Erkennen und verhindern Sie Einbrüche über Web-Anwendungen Hack Schützen Sie Ihren Webserver und dynamischen Inhalt vor Einbrüchen.

Transkript

1 HACK 117 Erkennen und verhindern Sie Einbrüche über Web-Anwendungen Hack Schützen Sie Ihren Webserver und dynamischen Inhalt vor Einbrüchen. #117 Das Entdecken von Einbrüchen, die herkömmliche Protokolle und Dienste benutzen, wie etwa solche, die von Web-Anwendungen verwendet werden, ist eine Aufgabe, für die Netzwerk-Intrusion-Detection-Systeme sehr gut geeignet sind. Jedoch ist es aufgrund der Komplexität von Web-Anwendungen und der Vielzahl an Angriffen, für die sie anfällig sein können, schwieriger, Einbrüche zu erkennen und zu verhindern, ohne dabei viele falsche Positive zu generieren. Das gilt insbesondere für Web-Anwendungen, die SSL einsetzen, da Sie hierfür erst ein paar Handstände machen müssen, um das NIDS in die Lage zu versetzen, tatsächlich auf den verschlüsselten Datenverkehr zuzugreifen, der zum Webserver geht und daher kommt. Eine Möglichkeit, diese Probleme zu umgehen, besteht darin, das Intrusion- Detection-System in den Webserver selbst zu integrieren. Das ist genau das, was mod_security ( für den beliebten Apache- Webserver ( macht. Wie der Name schon vermuten lässt, ist mod_security ein Modul für den Apache-Webserver, das dazu bestimmt ist, die Sicherheit eines Webservers zu erhöhen, indem es Einrichtungen für die Filterung von Anfragen und, basierend auf benutzerdefinierten Regeln, die Durchführung von beliebigen Aktionen zur Verfügung stellt. Darüber hinaus führt mod_security verschiedene Sanity-Checks (Plausibilitätsprüfungen) durch, die die Anfragen vereinheitlichen, die der Webserver empfängt. Mit den passenden Filterregeln kann mod_ security wirksam bei der Vereitelung von Directory Traversal-, Cross-Site Scripting-, SQL-Injection- und Pufferüberlauf-Angriffen mitwirken. mod_security installieren Um mod_security zu installieren, laden Sie die Quelldistribution herunter und entpacken diese. Wenn Sie es als DSO (das heißt als Modul) installieren möchten, nehmen Sie einfach das Dienstprogramm apxs. Wechseln Sie zuerst in das für die von Ihnen verwendete Apache-Version passende Verzeichnis: apache1 oder apache2. Führen Sie dann einen solchen Befehl aus: # apxs -cia mod_security.c Dies kompiliert mod_security und konfiguriert Apache so, dass es beim Hochfahren geladen wird. Wenn Sie mod_security gern statisch kompilieren möchten, müssen Sie Apache erneut zusammenbauen. Wenn Sie Apache 1.x verwenden, können Sie es statisch kompilieren, indem Sie mod_security.c in das Verzeichnis src/modules/extra im Apache-Quellbaum kopieren. Benutzen Hack #117: Erkennen und verhindern Sie Einbrüche über Web-Anwendungen 433

2 #117 Erkennen und verhindern Sie Einbrüche über Web-Anwendungen Sie dann beim Ausführen des Apache-configure-Skripts diese Kommandozeilenschalter: --activate-module=src/modules/extra/mod_security --enable-module=security Für Apache 2.x kopieren Sie mod_security.c aus dem Verzeichnis apache2 in das Verzeichnis modules/proxy im Apache 2.x-Quellbaum. Benutzen Sie dann beim Ausführen des configure-skripts diese Kommandozeilenschalter: --enable-security --with-module=proxy:mod_security.c mod_security aktivieren und konfigurieren Nachdem Sie mod_security installiert haben, müssen Sie es aktivieren, indem Sie die folgenden Zeilen in Ihre httpd.conf-datei eingeben: <IfModule mod_security.c> SecFilterEngine On </IfModule> Das aktiviert die Normalisierungsfunktionen von mod_security für alle Anfragen, die an den Webserver gerichtet werden. Wenn mod_security aktiviert ist, fängt es alle Anfragen ab, die in den Webserver hereinkommen, und führt mehrere Prüfungen darauf durch, bevor es diese an mögliche benutzerdefinierte Filter durchreicht und schließlich die Anfrage bedient oder verbietet. Während dieser Prüfungen wandelt mod_security mehrere verschiedene Arten von Zeichenfolgen in ihre gebräuchlicheren Entsprechungen um. Beispielsweise werden die Zeichenfolgen // und /./ zu / umgeschrieben, und auf Windows wird das Zeichen \ in ein / umgewandelt. Außerdem werden alle URL-kodierten Zeichen dekodiert. Zusätzlich zu diesen Überprüfungen kann mod_security auch so konfiguriert werden, dass es die Nutzdaten der Anfragen über die POST-Methode scannt und URL-Codierung sowie Unicode-Kodierung innerhalb der Anfragen überprüft. Um diese Funktionen zu aktivieren, fügen Sie diese Zeilen in Ihre httpd. conf ein: SecFilterScanPOST On SecFilterCheckURLEncoding On SecFilterCheckUnicodeEncoding On URL-Kodierung ermöglicht es einem, eine Anfrage dazu zu bringen, Zeichen zu kodieren, indem sie hexadezimale Werte einsetzt, die die Zeichen 0 bis 9 und die Buchstaben A bis F verwenden, denen ein %-Zeichen vorangestellt ist. Ist die Überprüfung der URL-Kodierung aktiviert, sorgt mod_security einfach dafür, dass keine der URL-kodierten Zeichen gegen das hexadezimale Zahlensystem verstoßen. Wenn eine Unicode-Überprüfung durchgeführt wird, 434 Kapitel 11: Netzwerk-Intrusion-Detection

3 macht mod_security im Grunde das Gleiche sicherstellen, dass die Zeichenkette, die vom Webserver beim Erfüllen der Anfrage gesehen wird, ein gültiger Unicode-String ist. Die Unicode-Überprüfung ist nützlich, wenn Ihr Webserver auf einem Betriebssystem läuft, das Unicode unterstützt, oder wenn Ihre Web-Anwendung davon Gebrauch macht. Um Pufferüberlauf-Exploits zu verhindern, können Sie auch den Bereich der Bytes einschränken, die in Anfrage-Strings erlaubt sind. Um zum Beispiel nur druckbare Zeichen zu erlauben (und keine, die in Exploit-Shell-Code auftauchen könnten), fügen Sie eine Zeile wie die folgende an Ihre httpd.conf an: SecFilterForceByteRange Filter erzeugen Benutzerdefinierte Filter können Sie mit den Schlüsselwörtern SecFilter oder SecFilterSelective erstellen. Benutzen Sie SecFilter, um lediglich die Abfragezeichenkette zu durchsuchen. Mit SecFilterSelective können Sie Anfragen basierend auf dem Wert einer internen Webserver-Variable filtern. Beide dieser Filter-Schlüsselwörter können reguläre Ausdrücke annehmen. Wir wollen uns einige Filterregeln anschauen, mit denen sich einige verbreitete Angriffe vermeiden lassen. Diese Regel filtert Anfragen aus, die die Zeichenfolge../ enthalten: SecFilter "\.\./" Auch wenn der Webserver../ richtig interpretiert und den Zugriff verbietet, wenn dessen Auflösung außerhalb der Dokumentenwurzel endet, könnte das für Skripten und Anwendungen, die auf Ihrem Server liegen, nicht der Fall sein. Diese Regel verhindert, dass solche Anfragen verarbeitet werden. Cross-Site Scripting (XSS)-Angriffe werden aufgerufen, indem HTML oder JavaScript so in eine bestehende Seite eingefügt wird, dass andere Benutzer es ausführen. Solche Angriffe können dazu benutzt werden, um ein Session- Cookie eines Benutzers auszulesen und volle Kontrolle über die Informationen dieses Benutzers zu erlangen. Sie können diese Angriffe verhindern, indem Sie mod_security dazu bringen, Anfragen auszufiltern, die JavaScript enthalten. Um JavaScript in Anfragen zu verbieten, verwenden Sie eine solche Regel: SecFilter "<[[:space:]]*script" Es gibt allerdings noch viele weitere Methoden, wie JavaScript in eine Anfrage eingefügt werden kann. Es ist sicherer, HTML einfach zu verbieten. Dazu dient folgende Regel: SecFilter "<.+>" Hack #117: Erkennen und verhindern Sie Einbrüche über Web-Anwendungen 435

4 #117 Erkennen und verhindern Sie Einbrüche über Web-Anwendungen SQL-Injection-Angriffe sind XSS-Angriffen ähnlich, mit der Ausnahme, dass in diesem Fall Angreifer Variablen, die für SQL-Abfragen benutzt werden, so bearbeiten, dass sie beliebige SQL-Befehle ausführen können. Diese Regel verhindert SQL-Injection in einem Cookie namens sessionid: SecFilterSelective COOKIE_sessionid "!^( [0-9]{1,9})$" Wenn ein sessionid-cookie vorhanden ist, kann die Anfrage nur dann weiter ausgeführt werden, wenn das Cookie eine bis neun Ziffer(n) enthält. Diese Regel verlangt in jeder Anfrage HTTP_USER_AGENT- und HTTP_HOST-Header: SecFilterSelective "HTTP_USER_AGENT HTTP_HOST" "^$" Sie können über mehrere Variablen suchen, indem Sie jede Variable in der Liste mit einem -Zeichen abtrennen. Angreifer führen Untersuchungen häufig unter Verwendung einfacher Werkzeuge (sogar Telnet) durch und schicken nicht alle Header mit, wie das Browser machen. Solche Anfragen können zurückgewiesen, protokolliert und überwacht werden. Diese Regel weist Datei-Uploads ab: SecFilterSelective "HTTP_CONTENT_TYPE" multipart/form-data Dies ist ein einfacher, aber wirkungsvoller Schutz, der Anfragen auf der Grundlage des Inhaltstyps abweist, der für das Hochladen der Datei benutzt wird. Noch einmal, manuelle Anfragen enthalten häufig nicht alle HTTP-Header. Diese Regel protokolliert Anfragen ohne Accept-Header, sodass Sie diese später untersuchen können: SecFilterSelective "HTTP_ACCEPT" "^$" log,pass Der Keep-Alive-Header ist hierfür ein weiterer guter Kandidat. Beachten Sie, dass diese Regel zusätzlich zur Variablen und dem Such-String die Schlüsselwörter log und pass enthält, die die Aktionen angeben, die durchgeführt werden sollen, wenn eine Anfrage auf die Regel zutrifft. In diesem Fall wird jede zutreffende Anfrage auf das Fehlerprotokoll von Apache protokolliert und die Anfrage wird dann zur weiteren Verarbeitung durch den Webserver weitergeführt. Wenn Sie für eine Filterregel keine Aktion angeben, wird die Standardaktion benutzt. Sie können die Standardaktion folgendermaßen festlegen: SecFilterDefaultAction "deny,log,status:500" Wenn Sie das als Standardaktion setzen, wird der Webserver alle Anfragen verbieten, die auf Filterregeln zutreffen und die keine eigene Aktion angeben. Diese Anfragen werden protokolliert und dann an die HTTP-500-Statusseite weitergeleitet, die den Client darüber informiert, dass ein interner Serverfeh- 436 Kapitel 11: Netzwerk-Intrusion-Detection

5 ler aufgetreten ist. Weitere mögliche Aktionen sind allow, was pass ähnlich ist, aber verhindert, dass andere Filter ausprobiert werden, redirect, das den Client auf eine beliebige URL umleitet, exec, das eine externe Binärdatei oder ein Skript ausführt, und chain, das Ihnen ermöglicht, Regeln über AND wirksam miteinander zu verbinden. Zusätzlich zur Filterung stellt mod_security noch umfassende Prüffunktionen zur Verfügung, die es Ihnen ermöglichen, Protokolle der vollständigen Anfrage aufzubewahren, die an den Server geschickt wurde. Um die Prüfprotokollierung zu aktivieren, fügen Sie an Ihre httpd.conf folgende Zeilen an: SecAuditEngine On SecAuditLog logs/audit_log Bedenken Sie jedoch, dass diese Option sehr schnell sehr große Datenmengen generieren kann. Um nur Anfragen zu protokollieren, die eine Filterregel ausgelöst haben, setzen Sie die Variable SecAuditEngine auf RelevantOnly. Alternativ können Sie diese Variable auf DynamicOrRelevant setzen, was Anfragen an dynamischen Inhalt sowie die Anfragen protokolliert, die eine Filterregel ausgelöst haben. Wie bei den meisten anderen Direktiven der Apache-Konfiguration können Sie die Direktiven der mod_security-konfiguration innerhalb eines <Location>- Tags einbinden, um individuelle Konfigurationen für bestimmte Skripten oder Verzeichnishierarchien anzugeben. Weitere Beispiele für nützliche mod_security-regeln finden Sie in modsecurity-rules-current.tar.gz, das Sie auf der mod_security-download- Seite finden. Dort gibt es auch eine lange Liste mit Regeln, die mithilfe der Include-Direktive in Ihre Apache-Konfiguration eingebunden werden können. mod_security ist ein sehr mächtiges Werkzeug zum Schutz Ihrer Web-Anwendungen, sollte aber nicht den Platz einer tatsächlichen Eingabeüberprüfung in Ihrer Anwendung oder anderer sicherer Programmierpraktiken einnehmen. Wann immer möglich, ist es das Beste, solche Methoden zusätzlich zur Verwendung eines Werkzeugs wie etwa mod_security einzusetzen. Siehe auch»introducing mod_security«: /11/26/mod_security.html Mod_security Reference Manual v1.7.4: documentation/modsecurity-apache/1.9.3/modsecurity-manual.pdf Hack #117: Erkennen und verhindern Sie Einbrüche über Web-Anwendungen 437