Testbericht

Andere Betriebssysteme: OpenBSD 3.0

OpenBSD wird als eines der sichersten Betriebssysteme gehandelt. Wir werfen einen Blick auf die Sicherheitsfunktionen der neuen Version 3.0.

Andere Betriebssysteme: OpenBSD 3.0

© Testlabor Printredaktionen

Andere Betriebssysteme: OpenBSD 3.0

OpenBSD ist ein freies Betriebssystem, das für eine Vielzahl von Systemarchitekturen (z.B. Intel, Sun, Alpha, Amiga) zur Verfügung steht. Das Betriebssystem entstand auf Initiative von Theo de Raadt mit dem Vorsatz, das sicherste Betriebssystem zu entwickeln. Es verfügt über etliche Sicherheitsfeatures.

In der Handhabung lässt sich OpenBSD weitgehend mit anderen BSD-Derivaten wie FreeBSD und Net BSD vergleichen. Allerdings sollten auch eingefleischte Linux- Anwender mit einer dicken Haut in den Bereichen Unix und TCP/IP damit zurecht kommen.

Da der Umfang von fertigen Programmpaketen - zumindest im Vergleich zu Linux - begrenzt ist, sollten Sie Grundwissen im Bereich der Programmübersetzung (make, gcc, Perl) mitbringen. Der Umfang dieser fertigen Pakete wächst jedoch mit jeder neuen Open Sie aktuelle BSD-Distribution. Derzeit existieren rund 1000 fertige Programmpakete, die sich über einen automatischen Paketmanager bequem installieren lassen.

Sicherheits-Features

OpenBSD bietet seinen Usern zahlreiche Sicherheits-Features. Wir liefern Ihnen einen kurzer Überblick der gängigen Verfahren und Technologien. Weitere Details finden Sie im Internet unter www.openbsd.org/security.html.

Securelevel

Der Kernel von OpenBSD wird beim Booten in einen von vier möglichen Sicherheitszuständen versetzt: Permanent Insecure Mode, Insecure Mode, Secure Mode und High Secure Mode. In der Grundkonfiguration befindet sich der Kernel im Secure Mode. Je nach gewähltem Modus unterliegt das Betriebssystem gewissen Einschränkungen. So lassen sich im Secure Mode

• der Runlevel des Systems nicht mehr per init verändern,

• die Devices /dev /mem (Hauptspeicher) und /dev/kmem (Kernel-Virtual-Memory) nicht mehr beschreiben

• keine kritischen Systemdateien löschen oder verändern,

• und keine Kernel- Module laden oder entladen

Für besonders kritische Systeme wie eine Firewall empfiehlt sich der High Secure Modus. Er untersagt beispielsweise den Einsatz des Befehls pfctl, mit dem sich Änderungen an der Firewall Policy durchführen lassen.

Bibliotheken

Die Bibliotheken von OpenBSD enthalten zahlreiche Funktionen, mit denen sich Sicherheitslöcher in der Programmierung, wie beispielsweise die berüchtigten Buffer-Overflows, vermeiden lassen. Bei einem Buffer-Overflow nutzen Hacker fehlende Einschränkungen im Programm, um Variablen über ihre Speichergrenzen zu überfluten und so bösartigen Programmcode einzusetzen. OpenBSD bietet zahlreiche Funktionen, wie strlcpy oder strlcat, die solchen Fehlerquellen wirksam entgegenwirken.

IPSEC und VPN

Bereits in der Grundkonfiguration ist OpenBSD voll auf Sicherheit ausgelegt. So lassen sich Verbindungen durch VPN (Virtual Private Network) oder IPSEC sichern und verschlüsseln. Im Gegensatz zu Linux muss bei OpenBSD der Kernel nicht nachträglich angepasst werden. Standards wie ISAKM, ESP und AH garantieren die Zusammenarbeit mit kommerziellen Produkten wie CISCO Router. Die IPSEC Implementation von OpenBSD arbeitet problemlos mit Windows 2000/XP zusammen.

PF, NAT und ALTQ

OpenBSD eignet sich hervorragend als Firewall oder Router. Mit PF (Packet Filter) stehen leistungsfähige Paketfilter zur Verfügung, mit denen sich ein- und ausgehende Verbindungen entsprechend einschränken lassen. In diese Filterung lassen sich auch TCP-Flags einbeziehen, so dass die Firewall Policy sehr kompakt organisiert werden kann. Mit NAT (Native Address Translation) lassen sich ganze Firmennetzwerke hinter einer (oder mehreren) gültigen IPAdressen verstecken. Dennoch ist ein transparentes Surfen möglich.

Abgerundet wird die Funktionalität eines OpenBSD-Routers durch ALTQ. Mit diesem Programm lässt sich der Datenverkehr kontrollieren. So ist es beispielsweise möglich, lediglich zehn Prozent des Datenverkehrs für HTTP-Verbindungen zuzulassen.

Regeln von ALTQ lassen sich von Services (HTTP, FTP, etc), Protokollen (TCP, UDP, etc) oder von IP-Adressen festlegen.

Fazit

Wenn Sie ein sicheres Betriebssystem für den Einsatz als Server suchen, ist OpenBSD eine gute Wahl. Allerdings sollten Sie einigermaßen standfest im Umgang mit Unix-Systemen sein: Konfigurationshilfen und Dokumentation sind bei OpenBSD Mangelware. Dafür bietet das Betriebssystem alle Features, die es im lokalen Netzwerk und Internet sicher und resistent gegen Hacker machen.

http://www.lehmanns.de

Mehr zum Thema

Battlefield Hardline zeigt viel Potenzial. Kann es das auch nutzen?
Ego-Shooter

Wir haben Battlefield: Hardline im Test. Ob der aktuelle Teil der Serie mit dem Polizisten-Szenario frischen Wind ins angestaubte Ego-Shooter-Genre…
The Witcher 3: Wild Hunt Screenshot
Story, Gameplay, Spielzeit & Co.

Wir haben The Witcher 3: Wild Hunt im Test. Mit dem Ende der Saga um den Hexer Geralt von Rivia will CD Projekt Red ein krönendes Finale schaffen. Ob…
Netgear Nighthawk X6 (R8000)
Router

86,0%
Statt Wave-2-AC-WLAN bietet der Netgear Nighthawk X6 zwei separate 1.300-MBit-Funkmodule im 5-GHz-Band. Wir haben den…
F1 2015: Screenshot
PS4-Release

F1 2015 muss sich unserem Test unterziehen. Und was wir beim neuesten Rennspiel von Codemasters feststellen, erfreut uns nicht auf ganzer Linie.
Rory McIlroy PGA Tour, Test, review, ps4, release
Golf-Spiel für PS4

Im Test zu Rory McIlroy PGA Tour zeigen wir, dass sich für das Golf-Spiel von EA nicht nur der Name geändert hat.