Abo
  • Services:
Anzeige
Qubes OS sorgt durch Virtualisierung für ein sicheres System.
Qubes OS sorgt durch Virtualisierung für ein sicheres System. (Bild: Screenshot: Golem.de)

Geschützt durch Firewalls

Anzeige

Zugriffe auf das Netzwerk erfolgen durch eine spezielle Domain namens NetVM. Außerdem gibt es noch die FirewallVM. Weitere Domains werden durch ein virtuelles Netzwerk über die FirewallVM mit der NetVM verbunden, die dann die Daten an die Netzwerkkarte oder die WLAN-Hardware weiterleitet. In der FirewallVM lassen sich globale Regeln erstellen, in jeder anderen Domain lassen sich aber weitere Regeln anlegen. Dies ist ein Beispiel für die Modularisierung, die das Konzept von Qubes darstellt. Das soll es Angreifern schwierig machen, das System zu kompromittieren. Sogar Netzwerkverbindungen zwischen einzelnen Domains gibt es nur, wenn sie explizit an der Kommandozeile aktiviert werden. Sie seien ohnehin nur in wenigen Fällen nötig, heißt es in dem entsprechenden Wikieintrag.

Ein weiteres Beispiel dafür ist die Domain Disposable. Dort lässt sich der Firefox-Browser starten und gefahrlos nutzen, denn die Daten interagieren während der Nutzung nicht mit dem Basissystem. Wird die Browsersitzung beendet, wird die temporäre virtuelle Maschine einfach gelöscht - samt möglicher Schadsoftware. Umgekehrt lässt sich eine Domain auch komplett vom Netz abschirmen. Dort können beispielsweise Texte verfasst oder Daten angesehen werden, die keinesfalls im Netz auftauchen dürfen. In einer anderen Domain darf auf dem gleichen System ein Browser laufen, die in den jeweiligen Domains angelegten Daten sind strikt voneinander getrennt.

Gewöhnungsbedürftige Dateiverwaltung

Dementsprechend ist auch die Dateiverwaltung völlig anders als unter anderen Linux-Distributionen. Daten, die in einer Domain angelegt werden, sind auch nur dort verfügbar. Sollen sie in eine andere Domain verschoben und kopiert werden, muss der Anwender spezielle Einträge im Kontextmenü des Dateimanagers bemühen, der ebenfalls gesondert in jeder Domain gestartet wird. In Dom0 werden persönliche Daten überhaupt nicht gespeichert. Das dient einerseits der Sicherheit, kann aber zu einem Chaos führen, wenn Daten in verschiedenen Domains verwendet werden.

Im Qubes VM Manager muss auch unter Umständen den jeweiligen Domains mehr Festplattenspeicher zugewiesen werden. Auch die Größe des nutzbaren Arbeitsspeichers lässt sich dort verwalten. Selbst der Zugriff auf das Audio-Framework kann explizit für jede Domain ein- und ausgeschaltet werden. Auch USB-Massenspeicher müssen über den Qubes VM Manager für jede Domain eingebunden werden. Das Qubes-Team wirbt damit, ihre Lösung sei eine Möglichkeit, Angriffe mit BadUSB zu verhindern.

Schwierige Softwareverwaltung

Nach der Installation enthalten die vorkonfigurierten Domains lediglich Verknüpfungen zu Firefox, dem Dateimanager und dem Terminal. Sollen dort weitere Anwendungen genutzt werden können, müssen sie zunächst über den Eintrag Add more shortcuts hinzugefügt werden. Die globale Installation neuer Software konnten wir schließlich über eine TemplateVM ermöglichen, die im Startmenü erstellt werden kann. Wir mussten in unserer Qubes-Installation zunächst in der neu erstellen TemplateVM einen neuen Shortcut mit dem Eintrag Software aus der Liste erstellen, bevor wir über das Gnome Software Center die Bildbearbeitungssoftware Gimp installieren konnten. Anschließend konnten wir Gimp den einzelnen Domains zuweisen. Das Update des gesamten Systems erfolgt wiederum über den Qubes VM Manager im Kontextmenü des Eintrags Dom0. Dort wäre eine einheitlichere und übersichtlichere Softwareverwaltung sinnvoll.

Die Frage, wie viele Domains ein Anwender benötigt, lässt sich nicht so leicht beantworten. Das Qubes-Team rät, zunächst die vorinstallierten Domains zu verwenden und nach Bedarf weitere einzurichten. Im Wiki gibt es auch ein Einrichtungsbeispiel für "besonders paranoide" Anwender. Nicht sinnvoll ist, für jede Anwendung eine eigene Domain einzurichten, denn das erschwert die Verwaltung persönlicher Daten.

 Qubes OS angeschaut: Abschottung bringt mehr SicherheitKräftige Hardware benötigt 

eye home zur Startseite
ShalokShalom 08. Nov 2015

sondern ein Xen basiertes mit Support für Linux Gäste.

drasojem 09. Dez 2014

Dagegen hilft nur Verschlüsselung. Das ist ja nichts anderes als irgendein...

drasojem 08. Dez 2014

Was ändert das an der Tatsache das ein präperiertes USB-Gerät einen Bug im USB...

drasojem 01. Dez 2014

Tatsächlich nutzen die meisten Qubes user notebooks die meist ihre Tatatur per ps2...

Hotohori 22. Okt 2014

Welche man aber sicherlich deutlich schwerer zu manipulieren machen kann, wenn sie derart...



Anzeige

Stellenmarkt
  1. Kistler Instrumente GmbH, Sindelfingen bei Stuttgart
  2. Statistisches Landesamt Baden-Württemberg, Stuttgart
  3. ulrich GmbH & Co. KG, Ulm
  4. Hessischer Rundfunk Anstalt des öffentlichen Rechts, Frankfurt am Main


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. 29,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Quartalsbericht

    Microsoft kann Gewinn durch Cloud mehr als verdoppeln

  2. Mobilfunk

    Leistungsfähigkeit der 5G-Luftschnittstelle wird überschätzt

  3. Drogenhandel

    Weltweit größter Darknet-Marktplatz Alphabay ausgehoben

  4. Xcom-2-Erweiterung angespielt

    Untote und unbegrenzte Schussfreigabe

  5. Niantic

    Das erste legendäre Monster schlüpft demnächst in Pokémon Go

  6. Bundestrojaner

    BKA will bald Messengerdienste hacken können

  7. IETF

    DNS wird sicher, aber erst später

  8. Dokumentation zum Tor-Netzwerk

    Unaufgeregte Töne inmitten des Geschreis

  9. Patentklage

    Qualcomm will iPhone-Importstopp in Deutschland

  10. Telekom

    Wie viele Bundesfördermittel gehen ins Vectoring?



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Moto Z2 Play im Test: Bessere Kamera entschädigt nicht für kürzere Akkulaufzeit
Moto Z2 Play im Test
Bessere Kamera entschädigt nicht für kürzere Akkulaufzeit
  1. Modulares Smartphone Moto Z2 Play kostet mit Lautsprecher-Mod 520 Euro
  2. Lenovo Hochleistungs-Akku-Mod für Moto Z
  3. Moto Z Schiebetastatur-Mod hat Finanzierungsziel erreicht

Razer Lancehead im Test: Drahtlose Symmetrie mit Laser
Razer Lancehead im Test
Drahtlose Symmetrie mit Laser
  1. Razer Blade Stealth 13,3- statt 12,5-Zoll-Panel im gleichen Gehäuse
  2. Razer Core im Test Grafikbox + Ultrabook = Gaming-System
  3. Razer Lancehead Symmetrische 16.000-dpi-Maus läuft ohne Cloud-Zwang

Ikea Trådfri im Test: Drahtlos (und sicher) auf Schwedisch
Ikea Trådfri im Test
Drahtlos (und sicher) auf Schwedisch
  1. Die Woche im Video Kündigungen, Kernaussagen und KI-Fahrer
  2. Augmented Reality Ikea will mit iOS 11 Wohnungen virtuell einrichten
  3. Space10 Ikea-Forschungslab untersucht Umgang mit KI

  1. Re: ÖR vs. private

    Pjörn | 04:44

  2. Re: Wurde überhaupt schon jemand damit infiziert?

    Pjörn | 04:30

  3. Re: Wer?

    Frotty | 03:57

  4. Re: Lohnt das

    Pjörn | 03:43

  5. Die Forschung verstehe ich nicht ganz.

    mrgenie | 03:41


  1. 23:50

  2. 19:00

  3. 18:52

  4. 18:38

  5. 18:30

  6. 17:31

  7. 17:19

  8. 16:34


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel