzw. in /usr/lib/virtualbox
(Pfad je Installation bitte anpassen) mit der neu kompilierten.
Die neu kompilierte Datei befindet sich je nach Architektur unter
VirtualBox-4.0.10_OSE/out/linux.<amd64|x86>/release/bin
2
3
64
Die Versionsnummer ist hier absichtlich noch 4.0.4, da sich der Quellcode der Zwischenablage seitdem
nicht verändert hat.
Ist ggf. nicht mehr verfügbar, in dem Falle muss python-dev gewählt werden
Installations- und Benutzerdokumentation
„Browser in the Box“
# cp VirtualBox-4.0.10_OSE/out/linux.x86/release/bin/\
VboxSharedClipboard.so /opt/VirtualBox/
•
Zusätzlich müssen die Berechtigungen richtig gesetzt werden:
# chown root:root /opt/VirtualBox/VBoxSharedClipboard.so
# chmod 755 /opt/VirtualBox/VBoxSharedClipboard.so
3.2.5.3 Kompilieren der Bestätigungs-GUI
•
•
Die Bestätigungs-GUI liegt standardmäßig unter /opt/BitBox/clipboard
Zum Kompilieren der GUI werden folgende Befehle ausgeführt:
#
#
#
#
•
tar -xzf BitBox_Linux_<VERSION>.tar.gz
cd BitBox/clipboard/src/gui
qmake BitBox_ack_gui.pro
make
Zum Installieren der GUI werden folgende Befehle ausgeführt:
# cp BitBox_ack_gui /opt/BitBox/clipboard
# chown virtual:virtual /opt/BitBox/clipboard/BitBox_ack_gui
# chmod 755 /opt/BitBox/clipboard/BitBox_ack_gui
3.3 De-Installation von BitBox
•
•
Um BitBox wieder vom Host zu deinstallieren, ist dem Installationswerkzeug
auch ein De-Installationsskript beigefügt.
Archiv von BitBox entpacken (falls nicht schon geschehen)
# tar -xzf BitBox_Linux_<VERSION>_Install.tar.gz
# cd BitBox_Linux_<VERSION>_Install
# cd BitBox_Linux_<VERSION>
•
De-Installer aufrufen und die De-Installation mit „YES“ bzw. „JA“ bestätigen
# bash ./BitBox_remover.sh
„Browser in the Box“
Installations- und Benutzerdokumentation
65
4 Installation der virtuellen Maschine
Das BitBox-Image enthält die virtuelle Surfumgebung. Sie besteht aus einem
VirtualBox-Image, welches als Gast auf dem Host ausgeführt wird. Als Betriebssystem
kommt eine Linux-Distribution zum Einsatz inkl. aller benötigter Pakete, um einen
Browser (wie z.B. Iceweasel, oder Firefox) zu starten. Prinzipiell kommen fast alle LinuxDistributionen und Webbrowser in Frage. Diese Anleitung bezieht sich auf die
Kombination Debian und dem Firefox-Derivat Iceweasel. Abhängig von dem
Hostsystem (Windows oder Linux) unterscheiden sich einige Punkte in der Ausführung.
Für diese Anleitung muss bereits ein weiterer (unprivilegierter) Nutzer auf dem System
erstellt worden sein. Die Empfehlung für den Namen des Nutzers ist „ virtual“. Dieser
Name wird in dieser Anleitung weiterhin für die Bezeichnung dieses Kontos verwendet.
Liegt bereits eine virtuelle Maschine für BitBox vor, kann diese wie in Kapitel 4.1
beschrieben, importiert werden.
Liegt keine virtuelle Maschine vor, muss eine neue erstellt werden. Kapitel 4.2
beschreibt die dazu notwendigen Schritte. Diese Punkte müssen sequentiell genau in
der beschriebenen Reihenfolge abgearbeitet werden, um eine korrekte Installation zu
gewährleisten.
4.1 Import einer existierenden BitBox-VM
4.1.1
In den Benutzerkontext von Benutzer 'virtual'
wechseln
4.1.1.1Windows
•
•
Wenn der Benutzeraccount nicht gesperrt ist, kann unter Windows der Benutzer
'virtual' am System angemeldet werden bzw. über „Benutzer wechseln“
ausgewählt werden.
Alternativ kann VirtualBox direkt als Benutzer ' virtual' aufgerufen werden.
Hierzu muss eine Konsole geöffnet werden ( „Start“ → „Ausführen“ → „ cmd“)
>runas /user:virtual cmd
•
Bei der automatischen Installation von BitBox wird das Passwort des Benutzers
virtual zufällig generiert und verschlüsselt im BitBox Programm Ordner
hinterlegt (bitb.enc). Das Passwort kann dort wie folgt auslesen werden: Als
Administrator
eine
Konsole
(cmd)
öffnen,
in
das
Verzeichnis
C:\Programme\BitBox\BITB wechseln und folgenden Befehl ausführen:
„Browser in the Box“
Installations- und Benutzerdokumentation
67
>Password_decryption bitb.enc
Anschließend in den Ordner des Benutzers wechseln
•
>cd C:\Dokumente und Einstellungen\virtual
Im Folgenden werden nun einige Befehle mit Hilfe von VirtualBox bzw.
VBoxManage durchgeführt.
Hinweis: Der nötige Befehl <VBoxManage> lautet unter Linux und Windows
anders, im Folgenden muss <VBoxManage> bitte entsprechend ersetzt werden:
•
◦
[Windows] C:\Programme\Oracle\VirtualBox\VBoxManage.exe
4.1.1.2Linux
Unter Linux muss zunächst eine grafische Oberfläche gestartet werden, z.B. XServer mit KDE oder Gnome.
Dann wird ein Terminal (z.B. ALT+F2 → „ xterm“) geöffnet und die folgenden
Kommandos ausgeführt:
•
•
$ xhost local:virtual
bei Debian:
$ su
bei (K)Ubuntu: $ sudo su
# su virtual
$ cd
Im Folgenden werden nun einige Befehle mit Hilfe von VirtualBox bzw.
VBoxManage durchgeführt.
Hinweis: Der nötige Befehl <VBoxManage> lautet unter Linux und Windows
anders, im Folgenden muss <VBoxManage> bitte entsprechend ersetzt werden:
•
◦
4.1.2
[Linux] vboxmanage
Importieren der virtuellen Maschine
Wenn eine vorkonfigurierte virtuelle Maschine für BitBox vorliegt, besteht diese
aus zwei Teilen:
•
◦
BitBox_VM_v1.0.zip
◦
sharedfolder.zip
Zunächst muss im Benutzerordner von ' virtual' die Datei „sharedfolder.zip“
entpackt werden. Anschließend sollten folgende Unterverzeichnisse existieren:
Windows:
•
C:\Dokumente
C:\Dokumente
C:\Dokumente
C:\Dokumente
und
und
und
und
Einstellungen\virtual\sharedfolder\
Einstellungen\virtual\sharedfolder\BitBox
Einstellungen\virtual\sharedfolder\BitBox\downloads
Einstellungen\virtual\sharedfolder\BitBox\print
Linux:
/home/virtual/sharedfolder
/home/virtual/sharedfolder/BitBox
/home/virtual/sharedfolder/BitBox/downloads
68
Installations- und Benutzerdokumentation
„Browser in the Box“
/home/virtual/sharedfolder/BitBox/print
Anschließend muss die virtuelle Maschine entpackt und importiert werden.
Dazu wird die Datei BitBox_VM_v1.0.zip entpackt. Man erhält dann folgende
Dateien:
•
BitBox.ova
BitBox-disk1.vmdk
BitBox-disk2.vmdk
Import der BitBox-VM
•
<VBoxManage> import BitBox.ova
Einhängen der virtuellen Festplatte 1
•
<VBoxManage> storageattach BitBox \
--storagectl SATA-Controller --device 0 --port 0 --type hdd \
--medium BitBox-disk1.vmdk
Einhängen der virtuellen Festplatte 2
•
<VBoxManage> storageattach BitBox \
--storagectl SATA-Controller --device 0 --port 1 --type hdd \
--medium BitBox-disk2.vmdk
Konfigurieren der zweiten Festplatte
•
<VBoxManage> modifyhd /Pfad/zu/BitBox-disk2.vmdk --type writethrough
• Einhängen des „sharedfolder“
Windows:
<VBoxManage> sharedfolder add BitBox --name BitBox –hostpath \
C:\Dokumente und Einstellungen\virtual\sharedfolder\BitBox
Linux:
<VBoxManage> sharedfolder add BitBox --name BitBox --hostpath \
/home/virtual/sharedfolder/BitBox/
•
Meldungen von VirtualBox unterdrücken
<VBoxManage> setextradata global GUI/SuppressMessages
confirmGoingSeamless,confirmInputCapture,confirmRemoveMedium,confirm
VMReset,remindAboutAutoCapture,remindAboutInaccessibleMedia,remindAb
outMouseIntegrationOn,remindAboutMouseIntegrationOff,remindAboutWron
gColorDepth,showRuntimeError.warning.BridgedInterfaceDown,showRuntim
eError.warning.DvdOrFloppyImageInaccessibleshowRuntimeError.warning.
ExtPackNoEhci,showRuntimeError.warning.Ext4PartitionDetected,showRun
timeError.warning.HostAudioNotResponding
•
Konfiguration des Arbeitsspeichers
◦
Bei mehr als 3 GB Host-Speicher
<VBoxManage> modifyvm BitBox --memory 768
◦
Bei mehr als 2 GB Host-Speicher
<VBoxManage> modifyvm BitBox --memory 512
◦
Bei mehr als 1 GB Host-Speicher
„Browser in the Box“
Installations- und Benutzerdokumentation
69
<VBoxManage> modifyvm BitBox --memory 372
◦
sonst
<VBoxManage> modifyvm BitBox --memory 256
•
Konfiguration des Audio-Backends
<VBoxManage> modifyvm BitBox --audio alsa
bzw.
<VBoxManage> modifyvm BitBox --audio oss
bzw.
<VBoxManage> modifyvm BitBox --audio pulse
•
Konfiguration der Zwischenablage
<VBoxManage>
bzw.
<VBoxManage>
bzw.
<VBoxManage>
bzw.
<VBoxManage>
•
modifyvm BitBox --clipboard hosttoguest
modifyvm BitBox --clipboard guesttohost
modifyvm BitBox --clipboard disabled
Abschließende Konfiguration der Virtuellen Maschine
<VBoxManage>
<VBoxManage>
<VBoxManage>
<VBoxManage>
4.1.3
•
modifyvm BitBox --clipboard bidirectional
setextradata
setextradata
setextradata
setextradata
BitBox
BitBox
BitBox
global
"GUI/ShowMiniToolBar" no
"GUI/SaveMountedAtRuntime" no
"GUI/Seamless" on
"GUI/Input/HostKey" 0
BitBox-VM konfigurieren
Nach erfolgreichem Import und Konfiguration der VM kann diese nun gestartet
werden. Nach Aufruf des folgenden Befehls sieht man, wie innerhalb der
virtuellen Maschine das Linux gestartet wird. Der Bootvorgang ist beendet,
sobald man eine grafische Oberfläche sieht, in der lediglich ein grauer Kasten
mit schwarzem Hintergrund zu sehen ist.
<VBoxManage> startvm BitBox
•
•
Nun kann eingestellt werden, wie BitBox mit persistenten Daten umgeht:
◦
Speichere alles: <option> = all
◦
Speichere nur Lesezeichen: <option> = bookmarks
◦
Speichere nichts: <option> = none
Dazu existiert in der VM ein script, mit welchem diese Konfiguration
vorgenommen werden kann. Hierbei bitte <option> durch gewünschten obigen
Wert ersetzen:
<VBoxManage> guestcontrol execute BitBox
/root/set_mozilla_persistence.sh --username root --password keins
--arguments <option> --wait-for exit
•
70
Anschließend kann noch das Standard-Passwort des Benutzers root in der VM
Installations- und Benutzerdokumentation
„Browser in the Box“
ersetzt werden:
<VBoxManage> guestcontrol execute BitBox
/root/change_root_password.sh --username root --password keins
--arguments <neues Password> --wait-for exit
Um die soeben durchgeführten Einstellungen zu übernehmen, muss die BitBoxVM neu gestartet werden. Dazu zunächst die Maschine ausschalten:
•
<VBoxManage> controlvm BitBox acpipowerbutton --wait-for exit
4.1.4
Schnappschuss erzeugen
Anschließend die virtuelle Maschine wieder starten:
•
<VBoxManage> startvm BitBox
Sobald das System gestartet ist, sieht man erneut lediglich einen schwarzen
Hintergrund in einer grafischen Oberfläche. Sobald dies zu sehen ist, kann der
Schnappschuss erzeugt werden:
•
<VBoxManage> snapshot BitBox take BitBox
Nun kann die Maschine ausgeschaltet werden
•
<VBoxManage> controlvm BitBox poweroff --wait-for exit
• Nun den Benutzerkontext des 'virtual'-Benutzers wieder verlassen:
Windows:
> exit
Linux:
$ exit
•
Die manuelle BitBox-Installation ist nun abgeschlossen. BitBox kann jetzt wie in
Kapitel 5 beschrieben, verwendet werden.
4.2 Erstellen einer neuen BitBox-VM
4.2.1
Download von Debian-CD
In der hier vorliegenden Version von BitBox kommt Debian 6 als BasisBetriebssystem in der Gast-VM zum Einsatz. Zur Installation des BitBox-Images wird
ein aktuelles Debian-Installations-Image benötigt. Für die Zwecke der virtuellen
Surfumgebung reicht dabei eine Net-Installations-CD. Bitte folgende Datei
herunterladen und so ablegen, dass der Benutzer virtual darauf zugreifen kann (z.B.
unter Gemeinsame Dokumente):
http://ftp.de.debian.org/debian-cd/6.0.2.1/i386/iso-cd/debian-6.0.2.1-i386-netinst.iso
„Browser in the Box“
Installations- und Benutzerdokumentation
71
4.2.2
In den Benutzerkontext von Benutzer 'virtual'
wechseln
4.2.2.1Windows
•
•
Wenn der Benutzeraccount nicht gesperrt ist, kann unter Windows der Benutzer
'virtual' am System angemeldet werden bzw. über „Benutzer wechseln“
ausgewählt werden.
Alternativ kann VirtualBox direkt als Bentuzer ' virtual' aufgerufen werden.
Hierzu muss eine Konsole geöffnet werden ( „Start“ → „Ausführen“ → „ cmd“)
>runas /user:virtual cmd
•
Bei der automatischen Installation von BitBox wird das Passwort des Benutzers
virtual zufällig generiert und verschlüsselt im BitBox Programm Ordner
hinterlegt (bitb.enc). Das Passwort kann dort wie folgt auslesen werden: Als
Administrator
eine
Konsole
(cmd)
öffnen,
in
das
Verzeichnis
C:\Programme\BitBox\BITB wechseln und folgenden Befehl ausführen:
>Password_decryption bitb.enc
•
Anschließend in den Ordner des Benutzers wechseln
>cd C:\Dokumente und Einstellungen\virtual
•
Im Folgenden werden nun einige Befehle mit Hilfe von VirtualBox bzw.
VBoxManage durchgeführt.
Hinweis: Der nötige Befehl <VBoxManage> lautet unter Linux und Windows
anders, im Folgenden muss <VBoxManage> bitte entsprechend ersetzt werden:
◦
[Windows] C:\Programme\Oracle\VirtualBox\VBoxManage.exe
4.2.2.2Linux
•
•
Unter Linux muss zunächst eine grafische Oberfläche gestartet werden, z.B. XServer mit KDE oder Gnome.
Dann wird ein Terminal (z.B. ALT+F2 → „ xterm“) geöffnet und die folgenden
Kommandos ausgeführt:
$ xhost local:virtual
bei Debian:
$ su
bei (K)Ubuntu: $ sudo su
# su virtual
$ cd
•
Im Folgenden werden nun einige Befehle mit Hilfe von VirtualBox bzw.
VBoxManage durchgeführt.
Hinweis: Der nötige Befehl <VBoxManage> lautet unter Linux und Windows
anders, im Folgenden muss <VBoxManage> bitte entsprechend ersetzt werden:
◦
72
[Linux] vboxmanage
Installations- und Benutzerdokumentation
„Browser in the Box“
4.2.3
Starten von VirtualBox als Benutzer 'virtual'
4.2.3.1Windows
•
Zunächst muss im Benutzerordner von ' virtual' ein gemeinsamer Ordner
„sharedfolder“ angelegt werden, mit den folgenden Unterverzeichnissen:
> md C:\Dokumente und Einstellungen\virtual\sharedfolder\BitBox
> md
C:\Dokumente und Einstellungen\virtual\sharedfolder\BitBox\downloads
> md
C:\Dokumente und Einstellungen\virtual\sharedfolder\BitBox\print
•
Starten von VirtualBox:
"C:\Programme\Oracle\VirtualBox\VirtualBox.exe"
4.2.3.2Linux
•
Zunächst muss im Benutzerordner von ' virtual' ein gemeinsamer Ordner
„sharedfolder“ angelegt werden, mit den folgenden Unterverzeichnissen:
$ mkdir /home/virtual/sharedfolder/BitBox/downloads -p
$ mkdir /home/virtual/sharedfolder/BitBox/print -p
•
Starten von VirtualBox:
$ VirtualBox
„Browser in the Box“
Installations- und Benutzerdokumentation
73
4.2.4
Virtuelle Maschine für BitBox erzeugen
Abbildung 4.1: VirtualBox Startseite
•
Nun ist eine neue virtuelle Maschine anzulegen durch Klicken auf „Neu“.
Abbildung 4.2: Einstellung einer neuen virtuellen Maschine
•
74
Während des nun folgenden Dialogs sollten die folgenden Punkte eingestellt
werden:
◦ Als Name für die virtuelle Maschine ist „BitBox“ einzugeben.
Anmerkung: Hier sind auch andere Namen möglich, jedoch muss dann im
Installations- und Benutzerdokumentation
„Browser in the Box“
späteren Verlauf die Konfigurationsdatei bitbox.conf angepasst werden!
Abbildung 4.3: Neue VM namens BitBox erstellen
◦
Das einzustellende Betriebssystem ist Linux, die Version ist Debian.
◦
Mit einem Klick auf „Weiter“ wird die Speicherverwaltung erreicht. Hier wird
die Hauptspeichergröße eingestellt. Da diese abhängig vom verfügbaren
Speicher des Hosts ist, werden folgende Einstellungen empfohlen:
▪ Host RAM >= 3GB: 768 MB RAM für die VM
▪
Host RAM >= 2GB: 512 MB RAM für die VM
▪
Host RAM >= 1GB: 372 MB RAM für die VM
▪
Sonst: 256 MB RAM
Abbildung 4.4: Speicher für BitBox-VM
◦
Im Anschluss wird mit „Weiter“ bestätigt.
„Browser in the Box“
Installations- und Benutzerdokumentation
75
◦
Im nächsten Menüpunkt wird eine neue Festplatte erzeugt:
Abbildung 4.5: Bestätigung, dass eine neue virtuelle Festplatte
für die neue virtuelle Maschine erzeugt werden soll.
Abbildung 4.6: Einstellen des Festplattentyps
◦
76
Ein Festplatte fester Größe wird mit 2 GB Speicherplatz und dem Namen
„BitBox-disk1“ erstellt.
Installations- und Benutzerdokumentation
„Browser in the Box“
Abbildung 4.7: Festplattengröße für BitBox-Festplatte 1
◦
Mit Klick auf „Weiter“ wird die erste Festplatte für BitBox erstellt:
Abbildung 4.8: Zusammenfassung über Festplattenerstellung
◦
Nach dem Abschließen findet sich nun links eine neue virtuelle Maschine mit
dem Namen „BitBox“. Für diese müssen noch einige Änderungen
vorgenommen werden. Dies kann mittels des Buttons „Ändern“ oder der
Tastenkombination Strg+S durchgeführt werden.
◦
Unter „Allgemein“ → „Erweitert“ die Mini-Toolbar unter dem Punkt „Zeigt im
Fullscreen/Seamless-Modus“ deaktivieren. Dies verhindert, dass der
„Browser in the Box“
Installations- und Benutzerdokumentation
77
Benutzer im „Seamless-Modus“ verschiedene Konfigurationen vornehmen
kann.
Abbildung 4.9: Abstellen der Mini-Toolbar im Seamles-Modus
◦
78
Als nächstes muss das Debian Image als CD geladen werden. Diese
Einstellung wird unter dem Menüpunkt „Massenspeicher“ vorgenommen.
Mit einem Klick auf das CD-Symbol mit einem grünen Plus neben „IDEController“ öffnet sich ein Dialog in dem „Medium auswählen“ gewählt wird.
Hier kann das vorher heruntergeladene Debian Image selektiert und
geöffnet werden.
Installations- und Benutzerdokumentation
„Browser in the Box“
Abbildung 4.10: Hinzufügen des Debian Images als Boot CD
◦
Nun muss eine weitere Festplatte namens „ BitBox-disk2“ für BitBox
konfiguriert werden. Diese soll später persistente Daten halten. Hierzu wählt
man im „Massenspeicher“ bei „SATA-Controller“ → „Festplatte hinzufügen“.
Es öffnet sich wieder der Festplattendialog:
Abbildung 4.11: Festplattengröße für BitBox-Festplatte 2
◦
Anschließend sieht die Konfiguration der BitBox-Massenspeicher wie folgt
aus:
„Browser in the Box“
Installations- und Benutzerdokumentation
79
Abbildung 4.12: Fertige Massenspeicherkonfiguration für die BitBox-VM
◦
Weiterhin muss die zweite Festplatte so konfiguriert werden, dass alle Daten
unmittelbar geschrieben werden. Dazu in einer Konsole den folgenden
Befehl eintippen (<VBoxManage> analog zu 4.2.2):
<VBoxManage> modifyhd /Pfad/zu/BitBox-disk2.vmdk --type writethrough
◦
Der letzte Punkt ist das Anlegen eines „shared Folders“. Dies ist unter dem
Menüpunkt „Gemeinsame Ordner“ möglich. Ein neuer Ordner kann mit Klick
auf das Ordnersymbol mit einem grünen Plus, oder mittels der Taste „ Einfg“
bewerkstelligt werden. Es folgt ein Auswahldialog, in dem der gewünschte
Ordnerpfad selber eingeben werden kann. Alternativ bietet das Drop-Down
Menü unter dem Punkt „Ändern“ eine grafische Auswahlmöglichkeit für den
Ordner. Der Punkt „Nur lesbar“ darf nicht aktiviert werden.
Abbildung 4.13: Auswahlpunkt zum Hinzufügen eines
Ordner-Pfades für einen shared Folder
◦
80
Für die BitBox ist ein separater Ordner im Benutzerverzeichnis des
Installations- und Benutzerdokumentation
„Browser in the Box“
Benutzers „virtual“ zu wählen.
◦
◦
◦
•
Die
Ordner
wurden
bereits
im
Vorfeld erstellt, unter Linux unter
/home/virtual/sharedfolder/BitBox,
unter
Windows
ebenfalls
im
Benutzerverzeichnis. Hier ist jeweils der Ordner BitBox als shared Folder
auszuwählen.
Es sollte aber sichergestellt sein das nur der „ virtual“ Nutzer darauf Zugriff
hat, sofern der Benutzer später keine Gelegenheit haben soll, mittels der
virtuellen Surfumgebung Dateien in das Internet hochzuladen.
Alle Änderungen können jetzt mittels „Ok“ bestätigt werden.
Nach der Einrichtung der virtuellen Maschine kann das Linux System installiert
werden. Es können zunächst die Standard-Einstellungen verwendet werden,
sofern nicht explizit anders erwähnt. Gestartet wird die virtuelle Maschine
mittels des „Starten“ Knopfs. Falls nicht anders angegeben, können die Dialoge
immer mit Standard-Einstellungen und „Enter“ bestätigt werden.
◦ Alle von VirtualBox angezeigten Meldungen und Warnhinweise können
akzeptiert werden. Weiterhin diese so markieren, dass sie später nicht
erneut angezeigt werden.
◦ Im „Installer Boot Menu“ „Install“ auswählen und mit „Enter“ bestätigen.
◦
Nun als Sprache und Keyboardlayout Deutsch (German) auswählen.
◦
Rechnername und Domainname je nach Firmenpolicy auswählen. Im
Zweifelsfall die bereits eingetragenen Werte benutzen.
Die folgenden Punkte zur Festplattenpartitionierung sind bereits richtig
gewählt. Erst auf die Frage „Änderungen auf Festplatte schreiben“ muss ja
gewählt werden.
Das Passwort für „root“ ist nicht für die Skripte relevant, kann also beliebig
gewählt werden. Das Passwort sollte jedoch analog zu den BSISicherheitsrichtlinien für Passworte gewählt werden.
Als Benutzername wird: „vm“ genutzt, das Passwort ist ebenfalls für die
Skripte nicht relevant und kann somit beliebig gewählt werden.
Im nächsten Schritten „Paketmanager“ wird ein deutscher Spiegelserver in
der Nähe gewählt, z.B. debian.uni-duisburg-essen.de
◦
◦
◦
◦
◦
◦
◦
◦
Proxydaten werden entsprechend der lokalen Netzwerk-Konfiguration
eingetragen (im Zweifelsfall leer lassen)
Für den Punkt Softwareauswahl alles mittels Leertaste abwählen (auch das
Standardsystem). Dann mittels Tab „weiter“ anwählen und mit „ Enter“
bestätigen.
Installationsroutine mit Minimalinstallation durchführen. Es sollten keine
Zusatzpakete, also auch nicht die Standardpakete, installiert werden.
Nach Abschluss der Installation, wenn dazu die Aufforderung erfolgt, muss
die CD ausgeworfen werden. Unter VirtualBox handelt es sich hierbei um
das virtuelle Debian Image, welches über den Menüpunkt „Geräte“ →
„Browser in the Box“
Installations- und Benutzerdokumentation
81
„CD/DVD-Laufwerke“->IDE-Controller (Primärer Master) durch Klicken des
Punktes „Medium entfernen“ entfernt werden kann. Danach kann der Dialog
in der virtuellen Maschine mittels „ Enter“ beendet werden und die Maschine
startet neu.
4.2.5
•
•
Installation der Gasterweiterung
Nach der Installation in der virtuellen Maschine als Benutzer „ root“ einloggen
mit dem während der Installation eingestellten Passwort.
Nun werden die nötigen Pakete zur Installation der VM-Gasterweiterung
installiert:
# apt-get install make g++ linux-headers-2.6-686 bzip2 sudo
•
Der folgende Schritt beschreibt die Installation der Gasterweiterung. Hierfür
wird zunächst über den Menüpunkte „Geräte“ → „Gasterweiterung installieren“
die Gasterweiterung geladen. Diese kann dann wie folgt installiert werden.
# mount /dev/cdrom /media/cdrom
# sh /media/cdrom/VBoxLinuxAdditions-x86.run
# umount /media/cdrom
•
Anschließend, die Gasterweiterungs-CD wieder entfernen über: „Geräte“ →
„CD/DVD-Laufwerke“ → „Medium entfernen“
4.2.6
•
Benötigte Software installieren
Nun werden die folgenden benötigten Pakete nachinstalliert (Für das bessere
Verständnis: l10n → L10N, libcurl3 → LIBCURL3):
# apt-get install x-window-system openbox iceweasel-l10n-de alsa
libcurl3 obconf obmenu gecko-mediaplayer4
# wget
http://ardownload.adobe.com/pub/adobe/reader/unix/9.x/9.4.0/deu/Adbe
Rdr9.4-1_i386linux_deu.deb
# wget
http://fpdownload.macromedia.com/get/flashplayer/current/install_fla
sh_player_10_linux.deb
# dpgk -i AdbeRdr9.4-1_i386linux_deu.deb
# dpgk -i install_flash_player_10_linux.deb
# rm *.deb
4.2.7
•
4
82
Iceweasel 4 installieren
Das standardmäßig von Debian 6 mitgelieferte Firefox-Derivat „Iceweasel“ liegt
nur in Version 3 vor.
Unter Debian 5 heißt der „gecko-mediaplayer“ noch „mozilla-mplayer“
Installations- und Benutzerdokumentation
„Browser in the Box“
•
Um Version 4 oder neuerdings Version 5 von Iceweasel unter Debian zu
installieren, muss analog zu den Anleitungen auf folgender Webseite
vorgegangen werden: http://mozilla.debian.net/
4.2.8
•
Zweite Festplatte einrichten
Um die zweite Festplatte als Ablage für persistente Iceweasel-Daten zu
konfigurieren, muss diese zunächst partitioniert und formatiert werden:
# fdisk /dev/sdb
Command (m for help): n
Command action: p
Partition number: 1
First cylinder: 1
Last cylinder: 492 (bzw. durch Drücken von Enter bestätigen)
Command (m for help): w
•
Anschließend muss die Festplatte mit dem Dateisystem „ ext2“ formatiert
werden
# mkfs.ext2 /dev/sdb1
•
Diese wird nun in folgendes Verzeichnis eingehängt
#
#
#
#
•
mkdir
chown
chmod
mount
/home/vm/.mozilla_persistent
vm:vm /home/vm/.mozilla_persistent
700 /home/vm/.mozilla_persistent
/dev/sdb1 /home/vm/.mozilla_persistent
Damit diese Einbindung automatisch beim Systemstart geschieht, wird noch ein
Eintrag in die /etc/fstab hinzugefügt
# nano /etc/fstab
/dev/sdb1
/home/vm/.mozilla_persistent
•
rw,sync
0
0
Datei abspeichern und beenden (STRG+X, yes, Enter)
4.2.9
•
ext2
Shared Folder einrichten
Nun muss ein Ordner für den „shared Folder“ angelegt werden (hier
/home/vm/BitBox)
# mkdir /home/vm/BitBox
# chown vm:vm /home/vm/BitBox
# nano /etc/fstab
•
Der Ordner muss ebenfalls in die Datei /etc/fstab eingetragen werden, damit
dieser automatisch nach dem Systemstart eingehängt wird:
BitBox
•
/home/vm/BitBox
vboxsf
rw,uid=1000,gid=1000
0
0
Datei abspeichern und beenden (STRG+X, yes, Enter)
„Browser in the Box“
Installations- und Benutzerdokumentation
83
4.2.10
•
Konfiguration der Soundkarte
Danach muss noch die Soundausgabe konfiguriert werden. Dazu wird Alsa
(Advanced Linux Sound Architecture) mittels „ alsamixer“ konfiguriert:
# alsamixer
•
„alsamixer“ dient der Einstellung der Lautstärke. Hier kann mit den
navigiert werden. Der erste Balken (Master) sollte hierbei kurz vor
Bereich liegen. Außerdem muss für die einzelnen Kanäle
Stummschaltung (mute) per Taste „m“ deaktiviert werden. Beendet
Druck der „Escape“-Taste.
Pfeiltasten
dem roten
noch die
wird durch
Abbildung 4.14: Konfiguration der Soundkarte via alsamixer
4.2.11
Iceweasel-Wrapper schreiben
•
Da Iceweasel von außen durch BitBox kontrolliert wird, ist ein Workaround nötig,
um einen Fehler zu unterbinden.
Dazu muss das folgende Skript geschrieben werden:
•
Datei /usr/bin/iceweasel-wrapper.sh öffnen
•
# nano /usr/bin/iceweasel-wrapper.sh
•
Folgenden Inhalt einfügen:
#!/bin/bash
cd /home/vm/BitBox/print
unset SUDO_UID SUDO_GID SUDO_USER
/usr/bin/iceweasel $* &
exit
•
84
Datei abspeichern und beenden (STRG+X, yes, Enter)
Installations- und Benutzerdokumentation
„Browser in the Box“
•
Anschließend noch die Dateiberechtigungen auf „ausführbar“ setzen:
# chmod 755 /usr/bin/iceweasel-wrapper.sh
4.2.12
Soundproblematik beheben
•
Damit es möglich ist, auf Webseiten Flash-Videos auch mit Ton anzuschauen,
muss ein weiterer Workaround ein existierendes Problem beheben.
Dazu muss ein Eintrag in die /etc/sudoers-Datei erfolgen:
•
sudoers-Datei editieren
•
# visudo
•
Am Ende der Datei die folgenden Zeilen einfügen
vm ALL=(vm) NOPASSWD: /usr/bin/iceweasel-wrapper.sh
vm ALL=(root) NOPASSWD: /sbin/dhclient
bzw. bei Debian 5:
vm ALL=(root) NOPASSWD: /sbin/dhclient3
•
Speichern und Beenden
4.2.13
•
•
Permanenten DNS-Server eintragen
Um beim Starten ein DHCP-request und somit unnötige Wartezeiten zu
verhindern, kann ein öffentlicher DNS-Server eingetragen werden.
Hier wird der öffentlichen Google-DNS-Server5 ausgewählt:
# nano /etc/dhcp/dhclient-enter-hooks.d/nodnsupdate
bzw. bei Debian 5:
# nano /etc/dhcp3/dhclient-enter-hooks.d/nodnsupdate
•
Folgenden Inhalt einfügen
#!/bin/sh
make_resolv_conf(){
echo nameserver 8.8.8.8 > /etc/resolv.conf
echo nameserver 8.8.4.4 >> /etc/resolv.conf
}
•
Dann speichern und beenden - (STRG+X, yes, Enter)
•
Die Datei ausführbar machen
# chmod 755 /etc/dhcp/dhclient-enter-hooks.d/nodnsupdate
bzw. bei Debian 5:
# chmod 755 /etc/dhcp3/dhclient-enter-hooks.d/nodnsupdate
4.2.14
•
5
udev-Regeln verbieten
VirtualBox vergibt bei der Installation zufällige MAC-Adressen. Um zu
verhindern, dass die Netzwerkkarten im Gast bei einem Update
durchnummeriert werden (von eth0 bis ethn) und so kein Zugriff mehr auf das
Andere DNS-Server sind selbstverständlich ebenfalls möglich
„Browser in the Box“
Installations- und Benutzerdokumentation
85
Netzwerk möglich ist, kann folgender Trick angewendet werden:
# rm /etc/udev/rules.d/70-persistent-net.rules
# mkdir /etc/udev/rules.d/70-persistent-net.rules
4.2.15
•
•
X-Server Konfiguration erzeugen
Prinzipiell ist es nicht nötig, eine Konfiguration für X zu erzeugen, da der XServer die Einstellungen beim Start automatisch herausfindet. Um aber zum
Beispiel zu verhindern, dass Benutzer über die Tastenkombination STRG+ALT+Fx
in ein Terminalfenster wechselt, muss die Option „ DontVTSwitch“ im X-Server
eingeschaltet werden.
Daher wird zunächst eine Standard-X-Konfiguration angelegt
# X -configure
# cp /root/xorg.conf.new /etc/X11/xorg.conf
•
Dann die Konfigurationsdatei editieren und am Ende der Datei:
# nano /etc/X11/xorg.conf
Section "ServerFlags"
Option
"DontVTSwitch" "true"
EndSection
•
Speichern und Beenden
4.2.16
•
•
GRUB konfigurieren
Boot-Vorgang beschleunigen, dazu in /boot/grub/grub.conf den „set timeout“Wert auf 0 setzen:
Datei editieren
# nano /boot/grub/grub.cfg
•
Timeout-Wert ändern
set timeout 0
•
Nun die Maschine neu starten
# reboot
4.2.17
OpenBox konfigurieren
•
Nach dem Neustart der Maschine, als Benutzer vm in der VM einloggen.
•
Im nächsten Schritt wird der X-Server gestartet.
$ startx
•
Mittels eines Klicks der rechten Maustaste öffnet sich ein „Menü“. Der
„Menüpunkt“ „Terminal emulator“ öffnet ein Konsole. In der Konsole das Tool
„obconf“ aufrufen:
$ obconf
86
Installations- und Benutzerdokumentation
„Browser in the Box“
•
•
„obconf“ wird für die Konfiguration des Aussehens der Fenster genutzt. Wichtig
ist hierbei der Menüpunkt „Appearance“. Hier wird die Buttonreihenfolge „ LMC“
eingetragen. Unter dem Menüpunkt „Dektops“ → „Number of desktops“ auf „1“
setzen. Danach wird das Programm mit „Schließen“ beendet.
Als nächstes das Werkzeug „obmenu“ aufrufen:
$ obmenu
•
•
Per „obmenu“ kann das Menü konfiguriert werden, das nach einem Rechtsklick
angezeigt wird und somit z.B. den Zugang zur Kommandokonsole unterbunden
werden.
Aktuell sollten alle Menüpunkte bis auf den „Terminal emulator“ entfernt
werden. Das Ergebnis wird dann mittels einem Klick auf die Diskette
gespeichert und „obmenu“ kann geschlossen werden.
4.2.18
•
Iceweasel konfigurieren
Nun müssen die initialen Einstellungen für Iceweasel vorgenommen werden.
Hierzu zunächst Iceweasel starten
$ iceweasel
•
und die Grundeinstellungen vornehmen, d.h.
◦
◦
Startseite festlegen: „Bearbeiten“ → „Einstellungen“ → „Allgemein“ → Bei
„Startseite:“ die gewünschte URL eintragen
Downloads festlegen: Downloads werden auf der gleichen Seite konfiguriert.
Diese müssen standardmäßig ohne Nachfrage in folgendem Ordner
gespeichert werden: „/home/vm/BitBox/downloads“
Einstellen eines Proxy-Servers unter: „Bearbeiten“ → „Einstellungen“ →
„Erweitert“ → „Netzwerk“ → „Einstellungen“
Iceweasel kann so konfiguriert werden, dass neue Fenster grundsätzlich in
neuen Tabs geöffnet werden. Dazu in der Adresszeile von Iceweasel
„about:config“ eingeben und folgende Zeilen editieren:
◦
•
•
◦
browser.link.open_newwindow → 3
◦
browser.link.open_newwindow.restriction → 0
An dieser Stelle besteht zusätzlich die Möglichkeit, Firefox-PlugIns zur weiteren
Härtung des Iceweasel hinzuzufügen. Empfehlenswert sind z.B.:
◦ AdBlock Plus, siehe:
https://addons.mozilla.org/de/firefox/addon/adblock-plus/
◦ NoScript, siehe:
https://addons.mozilla.org/de/firefox/addon/noscript/
◦ RefControl, siehe:
https://addons.mozilla.org/de/firefox/addon/refcontrol/
◦ Web-of-Trust, siehe:
https://addons.mozilla.org/de/firefox/addon/wot-safe-browsing-tool/
„Browser in the Box“
Installations- und Benutzerdokumentation
87
•
•
•
Es muss dabei allerdings genau abgewägt werden, wie viel Mehrnutzen die
einzelnen PlugIns/Add-Ons bringen. Es wird darauf hingewiesen, dass die hier
genannten Add-Ons relativ häufig gepatched werden. Das bedeutet, dass
jeweils ein neues Image erstellt werden muss, wenn ein Update eingespielt
werden muss.
Darüber hinaus ist das Testen der existierenden PlugIns des Adobe Readers
(durch Öffnen eines PDFs im Internet) sowie des Flash-Players (z.B. durch Aufruf
der Webseite: http://www.youtube.de sinnvoll.
Nach Abschluss der Konfiguration, den Iceweasel beenden
Abbildung 4.15: Iceweasel-Einstellungen innerhalb von BitBox
4.2.19
88
Persistente Speicherung der Iceweasel-Daten
•
An dieser Stelle ist es möglich, die persistente Speicherung von IceweaselDaten zu konfigurieren. Je nach benötigtem Sicherheitsniveau lassen sich
folgende drei Varianten unterscheiden:
◦ Speichere alles (ideal für Privatanwender oder Personen mit niedrigem
Schutzbedarf)
◦ Speichere nur Lesezeichen (gut für Firmen und Behörden, bei denen die
Administratoren die Gesamtkonfiguration im Vorfeld vornehmen)
◦ Speichere nichts (für hohen Schutzbedarf)
•
Im Folgenden wird daher beschrieben, wie die oben genannten Varianten
eingestellt werden können:
Installations- und Benutzerdokumentation
„Browser in the Box“
Speichere alles:
Hierzu wird zunächst die aktuelle Konfiguration von Iceweasel in das
persistente Datenverzeichnis auf der zweiten Festplatte (eingehängt unter
./home/vm/.mozilla_persistent)
verschoben.
Anschließend wird ein
symbolischer Link von .mozilla_persistent auf .mozilla angelegt, wodurch
alle Zugriffe auf die zweite Festplatte umgeleitet werden.
◦
$
$
$
$
cd
mv
rm
ln
Speichere nur Lesezeichen:
Bei dieser Konfiguration wird das Konfigurationsverzeichnis von Mozilla
beibehalten und lediglich einige Dateien zur Lesezeichenverwaltung auf die
zweite Festplatte umgeleitet:
◦
$
$
$
$
$
$
$
$
$
$
$
cd
mv
mv
mv
mv
mv
ln
ln
ln
ln
ln
◦
4.2.20
•
•
/home/vm
.mozilla/* .mozilla_persistent/
-rf .mozilla
-s .mozilla_persistent .mozilla
/home/vm/.mozilla/firefox/*.default
bookmarkbackups /home/vm/.mozilla_persistent/
bookmarks.html /home/vm/.mozilla_persistent/
places.sqlite /home/vm/.mozilla_persistent/
places.sqlite-shm /home/vm/.mozilla_persistent/
places.sqlite-wal /home/vm/.mozilla_persistent/
-s /home/vm/.mozilla_persistent/bookmarkbackups
-s /home/vm/.mozilla_persistent/bookmarks.html
-s /home/vm/.mozilla_persistent/places.sqlite
-s /home/vm/.mozilla_persistent/places.sqlite-shm
-s /home/vm/.mozilla_persistent/places.sqlite-wal
Speichere nichts:
Für diesen Fall ist nichts weiter zu tun.
Betriebssystem der Gast-VM härten
Um die Gast-VM weiter zu härten, muss der Benutzer ' vm' eingeschränkt
werden.
Dazu werden zunächst dem Benutzer ' vm' die Login-Rechte innerhalb des Linux
entzogen:
$ su
# usermod -s /bin/false vm
•
Zusätzlich wird das Passwort des Benutzers entfernt
•
Hierzu die Datei /etc/passwd editieren und alle Zeichen zwischen den ersten
beiden „:“ entfernen
# nano /etc/passwd
vm::1000:1000:vm,,,:/home/vm:/bin/false
•
Anschließend Speichern und Beenden und die Datei /etc/shadow öffnen, und
auch hier alle Zeichen zwischen den ersten beiden „:“ entfernen
„Browser in the Box“
Installations- und Benutzerdokumentation
89
# nano /etc/shadow
vm::15030:0:99999:7:::
•
Weiterhin werden die zusätzlichen Login-Konsolen unter STRG+ALT+<F2-F6>
entfernt. Hierzu die Datei /etc/inittab editieren:
# nano /etc/inittab
•
Auskommentieren der folgenden Zeile von
1:2345:respawn:/sbin/getty 38400 tty1
2:23:respawn:/sbin/getty 38400 tty2
3:23:respawn:/sbin/getty 38400 tty3
4:23:respawn:/sbin/getty 38400 tty4
5:23:respawn:/sbin/getty 38400 tty5
6:23:respawn:/sbin/getty 38400 tty6
•
in
#1:2345:respawn:/sbin/getty 38400 tty1
#2:23:respawn:/sbin/getty 38400 tty2
#3:23:respawn:/sbin/getty 38400 tty3
#4:23:respawn:/sbin/getty 38400 tty4
#5:23:respawn:/sbin/getty 38400 tty5
#6:23:respawn:/sbin/getty 38400 tty6
•
Da es nun nicht mehr möglich ist, sich am System anzumelden, wird dafür
gesorgt, dass der Benutzer root automatisch am System angemeldet wird und
für den Benutzer vm die grafische Oberfläche startet. Dazu muss zunächst
ebenfalls in die /etc/inittab folgende Zeile hinzugefügt werden:
1:2345:respawn:/bin/login -f root tty1 </dev/tty1 >/dev/tty1 2>&1
•
Datei speichern und beenden. Im Anschluss die Datei /root/.bashrc editieren
und dafür sorgen, dass root automatisch den X-Server für Benutzer vm startet
# nano /root/.bashrc
•
Einfügen folgender Zeilen am Ende der Datei
if [ -z "$DISPLAY" ] && [ $(tty) == /dev/tty1 ] ; then
su -c startx -s /bin/bash vm ; exit
fi
4.2.21
•
•
Abschluss der Installation
Zum Abschluss der Installation muss noch die root-Sitzung im Terminal-Fenster
beendet werden.
Wichtig: Nur einmal exit eingeben, da das Terminal-Fenster noch benötigt
wird!
# exit
•
90
Nun wird der Menüeintrag „Terminal Emulator“ aus dem „ obmenu“ entfernt, um
auch ein nachträgliches Aufrufen der Konsole zu Unterbinden.
Installations- und Benutzerdokumentation
„Browser in the Box“
$ obmenu
•
Im Menü den Eintrag „Terminal Emulator“ entfernen, abspeichern und zum
Schluss das System neu starten.
$ su -c reboot
•
Das System startet nun automatisch den X-Server als Benutzer vm
4.2.22
Schnappschuss erzeugen
•
Mittels „Hosttaste+L“ in den Seamlessmodus gehen und den aktuellen Stand
mittels „Hosttaste+S“ unter „BitBox“ speichern. Die Hosttaste ist
standardmäßig die rechte „Strg“-Taste.
•
Die Virtuelle Maschine beenden (Strg+Q) und mittels ACPI ausschalten.
•
Abschließend unter „Datei“ → „Globale Einstellungen“ im Untermenü „Eingabe“
die Host-Taste deaktivieren, indem mittels eines Klicks auf das rote Kreuz der
Host-Key auf „None“ gesetzt wird.
Abbildung 4.16: Deaktivieren der
Host-Key-Taste in VirtualBox
•
•
•
Weiterhin sollten die automatischen Updates abgeschaltet werde, indem unter
„Update“ das Häkchen bei „Nach Updates suchen“ entfernt wird. Beides kann
mittels OK bestätigt werden.
Schließlich, VirtualBox beenden und den Benutzer „virtual“ abmelden.
Um nachträglich noch Änderungen an der virtuellen Maschine durchzuführen,
siehe Kapitel 6.
„Browser in the Box“
Installations- und Benutzerdokumentation
91
5 Benutzung von BitBox
In diesem Abschnitt beschreiben wir einige Konfigurationsoptionen im Hinblick auf
das Spannungsfeld zwischen Benutzerkomfort und Sicherheitsrisiken.
5.1 Starten von BitBox
Nach der Installation und Konfiguration von BitBox ist die virtuelle Surfumgebung
fertig konfiguriert und kann eingesetzt werden. Das Nutzen von Links sollte bereits
durch die entsprechenden Einstellungen (in Windows, KDE, Gnome, Thunderbird)
funktionieren, so dass BitBox direkt gestartet wird.
5.1.1
Windows
Unter Windows kann BitBox aber auch direkt durch den Aufruf der Datei
„BitBox.exe“ gestartet werden. Um die Handhabung zu erleichtern wird eine
Verknüpfung auf dem Desktop und dem Windows Startmenü erstellt.
Nach dem Doppelklick auf „BitBox.exe“ oder der Verknüpfung öffnet sich die
virtuelle Surfumgebung mit der Iceweasel-Startseite. Bei bereits geöffnetem Iceweasel
öffnet sich ein neues Fenster. Bei dem Klick auf Links zu Webseiten öffnet sich die
entsprechende Webseite entweder in einem neuen Iceweasel Fenster, wenn bisher
noch keine Fenster gestartet wurden oder im bestehenden Fenster in einem neuen Tab.
5.1.2
Linux
Unter Linux bestehen ebenfalls drei Möglichkeiten, die virtuelle Surfumgebung zu
benutzen:
1. Durch Anklicken des Desktop-Symbols 'BitBox'
2. Durch Aufruf des Befehls /usr/local/bin/bitbox.sh in einer Konsole
3. Durch Anklicken eines Links in einer Anwendung, sofern es wie in Kapitel
3.2.4.6 bzw. 3.2.4.7 beschrieben, eingerichtet wurde.
Nach Aufruf von BitBox öffnet sich die virtuelle Surfumgebung mit der IceweaselStartseite. Bei bereits geöffnetem Iceweasel öffnet sich ein neues Fenster. Bei dem
Klick auf Links zu Webseiten öffnet sich die entsprechende Webseite entweder in
einem neuen Iceweasel Fenster, wenn bisher noch keine Fenster gestartet wurden oder
im bestehenden Fenster in einem neuen Tab.
„Browser in the Box“
Installations- und Benutzerdokumentation
93
5.2 Surfen im Internet
Wenn BitBox gestartet ist kann sie wie jeder andere Browser benutzt werden, um
damit im Internet zu surfen. BitBox selbst verwendet dabei das Firefox-Derivat
„Iceweasel“, um Webseiten anzuzeigen. Der Browser beinhaltet alle gewohnten
Funktionalitäten eines Firefox-Browsers und lässt sich auch wie ein solcher bedienen.
In der Adressleiste können wahlweise direkt Webseiten eingetragen werden oder
aber über gespeicherte Lesezeichen geöffnet werden.
Falls auf einer Webseite ein neues Fenster geöffnet werden soll, wird diese Seite
automatisch als neuer Tab dem bereits geöffnetem Iceweasel-Fenster hinzugefügt.
Dies geschieht, wie bereits erwähnt, ebenfalls, wenn von außerhalb (also auf dem
Hostsystem) ein Link angeklickt wird und bereits eine Iceweasel-Instanz gestartet
wurde.
Abbildung 5.1: Standard-Iceweasel-Ansicht beim Surfen mit BitBox
Da der Iceweasel auf dem Mozilla Firefox-Browser basiert ist es ebenfalls möglich,
Plugins für diesen nachzuladen und zu installieren. Hierzu sind ggf.
Administrationsrechte in der virtuellen Maschine BitBox von Nöten. Standardmäßig
sind Plugins für Adobe Flash und Adobe Reader mit installiert.
94
Installations- und Benutzerdokumentation
„Browser in the Box“
5.3 Verwalten von Lesezeichen / Persistente Daten
Der im Gast verwendete Browser „Iceweasel“ speichert Daten wie Lesezeichen
oder Cache Dateien in einem Unterverzeichnis im Gast ab. Bei jedem Neustart von
BitBox wird von dem gleichen sauberen Zustand aus gestartet. D.h. diese Daten gehen
grundsätzlich zunächst bei jedem Neustart verloren. Diese sehr restriktive Einstellung
ist vom Sicherheitsgedanken her am konsequentesten, da keinerlei Daten auf das
Hostsystem gelangen. Allerdings ist die Benutzbarkeit dadurch sehr eingeschränkt.
Um gegebenenfalls (Teile) der Daten persistent zu halten bietet BitBox während der
Installation drei Optionen an:
• Alle (Konfigurationsdaten und Lesezeichen)
•
Nur Lesezeichen
• Keine
Die persistenten Daten werden in einer zusätzlichen virtuellen Festplatte im Gast
gespeichert die beim Neustart nicht zurückgesetzt wird. Durch persistente Daten geht
ein Teil der Sicherheitsfunktionalität verloren, der ansonsten durch das Vergessen aller
Daten beim Neustart erfolgt. Ist in den gespeicherten Daten Schadsoftware enthalten,
die den Browser beeinträchtigt, so bleibt diese Beeinträchtigung nach dem Neustart
erhalten. Allerdings betrifft diese Beeinträchtigung nur das Gast-System, da die Daten
nur vom Iceweasel im Gast verwendet werden, nicht aber aktiv vom Host, da sie hier
nur passiv innerhalb der virtuellen Festplatte liegen. Ein kleines Restrisiko durch die
Daten auf dem Host bleibt erhalten, falls ein Programm auf dem Host (z.B. ein
Virenscanner, oder eine automatische Dateiindexierung) diese liest und dabei eine
Sicherheitslücke ausgenutzt wird. Das gleiche Restrisiko betrifft aber alle Daten die
während des laufenden Betriebs der BitBox in der virtuellen Festplatte gespeichert
werden.
Weitere Hinweise zu der Einstellung der persistenten Daten während der
Installation sind in Kapitel 2.1.1.2 (Windows) und 3.1.1. (Linux) genannt. Bei der
manuellen Installation der Gast-VM finden sich Informationen zur persistenten
Datenhaltung in Kapitel 4.2.19.
5.4 Herunterladen von Dateien
Das Herunterladen von Inhalten oder Dateien aus BitBox heraus auf das
Hostsystem wird in mehreren Schritten durchgeführt. Zunächst wird im Browser selbst
die Datei wie bei jedem anderen Browser auch gespeichert. Hierzu ist es zwingend
notwendig, die Datei in folgendem Ordner abzulegen:
/home/vm/BitBox/downloads
Während der Konfiguration des Iceweasel (s. Kapitel 4.2.18) wird der StandardDownload-Ordner bereits auf dieses Verzeichnis gesetzt.
Auf der Hostseite läuft ein Dienst, welcher dieses Verzeichnis auf neu eingetroffene
Dateien überprüft. Ist ein neuer Download vorhanden, wird automatisch ein Virencheck
„Browser in the Box“
Installations- und Benutzerdokumentation
95
durchgeführt, auf dessen Grundlage dann über den Verbleib der Datei entschieden
wird.
Falls die Datei ohne jegliche Fehler oder Virenerkennungen gescannt wurde, wird
sie in das Standard-Downloadverzeichnis des Benutzers des Hostsystems verschoben
und ist nun dort frei für diesen zugänglich. Unter Linux ist dies /home/<user>/Downloads,
unter Windows der während der Installation angegebene Download-Pfad.
Falls die Virenerkennung der Datei positiv angeschlagen hat, wird die Datei
ebenfalls in das Standard-Downloadverzeichnis verschoben, jedoch mit der Endung
.VIRUS_FOUND versehen, wodurch dem Benutzer signalisiert wird, dass er mit dieser
Datei nicht mehr weiterarbeiten sollte.
Falls kein Antiviren-Produkt bei der Installation von BitBox angegeben wurde,
werden alle heruntergeladenen Dateien in das Standard-Downloadverzeichnis
verschoben. BitBox fügt jedoch den Text „BITBOX_UNTESTED.“ vor den Dateinamen an,
um diese Datei als unsicher zu markieren.
Es wird in jedem Falle empfohlen einen der unterstützten Antiviren-Produkte auf
dem Hostsystem installiert zu haben, um einen besseren Schutz am Surfen
gewährleisten zu können.
5.5 Drucken aus BitBox
Abbildung 5.2: Drucken aus BitBox
Das Drucken einer Datei oder Webseite aus BitBox heraus erfolgt in mehreren
Schritten. Im Browser wird die Datei nicht direkt auf einen Drucker ausgegeben
96
Installations- und Benutzerdokumentation
„Browser in the Box“
sondern in eine Datei gedruckt. Wenn eine Webseite gedruckt werden soll, muss wie
folgt vorgegangen werden:
•
„Datei“ → „Drucken“
•
Es muss als Drucker „Print to File“ ausgewählt werden
•
Unter „Name“ muss dann ein Dateiname für diesen Druck festgelegt werden
•
Zusätzlich muss das Output-Format festgelegt werden. Hier muss „PDF“
ausgewählt werden.
Anschließend mit „Print“ den Druckauftrag starten.
•
Sobald die Datei fertig gedruckt ist, wird sie im Gast in folgendem Ordner abgelegt:
/home/vm/BitBox/print
Auf dem Host läuft ebenfalls ein Dienst, welcher diesen Ordner auf neue
Druckdaten überwacht. Falls der Administrator während der Installation die Option
„Direktes Drucken“ ausgewählt hat, wird die Datei automatisch von einem Programm
(beispielsweise Adobe Reader) im Host geöffnet, mit dem sie gedruckt werden kann.
Unter Linux wird ein Druckpanel geöffnet, in dem der gewünschten Drucker
ausgewählt sowie ggf. weitere Einstellungen vorgenommen werden kann. Mit Druck
auf den „Print“ Knopf wird die Datei an den entsprechenden Drucker geleitet.
Abbildung 5.3: Druck-Dialog unter Linux
Falls diese Option nicht gewünscht wurde, erscheint die Datei als regulärer
„Browser in the Box“
Installations- und Benutzerdokumentation
97
Download im Download-Verzeichnis des Benutzers. BitBox stellt jedoch den Text
„BITBOX_PRINTED“ dem Dateinamen voran.
Weiterhin ist es möglich, innerhalb der Gast-VM auch PDF-Dokumente innerhalb des
Iceweasel anzeigen zu lassen. Auch von hier ist es möglich, zu drucken, jedoch muss
ebenfalls der Umweg über das Dateisystem gegangen werden.
Abbildung 5.4: Drucken aus dem Adobe Reader PlugIn
•
Auf das Drucker-Symbol klicken, es öffnet sich ein Druck-Dialog
•
•
Hier muss am unteren Ende der Einstellungsseite die Option „Ausgabe in Datei“
angeklickt werden.
Zusätzlich ist ein Dateiname mit der Endung „.ps“ bzw. „.pdf“ festzulegen
•
Mit Klick auf „OK“ wird die Datei ebenfalls ins Dateisystem in den Ordner
/home/vm/BitBox/print
gedruckt und vom Host-System weiter verarbeitet.
98
Installations- und Benutzerdokumentation
„Browser in the Box“
5.6 Sichere Zwischenablage
Durch die Kapselung des Browsers in der virtuellen Maschine ist die
Zwischenablage im Host und im Gast zunächst isoliert. Damit ist ein Kopieren /
Einfügen zwischen Gast und Host nicht möglich. Diese Einstellung ist sehr sicher aber
macht das Arbeiten mit BitBox beschwerlich, da z.B. kein Link kopiert werden kann.
Während
der
Installation
von
BitBox
werden
verschiedene
Konfigurationsmöglichkeiten angeboten, um einen kontrollierten Informationsfluss zu
gestatten.
• Unidirektional: Gast → Host
Hier ist ein Kopieren / Einfügen von BitBox in den Host Rechner möglich.
Aber nicht umgekehrt. Schadsoftware im Gast hat also keine Möglichkeit aus
dem Clipboard vertrauliche Daten im Host zu erspähen. Wird zusätzlich die
Option 'Sichere Zwischenablage' aktiviert, so muss der Benutzer jedes
Kopieren / Einfügen zusätzlich noch bestätigen.
• Unidirektional: Host → Gast
Hier ist ein Kopieren / Einfügen von einer Host-Anwendung in BitBox
möglich, aber nicht umgekehrt. Dadurch kann verhindert werden, dass
schadhafter Inhalt (z.B. virenbefallene Daten) aus dem Browser in den Host
Rechner gelangen kann. Wird zusätzlich die Option 'Sichere Zwischenablage'
aktiviert, so muss der Benutzer das Kopieren / Einfügen zusätzlich noch
bestätigen. Dadurch kann verhindert werden das Schadsoftware im Gast
unbemerkt auf Inhalte in der Zwischenablage zugreift.
• Bidirektional
Hier ist ein Kopieren / Einfügen in beide Richtungen erlaubt. Wird zusätzlich
die Option Option 'Sichere Zwischenablage' aktiviert so muss der Benutzer
jedes Kopieren / Einfügen zusätzlich noch bestätigen. Dadurch kann der
Benutzer sicher sein, dass die Aktivität von ihm veranlasst wurde und nicht
von einer Schadsoftware.
Abbildung 5.5: Bestätigungsdialog der Sicheren Zwischenablage
„Browser in the Box“
Installations- und Benutzerdokumentation
99
6 Administration von BitBox
6.1.1
In den Benutzerkontext von Benutzer 'virtual'
wechseln
6.1.1.1Windows
•
•
Wenn der Benutzeraccount nicht gesperrt ist, kann unter Windows der Benutzer
'virtual' am System angemeldet werden bzw. über „Benutzer wechseln“
ausgewählt werden.
Alternativ kann VirtualBox direkt als Bentuzer ' virtual' aufgerufen werden.
Hierzu muss eine Konsole geöffnet werden ( „Start“ → „Ausführen“ → „ cmd“)
>runas /user:virtual cmd
•
Bei der automatischen Installation von BitBox wird das Passwort des Benutzers
virtual zufällig generiert und verschlüsselt im BitBox Programm Ordner
hinterlegt (bitb.enc). Das Passwort kann dort wie folgt auslesen werden: Als
Administrator
eine
Konsole
(cmd)
öffnen,
in
das
Verzeichnis
C:\Programme\BitBox\BITB wechseln und folgenden Befehl ausführen:
>Password_decryption bitb.enc
•
Die VirtualBox-GUI muss zunächst entsperrt werden
>C:\Programme\Oracle\VirtualBox\VBoxManage.exe
setextradata global GUI/Customizations
6.1.1.2Linux
•
•
Unter Linux muss zunächst eine grafische Oberfläche gestartet werden, z.B. XServer mit KDE oder Gnome.
Dann wird ein Terminal (z.B. ALT+F2 → „ xterm“) geöffnet und die folgenden
Kommandos ausgeführt:
$ xhost local:virtual
bei Debian:
$ su
bei (K)Ubuntu: $ sudo su
# su virtual
$ cd
$ VBoxManage setextradata global GUI/Customizations
„Browser in the Box“
Installations- und Benutzerdokumentation
101
6.1.2
•
Verwerfen des aktuellen Zustands
Um den aktuellen Zustand der BitBox-VM zu verwerfen, muss zunächst die
virtuelle Maschine beendet werden:
<VBoxManage> controlvm BitBox poweroff --wait-for exit
•
Anschließend muss der erstellte Snapshot gelöscht werden:
<VBoxManage> snapshot BitBox delete BitBox
6.1.3
•
Login in die virtuelle Maschine
Virtuelle Maschine starten:
<VBoxManage> startvm BitBox
•
•
•
Der Bootvorgang ist beendet, sobald man eine grafische Oberfläche sieht, in
der lediglich ein grauer Kasten mit schwarzem Hintergrund zu sehen ist.
Um sich nun wieder auf im Gast einloggen zu können, muss ein zweites
Terminal als Benutzer 'virtual' analog zu Kapitel 6.1.1 geöffnet und die
folgenden Befehle eingeben werden:
via VBoxManage root Zugriff auf den X-Server geben
<VBoxManage> guestcontrol execute BitBox /usr/bin/xhost
--environment "DISPLAY=:0.0 HOME=/home/vm LANG=de" --username vm
--verbose --arguments "+" --wait-for exit
•
via VBoxManage root eine Konsole öffnen
<VBoxManage> guestcontrol execute BitBox /usr/bin/xterm
--environment "DISPLAY=:0.0 HOME=/root LANG=de" --username root
--password <root-passwort der VM>
•
Nun öffnet sich ein X-Terminal im Gast, an der ein Administrator seine
Änderungen durchführen kann.
# bash
# source /etc/profile
Abbildung 6.1: Terminal in BitBox-VM
102
Installations- und Benutzerdokumentation
„Browser in the Box“
6.1.4
•
•
Durchführen der Änderungen
Nun können in dem soeben geöffneten Fenster die gewünschten Änderungen
und Updates durchgeführt werden.
Um die History der durchgeführten Arbeiten zu löschen, sind noch folgende
Befehle empfehlenswert:
# rm /root/.bash_history
# history -c
•
Unbedingt im Anschluss die virtuelle Maschine ausschalten, damit die
Änderungen persistent gespeichert werden.
# halt
6.1.5
•
Snapshot erzeugen
Virtuelle Maschine starten:
<VBoxManage> startvm BitBox
•
•
Der Bootvorgang ist beendet, sobald man eine grafische Oberfläche sieht, in
der lediglich ein grauer Kasten mit schwarzem Hintergrund zu sehen ist.
Nun einen Snapshot erzeugen:
<VBoxManage> snapshot BitBox take BitBox
•
Nun kann die Maschine ausgeschaltet werden
<VBoxManage> controlvm BitBox poweroff --wait-for exit
•
VirtualBox beenden und Benutzer vom Host wieder abmelden, bzw. die
Konsolen schließen.
6.2 Eine BitBox-VM exportieren
•
•
•
Beim Exportieren der BitBox-VM ist es aus Kompatibilitätsgründen zwischen
Windows und Linux nötig, im Vorfeld die virtuellen Festplatten sowie den Shared
Folder aus der VM auszuhängen.
Dazu zunächst in den Benutzerkontext des Benutzers ' virtual' wechseln, siehe
6.1.1.
Aushängen des Shared Folder:
<VBoxManage> sharedfolder remove BitBox --name BitBox
•
Aushängen der virtuellen Festplatten:
<VBoxManage> storageattach BitBox --storagectl
--device 0 --port 0 --type hdd --medium none
<VBoxManage> storageattach BitBox --storagectl
--device 0 --port 1 --type hdd --medium none
•
SATA-Controller
\
SATA-Controller
\
Exportieren der BitBox-VM
„Browser in the Box“
Installations- und Benutzerdokumentation
103
<VBoxManage> export BitBox -o BitBox.ova
•
•
Anschließend werden die folgenden Dateien in ein Zip-Archiv namens
„BitBox_VM_<Versionsnummer>.zip“ zusammengefasst:
◦
BitBox.ova
◦
BitBox-disk1.vmdk (aus dem Unterordner „VirtualBox VMs/BitBox“)
◦
BitBox-disk2.vmdk (aus dem Unterordner „VirtualBox VMs/BitBox“)
Nun muss noch der „Shared Folder“ gepackt werden:
# cd /home/virtual
# zip -r sharedfolder.zip sharedfolder
•
Die Dateien BitBox_VM_<Versionsnummer>.zip und sharedfolder.zip sollten nun
noch vor der Distribution wie in Kapitel 6.3 beschrieben signiert werden.
6.3 Signieren / Verifizeren von BitBox-VM Images
Um ein „Sicheres Update“ zu ermöglichen und somit nur zertifizierte BitBox-VMs
zuzulassen, ist es nötig, diese zu signieren. Grundsätzlich werden von BitBox alle
Signaturverfahren unterstützt, die von OpenSSL unterstützt werden. Dieses Kapitel
beschreibt beispielhaft, wie ein RSA-2048-Bit Schlüssel erzeugt und zum Signieren
verwendet wird.
Achtung: Es wird empfohlen, echte X.509-Zertifikate zu verwenden, um auch die
Echtheit der Schlüssel durch eine CA zertifizieren zu lassen. Zusätzlich ist anzuraten,
den öffentlichen Verifikationsschlüssel vor der eigentlichen Installation auf den
Zielsystemen zu installieren und nicht den Verifikationsschlüssel mit samt der
Installationsdateien auszuliefern, da ansonsten die Integrität der Daten nicht
gewährleistet werden kann.
6.3.1
Erzeugen eines 2048-Bit RSA-Signaturschlüssels
•
OpenSSL installieren
•
Einen RSA-Schlüssel erzeugen mit 2048-Bit
$ openssl genrsa -out BitBox.private_key.pem 2048
6.3.2
•
Erstellen des Verifikationszertifikats
Über den öffentlichen Teil des soeben erzeugten RSA-Schlüssels kann wie folgt
ein Zertifikat erstellt werden:
◦ zunächst Erstellung eines Certificate-Signing-Requests (CSR)
$ openssl req -new -key BitBox.private_key.pem -out BitBox.x509.csr
◦
104
anschließend diesen CSR durch eine vertrauenswürdige Certification
Authority (CA) signieren lassen. Dies kann alternativ auch selbst-signiert wie
folgt durchgeführt werden:
Installations- und Benutzerdokumentation
„Browser in the Box“
$ openssl x509 -req -days 365 -in BitBox.x509.csr \
-signkey BitBox.private_key.pem -out BitBox.x509.crt
6.3.3
•
Installation des X.509-Zertifikats
Unter Linux wird während der Installation erwartet, dass der öffentliche
Verifikationsschlüssel unter /etc/ssl/certs vorliegt.
$ sudo su
# cp BitBox_VM/BitBox.x509.crt /etc/ssl/certs
•
Windows
◦
Kopieren der Datei BitBox.x509.crt in den Ordner „BitBox_VM“
◦
Anmerkung: Dieses Verfahren wird später durch den echten WindowsZertifikatsspeicher ersetzt und dient daher derzeit lediglich als proof-ofconcept.
6.3.4
Extrahieren des Verifikationsschlüssel aus X.509
Zertifikat
$ openssl x509 -pubkey -noout -in /etc/ssl/certs/BitBox.x509.crt \
> /tmp/BitBox.pubkey.pem
6.3.5
•
•
Virtuelle Maschine und Shared Folder signieren
Aktuell benötigen beide Installer (für Linux und Windows) die folgenden
Dateien zur automatischen Installation:
◦ BitBox_VM_<Versionsnummer>.zip
◦
BitBox_VM_<Versionsnummer>.zip.sig
◦
sharedfolder.zip
◦
sharedfolder.zip.sig
Die Dateien BitBox_VM_<Versionsnummer>.zip und sharedfolder.zip sind
bereits in Kapitel 6.2 erzeugt worden. Um die zugehörigen Signaturen zu
erstellen, müssen diese Dateien noch mit dem Signaturschlüssel signiert
werden:
# openssl dgst -sha256 -sign BitBox.private_key.pem -out \
BitBox_VM_<Versionsnummer>.zip.sig BitBox_VM_<Versionsnummer>.zip
# openssl dgst -sha256 -sign BitBox.private_key.pem -out \
sharedfolder.zip.sig sharedfolder.zip
6.3.6
Virtuelle Maschine
Installieren verifizieren
•
und
Shared
Folder
vorm
Die Verifikation der Daten mit Hilfe des Verifikationsschlüssels sieht wie folgt
„Browser in the Box“
Installations- und Benutzerdokumentation
105
aus:
# openssl dgst -sha256 -verify /tmp/BitBox.pubkey.pem -signature \
BitBox_VM_<Versionsnummer>.zip.sig BitBox_VM_<Versionsnummer>.zip
# openssl dgst -sha256 -verify /tmp/BitBox.pubkey.pem -signature \
sharedfolder.zip.sig sharedfolder.zip
6.4 Verteilung von BitBox im Netzwerk
Um eine Verteilung von BitBox im Netzwerk zu erleichtern, ist es sinnvoll, die
Installationsdateien auf einem Netzwerklaufwerk freizugeben (z.B. über eine WindowsFreigabe oder über Samba)
Dieses sollte so eingerichtet werden, dass die entsprechenden Rechner darauf
zugreifen dürfen.
Unter Windows kann der Administrator auf die Konsolen-Installation von BitBox
zurückgreifen (siehe Seite 35), die keine grafische Benutzeroberfläche benötigt.
Unter Linux kann die Installation ebenfalls remote erfolgen. Dazu muss sich der
Administrator auf dem Zielsystem einloggen und eine Konsole öffnen (z.B. per SSH). Im
Anschluss kann die Installation wie gewohnt durchgeführt werden.
6.5 Nachträgliche
Änderung
Konfiguration
6.5.1
an
der
BitBox-
Windows
Um BitBox nachträglich unter Windows zu konfigurieren, kann wie in Kapitel 2.3
beschrieben, die Konfigurationsdatei bitb.conf unter C:\Programme\BitBox editiert
werden.
6.5.2
Linux
Um BitBox nachträglich unter Linux zu konfigurieren, kann wie in Kapitel 3.2.4.5
beschrieben, die Konfigurationsdatei /opt/BitBox/bitbox.conf editiert werden.
6.6 Update von BitBox
In der hier vorliegenden Version von BitBox kommt ein Update von BitBox einer
Neu-Installation gleich, sodass hier aktuellere Versionen der automatischen
Installationswerkzeuge (siehe Kapitel 2.1 und 3.1) verwendet werden können.
Die BitBox Installationswerkzeuge sind so aufgebaut, dass vom Administrator ein
signiertes Gastimage (und ein Shared Folder) beigelegt werden muss. Die Signatur
106
Installations- und Benutzerdokumentation
„Browser in the Box“
wird vor der Installation geprüft und das Image bei Erfolg installiert. Um die Gast-VM in
BitBox zu aktualisieren, müssen die zu aktualisierenden VM-Daten „ BitBox.zip“ und
„sharedfolder.zip“ mit samt der zugehörigen Signaturen in den entsprechenden
Installationsordnern kopiert werden (in den Ordner „BitBox_VM“).
Anschließend kann der Original BitBox-Installer aufgerufen werden, welche dann
das Update der Gast-VM durchführen.
[Windows] Alternativ kann ein update auch vom Benutzer selbst durchgeführt
werden.
Dazu
müssen
die
zu
aktualisierenden
VM-Daten
„BitBox_VM_<Versionsnummer>.zip“ und „sharedfolder.zip“ mit samt der zugehörigen
Signaturen in einen Ordner kopiert werden. Dann startet der Benutzer eine
Kommandokonsole (cmd) und führt den folgenden Befehl aus:
> C:\Programme\BitBox\Client\BitBox_update <Pfad zu
BitBox_VM_<Versionsnummer>.zip>
6.7 Update von VirtualBox
BitBox benutzt derzeit VirtualBox Version 4.0.10 zur Virtualisierung. Solange sich
die Schnittstellen von VirtualBox nicht verändern, funktioniert BitBox auch nach einer
Aktualisierung von VirtualBox weiter. Allerdings ist zu bedenken, dass die Funktionalität
der „Sicheren Zwischenablage“ eine Bibliothek von VirtualBox austauscht. Wenn diese
Funktionalität weiterhin benutzt werden soll, muss diese gegebenenfalls für die neue
VirtualBox Version neu übersetzt werden (siehe Kapitel 3.2.5).
„Browser in the Box“
Installations- und Benutzerdokumentation
107
7 Einbindung in ein Behördennetzwerk
Grundlegend gibt es mehrere Möglichkeiten BitBox sicher in ein Behördennetzwerk
einzubinden. Dabei unterscheiden sich die Konzepte in erster Linie durch die Art der
Netzwerk-Konfiguration in VirtualBox. VirtualBox bietet für die Anbindung und
Konfiguration von Netzwerkanschlüssen folgende drei Möglichkeiten: NAT, Bridged
Adapter und Hostinterface.
Beim „Hostinterface“ wird direkt der beim Host bei der Installation angelegte
Netzwerkanschluss benutzt. Hier muss die Verbindung beim Hostsystem konfiguriert
werden.
Im
„Bridged
Adapter“
Modus
wird
die
in
VirtualBox
konfigurierte
Netzwerkschnittstelle mit einem Netzwerkanschluss des Hostsystems überbrückt.
VirtualBox hat nun also direkten Zugriff auf das Hostinterface. Der virtuellen Maschine
kann damit eine eigene IP-Adresse zugewiesen werden.
Der „NAT“ Modus implementiert eine klassische NAT Konfiguration. Alle
Datenpakete werden an den Host geschickt und dieser leitet Pakete, die an die
virtuelle Maschine gerichtet sind weiter an die jeweilige VM. Der virtuellen Maschine
kann keine eigene IP-Adresse zugewiesen werden.
Nachfolgend wird zunächst die Trennung von Internet und Intranet per NAT
erläutert und anschließend wird die Kapselung von BitBox mittels VPN am Beispiel von
Windows 7 per Bridged Adapter erläutert.
7.1 Trennung Internet/Intranet per NAT
Der schnellste und einfachste Weg BitBox von dem Netzwerkverkehr des Hosts zu
trennen ist die Einrichtung von NAT in VirtualBox. Zunächst muss sichergestellt
werden, dass die virtuelle Maschine BitBox heruntergefahren wurde, damit die
Einstellungen in VirtualBox editiert werden kann. Im Detail wird dabei in VirtualBox für
die BitBox VM das Netzwerkinterface angepasst und bei „Angeschlossen an:“ NAT
ausgewählt.
„Browser in the Box“
Installations- und Benutzerdokumentation
109
Abbildung 7.1: Festlegung des NAT-Modus sowie der zu verwendenden
Netzwerkkarte unter VirtualBox
Nun hat BitBox keine Möglichkeit mehr den Netzwerkverkehr des Hosts
auszuspähen, da dieser nur noch Datenpakete, die für die virtuelle Maschine gedacht
sind, sofort an BitBox weiterleitet. Abbildung 7.1 zeigt noch einmal die genaue
Konfiguration.
7.2 Kapselung von BitBox mittels VPN am Beispiel
von Windows 7
Diese Anleitung zeigt, wie BitBox und das Hostsystem in der Netzwerkkonfiguration
getrennt werden und welche Schritte dafür nötig sind. Zunächst wird erklärt, wie
allgemein unter Windows 7 eine VPN Verbindung aufbaut werden kann, um
anschließend auf die eigentliche Konfiguration bezüglich der Sicherheit von BitBox und
dem Hostsystem einzugehen.
Falls bereits eine VPN Verbindung auf dem Windows 7 System vorhanden sein sollte
oder diese durch ein anderes Verfahren erstellt wird, kann direkt in Kapitel 7.2.3 weiter
gelesen werden.
7.2.1
Einrichten einer VPN-Verbindung mit Windows 7
Dieses Kapitel beschreibt, wie eine VPN Verbindung unter Windows 7 erstellt
110
Installations- und Benutzerdokumentation
„Browser in the Box“
werden kann. Das Kapitel kann übersprungen werden, wenn bereits eine VPN
Verbindung erfolgreich eingerichtet wurde und genutzt wird oder über einen anderen
Weg eingerichtet wurde.
In diesem Beispiel wird OpenVPN benutzt um die VPN Verbindung aufzubauen.
OpenVPN kann kostenfrei von der offiziellen Homepage heruntergeladen werden und
wird mit den Standardeinstellungen installiert.
OpenVPN Downloads:
http://www.openvpn.net/index.php/open-source/downloads.html
Bei der Installation von OpenVPN wird eine extra Netzwerkschnittstelle erzeugt, die
auch ebenfalls in den Netzwehrverbindungen von Windows 7 angesehen werden kann.
Es gilt nun in Zukunft diese Schnittstelle zu konfigurieren.
Abbildung 7.2: Netzwerk-Verbindungsverwaltung unter Windows 7
Die Konfiguration selbst wird dabei von OpenVPN durchgeführt. In der
Konfigurationsdatei, die im OpenVPN-Stammordner unter config liegen, kann die dazu
nötige Einstellungen vorgenommen werden. In diesem Beispiel wurde die folgende
Konfiguration benutzt, um eine VPN-Verbindung zu OpenVPN aufzubauen:
##############################################
# BitBox client-side OpenVPN 2.0 config file
#
# for connecting to OpenVPN.
#
##############################################
# Specify that we are a client and that we
# will be pulling certain config file directives
# from the server.
„Browser in the Box“
Installations- und Benutzerdokumentation
111
client
# Use the same setting
# the server.
# On most systems, the
# unless you partially
# the firewall for the
;dev tap
dev tun
as you are using on
VPN will not function
or fully disable
TUN/TAP interface.
# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel
# if you have more than one. On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
;dev-node MyTap
# Are we connecting to a TCP or
# UDP server? Use the same setting as
# on the server.
;proto tcp
proto udp
# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote appliance1.sirrix.de 1194
;remote appliance2.sirrix.de 1194
# Choose a random host from the remote
# list for load-balancing. Otherwise
# try hosts in the order specified.
;remote-random
# Keep trying indefinitely to resolve the
# host name of the OpenVPN server. Very useful
# on machines which are not permanently connected
# to the internet such as laptops.
resolv-retry infinite
# Most clients don't need to bind to
# a specific local port number.
nobind
# Downgrade privileges after initialization
user virtual
# Downgrade privileges after initialization (non-Windows only)
;group nobody
112
Installations- und Benutzerdokumentation
„Browser in the Box“
# Try to preserve some state across restarts.
persist-key
persist-tun
# If you are connecting through an
# HTTP proxy to reach the actual OpenVPN
# server, put the proxy server/IP and
# port number here. See the man page
# if your proxy server requires
# authentication.
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings
# SSL/TLS parms.
# See the server config file for more
# description. It's best to use
# a separate .crt/.key file pair
# for each client. A single ca
# file can be used for all clients.
ca ca.crt
cert bitbhost.crt
key bitbhost.key
# Verify server certificate by checking
# that the certicate has the nsCertType
# field set to "server". This is an
# important precaution to protect against
# a potential attack discussed here:
# http://openvpn.net/howto.html#mitm
#
# To use this feature, you will need to generate
# your server certificates with the nsCertType
# field set to "server". The build-key-server
# script in the easy-rsa folder will do this.
ns-cert-type server
# If a tls-auth key is used on the server
# then every client must also have the key.
;tls-auth ta.key 1
# Select a cryptographic cipher.
# If the cipher option is used on the server
# then you must also specify it here.
„Browser in the Box“
Installations- und Benutzerdokumentation
113
;cipher x
# Enable compression on the VPN link.
# Don't enable this unless it is also
# enabled in the server config file.
comp-lzo
# Set log file verbosity.
verb 3
# Silence repeating messages
;mute 20
Dabei muss in jedem Falle darauf geachtet werden, dass, falls die Authentifizierung
per Zertifikate durchgeführt werden soll, diese ebenfalls in OpenVPN hinterlegt
wurden!
Mit dieser Beispielkonfiguration sollte es nun möglich sein die VPN Verbindung
herzustellen. Dies kann getestet werden, in dem der Windows 7 Dienst OpenVPN unter
Dienste neu gestartet bzw. gestartet wird.
7.2.2
Ändern
Verbindung
der
Zugriffsrechte
auf
die
VPN-
Als nächstes muss dafür gesorgt werden, dass die erstellte VPN Verbindung nur von
dem Benutzer virtual benutzt werden darf. Dazu gibt es mehrere Wege, die davon
abhängig sind wie und womit die VPN-Verbindung eingerichtet wurde.
Im Beispiel von OpenVPN ergibt sich aus der Konfigurationsdatei. Hier werden die
Einstellungen „user“ und „group“ dazu verwendet die VPN Verbindung nur einem
bestimmten Benutzer oder einer bestimmten Benutzergruppe zuzuweisen. Diese
Einstellung ist ebenfalls in der Beispielkonfiguration aus dem vorherigen Kapitel zu
finden.
Als weiteres Beispiel wird noch eine VPN-Verbindung erläutert, die direkt mit dem
Windows 7 VPN Client erstellt wurde. Dieser unterstützt jedoch nur die Protokolle IKEv2
und PEA. Hier geschieht die Einrichtung direkt bei der Erstellung der Verbindung. Die
Verbindung wird bei der Erstellung entweder für alle Benutzer des Systems erstellt
oder
nur für den aktuellen Benutzer. Standardmäßig erstellt Windows 7 VPNVerbindungen immer nur für den aktuellen Benutzer. Es sollte jedoch darauf geachtet
werden, dass die Option ausgeschaltet ist. Eine neue VPN-Verbindung mit dem
Standard Windows 7 VPN Client kann im „Netzwerk- und Freigabecenter“ erstellt
werden. Dabei ist darauf zu achten, dass natürlich die VPN Verbindung mit dem
Benutzer virtual erstellt wird, damit auch nur dieser nachher Zugriff darauf erhält.
114
Installations- und Benutzerdokumentation
„Browser in the Box“
Abbildung 7.3: Herstellen einer VPN-Verbindung unter Windows 7
Hier die Einstellungen, wie sie auszusehen haben. Die IP-Adresse und der
Verbindungsname können variieren.
7.2.3
VPN und BitBox-Interfaces bridgen
Weiter müssen die erstellte VPN Verbindung und die BitBox VirtualBox Verbindung
überbrückt werden. Dies muss direkt in VirtualBox erledigt werden während die
virtuelle Maschine ausgeschaltet ist. Dabei ist darauf zu achten, dass VirtualBox
ebenfalls als Benutzer virtual ausführt werden muss, um anschließend die
Überbrückung für seinen Account und damit BitBox zu erstellen.
„Browser in the Box“
Installations- und Benutzerdokumentation
115
Abbildung 7.4: Erstellen einer Netzwerkbrücke zwischen BitBox und VPN
Nachdem die virtuelle Maschine BitBox heruntergefahren wurde und kein Snapshot
mehr aktiv sein darf, kann im Hauptfenster von VirtualBox die Einstellung Netzwerk
geändert werden durch einmaliges Klicken. Im anschließend erscheinenden
Einstellungsfenster wird der Unterpunkt „Angeschlossen an“: auf „Netzwerkbrücke“
geändert und als Name die VPN-Leitung ausgewählt (in diesem Falle der „OpenVPN
Adapter TAP-Win32 Adapter V9“), damit die erste Netzwerkschnittstelle direkt an die
VPN Verbindung angeschlossen wird und das Gastsystem keinen Zugriff mehr auf das
Hostsystem erhält.
116
Installations- und Benutzerdokumentation
„Browser in the Box“
Support / F.A.Q.
•
Bitte überprüfen Sie zunächst, ob Sie die neuste Version von BitBox installiert
haben. Diese können Sie stets unter folgender URL herunterladen:
http://www.sirrix.de/content/pages/BitBox
•
Eine regelmäßig aktualisierte F.A.Q. findet sich hier:
http://www.sirrix.de/content/pages/BitBox_FAQ_de.htm
•
Bei Fragen, Anregungen oder Problemen, schicken Sie bitte eine E-Mail an das
Servicecenter des BSI unter: bitb@bsi.bund.de oder an das BitBox-Team der
Sirrix AG unter: bitbox@sirrix.com
„Browser in the Box“
Installations- und Benutzerdokumentation
117
Document
Kategorie
Technik
Seitenansichten
16
Dateigröße
4 442 KB
Tags
1/--Seiten
melden