Was ist Qubes?

Qubes ist ein auf IT-Sicherheit ausgelegtes Betriebssystem, das auf dem Prinzip der Isolation beruht. Mittels Hypervisor Xen, der hauptsächlich bei der Server-Virtualisierung eingesetzt wird, wird zwischen die Hard- und Software eine Sicherheitsschicht eingefügt. Die Benutzersoftware läuft in sogenannten virtuellen Maschinen (VMs), die vom Hypervisor überwacht werden. Alle virtuellen Maschinen sind voneinander abgeschottet, so dass wenn eine Maschinen kompromittiert wird, die anderen davon nicht betroffen sind. Für die Verwaltung der virtuellen Maschienen ist die administrative Domäne (dom0) zuständig. Da sie besonders sicherheitsrelevant ist, verfügt sie über keine Netzwerkverbindung und bietet auch den anderen Domänen möglichst wenig Schnittstellen an. Die administrative Domäne ist verantwortlich für die Benutzeroberfläche, das Management der virtuellen Maschinen, für die Verwaltung und Backups der virtuellen Festplatten, die den anderen Maschinen zugeordnet sind, und hat außerdem direkten Zugriff auf die Hardware.

Die Netzwerkverbindung wird über zwei eigenständige und unpriviligierte VMs realisiert, die in Reihe geschalten werden und von denen eine die Netzwerkfunktionalität bereitstellt und die andere das Regelwerk der Firewall enthält und anwendet. Das Prinzip ist vergleichbar mit einem Unternehmensnetzwerk, bei dem auch nicht jeder Rechner direkt mit dem Internet verbunden ist, sondern alle Rechner mit einen Gateway verbunden sind, das sowohl als Firewall fungiert, als auch die Netzwerkverbindung bereitstellt. Auf diesen Rechnern werden selbstverständlich aus Sicherheitgründen keine Anwendungsprogramme ausgeführt. Bei Qubes wird diese Prinzip auf einen einzelnen Rechner abgebildet, so dass es sich dann nicht um physikalisch seperate Rechner handelt, sondern um voneinander isolierte virtuelle Maschinen.


Vorteile von Qubes gegenüber anderen Open Source Distributionen:

deutliche Reduzierung der Menge an sicherheitskritischem Programmcode
Im Gegensatz zu einer Linux-Distribution, die mehreren Millionen Zeilen an Programmcode enthält und bei der jede Sicherheitslücke zur Kompromittierung des gesamten Systems führen kann, reduziert sich der sicherheitskritische Programmcode bei Qubes beträchtlich. Vertraut werden muss hauptsächlich dem Code des Hypervisors Xen, den Anwendungen in dom0 und den Virtualisierungstechnologien von Intel.
zusätzliche Sicherheitsebene zwischen Hardware und Software
Mittels Hypervisor Xen wird für die virtuellen Maschinen der Zugriff auf die Hardware eingeschränkt. Jeder Maschine wird nur die Hardware zugeordnet, die sie zur Erledigung ihrer Aufgaben benötigt. Zum Beispiel erhalten NetVMs (default: sys-net) Zugriff auf die Netzkarte, wohingegen dem USB-Cube (sys-usb) die USB-Controller zugeordnet werden. Wird beispielsweise ein USB-Stick mit Schadsoftware eingesteckt, so ist davon nur die virtuelle Maschine sys-usb betroffen. Da sys-usb keinen Zugriff auf die restliche Hardware oder die administrative Domäne besitzt kann nicht das gesamt System kompromittiert werden. Ein Backup aus der administrativen Domäne dom0 kann dann den Zustand des USB-Cubes wiederherstellen. Den AppVMs des täglichen Gebrauchs muss überhaupt keine Hardware zugeordnet werden, außer wenn sie tatsächlich benötigt wird.
strikte Trennung von Administration und Benutzerdomänen
Bei den meisten Betriebssystemen wird die Administration von den anderen Benutzern durch unterschiedliche Accounts getrennt. Durch Privilege Escalation kann ein schadhaftes Programm, das mit normalen Benutzerrechten gestartet wurde aber trotzdem Administrator-Rechte erlangen und dann das gesamte System übernehmen. Deswegen setzt Qubes auf eine striktere Trennung der Adminstration von den Benutzeranwendungen. Hier ist das Pendant zum Administrator-Account die administrative Domäne dom0, wohingegen die normalen Benutzer-Accounts den unpriviligierten VMs entsprechen. Aus diesem Grund ist Qubes auch ein Single-User Betriebssystem.
strikte Trennung zwischen den Anwendungsdomänen
Auch die Domänen für Benutzeranwendungen sind voneinadern isoliert. Standardmäßig sind die Domänen untrusted, personal, work und vault voreingestellt. Häufig wird von verschiedenen Sicherheitsstufen gesprochen, was nur zum Teil richtig ist. Die Sicherheitseinstellungen und installierten Programme unterscheiden sich zwischen den Domänen nicht (Ausnahme: vault hat keine Internetverbindung). Die unterschiedlichen Sicherheitgrade entstehen erst durch die Art und Weise der Benutzung durch den Anwender. Ein Beispiel dafür ist, dass ein Anwender in seiner persönlichen Domäne evtl. Videos ansehen möchte oder Email-Anhänge von Freunden öffnet, wohingegen er in der work Domäne nur auf seinen Emails aus der Arbeit zugreifen möchte. Aus dem Nutzungsverhalten ergeben sich dann die unterschiedlichen Sicherheitsstufen. Außerdem hat eine Kompromittierung der persönlichen Domäne keine Auswirkungen auf z. B. die Arbeitsdomäne.
Kombination mehrerer Betriebssysteme nach den Wünschen des Benutzers möglich
Als Betriebssysteme sind standardmäßig Templates für Fedora, Debian und Whonix vorinstalliert. Es gibt aber eine große Anzahl an weiteren Distributionen, unter anderem Ubuntu, Archlinux und Windows 7, sogar wenn man den seamless mode benutzen möchte. Wenn man auf den seamless mode verzichtet, dann kann man nahezu jedes Betriebssystem als virtuelle Standalone-Maschine installieren, vorausgesetzt man besitzt ein iso-Image, bzw. eine Installations-CD. Der seamless mode integriet die Fenster der Anwendungen in den Qubes Desktop, d.h. es werden nur die Anwendungsfenster dargestellt, nicht der gesamte Desktop der virtuellen Maschine. Ohne seamless mode wird hingegen ein Fenster für die virtuelle Maschine geöffnen, in dem sich dann der Desktop befindet. In diesem Fenster befinden sich dann wiederum die Anwendungsfenster. Der seamless mode ist also gerade dann paktisch, wenn man mehrere Anwendungen aus verschiedenen VMs auf einem Desktop nebeneinander darstellen möchte.


Nachteile von Qubes:

komplizierte Installation, Konfiguration und Architektur
Im Vergleich zu anderen Linux-Distributionen ist der Aufbau des Gesamtsystems bei Qubes deutlich komplexer. Qubes sieht sich auch nicht als eigenständige Linux-Distributionen, sondern eher als Xen-Distribution, da es auf dem Hypervisor Xen aufbaut und anderen Betriebssystemen eine sichere Plattform bietet, auf der sie dann selbstständig in virtuellen Maschinen ablaufen. Qubes entkoppelt sozusagen das Betriebssystem, auf dem die Anwendungssoftware läuft, von der Administration und der Hardware.
keine deutschsprachigen Anleitungen, Dokumentationen und Support
Zwar wird die Installation und das Qubes-Menü auf Deutsch unterstützt, aber sowohl die Webseite als auch der Support in den Foren und der Mailing List ist ausschließlich auf Englisch. Das Fehlen von Übersetzungen der Webseite macht Qubes hingegen durch eine umfangreiche Dokumentation und gute HowTos auf Englisch wieder wett.
hohe Hardwareanforderungen
Aufgrund der Virtualisierung und dem Parallelbetrieb von mehreren virtuellen Maschinen sind die Hardwareanforderungen von Qubes nicht zu unterschätzen. Empfohlen wird eine SSD-Festplatte, 4GB RAM - wobei 8 GB eher realistisch sind - und ein 64 bit-Prozessor von Intel mit den Virtualisierungstechnologien Vt-x und Vt-d.

Erfahren Sie mehr über Qubes' Architektur