Qubes OS: Die ultimative Lösung für Datenschutz und Sicherheit auf Workstations

Redaktion 28. May 2024 Comments Off on Qubes OS: Die ultimative Lösung für Datenschutz und Sicherheit auf Workstations Kommentar(e)
Qubes OS: Die ultimative Lösung für Datenschutz und Sicherheit auf Workstations

Bildquelle: Pexels

Qubes OS ist ein Betriebssystem für Laptops und Workstations, welches auf dem Konzept der “Security by Compartmentalization” basiert. Es verwendet den Xen-Hypervisor, um einzelne Anwendungen oder Anwendungsgruppen in virtuellen Maschinen (VMs) zu betreiben. Wenn Sie beispielsweise eine Website besuchen, welche auf Ihrem Betriebssystem Malware installiert, bleibt diese auf die VM Ihres Browsers beschränkt und kann nicht auf die Daten der VM Ihres E-Mail-Clients oder Passwort-Managers zugreifen, da diese jeweils in eigenen VMs betrieben werden.

Qubes OS wurde erstmals 2010 von der IT-Sicherheitsforscherin Joanna Rutkowska und dem Invisible Things Lab veröffentlicht und ist als Open Source-Projekt auf Github verfügbar. Es verfügt über eine sehr aktive und hilfsbereite Community und wird von IT-Sicherheitsexperten eingesetzt, darunter Edward Snowden.

1. Sicherheitsarchitektur im Ãœberblick

Die besonders hohe Sicherheit des Betriebssystems wird durch verschiedene Ansätze erzielt.

1.1 Verschiedene VM Klassen

Eine der großen Stärken von Qubes OS sind die verschiedenen VM-Typen:

  • Template VMs: Diese dienen als Vorlagen für alle folgenden VMs. Sie haben normalerweise keinen Zugang zum Internet. Software-Pakete werden über einen Qubes-internen apt-proxy installiert. Diese VMs haben die höchste Vertrauensstufe. Hier würde man zum Beispiel lediglich Firefox oder Thunderbird installieren, aber niemals ausführen.
  • Standalone VMs: Dies sind klassiche, eigentständige VMs, welche einmalig aus einer Kopie einer Template VM erstellt werden. Alle Änderungen, egal ob im Root-Dateisystem oder im /home-Verzeichnis, werden dauerhaft gespeichert.
  • App VMs: Diese VMs verwenden beim Starten einen Snapshot des Root-Dateisystems einer Template VM. Sie verfügen über ein eigenes Volume für das /home-Verzeichnis, in welchem alle Daten permanent gespeichert werden können. Der Snapshot des Root-Dateisystems wird beim Herunterfahren verworfen, inklusive eventuell an dieser Stelle installierter Malware. Hier würde man zum Beispiel Firefox ausführen, um diverse Einstellungen daran vorzunehmen wie Firefox-Plugins zu installieren, welche dann im /home Verzeichnis gespeichert werden, jedoch (idealerweise) noch nicht zum Browsen im Internet verwenden. Thunderbird wird direkt in einer AppVM ausgeführt, da die E-Mails permanent im /home-Verzeichnis gespeichert werden müssen.
  • Disposable VMs: Diese VMs verwenden einen Snapshot des Root-Dateisystems einer Template VM und einen Snapshot des /home-Verzeichnisses einer AppVM. Alle Änderungen und gespeicherten Daten werden beim Herunterfahren verworfen. Hier würde man zum Beispiel einen fertig eingerichteten Firefox-Browser ausführen um damit im Internet zu surfen – sollte Firefox Malware herunterladen und installieren, wird diese nur auf den Snapshots gespeichert, welche beim Herunterfahren der VM verworfen werden. Beim nächsten Start der disposable VM hat man dann wieder eine VM ohne Malware.

Alle VMs laufen wahlweise mit Debian oder Fedora Linux, wobei zahlreiche, teilweise durch die Community erstellte Templates verfügbar sind. Die Installation von Windows in VMs ist ebenfalls möglich.

1.2 Abgesicherte Internetanbindung

In Qubes OS besteht die Möglichkeit, VMs vollständig vom Internet zu trennen. Dies ist beispielsweise für Passwortspeicher oder Offline-Krypto-Wallets von Vorteil. Für alle VMs, die eine Internetverbindung benötigen, gibt es spezielle Netzwerk-VMs, die in Reihe geschaltet werden können. Netzwerk-VMs sind idealerweise als Disposable VMs eingerichtet. Die jeweilige Netzwerk-VM wird für jede VM einzeln festgelegt.

Für die Verbindung mit dem Netzwerk zum Router, bzw. mit einem WLAN gibt es eine spezielle Disposable VM namens sys-net. Dieser VM ist die Netzwerkkarte zugeordnet. Hinter sys-net befindet sich normalerweise sys-firewall. In dieser kann konfiguriert werden, dass z.B. die Thunderbird-VM nur mit mail.example.com über die Ports IMAP und SMTP kommunizieren darf. Alle VMs, die eine Verbindung zum Internet benötigen, werden dann an sys-net angeschlossen.

Qubes OS bietet eine Vielzahl gut dokumentierter Möglichkeiten, weitere Netzwerk-VMs, beispielsweise für ein VPN, einzurichten und den Traffic der Thunderbird-VM durch solch eine sys-vpn VM zu leiten. Auch konfiguriert Qubes OS in der Standardinstallation zwei VMs für den Zugriff auf das Tor Netzwerk mit whonix.

Am Beispiel von Thunderbird könnte die Kette der Netzwerk-VMs zum Beispiel wie folgt eingerichtet werden:

sys-net (Netzwerkkarte) ↔ sys-firewall (NFtables Firewall)↔sys-vpn (Wireguard VPN)↔ thunderbird-VM (AppVM mit Thunderbird E-Mail Client)

1.3 Die zentrale Rolle von Dom0 in Qubes OS

In Qubes OS spielt dom0 eine zentrale Rolle im Sicherheitsmodell des Systems. Dom0 ist die administrative Domain, die den Xen-Hypervisor kontrolliert und direkten Zugriff auf die Hardware hat. Dom0 ist selbst kein VM, sondern das Betriebssystem, welches direkt auf der Hardware installiert ist und vollständigen Zugriff auf die Hardware hat. Dies macht dom0 besonders sicherheitskritisch – es ist verantwortlich für das Starten und Stoppen aller VMs und verwaltet die grafische Benutzeroberfläche, normalerweise XFCE4, wobei andere Window Manager und auch tiling Window Manager wie i3wm ebenfalls installierbar sind.

Um die Sicherheit zu maximieren, ist dom0 so konfiguriert, dass es keinen Zugang zum Internet hat, wodurch das Risiko von Angriffen stark reduziert wird. Software-Pakete werden über eine abgesicherte Proxy-VM heruntergeladen, nach dom0 kopiert und anschließend installiert. Außerdem sollten in dom0 nur minimal notwendige Anwendungen und Dienste ausgeführt werden, um die Angriffsfläche möglichst gering zu halten. Des weiteren können VMs keine Daten zu dom0 kopieren. Dom0 basiert auf Fedora Linux.

In Qubes OS werden die grafischen Anwendungen, die in den einzelnen VMs laufen (zum Beispiel Firefox oder Thunderbird), über das Qubes GUI-Daemon-Protokoll auf dom0 angezeigt. Dadurch erscheinen die Fenster der Anwendungen der verschiedenen VMs nahtlos auf dem Desktop von dom0, als wären sie native Anwendungen, während sie aber tatsächlich in isolierten VMs laufen.

Qubes OS bringt außerdem eine Reihe von Anwendungen und Konfigurationen mit, die das nahtlose Zusammenspiel zwischen den VMs sowie deren reibungslose Verwaltung gewährleisten. Dazu zählt beispielsweise die Möglichkeit, einfach und sicher Dateien zwischen den VMs zu kopieren, die Software-Upgrades aller VMs zentral über einen grafischen Upgrade-Manager zu verwalten sowie mit Hilfe des Qubes Managers einfach und unkompliziert neue VMs zu erstellen oder zu löschen. Somit lässt sich ein mit Qubes OS installierter Computer weitestgehend normal verwenden, und die zahlreichen technischen Sicherheitsmaßnahmen fallen dem Nutzer nach einer kurzen Eingewöhnungsphase kaum noch auf.

2. Installation

Die Installation von Qubes OS ist generell so einfach wie die Installation von Ubuntu Linux.

2.1 Anforderungen und Hardware

Je nach Anzahl der benötigten VMs, bzw. gleichzeitig laufenden Anwendungen, steigen die Systemanforderungen. Generell gilt für Hardware-Ressourcen: je mehr und je schneller desto besser. Qubes ist relativ ressourcenintensiv, insbesondere dann, wenn Sie sämtliche Anwendungen mit einzelnen VMs voneinander isolieren möchten. Wenn Sie weniger System-Ressourcen zur Verfügung haben, können Sie Anwendungen mit ähnlichen Vertrauensleveln auch in einer VM laufen lassen.

Die Anforderungen für die aktuelle Qubes Version 4.2 finden Sie in der Qubes OS Dokumentation der Systemanforderungen. Qubes OS kooperiert mit diversen Hardware-Herstellern und bietet auch eine Reihe von Qubes-Zertifizierten Hardware-Herstellern. Bevor Sie neue Hardware kaufen, sollten Sie prüfen, ob diese mit Qubes OS kompatibel ist. Die Community pflegt hierfür eine Liste mit getesteter Hardware. Sollte bei der Installation etwas nicht klappen, ist das Qubes OS Forum immer sehr hilfsbereit.

2.2 Erstellen eines bootbaren Qubes USB-Sticks

Das Vorgehen zum Erstellen eines bootbaren USB-Sticks für die Installation von Qubes OS unterscheidet sich nicht von dem für die Installation von zum Beispiel Ubuntu Linux. Laden Sie dafür das Image von qubes-os.org/downloads herunter und folgen Sie den Anweisungen in der Dokumentation, um einen bootbaren USB Stick unter Linux oder Windows zu erstellen. Booten Sie den USB-Stick, folgen Sie den Anweisungen und sehen Sie bei Unklarheiten einfach in der Installationsdokumentation nach.

2.3 Erste Schritte nach der Installation und Benutzeroberfläche

Nach der Grundinstallation und dem ersten Neustart, bzw. nachdem Sie aufgefordert wurden, den USB-Stick zu entfernen, bootet das System zunächst noch einmal in ein Installationsmenü. Hier können Sie auswählen, wie Sie Qubes OS initial konfigurieren möchten. Wir empfehlen neuen Benutzern, die Standardeinstellungen nicht zu verändern. Nachdem Sie die Konfiguration gestartet haben, verwendet Qubes OS im Hintergrund Saltstack, um das System einzurichten. Diese Variante der Konfiguration des Betriebssystems steht erfahrenen Nutzern auch nach der Installation zur Verfügung. Nachdem die Konfiguration abgeschlossen ist, zeigt Ihnen der Computer den gewohnten Login-Bildschirm an, auf dem Sie sich mit dem während der Installation festgelegten Nutzer und Passwort anmelden können.

<screenshot here> Screenshot einer laufenden Qubes-OS-Installation mit Firefox in der work VM, xfce4-terminal in der personal VM sowie dem Qubes-Manager 

Direkt nach der Installation steht Ihnen eine Reihe von AppVMs zur Verfügung, die bei der Installation standardmäßig erstellt wurden. Über die Start-Menü-Leiste rechts oben können Sie verschiedene Anwendungen starten. Hier finden Sie ebenfalls alle grafischen Qubes-OS-Management-Tools, zum Beispiel für die Installation von Upgrades oder zum Erstellen von neuen Qubes VMs. Kommandozeilenaffine Nutzer können Qubes OS ebenfalls komplett über die Kommandozeile verwalten.

In den standardmäßig installierten VMs sind alle gängigen Programme bereits vorinstalliert. Sollten Sie weitere benötigen, installieren Sie diese in den jeweiligen Template VMs.

3. Fazit

Für Firmen und individuen mit besonders hohen IT-Sicherheitsanforderungen bietet Qubes OS zahlreiche Vorteile. Durch die Isolierung von Anwendungen und Daten in verschiedenen VMs minimiert Qubes OS das Risiko, dass Schadsoftware das gesamte System kompromittiert. Die verwendung von temporaren Snapshots in App und Disposable VMs minimiert das Risiko, das Malware permanent installiert bleibt. Dies macht es besonders attraktiv für sicherheitsbewusste Benutzer und Firmen mit besonders hohen Sicherheitsanforderungen wie Linux-Support und -Hosting Unternehmen, welche aufgrund Ihres administrativen Zugriffs auf eine Vielzahl von Server-Systemen besonders begehrte Ziele für Hacker darstellen. Darüber hinaus bietet Qubes OS flexible Anpassungsmöglichkeiten und unterstützt eine Vielzahl von Betriebssystemen innerhalb seiner virtuellen Maschinen.

Allerdings gibt es auch einige Nachteile. Die Hardwareanforderungen sind hoch, da Qubes OS viel Arbeitsspeicher und Prozessorleistung sowie eine schnelle SSD benötigt, um effizient zu laufen, besonders bei höheren Zahlen (ab zehn) von VMs. Zudem kann die Komplexität der Einrichtung und Verwaltung von VMs für weniger technisch versierte Benutzer in manchen Fällen eine Herausforderung darstellen.

TAGS » , , , ,
VERÖFFENTLICHT IN » Allgemein
auf Facebook teilen auf Google+ teilen auf Twitter teilen

Kennst du schon unsere Magazine?

Alle Magazine anzeigen