CMS Journal
Nr. 30
25.06.2008
Service
Metadaten
Hinweise
Weitere Artikel aus dem cms-Journal Nr. 30 finden Sie auf dem edoc-Server der Humboldt-Universität zu Berlin unter http://edoc.hu-berlin.de/cmsj/30
Copyright
Dieser Artikel ist ein Open Access Artikel und steht unter der Creative Commons Lizenz BY (siehe...).

Time Machine, FileVault und Firewall

Aspekte der Sicherheit in Mac-OSX „Leopard“

Rene Beiler, Michael Ganzer
rene.beiler@cms.hu-berlin.de, michael.ganzer@cms.hu-berlin.de

Abstract

Die aktuelle Version des Betriebssystems Mac-OSX 10.5 („Leopard“) unterscheidet sich bei den Sicherheitsaspekten in wich- tigen Punkten von seinen Vorgängern. Wir wollen an einigen Beispielen aufzeigen, wie die Sicherheit vor unberechtigtem Zugriff oder der Schutz vor Verlust von Daten mit Hilfe des Betriebssystems gewährleistet werden kann.


Time Machine

Time Machine automatisiert die Datensicherung unter Leopard. Es kann zur Wiederherstellung von Dateien und Konfigurationen der Benutzer verwendet werden. Dabei ist diese Backup- und Recoverylösung vorrangig für den Einsatz auf Einzelplatz- und Clientrechnern gedacht, um lokale Benutzerdaten zu sichern oder wiederherzustellen. Zur Sicherung von Servern sollten dagegen andere Lösungen vorgezogen werden. Für Time Machine existiert eine grafische Benutzeroberfläche, über die der Sicherungsvorgang konfiguriert werden kann. Weitergehende Anpassungen sind manuell über die internen Konfigurationsdateien möglich, hier soll jedoch die grafische Lösung betrachtet werden. Die Vorteile gegenüber bisherigen Sicherungslösungen, die meist aufwendig konfiguriert werden mussten, liegen im wesentlich vereinfachten und automatisierten Ablauf der Sicherung. Der komplexe, sich wiederholende Vorgang des Backups bleibt dabei im Hintergrund und die Rechnerressourcen werden vergleichsweise gering belastet. Dies ist auf die Anbindung an FSEvents (die MacOSX-interne Dateiorganisation) für die Indizierung und die Verwendung von differentiellen Backups zurückzuführen, d.h. nach einer Grundsicherung werden nur noch Änderungen gesichert, aus denen der zu einem Zeitpunkt aktuelle Zustand wiederhergestellt werden kann. Time Machine setzt allerdings gewisse Restriktionen. Es ist ein externes Medium (Festplatte, Server...) notwendig, das mit HFS+, dem Mac-OSX Standarddateisystem, formatiert ist. Die Einstellungen des Sicherungszeitpunktes sind nicht frei konfigurierbar, sondern es wird nach folgendem Schema vorgegangen: stündliche Sicherung der letzten 24 Stunden, tägliche Sicherung des letzten Monats und wöchentliche Sicherung aller älteren Daten. Manuell kann die Sicherung jedoch jederzeit durch Aufruf des Programms gestartet werden.

Die aktuelle Version des Betriebssystems Mac-OSX 10.5 („Leopard“) unterscheidet sich bei den Sicherheitsaspekten in wichtigen Punkten von seinen Vorgängern. Wir wollen an einigen Beispielen aufzeigen, wie die Sicherheit vor unberechtigtem Zugriff oder der Schutz vor Verlust von Daten mit Hilfe des Betriebssystems gewährleistet werden kann.

image

Abb. 1: Konfiguration Time Machine

image

Abb. 2: Wiederherstellen früherer Einstellungen und Dateien mit Time Machine

Die Einstellungen erfolgen über „Systemeinstellungen "Time Machine“ (Abb. 1). Neben angezeigten Informationen kann in diesem Fenster das Si- cherungsmedium ausgewählt oder geändert werden („Volume wechseln“). Time Machine sichert von sich aus keine Cache- oder temporären Dateien. Sollen Ordner oder Dateien aus dem eigenen Benutzerverzeichnis nicht mit gesichert werden, etwa weil sie sehr groß sind und nur als Zwischenstand fungieren, kann unter „Optionen“ eine Auswahl nicht zu sichernder Teile des Benutzerverzeichnisses getroffen werden.

Das Wiederherstellen von Konfigurationen bzw. Dateien geschieht durch den Programmaufruf. Die grafische Benutzeroberfläche ist durch die übersichtliche Anordnung schnell und intuitiv bedienbar (Abb. 2). Durch diese sehr einfache und übersichtliche Handhabung ist Time Machine sehr gut als Backuplösung für die „tägliche Arbeit“ geeignet [1,2].

Inhaltsverzeichnis

Time Machine...

Verschlüsselung mit FileV...

Firewall und Dienste...

Literatur...


Verschlüsselung mit FileVault

Mac-OSX bietet „ab Werk“ Funktionen zur Verschlüsselung von Daten. Mit Hilfe von FileVault kann man Daten des Benutzerverzeichnisses mit AES-128 (einem Verschlüsselungsstandard, der hohe Sicherheitsanforderungen erfüllt) verschlüsseln, wobei unbedingt auf ein sicheres Kennwort geachtet werden sollte! Es ist außerdem ratsam, ein sogenanntes Hauptkennwort zu setzen, mit dem im Fall des Kennwortverlustes die Verschlüsselung rückgängig gemacht werden kann. Zur Aktivierung von FileVault wird mindestens die Größe des Benutzerverzeichnisses als freier Speicherplatz auf der Festplatte benötigt.

Zur Verschlüsselung des Benutzerverzeichnisses legt FileVault bei Aktivierung ein mitwachsendes Sparse Disk Image (ein sich mit der Größe des Inhalts bis zu einer festgelegten Obergrenze vergrößerndes Image) an, welches mit AES-128 unter Benutzung des Kennwortes des Benutzers verschlüsselt wird. Anschließend werden alle Daten des Benutzerverzeichnisses hinein kopiert und die alten Daten sicher gelöscht. Bei jeder Benutzeranmeldung wird nun dieses Image entschlüsselt und als Be- nutzerverzeichnis gemountet. Dies geschieht völlig transparent. Die Aktivierung von FileVault und das Arbeiten mit aktivierter Verschlüsselung sind ressourcenintensiv. Dies kann sich gerade bei schwachen (mobilen) Macs und der Arbeit mit großen Dateien (z. B. bei der Videobearbeitung) deutlich auf die Performance auswirken. Weiterhin kann bei aktiviertem FileVault die Backuplösung Time Machine nicht in gewohnter Weise arbeiten. Die Verschlüsselung via FileVault bzw. die Komprimierung des durch FileVault angelegten verschlüsselten Images erfolgt erst bei der Abmeldung des Benutzers. Dabei sichert Time Machine dann auch die Daten, die sich seit dem letzten Backup geändert haben. Das bedeutet, dass das stündliche Backup von Time Machine nicht zur Verfügung steht. Außerdem müssen Mac-Benutzer mit der „Tradition“ brechen und sich gelegentlich ausloggen bzw. den Mac neu starten. Dies dauert nun natürlich auch länger.

Trotz dieser Einbußen an Komfort ist es gerade bei einem mobilen Mac sinnvoll, FileVault zu aktivieren. Denn nur so kann sichergestellt werden, dass private Daten bei Verlust des Macs auch privat bleiben.

Neben FileVault haben Sie die Möglichkeit, mit Hilfe des Festplattendienstprogramms verschlüsselte Images zu erstellen, diese zu mounten und Daten dort abzulegen. Auch hierbei ist die Wahl eines sicheren Passwortes wichtig. Beim Erzeugen der verschlüsselten Images besteht die Wahl zwischen der AES-128- und AES-256-Verschlüsselung. Außerdem können neben normalen Images auch mitwachsende Images (wie sie bei FileVault verwendet werden) erstellt werden [3,4].

Inhaltsverzeichnis

Time Machine...

Verschlüsselung mit FileV...

Firewall und Dienste...

Literatur...


Firewall und Dienste

Die Firewall überwacht den Netzverkehr zwischen Ihrem Rechner und einem Netzwerk, z. B. dem Internet. Dabei wer- den die an Ihre persönliche IP-Adresse eingehenden Pakete einer Prüfung unter- zogen und entweder akzeptiert oder auf- grund von Filtereinstellungen zurück- gewiesen. In den Systemeinstellungen können weitergehende Restriktionen, als sie der Mac-OSX-Standard vorsieht, festgelegt werden. So erlaubt Mac-OSX folgende Auswahl:

  1. alle eingehenden Verbindungen er- lauben,
  2. nur notwendige Dienste erlauben und
  3. den Zugriff für bestimmte Dienste und Programme festlegen.

Mit der ersten Option werden alle entfernten Zugriffe von Programmen oder Diensten auf den Computer zugelassen. Dies entspricht einer Abschaltung der Firewall. Werden nur notwendige Dienste erlaubt, blockiert die Firewall alle eingehenden Verbindungen von Programm- diensten. Von Ihrem Computer aus ist einigen Systemprogrammen aber möglich, Dienste anzufordern. Diese Einstellung kann die Funktion vieler Programme stark beeinträchtigen oder sogar unterbinden. Mit der dritten Option besteht die Möglichkeit einer individuellen Abstimmung des Blockierens der Firewall. Es können einzelne Programme bzw. Dienste ausgewählt werden und deren Freigabe bzw. Blockierung durch die Firewall veranlasst werden. Mithilfe weiterer Optionen können die Aktivitäten der Firewall protokolliert werden, um so die von der Fire- wall blockierten Aktivitäten bzw. Verbindungsversuche nachzuvollziehen. werden. Unter dem Punkt „Sharing“ können vielfältige Dienste Ihres Rechners für andere Nutzer freigegeben werden, z.B. um ein DVD-Laufwerk gemeinsam nutzen zu können, den direkten Dateiaustausch über FireWire zu erlauben oder den Rechner als Drucker- oder Webserver zur Verfügung zu stellen. Diese „Öffnung“ des Rechners für andere Nutzer beinhaltet natürlich auch die Gefahr des missbräuchlichen Zugriffs, die durch den Einsatz der Firewall verhindert werden kann. Es werden nur die Ports (Adresskomponenten, über die Datenpakete den Diensten zugeteilt werden, für die sie bestimmt sind) durch die Firewall freigegeben, die für die freigegebenen Dienste notwendig sind. Zusätzlich kann der Zugriff auf freigegebene Dienste und Programme überwacht werden, so dass notfalls eine Sperre gesetzt werden kann (siehe Abb. 3).

image

Abb. 3: Festlegung von Zugriffsoptionen der Firewall

Eine zweite Aufgabe der Firewall besteht im Abschirmen von Diensten, welche durch einen Rechner angeboten Diese Aufgaben lassen sich mit der oben erwähnten dritten Option „Zugriff für bestimmte Dienste und Programme festlegen“ in verschiedenen Abstufungen realisieren. Damit gelingt es, den Com- puter einerseits als vielfältiges „Werkzeug“ zu nutzen, ohne dabei auf den Schutz vor Angriffen oder vor missbräuchlichem Zugriff verzichten zu müssen [1, 4].

Inhaltsverzeichnis

Time Machine...

Verschlüsselung mit FileV...

Firewall und Dienste...

Literatur...

Literatur