Sicherheit für XPe-basierte Thin Clients
Smartcards und schlaue Filter
Eine SBC-Umgebung (Server-based Computing) mit Thin Clients (TCs) stellt grundsätzlich eine sichere Arbeitsumgebung dar. Allerdings sind Geräte mit Windows XP Embedded (XPe) gegenüber Viren, Würmern und Trojanern ähnlich anfällig wie herkömmliche Desktop-PCs mit Windows XP. Dies liegt vor allem an der Möglichkeit, unter Windows XPe beispielsweise ICQ- oder FTP-Clients zu installieren, was Angriffen von außen und innen einen Zugang bietet.
Häufig sind die Benutzer die größte Schwachstelle, wenn es um den Schutz von Unternehmensdaten
geht. Um Thin Clients diesbezüglich noch sicherer zu gestalten, bietet der Markt verschiedene
Alternativen zur klassischen Authentisierung: vom Single-Sign-on-(SSO-)Verfahren über biometrische
Authentisierung bis hin zu Komplettsuiten für das Identity-Management. Gerade der Einsatz von
Smartcards verspricht in SBC-Umgebungen einen zusätzlichen Gewinn an Sicherheit und Flexibilität.
Zusammen mit Public-Key-Infrastrukturen (PKI) und Session Roaming steigern Smartcards die
Produktivität, und in Verbindung mit Identifizierungs- sowie Authentifizierungsverfahren verbessern
sie den Datenschutz. Damit bereiten sie letztlich auch den Weg zur Nutzung der digitalen Signatur
und der kommenden Gesundheits- oder Bürgerkarte.
Überwachung des bidirektionalen Verkehrs
Seit dem Service-Pack 2 von Windows XP und Windows XPe steht eine lokale Firewall zur Verfügung,
die Clients wirkungsvoll vor Viren und Trojanern schützt. Die Microsoft-Firewall weist allerdings
eine wesentliche Schwäche auf: Sie kontrolliert ausschließlich Daten, die von außen auf den Rechner
gelangen, nicht aber diejenigen, die den TC verlassen. Dies gefährdet ein Netzwerk, da die Firewall
bereits eingeschleuste Würmer oder Trojaner nicht erkennt und Schädlinge somit problemlos von einem
XPe-Rechner zum nächsten migrieren können.
Um dieser Bedrohung entgegenzutreten, muss ein TC-Hersteller durch spezielle Software den
Sicherheitsstandard XPe-basierter Thin Clients auf ein höheres Niveau heben. Dazu eignen sich zwei
Softwarekomponenten: eine Erweiterung der Win-dows-XPe-Firewall auch für ausgehende Datenpakete
sowie ein verbesserter Write-Filter, mit dem sich Virensignaturen und andere Daten ohne Reboot des
TCs in den Flash-Speicher schreiben lassen.
Eine solche Firewall-Erweiterung arbeitet als Snap-in-Software für XPe-basierte TC-Modelle und
ermöglicht es, auch ausgehenden Traffic zu kontrollieren – LAN-Verkehr ebenso sowie Datentransfers
via Internet. Zudem lassen sich einzelne Ports freischalten, um bestimmten Thin Clients
beispielsweise ICA-Verbindungen nach draußen zu ermöglichen.
Schreibfilter für den Flash-Speicher
Die Hauptaufgabe des Enhanced-Write-Filters (EWF) von Windows XPe ist es, ungewolltes oder
unerwünschtes Speichern von Daten auf dem Flash-Speicher zu unterbinden. Dies betrifft aber nicht
nur Dateien, vielmehr können es bei TCs auch Firmware, Treiber oder neue Programme sein, die in den
Flash geschrieben werden sollen. Bei eingeschaltetem EWF ist dies zwar möglich, allerdings werden
die Veränderungen nur temporär übernommen: Nach dem Neustart befindet sich der Flash wieder im
Originalzustand. Veränderungen am Flash-Speicher können also nur dann erfolgen, wenn der
Schreibfilter deaktiviert ist oder dem EWF per speziellem Befehl mitgeteilt wird, Dateien in den
Flash-Speicher zu kopieren. Der Nachteil ist, dass dieser Speicherbefehl nur global – also für alle
Dateien gemeinsam – zur Ausführung kommt und Veränderungen erst nach einem Neustart des Rechners
greifen. Ein ausgeschalteter EWF stellt allerdings ebenfalls keine sinnvolle Option dar, da Windows
XPe permanent Daten wie temporäre Dateien oder Profile generiert. Ein deaktivierter Schreibfilter
führt dann dazu, dass nutzlose Daten den Flash-Speicher permanent überfrachten.
Die Problematik des Aktivierungsstatus des EWF besteht auch im Kontext von Antivirenlösungen, da
der Rechner in regelmäßigen Abständen mit aktuellen Signaturen und Patches zu versorgen ist, damit
die Software neue Viren erkennen und eliminieren kann. Diese Signaturen stehen nur dann dauerhaft
zur Verfügung, wenn sich die zugehörigen Dateien in den Flash-Speicher schreiben lassen – am besten
bei eingeschaltetem Schreibfilter und ohne Neustart des Thin Clients.
Sinnvoll ist hier also ein TC-spezifischer Write-Filter, der sich vollständig um den Schutz des
Flash-Speichers kümmert. Mit dessen Hilfe lassen sich einzelne Dateien wie auch komplette
Verzeichnisse trotz aktiven EWFs in den Flash-Speicher schreiben. Aber auch Registry-Daten von
Win-dows XPe lassen sich so im Flash-Speicher aktualisieren. Ein wesentlicher Vorteil: Die
Speichervorgänge laufen "on-the-fly" ab, der Thin Client bleibt geschützt und muss nicht jedes Mal
neu gebootet werden.
Für die problemlose Zusammenarbeit des TC-spezifischen Write-Filters mit den gewohnten
Antivirenlösungen von Symantec, McAfee und Co. muss dabei für jedes Softwarepaket eine eigene
Konfigurationsdatei zur Verfügung stehen. Diese Datei legt genau fest, wohin der Schreibfilter
Signaturen und andere relevante Daten in den Flash-Speicher kopieren soll. Anhand der lokal
abgelegten Konfigurationsdatei erfährt der Filter, welche Dateien nicht im Flash gespeichert werden
dürfen.
Smartcards und digitale Signatur
Im Prinzip sind Smartcards Computer im Kreditkartenformat. Sie besitzen Mechanismen, die sie
gegen physische und logische Angriffe schützen und die enthaltenen Informationen im Notfall
zerstören, bevor ein Angreifer Zugang zu ihnen erhält. Nachdem der private Schlüssel in die
Smartcard geladen wurde, ist der Zugriff nur noch mittels Eingabe einer spezifischen PIN (Personal
Identification Number) möglich. Nach wiederholter Falscheingabe wird die Karte endgültig gesperrt
und somit unbrauchbar.
Die physische Schnittstelle zwischen Smartcard und TC oder PC bilden Chip-Terminals, auch als
Reader oder Lesegeräte bezeichnet. Diese Geräte gibt es je nach gewünschter Sicherheitsstufe in
unterschiedlichen Klassen (Bild 1): Ein Reader der Klasse 1 entspricht einer einfachen
Kontaktiereinheit und stellt im simpelsten Fall lediglich die elektrische Verbindung zwischen
Rechner und Chipkarte her. Die nötigen Protokolle und Anwendungen kommen vom Rechner. Die Eingabe
der PIN, die den Anwender gegenüber der Smartcard authentifiziert, erfolgt ebenfalls direkt über
den Rechner.
Für die digitale Signatur ist ein Klasse-2-Reader erforderlich, der sich durch ein integriertes
Tastaturfeld auszeichnet. Mit diesem PIN-Pad gibt der Anwender die Geheimzahl direkt in das Gerät
ein. Eine kostengünstige Alternative zu Klasse-2-Terminals stellen Computertastaturen mit
integ-riertem Reader dar. Ein LED zeigt an, ob das Lesegerät aktiv ist, und ermöglicht die
PIN-Eingabe über den Nummernblock der Tastatur.
Die Kommunikation zwischen Karte und Reader verbleibt damit wie für die digitale Signatur
vorgeschrieben im Gerät. Reader ohne PIN-Pad, wie TC-Hersteller sie häufig anbieten, können nur
Klasse-1-Lösungen realisieren und scheiden daher für typische Klasse-2-Anwendungen wie die digitale
Signatur oder die Gesundheitskarte aus. Ein weiterer Nachteil bei der Authentifizierung via
Klasse-1-Reader ist der doppelte Administrationsaufwand: Verwendete Passwörter sind jeweils in der
Smartcard und der Nutzerverwaltung zu ändern.
Chip-Terminals der Klasse 3 müssen zusätzlich zu den Eigenschaften der Klasse 2 ein eigenes
Display besitzen, auf dem sie authentisch eigene Texte darstellen können. Die Fähigkeit, intern
eigene Applikationen auszuführen, verschafft Readern dieser Klasse ein Höchstmaß an Sicherheit, um
beispielsweise mit der Geldkarte via Internet zu bezahlen. Terminals der Klasse 4 bilden derzeit
das obere Ende dieser Klasseneinteilung. Sie verfügen zusätzlich zu den Eigenschaften der Klasse 3
über eine eigene Identität (Authentifizierungsmodul) zur Abwehr von Manipulationen.
In Verbindung mit Thin Clients und PCs bieten Citrix-Umgebungen gute Voraussetzungen für den
kostengünstigen Aufbau Smartcard-basierter Lösungen: Über Citrix‘ Smooth-Roaming-Funktion lassen
sich aktive Sitzungen per Smartcard von einem Arbeitsplatz zum anderen übertragen. Zudem sind
Windows 2003 Server und Citrix Presentation Server bereits für PKI-Authentifizierung und die
Anwendung der digitalen Signatur vorbereitet. Die hier erforderlichen Investitionen beschränken
sich auf Klasse-2-Reader (USB-Terminal oder Spezialtastatur) und die Softwarelösung eines
Crypto-Service-Providers (CSP-Lösung), die als serverseitig installierte Middleware die Benutzung
der Chipkarten gestattet. Typische CSPs sind Smartcard-Hersteller oder spezialisierte
Drittanbieter. Die CSP-Lösung liefert der Smartcard die nötigen kryptografischen Funkti-onen.
Mögliche Schnittstellen hierfür bieten Microsofts Standardkomponente CryptoAPI oder der weiter
gefasste PKCS#11-Standard. Windows identifiziert den zur Chipkarte passenden CSP über den Answer to
Reset (ATR) der Karte, also mit der ersten Information, welche die Chipkarte an den Kartenleser
übermittelt, nachdem dieser einen Reset der Karte durchgeführt hat.
Der Datenaustausch zwischen Reader und CSP-Lösung erfolgt in der Regel gemäß PC/SC-Standard.
Diesen muss der Thin Client Firmware-seitig unterstützen. Für Linux-basierte Thin Clients gibt es
hierfür den so genannten Muscle-Treiber. Über die PC/SC-Forwarding-Funktion machen die RDP-
beziehungsweise ICA-Clients das lokal angeschlossene Chipkarten-Terminal für die CSP-Lösung am
Terminalserver sichtbar.
Die Anwenderauthentifizierung erfolgt über den Windows Domain Controller, den auch Citrix nutzt.
Mittels Windows-Smartcard-Logon-Dienst lässt sich das System im Folgenden so konfigurieren, dass
dem Anwender beim Anmeldeverfahren als Alternative zur Passworteingabe auch eine Aufforderung zum
Einschieben der Smartcard erteilt wird. Ferner lassen sich die Sicherheitsrichtlinien in Windows so
konfigurieren, dass sie ausschließlich Smartcard-Anmeldungen akzeptieren. Je nach gewünschtem
Sicherheitsgrad lässt sich anstelle einer internen Zertifizierungsstelle wie zum Beispiel der
Microsoft Certificate Server auch ein externes Trust Center – zum Beispiel S-Trust (Sparkassen),
Telesec (Telekom) oder Signtrust (Post/Datev) – in die PKI-Lösung mit einbeziehen. Zudem können
öffentliche Organisationen oder Regierungsstellen wie die Bundesnetzagentur als
Zertifizierungsstellen dienen.
Smartcards erweitern die Vorzüge des Server-based Computings um zahlreiche Anwendungen, die die
Produktivität und Sicherheit erhöhen. Mittels digitaler Signatur gestatten sie letztlich auch den
rechtskräftigen Vertragsabschluss. Um dieses weite Anwendungsspektrum nicht leichtfertig zu
beschneiden, empfiehlt es sich, im Vorfeld eine genaue Analyse durchzuführen, um künftige
Anforderungen mit den verfügbaren Lösungen abzugleichen und von Beginn an auf das richtige Pferd zu
setzen. Insbesondere ist auf die Einhaltung technischer Standards und die Homogenität der Lösung im
Zusammenhang mit Mischinfrastrukturen aus TCs und PCs zu achten. Die Wahl des
Thin-Client-Herstellers hat hier strategischen Charakter. Geeignete Hersteller zeichnen sich
insbesondere durch gute Partnerschaften im Reader- und CSP-Bereich aus und bieten somit hohe
Investitionssicherheit. Wenn die Anwender diese Kriterien beachten, sind sie für kommende
Sicherheitslösungen gerüstet. Denn auch die Fortführung oder Ergänzung Smartcard-basierter
Authentifizierungsverfahren wie zum Beispiel biometrische Verfahren bauen in der Regel auf
denselben Standards und Protokollen auf wie Smartcard-Lösungen.
Lesen Sie mehr zum Thema
