Sicheres Bereitstellen von Web-Angeboten (ISi-Web-Server) BSI-Checkliste zur Internet-Sicherheit (ISi-Check)

Transkript

1 Sicheres Bereitstellen von Web-Angeboten (ISi-Web-Server) BSI-Checkliste zur Internet-Sicherheit (ISi-Check)

2 ISi-Reihe ISi-Check Sicheres Bereitstellen von Web-Angeboten[ISi-LANA] Vervielfältigung und Verbreitung Bitte beachten Sie, dass das Werk einschließlich aller Teile urheberrechtlich geschützt ist. Erlaubt ist die Vervielfältigung und Verbreitung zu nicht-kommerziellen Zwecken, insbesondere zu Zwecken der Ausbildung, Schulung, Information oder hausinternen Bekanntmachung, sofern sie unter Hinweis auf die ISi-Reihe des BSI als Quelle erfolgen. Dies ist ein Werk der ISi-Reihe. Ein vollständiges Verzeichnis der erschienenen Bände findet man auf den Internet-Seiten des BSI. oder Bundesamt für Sicherheit in der Informationstechnik ISi-Projektgruppe Postfach Bonn Tel. +49 (0) Internet: Bundesamt für Sicherheit in der Informationstechnik Bundesamt für Sicherheit in der Informationstechnik

3 ISi-Check Sicheres Bereitstellen von Web-Angeboten ISi-Reihe Inhaltsverzeichnis 1 Einleitung Funktion der Checklisten Benutzung der Checklisten Konzeption der Grundarchitektur Aufbau der Grundarchitektur Variante der Grundarchitektur mit CMS Grundarchitektur der Web-Anwendung Auswahl sicherer Komponenten Betriebssystem Web-Server Content Management System Logging-Server Hintergrund-Systeme Web-Anwendung Konfiguration Betriebssystem Web-Server Content Management System Logging-Server Hintergrund-Systeme Web-Anwendung Betrieb Betriebssystem Web-Server Content Management System Logging-Server Hintergrund-Systeme Web-Anwendung Literaturverzeichnis...20 Bundesamt für Sicherheit in der Informationstechnik 3

4 ISi-Reihe ISi-Check Sicheres Bereitstellen von Web-Angeboten[ISi-LANA] 4 Bundesamt für Sicherheit in der Informationstechnik

5 ISi-Check Sicheres Bereitstellen von Web-Angeboten ISi-Reihe 1 Einleitung Der vorliegende Checklisten-Katalog ist überwiegend an Administratoren, Programmierer, Web- Entwickler und Revisoren gerichtet, welche für die Konzeption, Auswahl, Konfiguration und den sicheren Betrieb der Komponenten für das Bereitstellen von Web-Angeboten zuständig sind. 1.1 Funktion der Checklisten Die Checklisten fassen die relevanten Empfehlungen der vorliegenden BSI-Studie Sicheres Bereitstellen von Web Angeboten [ISi-Web-Server] in kompakter Form zusammen. Sie dienen als Anwendungshilfe, anhand derer die Umsetzung der in der Studie beschriebenen Sicherheitsmaßnahmen im Detail überprüft werden kann. Die Kontrollfragen beschränken sich auf die Empfehlungen des ISi-Web-Server-Moduls. Allgemeine Grundschutzmaßnahmen, die nicht spezifisch für die beschriebene Grundarchitektur und ihre Komponenten sind, werden von den Fragen nicht erfasst. Solche grundlegenden Empfehlungen sind den BSI-Grundschutzkatalogen [ITGSK] zu entnehmen; dort finden sich auch Verweise auf entsprechende Checklisten für Grundschutzmaßnahmen. Die Grundschutzkataloge bilden das notwendige Fundament für ISi-Check. Auch Prüffragen, die bereits durch die Checkliste zur BSI Studie Sichere Anbindung lokaler Netze an das Internet [ISi-LANA] abgedeckt wurden, werden hier nicht wiederholt. Die Checklisten wenden sich vornehmlich an IT-Fachleute. Die Anwendung von ISi-Check setzt vertiefte Kenntnisse auf dem Gebiet der IP-Netze, der Administration von Betriebssystemen und der IT-Sicherheit voraus. Die Kontrollfragen ersetzen nicht ein genaues Verständnis der technischen und organisatorischen Zusammenhänge beim Betrieb einer Infrastruktur zur sicheren Nutzung von Web-Angeboten: Nur ein kundiger Anwender ist in der Lage, die Prüfaspekte in ihrem Kontext richtig zu werten und die korrekte und sinnvolle Umsetzung der abgefragten Empfehlungen im Einklang mit den allgemeinen Grundschutzmaßnahmen zu beurteilen. Der Zweck der Kontrollfragen besteht also vor allem darin, dem Anwender bei der Konzeption, der Realisierung und dem Betrieb eines Netzes zur Bereitstellung von Web-Angeboten die jeweils erforderlichen Maßnahmen und die dabei verfügbaren Umsetzungsvarianten übersichtlich vor Augen zu führen. Die Checklisten sollen gewährleisten, dass kein wichtiger Aspekt vergessen wird. 1.2 Benutzung der Checklisten Der ISi-Reihe liegt ein übergreifender Ablaufplan zugrunde, der im Einführungsdokument [ISi-E] beschrieben ist. Die Checklisten des ISi-Web-Client-Moduls haben darin ihren vorbestimmten Platz. Vor Anwendung der Checklisten muss sich der Anwender mit dem Ablaufplan [ISi-E] und mit den Inhalten der ISi-Web-Server-Studie vertraut machen. Um die Kontrollfragen zu den verschiedenen Prüfaspekten zu verstehen und zur rechten Zeit anzuwenden, ist die genaue Kenntnis dieser Dokumente erforderlich. Die Checklisten fragen die relevanten Sicherheitsempfehlungen der vorliegenden Studie ab, ohne diese zu begründen oder deren Umsetzung näher zu erläutern. Anwender, die den Sinn einer Kontrollfrage nicht verstehen oder nicht in der Lage sind, eine Kontrollfrage sicher zu beantworten, können vertiefende Informationen in der Studie nachschlagen. IT-Fachleute, die mit der Studie bereits vertraut sind, sollten die Kontrollfragen in der Regel jedoch ohne Rückgriff auf die Studie bearbeiten können. Bundesamt für Sicherheit in der Informationstechnik 5

6 ISi-Reihe ISi-Check Sicheres Bereitstellen von Web-Angeboten[ISi-LANA] Format der Kontrollfragen Alle Kontrollfragen sind so formuliert, dass die erwartete Antwort ein JA ist. Zusammenhängende Kontrollfragen sind soweit sinnvoll hierarchisch unter einer übergeordneten Frage gruppiert. Die übergeordnete Frage fasst dabei die untergeordneten Kontrollfragen so zusammen, dass ein Bejahen aller untergeordneten Kontrollfragen ein JA bei der übergeordneten Kontrollfrage impliziert. Bei hierarchischen Kontrollfragen ist es dem Anwender freigestellt, nur die übergeordnete Frage zu beantworten, soweit er mit dem genannten Prüfaspekt ausreichend vertraut ist oder die Kontrollfrage im lokalen Kontext nur eine geringe Relevanz hat. Die untergeordneten Fragen dienen nur der genaueren Aufschlüsselung des übergeordneten Prüfkriteriums für den Fall, dass sich der Anwender unschlüssig ist, ob die betreffende Vorgabe in ausreichendem Maße umgesetzt ist. Die hierarchische Struktur der Checklisten soll dazu beitragen, die Kontrollfragen effizient abzuarbeiten und unwichtige oder offensichtliche Prüfaspekte schnell zu übergehen. Iterative Vorgehensweise Die Schachtelung der Kontrollfragen ermöglicht auch eine iterative Vorgehensweise. Dabei beantwortet der Anwender im ersten Schritt nur die übergeordneten Fragen, um sich so einen schnellen Überblick über potenzielle Umsetzungsmängel zu verschaffen. Prüfkomplexe, deren übergeordnete Frage im ersten Schritt nicht eindeutig beantwortet werden konnte oder verneint wurde, werden im zweiten Schritt priorisiert und nach ihrer Dringlichkeit der Reihe nach in voller Tiefe abgearbeitet. Normaler und hoher Schutzbedarf Alle Kontrollfragen, die nicht besonders gekennzeichnet sind, beziehen sich auf obligatorische Anforderungen bei normalem Schutzbedarf. Diese müssen bei hohem Schutzbedarf ebenfalls berücksichtigt werden. Sind für hohen Schutzbedarf besondere Anforderungen zu erfüllen, ist der entsprechenden Kontrollfrage ein [hoher Schutzbedarf] zur Kennzeichnung vorangestellt. Bezieht sich die Frage auf einen bestimmten Sicherheits-Grundwert mit hohem Schutzbedarf, so lautet die Kennzeichnung entsprechend dem Grundwert zum Beispiel [hohe Verfügbarkeit]. Anwender, die nur einen normalen Schutzbedarf haben, können alle so gekennzeichneten Fragen außer Acht lassen. Varianten Mitunter stehen bei der Umsetzung einer Empfehlung verschiedene Realisierungsvarianten zur Wahl. In solchen Fällen leitet eine übergeordnete Frage den Prüfaspekt ein. Darunter ist je eine Kontrollfrage für jede der möglichen Umsetzungsvarianten angegeben. Die Fragen sind durch ein oder miteinander verknüpft. Um das übergeordnete Prüfkriterium zu erfüllen, muss also mindestens eine der untergeordneten Kontrollfragen bejaht werden. Befinden sich unter den zur Wahl stehenden Kontrollfragen auch Fragen mit der Kennzeichnung [hoher Schutzbedarf], so muss mindestens eine der so gekennzeichneten Varianten bejaht werden, um das übergeordnete Prüfkriterium auch bei hohem Schutzbedarf zu erfüllen. 6 Bundesamt für Sicherheit in der Informationstechnik

7 ISi-Check Sicheres Bereitstellen von Web-Angeboten ISi-Reihe 2 Konzeption der Grundarchitektur Die Konzeption der sicheren Grundarchitektur erfolgt vor der Auswahl der sicheren Komponenten bzw. der Konfiguration und des Betriebs der Infrastruktur und der Web-Angebote. Die Fragestellungen in diesem Abschnitt sollen der für die Planung der Grundarchitektur für das sichere Bereitstellen von Web-Angeboten zuständigen Person helfen, die Empfehlungen aus der Studie [ISi-Web- Server] korrekt umzusetzen. Für die sichere Grundarchitektur der Infrastruktur wird vorausgesetzt, dass die Vorgaben der BSI Studie Sichere Anbindung lokaler Netze an das Internet implementiert wurden. Je nach Umfang und Komplexität eines Web-Angebots können unterschiedliche Realisierungsvarianten in Betracht kommen. Hierbei wird zwischen dem Aufbau der Grundarchitektur ohne CMS und einer Variante mit CMS unterschieden. Sollte kein CMS eingesetzt werden, können zusätzliche Fragen, die das CMS betreffen, außer Acht gelassen werden. 2.1 Aufbau der Grundarchitektur c Wurden die Vorgaben der [ISi-LANA] bezüglich korrekter Platzierung und Konfiguration der Paketfilter umgesetzt? c Werden Filterregelsätze nach einem Whitelist Ansatz konzipiert? c Werden ICMP Nachrichten am Übergang zwischen einem vertrauenswürdigen und einem nicht vertrauenswürdigen Netz grundsätzlich gesperrt? c Ist für TCP die zufällige Generierung von ISNs aktiviert? c Sind die verfügbaren Mechanismen gegen Fragmentierungsangriffe aktiviert? c Sind Funktionen zum Verwerfen ungültiger TCP Flag Kombinationen aktiviert? c Befindet sich der extern erreichbare Web-Server hinter einem Paketfilter, der zwischen externem Netz und externem Web-Server positioniert ist? c Befindet sich ein Paketfilter zwischen extern erreichbarem Web-Server und internem Web- Server? c Sind die Hintergrund-Systeme durch Paketfilter vom Web-Anwendungsserver getrennt und befinden sie sich in einer eigenen DMZ? c Befindet sich das Logging-System in einer eigenen DMZ hinter einem Paketfilter? c Befindet sich die Web-Anwendung, welche zur Verfügung gestellt werden soll, auf dem Web- Anwendungsserver? c Erfolgt die Wartung der Web-Anwendung ausschließlich über abgesicherte Zugänge? O O Erfolgt die Wartung der Web-Anwendung über Administrationszugänge, welche nur von intern erreichbar sind? -oder- Wenn eine externe Wartung notwendig ist, erfolgt diese über einen VPN-Zugang? c Erfolgt der Zugriff auf den Web-Anwendungsserver ausschließlich über eigene Web-Server? c Erfolgt der Zugriff von extern auf den Web-Anwendungsserver ausschließlich über den externen Web-Server? Bundesamt für Sicherheit in der Informationstechnik 7

8 ISi-Reihe ISi-Check Sicheres Bereitstellen von Web-Angeboten[ISi-LANA] c Erfolgt der Zugriff von intern auf den Web-Anwendungsserver ausschließlich über den internen Web-Server? c Werden Zugriffe auf den internen Web-Server aus dem internen Netz kontrolliert und überprüft? c Befindet sich der interne Web Server in der selben DMZ wie der Web Anwendungsserver? c Wird ein Application Level Gateway (kurz ALG) verwendet, um auf den internen Web Server zuzugreifen? c Wird virtuelles Patching eingesetzt, wenn keine Möglichkeit besteht eine lückenhafte Anwendung (z. B. im Quellcode) zu ändern? c [hoher Schutzbedarf] Befinden sich ausschließlich statische Inhalte auf dem externen Web- Server? c [hoher Schutzbedarf] Ist ein Zugriff auf Log-Dateien über Browser unterbunden? c [hohe Integrität] Werden die Server-Betriebssysteme auf einem schreibgeschützten Medium betrieben? 2.2 Variante der Grundarchitektur mit CMS Die folgenden Fragen sind zusätzlich zu den bisherigen zu beantworten, wenn eine Variante der Grundarchitektur mit einem Redaktionssystem (CMS) verwendet werden soll. c Wird zusätzlich zum internen Web-Server und Web-Anwendungsserver ein eigener CMS-Server eingesetzt? c Befinden sich CMS und Web-Angebot auf verschiedenen physikalischen Server-Systemen? c [hoher Schutzbedarf] Ermöglicht das eingesetzte CMS das Exportieren der Inhalte als ausschließlich statische Seiten? 2.3 Grundarchitektur der Web-Anwendung Die Grundarchitektur der Web-Anwendung ist für beide Varianten gleich: c Befindet sich der Identitätsspeicher hinter einem Paketfilter, der diesen vom internen Web- Server und der Web-Anwendung trennt? c Sind alle Übergänge zwischen verschiedenen Vertrauensbereichen genau definiert? c Werden sämtliche Daten, die eine Grenze des Vertrauens passieren, vom Empfängersystem gefiltert? c Greift die Geschäfts-Logik nur in absolut notwendigen Fällen auf Hintergrund-Systeme zu, und wird dabei eine zusätzliche feinere Filterung durchlaufen? c Wird bei der Implementierung der Geschäfts Logik das Minimalprinzip eingehalten? c Sind in der Geschäfts Logik zusätzliche, kontextsensitive Filtermodule für Eingabe und Ausgabe implementiert? c Erfolgt der Zugriff auf Hintergrund-Systeme ausschließlich über definierte Schnittstellen? c Erfolgt der Zugriff auf Hintergrund Systeme ausschließlich über entsprechende Schnittstellen (z. B. über Stored Procedures oder Frameworks)? 8 Bundesamt für Sicherheit in der Informationstechnik

9 ISi-Check Sicheres Bereitstellen von Web-Angeboten ISi-Reihe c [hohe Vertraulichkeit] Wird die Authentizität und Integrität der Anfragen und Antworten, z. B. mit kryptografischen Signaturen und Zeitstempel, bei Hintergrund Systemen überprüft? c Erfolgt eine gesicherte Kommunikation zwischen den Subsystemen? c Werden bei unsicheren Kanälen kryptografische Verfahren als Schutzmaßnahme eingesetzt? c Erfolgt bei jeder Interaktion zwischen Benutzer und IT-System eine Authentisierung? c Verwendet die Web-Anwendung für anonyme Zugriffe einen eigenen Benutzer? c Verwendet die Web-Anwendung automatisch den anonymen Benutzer, sobald der Zugriff fehlschlägt? c Erfolgt eine Weiterleitung nur nach erfolgreicher Authentisierung? c Werden Berechtigungen von bekannten, authentisierten Benutzern oder Systemen auf ihre Integrität hin überprüft? c Ist der Eingabefilter zum Schutz vor schädlichen Benutzereingaben an einer zentralen Stelle implementiert? c Implementiert die Authentisierung eigene, vom zentralen Eingabefilter getrennte, Filtermechanismen? c Werden sämtliche Ausgaben der Web-Anwendung gefiltert? c Erfolgt die Ausgabe von Fehlermeldungen bereinigt von sensiblen Informationen? c Erfolgt im Ausgabefilter eine Filterung auf Cross Site Scripting? c [hoher Schutzbedarf] Wird die Session beendet, wenn unerwartete Fehler in der Web-Anwendung auftreten? Bundesamt für Sicherheit in der Informationstechnik 9

10 ISi-Reihe ISi-Check Sicheres Bereitstellen von Web-Angeboten[ISi-LANA] 3 Auswahl sicherer Komponenten Nach der Konzeptionsphase erfolgt die Phase der Realisierung laut [ISi-E] mit der Auswahl der sicheren Komponenten. Die folgende Checkliste beinhaltet Fragestellungen, welche die Eignung der für ein sicheres Bereitstellen von Web-Angeboten benötigten Komponenten eruiert. Die Anforderungen in diesem Abschnitt der Checkliste gelten, sofern nicht explizit anders beschrieben, für beide Varianten der Grundarchitektur gleichermaßen. 3.1 Betriebssystem c Bietet der Hersteller eine rasche und fortlaufende Unterstützung für das Betriebssystem? c Werden Updates und Patches nach dem Bekanntwerden neuer Schwachstellen frühestmöglich zur Verfügung gestellt? c Sind die Sicherheits Updates in vertrauenswürdiger Form (z. B. mit digitaler Signatur) zu beziehen? c Verfügt das Betriebssystem über eine zentrale Management-Funktion? c Besteht die Möglichkeit das Logging zu zentralisieren und auf Logging-Server auszulagern? c Gibt es Host-basierte Paketfilter für das konzipierte Betriebssystem? c Gibt es Virenschutzprogramme, die kompatibel zum konzipierten Betriebssystem sind? c Existieren Programme zur Prüfung der Integrität der Systemsicherheit für das zum Einsatz kommende Betriebssystem? c [hoher Schutzbedarf] Verfügt das Betriebssystem über zusätzliche Sicherheitserweiterungen wie z. B. non-executable stacks? 3.2 Web-Server c Bietet der Hersteller eine langfristige Unterstützung des Produkts in Form von regelmäßigen Sicherheits-Updates? c Sind die Server und Web-Angebote möglichst schlank konfigurierbar? c Können ausschließlich unbedingt benötigte Services betrieben werden? c Können ausschließlich unbedingt benötigte Funktionalitäten im Web Angebot bereitgestellt werden? c Erlaubt der Web-Server das Logging auf einen externen Logging-Server? c Kann der Web-Server mit den Rechten eines möglichst niedrig privilegierten Benutzers betrieben werden? c Unterstützt der Web-Server gängige Verschlüsselungsmethoden wie z. B. SSL oder TLS? c [hoher Schutzbedarf] Ist es möglich den kryptografischen Schlüssel durch ein Passwort zu schützen? 10 Bundesamt für Sicherheit in der Informationstechnik

11 ISi-Check Sicheres Bereitstellen von Web-Angeboten ISi-Reihe c [hoher Schutzbedarf] Existieren für den eingesetzten Web-Server Sicherheits-Frameworks, beispielsweise in Form von Erweiterungen, um verschiedene Sicherheitsmaßnahmen am Web- Server implementieren zu können? 3.3 Content Management System Die folgenden Fragen sind nur zu beantworten, wenn für den Betrieb eines Web-Angebots ein Content Management System (CMS) benutzt wird. c Besteht eine Möglichkeit der Trennung zwischen dem Server, auf dem das CMS administriert wird, und dem Web-Anwendungsserver? c Wurde bei der Auswahl des CMS das Minimalprinzip beachtet bzw. ist das CMS möglichst schlank realisiert? c Ist es möglich eine restriktive Auswahl der für den Betrieb des CMS notwendigen Module durchzuführen? c [hoher Schutzbedarf] Entspricht das CMS einschlägigen Standards nach Sicherheitsgesichtspunkten? 3.4 Logging-Server c Sofern kein Intrusion Detection System im Einsatz ist, unterstützt der Logging-Server das Erkennen von einfachen Angriffen? c Können Schwellenwerte eingestellt werden, bei denen eine Benachrichtigung an den Administrator erfolgt? c Sind die Log-Einträge mit kryptografischen Zeitstempeln zum Erkennen von unbefugten Manipulationen versehen? 3.5 Hintergrund-Systeme c Besteht die Möglichkeit, auf dem Hintergrund-System einen Zugriffsschutz auf Basis eines Rollen-Modells zu konfigurieren? 3.6 Web-Anwendung Grundprinzipien bei der Auswahl bzw. Entwicklung von Web-Anwendungen c Wurde bei der Auswahl und Entwicklung der Web-Anwendung auf Aktive Inhalte verzichtet? c Existiert eine barrierefreie Implementierung der Web-Anwendung? c Wurde das Minimalprinzip bei der Entwicklung der Web-Anwendung beachtet? c Werden Benutzereingaben stets als potenziell gefährlich eingestuft und Server-seitig gefiltert? c Erfolgt die Kommunikation über unsichere Kanäle verschlüsselt? c [hoher Schutzbedarf] Werden bei SQL-Abfragen Prepared Statements eingesetzt? Bundesamt für Sicherheit in der Informationstechnik 11

12 ISi-Reihe ISi-Check Sicheres Bereitstellen von Web-Angeboten[ISi-LANA] c [hohe Vertraulichkeit] Werden an die Web-Anwendung übergebene Pfade einer Pfad-Normalisierung unterzogen? Richtlinien für sichere Softwareentwicklung bei Web-Anwendungen c Wurden bei der Durchführung von Abnahmetests Sicherheitsaspekte, z. B. in Form einer Quellcode-Überprüfung, berücksichtigt? c [hoher Schutzbedarf] Wurde bei der Beschaffung der Web-Anwendung auf die Konformität zu Sicherheitsnormen geachtet? c [hoher Schutzbedarf] Gelten die durch Normen festgelegten Sicherheitskriterien für die gesamte Web-Anwendung? 12 Bundesamt für Sicherheit in der Informationstechnik

13 ISi-Check Sicheres Bereitstellen von Web-Angeboten ISi-Reihe 4 Konfiguration Nach der Beschaffung der benötigten Software erfolgt die Konfiguration der Komponenten durch die Administratoren. Die Punkte, welche für eine sichere Konfiguration zu beachten sind, werden durch folgende Checkliste dargestellt. Des Weiteren kann die Checkliste von Revisoren eingesetzt werden, um die bestehende Server- bzw. Web-Anwendungs-Konfiguration zu überprüfen. Die Anforderungen in diesem Abschnitt der Checkliste gelten, sofern nicht explizit anders beschrieben, für beide Varianten der Grundarchitektur gleichermaßen. 4.1 Betriebssystem c Wurden sämtliche Server in der Produktivumgebung vollständig konfiguriert, so dass die Konfiguration nicht mehr den Voreinstellungen entspricht? c Wurden sämtliche Standard-Benutzerkonten, z. B. Gast-Konten, entfernt oder deaktiviert, beziehungsweise umbenannt? c [hoher Schutzbedarf] Wurden privilegierte Benutzerkonten, wie z. B. Administrator oder root, deaktiviert und eigene Benutzer mit administrativen Rechten angelegt? c Sind auf dem System nur jene Dienste und Programme installiert und konfiguriert, welche für den Betrieb erforderlich sind? c Sind nur für den Netzwerk Betrieb notwendige Netzdienste so konfiguriert, dass diese von außen zugänglich sind? c Wurden für alle nach außen sichtbaren Dienste veränderte Versionen und Programmbezeichnungen (Banner-Spoofing) konfiguriert? c Wurden Host-basierte Paketfilter installiert und konfiguriert? c Sind Administrationszugänge so konfiguriert, dass diese kryptografisch gesichert sind? c Wurde eine regelmäßige Aktualisierung der Software bezüglich Sicherheits-Updates konfiguriert? c Sind Virenschutzprogramme installiert, konfiguriert und auf einem aktuellen Stand? c Sind Programme zur Prüfung der Integrität der Systemsicherheit installiert und konfiguriert? c [hoher Schutzbedarf] Kommen bei Linux- und Unix-Systemen Kernel-Sicherheits-Patches zur Härtung des Systems zum Einsatz? 4.2 Web-Server c Sind die Server und Web-Angebote nach dem Minimalprinzip konfiguriert? c Werden ausschließlich unbedingt benötigte Services betrieben? c Werden ausschließlich unbedingt benötigte Funktionalitäten im Web Angebot bereitgestellt? c Ist er Web-Server so konfiguriert dass er nur über jene Rechte verfügt, die unbedingt für den Betrieb erforderlich sind? c Wurden dem Web Server in der Konfiguration die Schreibrechte entzogen? Bundesamt für Sicherheit in der Informationstechnik 13

14 ISi-Reihe ISi-Check Sicheres Bereitstellen von Web-Angeboten[ISi-LANA] c Ist der Web-Server so konfiguriert, dass nur für den Betrieb unbedingt notwendige Zusatzmodule eingesetzt werden? c Genügen etwaige Zusatzmodule den selben Anforderungen, die auch für den Web Server selbst gelten? c Wurden diese Zusatzmodule nach dem Minimalprinzip ausgewählt? c Wurde der Web-Server so konfiguriert, dass keine ungewünschten Informationen preisgegeben werden? c Wurde die Funktion zum automatischen Erzeugen von Verzeichnislisten deaktiviert? c Sind eigene Fehlermeldungen anstatt von Standard Fehlermeldungen konfiguriert? c Sind sämtliche mitgelieferten Demo Anwendungen und Systemdokumentationen entfernt worden? 4.3 Content Management System Die folgenden Fragen sind nur zu beantworten, wenn für den Betrieb eines Web-Angebots ein Content Management System benutzt wird. Da es sich bei einem Content Management System um eine Web-Anwendung handelt, gelten zusätzlich zu den hier angeführten Fragen auch jene, die im Abschnitt 4.6 Web-Anwendung erwähnt sind. c Wurde die Konfiguration des CMS von Voreinstellungen bereinigt? O O Wurden vorhandene Standard-Benutzerkonten entfernt? oder- Wurden die Standard-Passwörter geändert? c Wird der Zugriff auf das CMS durch die davor geschalteten Paketfilter eingeschränkt? c Ist ein Zugriff auf das CMS nur von internen IP Adressen möglich? c Ist das CMS durch Paketfilter getrennt vom Web Anwendungsserver? c Ist der Zugang zum Administrationsinterface nur berechtigten Administratoren vorbehalten? O O Ist der Zugang zum Administrationsinterface nur zur Administration berechtigten IP- Adressen vorbehalten? -oder- Ist der Zugang zum Administrationsinterface so abgesichert, dass er nur von Administratoren erreichbar ist? c Wurden bei der Konfiguration etwaiger Module die selben Anforderungen, die auch für die Web-Anwendung gelten, beachtet? 4.4 Logging-Server c Ist der Logging-Server so konfiguriert, dass er Aufzeichnungen von erfolgreichen und fehlgeschlagenen Anmeldungen an der Web-Anwendung durchführt? c Ist das Logging so eingestellt, dass erfolgreiche und fehlgeschlagene Zugriffe auf Ressourcen, sowie Statusmeldungen mitprotokolliert werden? c Werden Fehler protokolliert, die aufgrund von mangelnden Berechtigungen entstehen? 14 Bundesamt für Sicherheit in der Informationstechnik

15 ISi-Check Sicheres Bereitstellen von Web-Angeboten ISi-Reihe c Werden Fehler protokolliert, die aufgrund von nicht vorhandenen Ressourcen entstehen? c Werden auftretende Server Fehler protokolliert? c Werden allgemeine Fehlermeldungen, die den Status des Dienstes betreffen, gespeichert? c Sind für das Logging angemessene Schwellenwerte, für die Benachrichtigung von Administratoren gesetzt? c Ist sichergestellt, dass das Logging-System nur neue Nachrichten hinzufügt, jedoch keine alten Einträge verändern kann? c Ist das Logging so konfiguriert, dass Log-Einträge über eine kontextsensitive Ausgabefilterung, die auf den jeweiligen Dienst angepasst ist, gefiltert wird? 4.5 Hintergrund-Systeme c Erfolgt die Vergabe von Rechten für konfigurierte Rollen und Benutzerkonten gemäß dem Minimalprinzip? c Wurden sämtliche Standard-Benutzerkonten, z. B. Gast-Konten, entfernt oder deaktiviert, beziehungsweise umbenannt? 4.6 Web-Anwendung Filterung von Anfragen und Ausgaben c Werden sämtliche an die Web-Anwendung herangetragenen Daten als potenziell gefährlich behandelt und entsprechend gefiltert? c Wurde ein generischer, sehr restriktiver Filter für herangetragene Daten implementiert? c Erfolgt eine Filterung durch den Eingabefilter von allen Daten, welche an die Geschäfts Logiken übergeben werden? c Wurde eine Filterung der Ausgaben der Web-Anwendung konfiguriert? Filtermethoden c Wird für die betreffende Funktionalität der Web-Anwendung die korrekte Filtermethode gemäß den Vorgaben aus der Studie zum Sicheren Bereitstellen von Web-Angeboten eingesetzt? (zum Beispiel Whitelisting, Blacklisting oder Maskieren) Authentisierung und Benutzermanagement und Auswahl von Authentisierungsverfahren c Ist die Web-Anwendung so konfiguriert, dass die gesamte Kommunikation über verschlüsselte bzw. vertrauenswürdige Kanäle abgehandelt wird? c Erfolgt die Authentisierung, welche den Zugriff auf Web Angebote steuert, zumindest über Benutzernamen und Passwörter? c Ist eine Passwort Richtlinie vorgeschrieben, in der Mindestanforderungen an ein Passwort gestellt werden? Bundesamt für Sicherheit in der Informationstechnik 15

16 ISi-Reihe ISi-Check Sicheres Bereitstellen von Web-Angeboten[ISi-LANA] c [hoher Schutzbedarf] Werden starke Authentisierungsverfahren, wie z. B. Mehr-Faktoren- Authentisierung, eingesetzt? Passwort-Richtlinie c Sind in der Passwort-Richtlinie Mindestanforderungen an Passwörter definiert? c Muss ein Passwort eine Mindestanzahl an Zeichen beinhalten? c Darf ein Passwort keine Wörter aus einem Wörterbuch enthalten? c Gibt es Zeichentypen, die enthalten sein müssen, beispielsweise mindestens zwei Großbuchstaben oder mindestens zwei Ziffern? c Ist die Dauer der Gültigkeit eines Passwortes festgelegt? c Ist die Art der Vergabe eines Passwortes definiert? c Ist die Art der Änderung eines Passwortes definiert? c Werden die Vorgaben der Passwort-Richtlinie technisch durchgesetzt? Teergrube c Ist die Web-Anwendung so konfiguriert, dass Brute-Force-Angriffe durch eine Teergrube mit sinnvollem Timing abgewehrt werden? c Wurden bei Implementierung und Konfiguration der Teergrube Gegenmaßnahmen gegen Verschleierungstaktiken beachtet? Passwort-vergessen Funktionalität c Wurde die Passwort-vergessen-Funktionalität sicher implementiert und konfiguriert (z. B. durch die zusätzliche Vergabe von Master-Passwörtern an Benutzer)? c [hoher Schutzbedarf] Wird auf eine Passwort-vergessen-Funktionalität verzichtet? Session Management c Werden Session-Frameworks für eine sichere Handhabung der Sitzungsdaten eingesetzt? c Werden Session IDs ausschließlich als Cookie im HTTP Header übergeben? c Erfolgt der Austausch der Sitzungsdaten über sichere Kanäle? c Erzeugt die Web-Anwendung die Session IDs mit Hilfe von kryptografischen Zufallszahlengeneratoren? c Sind Sicherheits-Token bei sicherheitskritischen Anfragen im Einsatz, um Session Riding zu verhindern? c Werden sicherheitskritische Eigenschaften eines Benutzers, z. B. Berechtigungen, Server-seitig gespeichert? c Erfolgt ein Ablauf der Session nach Inaktivität der Benutzer? c Ist ein manuelles Beenden der Session durch Benutzer möglich? c Werden beim Abmelden die Session Daten zerstört? c [hoher Schutzbedarf] Wird die Session an die IP-Adresse gebunden? 16 Bundesamt für Sicherheit in der Informationstechnik

17 ISi-Check Sicheres Bereitstellen von Web-Angeboten ISi-Reihe Sicherer Umgang mit Dateien und Einbinden von Dateien c Wird das Einbinden von Dateien bzw. das Annehmen und Erzeugen von Dateien eingeschränkt? c Ist das Einbinden von Dateien in die Web-Anwendung sicher konfiguriert? c Sind eingebundene Dateien von einer Manipulation durch Benutzer ausgeschlossen? c Werden die Pfade von eingebundenen Dateien vor Manipulation geschützt? c Wird eine Whitelist eingesetzt, wenn das Einbinden von Dateien über das Netz erfolgt? c Ist diese remote include Funktionalität deaktiviert, wenn das Einbinden nur lokal erfolgt? c [hoher Schutzbedarf] Ist die Einbindungsfunktionalität deaktiviert und wird dynamischer Inhalt vor dem Ausrollen auf den Web-Server fest eingebunden? Upload und Erzeugung von Dateien c Werden die Regeln für das sichere Hochladen von Dateien in der Konfiguration beachtet? c Werden zufällige Ordner und Dateinamen für hochgeladene Dateien gewählt? c Kann der Pfad, unter dem Dateien gespeichert werden, nicht von Benutzern beeinflusst werden? c Wird der Inhalt der Dateien einer Plausibilitätsüberprüfung unterzogen? c Werden Dateien von einem Viren Scanner untersucht? c Wurde eine maximale Dateigröße spezifiziert? c Dürfen nur erlaubte Dateiformate hochgeladen werden? c Ist das Ausführen der vom Benutzer erzeugten Dateien am Web-Server verboten? Nicht benötigte Dateien im Wurzelverzeichnis des Web-Angebots c Sind nicht benötigte Dateien im Wurzelverzeichnis des Web-Servers entfernt worden? c Werden Dateien mit Programmcode in jedem Fall vom Web-Server interpretiert und nicht im Quellcode ausgeliefert? Konfigurationsdateien c Befinden sich die Konfigurationsdateien außerhalb des Wurzelverzeichnisses des Web-Servers? c Wird ein externer Zugriff auf die Konfigurationsdateien verhindert? c Sind die Konfigurationsdateien mit vertraulichen beziehungsweise sensiblen Daten verschlüsselt abgelegt? c Entspricht die Konfiguration der Web-Anwendung dem Minimalprinzip? System- und Fehlermeldungen c Sind Fehlermeldungen bereinigt von sicherheitskritischen Informationen? c Sind auf dem Produktiv System Debugging Informationen deaktiviert? Bundesamt für Sicherheit in der Informationstechnik 17

18 ISi-Reihe ISi-Check Sicheres Bereitstellen von Web-Angeboten[ISi-LANA] Einsatz von Kryptografie c Kommen nur etablierte Algorithmen zur Anwendung? c Verfügen die eingesetzten Schlüssel über eine Mindestlänge? c Erfolgt die Speicherung der Schlüssel auf eine sichere Weise? Aufruf von externen Programmen c Wenn externe Programme von der Web-Anwendung aufgerufen und Benutzereingaben herangezogen werden, erfolgt in diesem Fall eine restriktive Filterung? Schnittstellen zu Hintergrund-Systemen c Wird ein direkter Zugriff aus der Geschäfts-Logik heraus zu den Hintergrund-Systemen unterbunden? c Müssen sich Benutzer nicht nur an der Web-Anwendung, sondern auch am Hintergrund-System authentisieren? Sichere Anbindung von Hintergrund-Systemen an die Web-Anwendung c Wenn die Anbindung der Web-Anwendung an die Hintergrund-Systeme über unsichere Kanäle erfolgt, wird ein kryptografischer Tunnel mit Authentisierung eingesetzt? c Ist eine Authentisierung zwingend notwendig? c Besteht kein Trusted-Client Prinzip zwischen Web-Anwendungsserver und Hintergrund-Systemen? 18 Bundesamt für Sicherheit in der Informationstechnik

19 ISi-Check Sicheres Bereitstellen von Web-Angeboten ISi-Reihe 5 Betrieb Die Anforderungen für einen sicheren Betrieb der Komponenten für ein sicheres Bereitstellen von Web-Angeboten werden auch zu einem großen Teil durch die BSI IT-Grundschutz-Kataloge abgedeckt. Für den sicheren Betrieb sind neben technischen auch organisatorische Tätigkeiten wichtig. Die folgenden Kontrollfragen sollen noch einmal explizit hervorgehoben werden. Die Anforderungen in diesem Abschnitt der Checkliste gelten, sofern nicht explizit anders beschrieben, für beide Varianten der Grundarchitektur gleichermaßen. 5.1 Betriebssystem c Ist das System und die darauf installierte Software (Web-Server, CMS,...) in den Patch Management Prozess eingebunden? c Führen Virenschutzprogramme eine Echtzeitüberprüfung auf Viren im Hintergrund durch? c Erfolgt ein entsprechendes Monitoring des Systems und werden in regelmäßigen Abständen geplante Überprüfungen der Systemsicherheit durchgeführt? c Werden anfallende Log-Dateien täglich ausgewertet? c Erfolgt eine regelmäßige Aktualisierung der Software bezüglich Sicherheits-Updates? 5.2 Web-Server c Wird der Web-Server mit möglichst stark eingeschränkten Rechten gemäß dem Minimalprinzip betrieben? c Erfolgt eine regelmäßige Überprüfung der Server-Sicherheit? c Werden die vom Web-Server produzierten Log-Dateien regelmäßig ausgewertet? 5.3 Content Management System Die folgenden Fragen sind nur zu beantworten, wenn für den Betrieb eines Web-Angebots ein Content Management System benutzt wird. c Werden Zugriffsversuche auf das CMS von nicht erlaubten Systemen protokolliert und regelmäßig überprüft? c Ist ein Zugriff nur von internen dafür vorgesehenen Systemen möglich? 5.4 Logging-Server c Verhindern die Logging-Server, dass alte Log-Dateien überschrieben beziehungsweise gelöscht werden können? c Erfolgt eine regelmäßige vertrauenswürdige Sicherung der Log-Dateien? Bundesamt für Sicherheit in der Informationstechnik 19

20 ISi-Reihe ISi-Check Sicheres Bereitstellen von Web-Angeboten[ISi-LANA] c Werden die selben Sicherheitsanforderungen wie für die original Log-Dateien auch für die Sicherheitskopien eingehalten? c Wird eine Zusammenfassung der Log-Dateien täglich an einen Revisor und einen Administrator übermittelt? c Erfolgt eine sofortige Benachrichtigung eines Revisors und des Administrators bei einer Überschreitung von definierten Schwellwerten? 5.5 Hintergrund-Systeme c [hohe Vertraulichkeit] Erfolgt eine Verschlüsselung der Daten am Hintergrund-System? c Wird mindestens täglich eine Sicherung der Daten durchgeführt? c Wird die fehlerfreie Wiederherstellung der Sicherungskopien regelmäßig überprüft? c Ist das Administrationsinterface ausschließlich aus wohl definierten Netzen erreichbar? c Erfolgt eine regelmäßige Überprüfung der Server-Sicherheit? 5.6 Web-Anwendung Überprüfung des Sicherheitsniveaus c Wurde die Web-Anwendung vor Inbetriebnahme einer manuellen Sicherheitsüberprüfung unterzogen? c [hoher Schutzbedarf] Ist der Quellcode der Web-Anwendung auf Sicherheit gemäß anerkannter Sicherheitszertifizierungen und Programmierrichtlinien überprüft worden? c Werden Sicherheitsüberprüfungen regelmäßig, zumindest in halbjährlichen Abständen, im Zuge einer Revision durchgeführt? c Wenn Sicherheitslücken aufgedeckt werden, werden entsprechende korrektive Maßnahmen eingeleitet? 20 Bundesamt für Sicherheit in der Informationstechnik

21 ISi-Check Sicheres Bereitstellen von Web-Angeboten ISi-Reihe 6 Literaturverzeichnis [ISi-E] [ISi-LANA] [ISi-Web-Server] [ITGSK] Bundesamt für Sicherheit in der Informationstechnik (BSI), "BSI-Schriftenreihe zur Internet-Sicherheit: Einführung, Grundlagen, Vorgehensweise", in Bearbeitung, Bundesamt für Sicherheit in der Informationstechnik (BSI), "BSI-Schriftenreihe zur Internet-Sicherheit: Sichere Anbindung lokaler Netze an das Internet", 2007, Bundesamt für Sicherheit in der Informationstechnik (BSI), "BSI-Schriftenreihe zur Internet-Sicherheit: Sicheres Bereitstellen von Web-Angeboten", 2008, Bundesamt für Sicherheit in der Informationstechnik (BSI), "IT Grundschutzkataloge", Stand 2006, Bundesamt für Sicherheit in der Informationstechnik 21