Et ginn net vill Artikelen iwwer Habré déi dem Qubes Betribssystem gewidmet sinn, an déi, déi ech gesinn hunn, beschreiwen net vill vun der Erfahrung fir et ze benotzen. Ënnert dem Schnëtt hoffen ech dat ze korrigéieren andeems Dir d'Beispill benotzt Qubes als Schutzmëttel (géint) d'Windows-Ëmfeld a gläichzäiteg d'Zuel vun de russeschsproochege Benotzer vum System schätzen.
Firwat Qubes?
D'Geschicht vum Enn vun der technescher Ënnerstëtzung fir Windows 7 an d'Erhéijung vun der Besuergnëss vun de Benotzer huet zu der Bedierfnes fir d'Aarbecht vun dësem OS ze organiséieren, andeems Dir déi folgend Ufuerderunge berücksichtegt:
- garantéieren d'Benotzung vu voll aktivéierten Windows 7 mat der Fäegkeet fir de Benotzer Updates a verschidde Applikatiounen z'installéieren (och iwwer Internet);
- Ëmsetzung vun komplett oder selektiv Ausgrenzung vun Reseau Interaktiounen baséiert op Konditiounen (autonom Operatioun an Traffic Filter Modi);
- bitt d'Fäegkeet fir selektiv wechbar Medien an Apparater ze verbannen.
Dëse Set vu Restriktiounen viraussetzt e kloer preparéierte Benotzer, well onofhängeg Administratioun erlaabt ass, an d'Restriktiounen sinn net mat der Spär vu potenziellen Handlungen ze dinn, mee mat der Ausgrenzung vu méigleche Feeler oder zerstéierende Softwareeffekter. Déi. Et gëtt keen internen Täter am Modell.
Op eiser Sich no enger Léisung hu mir séier d'Iddi opginn fir Restriktiounen ëmzesetzen mat agebauten oder zousätzleche Windows-Tools, well et zimmlech schwéier ass effektiv e Benotzer mat Administratorrechter ze beschränken, wat him d'Fäegkeet léisst fir Uwendungen z'installéieren.
Déi nächst Léisung war Isolatioun mat Virtualiséierung. Bekannt Tools fir Desktop-Virtualiséierung (zum Beispill, wéi Virtualbox) si schlecht gëeegent fir Sécherheetsprobleemer ze léisen an déi opgelëscht Restriktiounen musse vum Benotzer gemaach ginn andeems d'Eegeschafte vun der virtueller Gaaschtmaschinn stänneg wiesselt oder ugepasst gëtt (nodréiglech bezeechent) als VM), wat de Risiko vu Feeler erhéicht.
Zur selwechter Zäit hate mir Erfahrung mat Qubes als Desktop-System vun engem Benotzer, awer hunn Zweifel iwwer d'Stabilitéit vun der Aarbecht mat Gaascht Windows. Et gouf decidéiert déi aktuell Versioun vu Qubes z'iwwerpréiwen, well déi uginn Limitatiounen ganz gutt an de Paradigma vun dësem System passen, besonnesch d'Ëmsetzung vu virtuelle Maschinn Templates a visuell Integratioun. Als nächst wäert ech probéieren kuerz iwwer d'Iddien an Tools vu Qubes ze schwätzen, andeems Dir d'Beispill benotzt fir de Problem ze léisen.
Zorte vu Xen Virtualiséierung
Qubes baséiert op dem Xen Hypervisor, deen d'Funktioune vun der Gestioun vu Prozessorressourcen, Erënnerung a virtuelle Maschinnen miniméiert. All aner Aarbecht mat Geräter ass konzentréiert an dom0 baséiert op dem Linux Kernel (Qubes fir dom0 benotzt d'Fedora Verdeelung).
Xen ënnerstëtzt verschidden Aarte vu Virtualiséierung (ech ginn Beispiller fir Intel Architektur, obwuel Xen anerer ënnerstëtzt):
- paravirtualization (PV) - e Virtualization Modus ouni de Gebrauch vun Hardware Ënnerstëtzung, erënner vun Container virtualization, kann fir Systemer mat engem ugepasste Kär benotzt ginn (dom0 bedreift an dësem Modus);
- voll Virtualiséierung (HVM) - an dësem Modus gëtt Hardware Support fir Prozessorressourcen benotzt, an all aner Ausrüstung gëtt mat QEMU emuléiert. Dëst ass déi universellst Manéier fir verschidde Betribssystemer ze lafen;
- Paravirtualiséierung vun Hardware (PVH - ParaVirtualized Hardware) - e Virtualiséierungsmodus mat Hardware Support wann, fir mat Hardware ze schaffen, de Gaaschtsystemkär benotzt Chauffeuren ugepasst un d'Fäegkeeten vum Hypervisor (zum Beispill gemeinsame Gedächtnis), eliminéiert de Besoin fir QEMU Emulatioun an d'Erhéijung vun I / O Leeschtung. De Linux Kernel ab 4.11 kann an dësem Modus funktionnéieren.
Ugefaange mat Qubes 4.0, aus Sécherheetsgrënn, gëtt d'Benotzung vum Paravirtualiséierungsmodus opginn (och wéinst bekannte Schwachstelle an der Intel Architektur, déi deelweis duerch d'Benotzung vu voller Virtualiséierung reduzéiert ginn); PVH Modus gëtt als Standard benotzt.
Wann Dir Emulatioun (HVM Modus) benotzt, gëtt QEMU an engem isoléierte VM mam Numm Stubdomain gestart, an doduerch d'Risiken reduzéiert fir potenziell Feeler an der Ëmsetzung auszenotzen (de QEMU Projet enthält vill Code, och fir Kompatibilitéit).
An eisem Fall soll dëse Modus fir Windows benotzt ginn.
Service virtuell Maschinnen
An der Qubes Sécherheetsarchitektur ass eng vun de Schlësselfäegkeeten vum Hypervisor den Transfer vu PCI-Geräter an d'Gaaschtëmfeld. Hardware Ausgrenzung erlaabt Iech den Hostdeel vum System vun externen Attacken ze isoléieren. Xen ënnerstëtzt dëst fir PV an HVM Modi, am zweete Fall erfuerdert Ënnerstëtzung fir IOMMU (Intel VT-d) - Hardware Memory Gestioun fir virtualiséiert Geräter.
Dëst erstellt verschidde System virtuell Maschinnen:
- sys-net, op déi Netzwierkapparater transferéiert ginn an déi als Bréck fir aner VMs benotzt ginn, zum Beispill déi, déi d'Funktioune vun enger Firewall oder engem VPN Client ëmsetzen;
- sys-usb, op déi USB an aner Peripheriegeräte Controller transferéiert ginn;
- sys-Firewall, déi keng Geräter benotzt, awer funktionnéiert als Firewall fir verbonne VMs.
Fir mat USB-Geräter ze schaffen, gi Proxy-Servicer benotzt, déi ënner anerem ubidden:
- fir den HID (mënschlechen Interface Apparat) Apparat Klass, schéckt Kommandoen ze dom0;
- fir eraushuelbare Medien, Viruleedung vun Apparat Bänn op aner VMs (ausser dom0);
- Viruleedung direkt op en USB Apparat (mat USBIP an Integratioun Tools).
An esou enger Konfiguratioun kann en erfollegräichen Attack duerch den Netzwierkstack oder verbonne Geräter zum Kompromëss vun nëmmen de lafende Service VM féieren, an net de ganze System als Ganzt. An nodeems de Service VM nei gestart gëtt, gëtt et a sengem ursprénglechen Zoustand gelueden.
VM Integratioun Tools
Et gi verschidde Weeër fir mam Desktop vun enger virtueller Maschinn ze interagéieren - Uwendungen am Gaaschtsystem installéieren oder Video emuléieren mat Virtualiséierungsinstrumenter. Gaaschtapplikatioune kënne verschidde universell Fernzougang-Tools sinn (RDP, VNC, Spice, etc.) Eng gemëschte Optioun kann och benotzt ginn, wann den Hypervisor I / O fir de Gaaschtsystem emuléiert, an extern d'Méiglechkeet e Protokoll ze benotzen deen I / O kombinéiert, zum Beispill, wéi Spice. Zur selwechter Zäit optimiséieren d'Remote Access Tools normalerweis d'Bild, well se iwwer e Netzwierk schaffen, wat net e positiven Effekt op d'Qualitéit vum Bild huet.
Qubes bitt seng eege Tools fir VM Integratioun. Als éischt ass dëst e Grafik-Subsystem - Fënstere vu verschiddene VMs ginn op engem eenzegen Desktop mat hiren eegene Faarfrahmen ugewisen. Am Allgemengen, sinn Integratioun Handwierksgeschir baséiert op de Fäegkeeten vun der Hypervisor - gemeinsam Erënnerung (Xen Grant Dësch), Notifikatioun Handwierksgeschir (Xen Event Kanal), gemeinsame Stockage Xenstore an der vchan Kommunikatioun Protokoll. Mat hirer Hëllef sinn d'Basiskomponenten qrexec a qubes-rpc, an Applikatiounsservicer ëmgesat - Audio oder USB Viruleedung, Transfert vun Dateien oder Clipboard Inhalter, Ausféierung vun Kommandoen an lancéiert Uwendungen. Et ass méiglech Politiken ze setzen déi Iech erlaben d'Servicer op engem VM ze limitéieren. D'Figur hei ënnen ass e Beispill vun der Prozedur fir d'Interaktioun vun zwee VMs ze initialiséieren.
Also gëtt d'Aarbecht am VM duerchgefouert ouni en Netz ze benotzen, wat d'voll Notzung vun autonome VMs erlaabt fir Informatiounsleckage ze vermeiden. Zum Beispill ass dëst wéi d'Trennung vu kryptographesche Operatiounen (PGP / SSH) ëmgesat gëtt, wann privat Schlësselen an isoléierte VMs benotzt ginn an net doriwwer eraus goen.
Schablounen, Applikatioun an eemoleg VMs
All Benotzeraarbecht an Qubes gëtt a virtuelle Maschinnen gemaach. Den Haapthostsystem gëtt benotzt fir se ze kontrolléieren an ze visualiséieren. D'OS gëtt zesumme mat engem Basisset vu Template-baséiert virtuelle Maschinnen (TemplateVM) installéiert. Dës Schabloun ass e Linux VM baséiert op der Fedora oder Debian Verdeelung, mat Integratiounsinstrumenter installéiert a konfiguréiert, an engagéierte System- a Benotzerpartitionen. D'Installatioun an d'Aktualiséierung vun der Software gëtt vun engem Standard Package Manager (dnf oder apt) aus konfiguréierte Repositories mat obligatoresche Digital Signature Verification (GnuPG) duerchgefouert. Den Zweck vun esou VMs ass Vertrauen an Applikatioun VMs op hir Basis lancéiert ze garantéieren.
Beim Startup benotzt eng Applikatioun VM (AppVM) e Snapshot vun der Systempartition vun der entspriechender VM Schabloun, a beim Ofschloss läscht dëse Snapshot ouni Ännerungen ze späicheren. D'Daten, déi vum Benotzer erfuerderlech sinn, ginn an enger Benotzerpartition eenzegaarteg fir all Applikatioun VM gespäichert, déi am Heemverzeichnis montéiert ass.
Benotzt disposable VMs (disposableVM) kann aus Sécherheetssiicht nëtzlech sinn. Esou e VM gëtt op Basis vun enger Schabloun am Moment vum Start erstallt a gëtt fir een Zweck gestart - eng Applikatioun auszeféieren, d'Aarbecht ofzeschléissen nodeems se zougemaach ass. Disposéierbar VMs kënne benotzt ginn fir verdächteg Dateien opzemaachen, deenen hir Inhalter zur Ausbeutung vu spezifesche Applikatiounsschwieregkeeten féieren. D'Kapazitéit fir e One-Time VM ze lafen ass integréiert am Dateiemanager (Nautilus) an E-Mail Client (Thunderbird).
Windows VM kann och benotzt ginn fir eng Schabloun an eng eemoleg VM ze kreéieren andeems Dir de Benotzerprofil an eng separat Sektioun beweegt. An eiser Versioun gëtt esou eng Schabloun vum Benotzer fir Administratiounsaufgaben an Applikatiounsinstallatioun benotzt. Baséierend op der Schabloun ginn e puer Applikatiouns-VMs erstallt - mat limitéierten Zougang zum Netz (Standard sys-Firewall-Kapazitéiten) an iwwerhaapt ouni Zougang zum Netz (e virtuellen Netzwierkapparat gëtt net erstallt). All Ännerungen an Uwendungen, déi an der Schabloun installéiert sinn, sinn verfügbar fir an dëse VMs ze schaffen, an och wann Lieszeecheprogrammer agefouert ginn, hunn se keen Netzzougang fir Kompromëss.
Kampf fir Windows
D'Features uewen beschriwwe sinn d'Basis vu Qubes a funktionnéieren zimlech stabil; d'Schwieregkeeten fänken mat Windows un. Fir Windows z'integréieren, musst Dir eng Rei vu Gaascht Tools Qubes Windows Tools (QWT) benotzen, déi Chauffeuren enthält fir mat Xen ze schaffen, e qvideo Chauffer an eng Rei vun Utilities fir Informatiounsaustausch (Dateitransfer, Clipboard). Den Installatiouns- a Konfiguratiounsprozess ass am Detail op der Websäit vum Projet dokumentéiert, sou datt mir eis Applikatiounserfarung deelen.
D'Haaptschwieregkeet ass am Fong de Mangel u Ënnerstëtzung fir déi entwéckelt Tools. Schlëssel Entwéckler (QWT) schéngt net verfügbar ze sinn an de Windows Integratiounsprojet waart op e Lead Entwéckler. Dofir, fir d'éischt war et néideg seng Leeschtung ze bewäerten an e Verständnis vun der Méiglechkeet ze bilden fir se onofhängeg z'ënnerstëtzen, wann néideg. Déi schwieregst ze entwéckelen an ze debuggen ass de Grafikchauffer, deen de Videoadapter emuléiert an ze weisen fir e Bild am gemeinsame Gedächtnis ze generéieren, wat Iech erlaabt de ganzen Desktop oder d'Applikatiounsfenster direkt an der Hostsystemfenster ze weisen. Wärend der Analyse vun der Operatioun vum Chauffer hu mir de Code fir d'Assemblée an engem Linux Ëmfeld ugepasst an en Debuggingschema tëscht zwee Windows Gaaschtsystemer ausgeschafft. Op der Crossbuild Etapp hu mir e puer Ännerungen gemaach, déi d'Saachen fir eis vereinfacht hunn, haaptsächlech a punkto "roueg" Installatioun vun Utilities, an och déi lästeg Degradatioun vun der Leeschtung eliminéiert wann Dir an engem VM fir eng laang Zäit schafft. Mir hunn d'Resultater vun der Aarbecht an enger separater presentéiert , also net laang Lead Qubes Entwéckler.
Déi kriteschste Stuf wat d'Stabilitéit vum Gaaschtsystem ugeet ass de Startup vu Windows, hei kënnt Dir de vertraute bloe Bildschierm gesinn (oder net emol gesinn). Fir déi meescht vun den identifizéierten Feeler goufen et verschidde Léisungen - Eliminatioun vun Xen Block Apparat Chauffeuren, VM Memory Balance auszeschalten, Netzwierk Astellunge fixéieren an d'Zuel vun de Cores minimiséieren. Eis Gaascht Tools bauen Installatiounen a lafen op voll aktualiséiert Windows 7 an Windows 10 (ausser qvideo).
Wann Dir vun engem realen Ëmfeld op eng virtuell plënnert, entsteet e Problem mat der Aktivéierung vu Windows wann virinstalléiert OEM Versioune benotzt ginn. Esou Systemer benotzen d'Aktivatioun baséiert op Lizenzen, déi an der UEFI vum Apparat spezifizéiert sinn. Fir d'Aktivatioun richteg ze veraarbecht, ass et néideg eng vun de ganze ACPI Sektiounen vum Hostsystem (SLIC Dësch) an de Gaaschtsystem ze iwwersetzen an déi aner liicht z'änneren, den Hiersteller registréiert. Xen erlaabt Iech den ACPI Inhalt vun zousätzlech Dëscher ze personaliséieren, awer ouni d'Haapt ze änneren. E Patch vun engem ähnlechen OpenXT-Projet, dee fir Qubes adaptéiert gouf, huet mat der Léisung gehollef. D'Fixer schéngen net nëmme fir eis nëtzlech a goufen an den Haapt Qubes Repository an d'Livirt Bibliothéik iwwersat.
Déi offensichtlech Nodeeler vu Windows Integratiounsinstrumenter enthalen de Mangel un Ënnerstëtzung fir Audio, USB-Geräter an d'Komplexitéit vun der Aarbecht mat Medien, well et keng Hardware-Ënnerstëtzung fir d'GPU gëtt. Awer déi uewe verhënnert net d'Benotzung vum VM fir mat Bürodokumenter ze schaffen, an och net de Start vu spezifesche Firmenapplikatiounen.
D'Ufuerderung fir op de Betribsmodus ouni Netzwierk oder mat engem limitéierten Netzwierk ze wiesselen nodeems Dir eng Windows VM Schabloun erstallt huet, gouf erfëllt andeems Dir déi entspriechend Konfiguratioune vun Applikatioun VMs erstellt, an d'Méiglechkeet fir selektiv wechbar Medien ze verbannen gouf och mat Standard OS Tools geléist - wann se verbonne sinn , si sinn am System VM sys-usb verfügbar, vu wou se op den erfuerderleche VM "Forward" kënne ginn. Den Desktop vum Benotzer gesäit sou eppes aus.
Déi lescht Versioun vum System gouf positiv (souwäit esou eng ëmfaassend Léisung erlaabt) vun de Benotzer akzeptéiert, an d'Standard-Tools vum System hunn et méiglech gemaach d'Applikatioun op d'mobil Workstation vum Benotzer mat Zougang iwwer VPN auszebauen.
Amplaz vun enger Konklusioun
Virtualiséierung am Allgemengen erlaabt Iech d'Risiken ze reduzéieren fir Windows Systemer ouni Ënnerstëtzung ze benotzen - et forcéiert keng Kompatibilitéit mat neier Hardware, et erlaabt Iech den Zougang zum System iwwer dem Netz oder iwwer verbonne Geräter auszeschléissen oder ze kontrolléieren, an et erlaabt Iech eng eemoleg Startëmfeld ëmsetzen.
Baséierend op der Iddi vun der Isolatioun duerch Virtualiséierung, Qubes OS hëlleft Iech dës an aner Mechanismen fir Sécherheet ze profitéieren. Vu baussen gesinn vill Leit Qubes virun allem als Wonsch no Anonymitéit, awer et ass en nëtzlechen System souwuel fir Ingenieuren, déi dacks mat Projeten, Infrastrukturen a Geheimnisser jongléieren fir se ze kréien, a fir Sécherheetsfuerscher. Trennung vun Uwendungen, Daten a Formaliséierung vun hirer Interaktioun sinn déi initial Schrëtt vun der Bedrohungsanalyse a Sécherheetssystemdesign. Dës Trennung hëlleft d'Informatioun ze strukturéieren an d'Wahrscheinlechkeet vu Feeler ze reduzéieren wéinst dem mënschleche Faktor - séier, Middegkeet, etc.
De Moment ass den Haaptaccent an der Entwécklung op d'Erweiderung vun der Funktionalitéit vu Linux Ëmfeld. D'Versioun 4.1 gëtt virbereet fir d'Verëffentlechung, déi op Fedora 31 baséiert an aktuell Versioune vun de Schlësselkomponenten Xen a Libvirt enthält. Et ass derwäert ze notéieren datt Qubes vun Informatiounssécherheetsfachleit erstallt gëtt, déi ëmmer prompt Updates verëffentlechen wann nei Bedrohungen oder Feeler identifizéiert ginn.
Afterword
Ee vun den experimentellen Fäegkeeten, déi mir entwéckelen, erlaabt eis VMs mat Ënnerstëtzung fir Gaascht Zougang zu der GPU baséiert op Intel GVT-g Technologie ze kreéieren, wat eis erlaabt d'Fäegkeeten vum Graphikadapter ze benotzen an den Ëmfang vum System wesentlech auszebauen. Zu der Zäit vum Schreiwen funktionnéiert dës Funktionalitéit fir Testbaut vu Qubes 4.1, an ass verfügbar op .
Source: will.com