Einloggen auf heise online

heise online Menü auf-/zuklappen
    • News
    • c't
    • iX
    • Technology Review
    • Mac & i
    • Telepolis
    • Hardware Hacks
    • Digitale Fotografie
    • TechStage
    • heise Autos
    • heise Developer
    • heise Foto
    • heise mobil
    • heise Netze
    • heise Open Source
    • heise resale
    • heise Security
    • heise Video
    • Download
    • Preisvergleich
    • Stellenmarkt
    • Veranstaltungen
    • heise-marktplatz
    • IT-Markt
    • Whitepapers
    • Webcasts
    • Tarifrechner
    • heise shop
    • Artikel-Archiv
    • Zeitschriften-Abo
    • Jobs bei Heise
heise Software-Verzeichnis
  • heise Software-Verzeichnis Twitter
  • heise Software-Verzeichnis Facebook
  • heise Software-Verzeichnis Google+

Erweiterte Suche
27.869 Programme | 1031 Webdienste | 145 E-Books
Sie beobachten 0 Programme
Sie vergleichen 0 Programme
  • Alle Systeme
  • Windows
  • Apple
  • Linux
  • Smartphones
Sie sind hier: Download > Systemsoftware > Betriebssysteme > Qubes Release 1 > c't-Artikel
 Linux

Qubes Release 1

RSS-Feed beobachten vergleichen Bewerten: 0
Artikel aus c't 21/2012 zu Qubes OS

Mit abgeschotteten Zonen zum sicheren Desktop

Ganz nach dem Motto "Virtualisierung schafft Sicherheit" legt man bei der Linux-Distribution Qubes OS für jeden Zweck eine abgeschottete, virtuelle Maschine an – zum Beispiel für Online-Banking, Privates, Geschäftliches und zum Surfen. Dies verhindert, dass etwa eine Malware, die gerade den Firefox-Browser in der Surf-VM attackiert, auch auf die Banking-Sitzung zugreifen kann. Dank seiner speziellen Architektur und einiger Raffinessen soll das Betriebssystem trotzdem noch ressourcenschonend arbeiten und komfortabel bedienbar sein.

Der 64-bittige Linux-Unterbau von Qubes ist auf das Nötigste reduziert und kann noch nicht mal mit dem Netzwerk sprechen. Das muss er aber auch gar nicht, denn seine Aufgabe besteht vor allem darin, virtuelle Maschinen mit Hilfe des Hypervisors Xen zu starten. Auch der gesamte Netzwerkstack läuft in einer eigenen virtuellen Maschine, die wiederum nicht auf die Systemressourcen des Unterbaus zugreifen kann. Sollte es einem Angreifer also mal gelingen, den Netzwerkstack anzugreifen, kommt er weder an das eigentliche Host-Betriebssystem noch an die anderen VMs heran.

In welcher VM man ein Programm startet, hängt nicht von dem Programm ab, sondern vor allem davon, was man mit ihm vor hat. Will man mit Firefox im Intranet der Firma surfen, greift man zur VM "Geschäftliches", wo auch ein Thunderbird mit eingerichtetem Firmen-Mailaccount laufen könnte. Den nächsten Ausflug zu Facebook sollte man hingegen in die "Private" VM verlegen, potenziell gefährliche Seiten ruft man in der "Surf"-VM auf. Das sorgt nicht nur für den oben beschriebenen Sicherheitsgewinn, es verhindert auch, dass Daten von dem einen "Universum" in das andere entwischen, weil auch die Dateisysteme und Zwischenablagen voneinander getrennt sind.

Skripte sorgen dafür, dass man auf Wunsch trotzdem Dateien zwischen den VMs austauschen kann. Man erreicht die Helferlein über das Kontextmenü des Dateimanagers Nautilus. Auch eine Option "Open in DisposableVM" gibt es dort, mit dem man eine potenziell gefährliche Datei – etwa einen Mailanhang – zunächst mal in einer leeren VM testen kann. Diese zerstört sich nach der Nutzung von selbst. Über die Tastenkombinationen Strg+Shift+C kopiert Qubes den Inhalt der VM-Zwischenablage in eine Meta-Zwischenablage. Holt man ein Fenster aus einer anderen VM in den Vordergrund, kann man den Inhalt der Meta-Ablage mit Strg+Shift+V schließlich in die Zwischenablage der aktiven Maschine übertragen.

Über den Programmstarter Kickstart wählt man, in welcher Maschine eine Anwendung laufen soll. Hier findet man zunächst eine Übersicht über alle VMs. Nach einem Klick auf den Kandidaten der Wahl werden schließlich alle Programme angezeigt, die man der Maschine zugeordnet hat. Anhand der Farbe des Fensterrahmens erkennt man stets leicht, in welchem Kontext ein Prozess läuft. Über das Verwaltungsprogramm Qubes VM Manager kann man jedem virtuellen Rechner seine eigene Farbe zuordnen. Auch wie viel RAM ihm zur Verfügung steht, auf welche PCI-Geräte er zugreifen darf sowie individuelle Firewall-Regeln legt man hier fest. Den Zugriff auf USB-Geräte kann man nicht einzeln regeln; wer spezielle USB-Hardware innerhalb einer VM nutzen will, muss ihr den gesamten USB-Controller zuweisen.

Darüber hinaus kann man mit dem Manager virtuelle Maschinen klonen, löschen und auch neue anlegen. Neue VMs werden standardmäßig wie Klarsichtfolien auf die Referenzmaschine "fedora-17-x64" gelegt. Änderungen an der Referenz-VM fließen auch nachträglich in die abgezweigten Systeme ein. Dadurch benötigt man nur eine Kopie des Grundsystems und muss Programm-Updates nur einmalig durchführen. Updates und Software beziehen die VMs per Paketmanager unter anderem aus dem offiziellen Fedora-17-Repository.

Für Qubes sollte man zumindest rudimentäre Englischkenntnisse mitbringen, da man die Systemsprache nicht ohne Weiteres umstellen kann. Die Tastaturbelegung ist jedoch wie gewohnt landesspezifisch. Beim Testen fiel auf, dass der Umgang mit den virtuellen Maschinen und ihren bunten Fenstern schnell in Fleisch und Blut übergeht. Wer schon Erfahrung mit Linux hat und bereit ist, für viel Sicherheit auf etwas Bedienkomfort zu verzichten, für den ist das Qubes-Konzept unter Umständen genau das Richtige. Zukünftig soll Qubes OS auch Windows-basierte Gast-VMs unterstützen. (rei)

zurück

https://www.heise.de/userdb/sso?compatibility=1&forward=http%3A%2F%2Fwww.heise.de%2Fdownload%2Fqubes-3679944.html
  • Alle Rubriken
  • Audio & Video
  • Foto & Grafik
  • Freizeit & Hobby
  • Handy, Fax & Co.
  • Internet
  • Netzwerk & Server
  • Office
  • Programmierung
  • Sicherheit
  • Spiel & Spaß
  • Systemsoftware
    • Betriebssysteme
      • Service Packs
    • Bildschirm-Recorder
    • Dateimanagement
    • Desktops & Zubehör
    • Emulatoren
    • Makros & Batches
    • sonstige
    • Utilities
    • Systeminfo
    • Technische Doku
  • Wissenschaft & Technik

Top-Suchbegriffe

  • 7-zip
  • Autostart
  • Cdburnerxp
  • Clonezilla
  • Eraser
  • Everything
  • H2testw
  • Imgburn
  • Knoppix
  • MD5
  • Nero
  • Rsync
  • Total Commander
  • Ubuntu
  • Undelete
  • Windows 7
  • Winrar
  • Winzip
  • Programm vorschlagen
  • c't-Software-Kollektion
  • Rubrikenübersicht • RSS
  • Hilfe • FAQ
  • Add to iGoogle
  • Datenschutzhinweis
  • Impressum
  • Kontakt
  • Mediadaten
  • Copyright © 2013 Heise Zeitschriften Verlag
  • International: The H, The H Security, The H Open Source