Testbericht
Andere Betriebssysteme: OpenBSD 3.0
OpenBSD wird als eines der sichersten Betriebssysteme gehandelt. Wir werfen einen Blick auf die Sicherheitsfunktionen der neuen Version 3.0.
OpenBSD ist ein freies Betriebssystem, das für eine Vielzahl von Systemarchitekturen (z.B. Intel, Sun, Alpha, Amiga) zur Verfügung steht. Das Betriebssystem entstand auf Initiative von Theo de Raadt mit dem Vorsatz, das sicherste Betriebssystem zu entwickeln. Es verfügt über etliche Sicherheitsfeatures.
In der Handhabung lässt sich OpenBSD weitgehend mit anderen BSD-Derivaten wie FreeBSD und Net BSD vergleichen. Allerdings sollten auch eingefleischte Linux- Anwender mit einer dicken Haut in den Bereichen Unix und TCP/IP damit zurecht kommen.
Da der Umfang von fertigen Programmpaketen - zumindest im Vergleich zu Linux - begrenzt ist, sollten Sie Grundwissen im Bereich der Programmübersetzung (make, gcc, Perl) mitbringen. Der Umfang dieser fertigen Pakete wächst jedoch mit jeder neuen Open Sie aktuelle BSD-Distribution. Derzeit existieren rund 1000 fertige Programmpakete, die sich über einen automatischen Paketmanager bequem installieren lassen.
Sicherheits-Features
OpenBSD bietet seinen Usern zahlreiche Sicherheits-Features. Wir liefern Ihnen einen kurzer Überblick der gängigen Verfahren und Technologien. Weitere Details finden Sie im Internet unter www.openbsd.org/security.html.
Securelevel
Der Kernel von OpenBSD wird beim Booten in einen von vier möglichen Sicherheitszuständen versetzt: Permanent Insecure Mode, Insecure Mode, Secure Mode und High Secure Mode. In der Grundkonfiguration befindet sich der Kernel im Secure Mode. Je nach gewähltem Modus unterliegt das Betriebssystem gewissen Einschränkungen. So lassen sich im Secure Mode
• der Runlevel des Systems nicht mehr per init verändern,
• die Devices /dev /mem (Hauptspeicher) und /dev/kmem (Kernel-Virtual-Memory) nicht mehr beschreiben
• keine kritischen Systemdateien löschen oder verändern,
• und keine Kernel- Module laden oder entladen
Für besonders kritische Systeme wie eine Firewall empfiehlt sich der High Secure Modus. Er untersagt beispielsweise den Einsatz des Befehls pfctl, mit dem sich Änderungen an der Firewall Policy durchführen lassen.
Bibliotheken
Die Bibliotheken von OpenBSD enthalten zahlreiche Funktionen, mit denen sich Sicherheitslöcher in der Programmierung, wie beispielsweise die berüchtigten Buffer-Overflows, vermeiden lassen. Bei einem Buffer-Overflow nutzen Hacker fehlende Einschränkungen im Programm, um Variablen über ihre Speichergrenzen zu überfluten und so bösartigen Programmcode einzusetzen. OpenBSD bietet zahlreiche Funktionen, wie strlcpy oder strlcat, die solchen Fehlerquellen wirksam entgegenwirken.
IPSEC und VPN
Bereits in der Grundkonfiguration ist OpenBSD voll auf Sicherheit ausgelegt. So lassen sich Verbindungen durch VPN (Virtual Private Network) oder IPSEC sichern und verschlüsseln. Im Gegensatz zu Linux muss bei OpenBSD der Kernel nicht nachträglich angepasst werden. Standards wie ISAKM, ESP und AH garantieren die Zusammenarbeit mit kommerziellen Produkten wie CISCO Router. Die IPSEC Implementation von OpenBSD arbeitet problemlos mit Windows 2000/XP zusammen.
PF, NAT und ALTQ
OpenBSD eignet sich hervorragend als Firewall oder Router. Mit PF (Packet Filter) stehen leistungsfähige Paketfilter zur Verfügung, mit denen sich ein- und ausgehende Verbindungen entsprechend einschränken lassen. In diese Filterung lassen sich auch TCP-Flags einbeziehen, so dass die Firewall Policy sehr kompakt organisiert werden kann. Mit NAT (Native Address Translation) lassen sich ganze Firmennetzwerke hinter einer (oder mehreren) gültigen IPAdressen verstecken. Dennoch ist ein transparentes Surfen möglich.
Abgerundet wird die Funktionalität eines OpenBSD-Routers durch ALTQ. Mit diesem Programm lässt sich der Datenverkehr kontrollieren. So ist es beispielsweise möglich, lediglich zehn Prozent des Datenverkehrs für HTTP-Verbindungen zuzulassen.
Regeln von ALTQ lassen sich von Services (HTTP, FTP, etc), Protokollen (TCP, UDP, etc) oder von IP-Adressen festlegen.
Fazit
Wenn Sie ein sicheres Betriebssystem für den Einsatz als Server suchen, ist OpenBSD eine gute Wahl. Allerdings sollten Sie einigermaßen standfest im Umgang mit Unix-Systemen sein: Konfigurationshilfen und Dokumentation sind bei OpenBSD Mangelware. Dafür bietet das Betriebssystem alle Features, die es im lokalen Netzwerk und Internet sicher und resistent gegen Hacker machen.
https://www.lehmanns.de
