Abo
  • Services:
Anzeige
Qubes OS sorgt durch Virtualisierung für ein sicheres System.
Qubes OS sorgt durch Virtualisierung für ein sicheres System. (Bild: Screenshot: Golem.de)

Geschützt durch Firewalls

Anzeige

Zugriffe auf das Netzwerk erfolgen durch eine spezielle Domain namens NetVM. Außerdem gibt es noch die FirewallVM. Weitere Domains werden durch ein virtuelles Netzwerk über die FirewallVM mit der NetVM verbunden, die dann die Daten an die Netzwerkkarte oder die WLAN-Hardware weiterleitet. In der FirewallVM lassen sich globale Regeln erstellen, in jeder anderen Domain lassen sich aber weitere Regeln anlegen. Dies ist ein Beispiel für die Modularisierung, die das Konzept von Qubes darstellt. Das soll es Angreifern schwierig machen, das System zu kompromittieren. Sogar Netzwerkverbindungen zwischen einzelnen Domains gibt es nur, wenn sie explizit an der Kommandozeile aktiviert werden. Sie seien ohnehin nur in wenigen Fällen nötig, heißt es in dem entsprechenden Wikieintrag.

Ein weiteres Beispiel dafür ist die Domain Disposable. Dort lässt sich der Firefox-Browser starten und gefahrlos nutzen, denn die Daten interagieren während der Nutzung nicht mit dem Basissystem. Wird die Browsersitzung beendet, wird die temporäre virtuelle Maschine einfach gelöscht - samt möglicher Schadsoftware. Umgekehrt lässt sich eine Domain auch komplett vom Netz abschirmen. Dort können beispielsweise Texte verfasst oder Daten angesehen werden, die keinesfalls im Netz auftauchen dürfen. In einer anderen Domain darf auf dem gleichen System ein Browser laufen, die in den jeweiligen Domains angelegten Daten sind strikt voneinander getrennt.

Gewöhnungsbedürftige Dateiverwaltung

Dementsprechend ist auch die Dateiverwaltung völlig anders als unter anderen Linux-Distributionen. Daten, die in einer Domain angelegt werden, sind auch nur dort verfügbar. Sollen sie in eine andere Domain verschoben und kopiert werden, muss der Anwender spezielle Einträge im Kontextmenü des Dateimanagers bemühen, der ebenfalls gesondert in jeder Domain gestartet wird. In Dom0 werden persönliche Daten überhaupt nicht gespeichert. Das dient einerseits der Sicherheit, kann aber zu einem Chaos führen, wenn Daten in verschiedenen Domains verwendet werden.

Im Qubes VM Manager muss auch unter Umständen den jeweiligen Domains mehr Festplattenspeicher zugewiesen werden. Auch die Größe des nutzbaren Arbeitsspeichers lässt sich dort verwalten. Selbst der Zugriff auf das Audio-Framework kann explizit für jede Domain ein- und ausgeschaltet werden. Auch USB-Massenspeicher müssen über den Qubes VM Manager für jede Domain eingebunden werden. Das Qubes-Team wirbt damit, ihre Lösung sei eine Möglichkeit, Angriffe mit BadUSB zu verhindern.

Schwierige Softwareverwaltung

Nach der Installation enthalten die vorkonfigurierten Domains lediglich Verknüpfungen zu Firefox, dem Dateimanager und dem Terminal. Sollen dort weitere Anwendungen genutzt werden können, müssen sie zunächst über den Eintrag Add more shortcuts hinzugefügt werden. Die globale Installation neuer Software konnten wir schließlich über eine TemplateVM ermöglichen, die im Startmenü erstellt werden kann. Wir mussten in unserer Qubes-Installation zunächst in der neu erstellen TemplateVM einen neuen Shortcut mit dem Eintrag Software aus der Liste erstellen, bevor wir über das Gnome Software Center die Bildbearbeitungssoftware Gimp installieren konnten. Anschließend konnten wir Gimp den einzelnen Domains zuweisen. Das Update des gesamten Systems erfolgt wiederum über den Qubes VM Manager im Kontextmenü des Eintrags Dom0. Dort wäre eine einheitlichere und übersichtlichere Softwareverwaltung sinnvoll.

Die Frage, wie viele Domains ein Anwender benötigt, lässt sich nicht so leicht beantworten. Das Qubes-Team rät, zunächst die vorinstallierten Domains zu verwenden und nach Bedarf weitere einzurichten. Im Wiki gibt es auch ein Einrichtungsbeispiel für "besonders paranoide" Anwender. Nicht sinnvoll ist, für jede Anwendung eine eigene Domain einzurichten, denn das erschwert die Verwaltung persönlicher Daten.

 Qubes OS angeschaut: Abschottung bringt mehr SicherheitKräftige Hardware benötigt 

eye home zur Startseite
ShalokShalom 08. Nov 2015

sondern ein Xen basiertes mit Support für Linux Gäste.

drasojem 09. Dez 2014

Dagegen hilft nur Verschlüsselung. Das ist ja nichts anderes als irgendein...

drasojem 08. Dez 2014

Was ändert das an der Tatsache das ein präperiertes USB-Gerät einen Bug im USB...

drasojem 01. Dez 2014

Tatsächlich nutzen die meisten Qubes user notebooks die meist ihre Tatatur per ps2...

Hotohori 22. Okt 2014

Welche man aber sicherlich deutlich schwerer zu manipulieren machen kann, wenn sie derart...



Anzeige

Stellenmarkt
  1. Rundfunk Berlin-Brandenburg (rbb), Berlin
  2. Statista GmbH, Hamburg
  3. Signavio GmbH, Berlin
  4. Bosch Software Innovations GmbH, Waiblingen


Anzeige
Hardware-Angebote
  1. beim Kauf ausgewählter Gigabyte-Mainboards
  2. (reduzierte Überstände, Restposten & Co.)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Google, Apple und Mailaccounts

    Zwei-Faktor-Authentifizierung richtig nutzen

  2. Piranha Games

    Mechwarrior 5 als Einzelspielertitel angekündigt

  3. BMW Connected Drive

    Dieb wird mit vernetztem Auto gefangen

  4. Helio X23 und Helio X27

    Mediatek taktet seine 10-Kern-SoCs für Smartphones höher

  5. Betrug

    Dating-Plattformen sollen eigene Fake-Profile anlegen

  6. Onlineshopping

    Amazon startet Zwei-Faktor-Authentifizierung in Deutschland

  7. Moto Z

    Lenovo plant mindestens zwölf neue Module pro Jahr

  8. Travelers Box

    Münzgeld am Flughafen tauschen

  9. Apple

    Produktionsfehler macht Akkutausch im iPhone 6S notwendig

  10. Apple

    Aktivierungssperre des iPads lässt sich umgehen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Astrohaus Freewrite im Test: Schreibmaschine mit Cloud-Anschluss und GPL-Verstoß
Astrohaus Freewrite im Test
Schreibmaschine mit Cloud-Anschluss und GPL-Verstoß
  1. Cisco Global Cloud Index Bald sind 90 Prozent der Workloads in Cloud-Rechenzentren
  2. Cloud Computing Hyperkonvergenz packt das ganze Rechenzentrum in eine Kiste
  3. Cloud Computing Was ist eigentlich Software Defined Storage?

Senode: Eine ganze Komposition in zwei Graphen
Senode
Eine ganze Komposition in zwei Graphen
  1. Digitales Fernsehen Verbraucherschützer warnen vor falschen DVB-T2-Geräten
  2. Offlinemodus Netflix erlaubt Download ausgewählter Filme und Serien
  3. LG PH450UG LED-Kurzdistanzprojektor arbeitet mit Akku

HTC 10 Evo im Kurztest: HTCs eigenwillige Evolution
HTC 10 Evo im Kurztest
HTCs eigenwillige Evolution
  1. Virtual Reality HTC stellt Drahtlos-Kit für Vive vor
  2. Google Im Pixel steckt wohl mehr HTC als gedacht
  3. Desire 10 Lifestyle HTC stellt noch ein Mittelklasse-Smartphone für 300 Euro vor

  1. Re: BATTLETECH

    Muhaha | 13:14

  2. Re: 2 Step - wo es nur geht

    Truster | 13:14

  3. Re: Jugenderinnerungen... Fortsetzung

    Muhaha | 13:14

  4. Die tauschen jedes 6s ...

    No name089 | 13:13

  5. Die wirklich wichtige Frage ist doch

    Geh Nie Tief | 13:13


  1. 12:01

  2. 11:41

  3. 10:49

  4. 10:33

  5. 10:28

  6. 10:20

  7. 10:05

  8. 09:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel