Best Practices - sichere Websites und Web-Applikationen. Markus Müller

Transkript

1 Best Practices - sichere Websites und Web-Applikationen Markus Müller

2 Vorstellung Markus Müller Dr.-Ing. Elektrotechnik Kryptokom(Prof. Ruland, Prof. Pohlmann) secunet Security Networks seit 1998 in diversen Funktionen Leitung Managed Security Services seit

3 Sichere Websites und Web-Applikationen Sicherheit Architektur / Netzwerk Eigenbetrieb oder externes Hosting Server / Middleware Web-Site / Web-Applikation Betrieb / Changemanagement

4 Sichere Architektur, sicheres Netzwerk

5 Sichere Architektur, sicheres Netzwerk Separierte Schutzzonen Web-Zugriff Netzwerk-Firewall Datenbank Separater Server Netzwerk-Firewall

6 Sichere Architektur, sicheres Netzwerk Separierte Schutzzonen Content-Management Beschränkter Zugriff der Web- Agentur auf dedizierte Komponenten Remote-Zugriff Out-Of-Band Remote-Zugriff authentisiert und verschlüsselt

7 Sichere Architektur, sicheres Netzwerk Netzwerk-Firewall Alles verbieten außer erwünschte Protokolle und Ports (drop, reject) HTTP, WebDAV(80/tcp) HTTPS (443/tcp) Outbound und Inbound wirksam Logging für alle Accept-Regeln aktivieren für Catch-All-Regel aus dem Internet (drop any/any) deaktivieren für sonstige Catch-All-Regeln (drop any/any) aktivieren

8 Sichere Architektur, sicheres Netzwerk Separierte Schutzzonen Administration Separates Management-Netz Dedizierte Netzwerk- Interfaces in Komponenten Im Management-Netz ausschließlich Administration Kein Routing über das Management-Netz Remote-Zugriff Out-Of-Band Remote-Zugriff authentisiert und verschlüsselt

9 Sichere Architektur, sicheres Netzwerk

10 Sichere Websites und Web-Applikationen Sicherheit Architektur / Netzwerk Eigenbetrieb oder externes Hosting Server / Middleware Eigenbetrieb oder externes Hosting Web-Site / Web-Applikation Betrieb / Changemanagement

11 Sichere Server, sichere Middleware

12 Sichere Server, sichere Middleware Auswahl sicherer Komponenten für Betriebssystem Web-Server-Software Datenbank-Software Programmiersprache Content-Management-System Applikationssoftware (Blog, Foren, Webshop)

13 Sichere Server, sichere Middleware Kriterien für sichere Komponenten Aktuelle Sicherheitsmechanismen Aktuell gepflegte Version, aber nicht Beta Hinreichend weit verbreitet (im Feld getestet) Kontinuierlich gepflegt (schnelles Schließen von Sicherheitslücken) Nicht besonders auffällig in Security-News-Tickern Open-Source vs. Closed Source (?)

14 Sichere Server, sichere Middleware Minimalisierung Nicht benötigte Komponenten und Module entfernen Nicht benötigte Services deaktivieren Nicht benötigte Benutzerkonten entfernen oder sperren Nicht benötigte Funktionen entfernen oder deaktivieren Nicht benötigte Dateien entfernen (alte Versionen, Test- Dateien, Default-Content, etc.) So wenige Informationen wie möglich über das System nach außen sichtbar machen (Banner minimalisieren)

15 Sichere Server, sichere Middleware Sichere Konfiguration Zugriffsberechtigungen auf das Notwendige beschränken Sicherheitszonen in Netzwerken auch in Komponenten trennen (z.b. kein Routing) Ausschließlich sichere Protokolle und Mechanismen verwenden Backup/Recovery implementieren (und testen!) Unsichere Funktionen, Optionen und Einstellungen deaktivieren Sicherheitsmechanismen nutzen (Kernel-Parameter, chroot, selinux) Automatische Meldung sicherheitsrelevanter Ereignisse einrichten

16 Sichere Server, sichere Middleware Konfiguration Apache 2 Path Traversalverhindern: per mod_security oder WAF.htaccess in allen Verzeichnissen verwenden Directory Listing verhindern Apache-Child-Prozesse als www-data:www-data starten Zugriff auf.htpasswd und.htaccess verhindern #apache2.conf <Directory /> Options -Indexes AllowOverride None </Directory> User www-data Group www-data <Files ~ "^\.ht"> Order allow,deny Deny from all Satisfy all </Files>

17 Sichere Server, sichere Middleware Konfiguration PHP 5 Fehlermeldungen protokollieren und nach außen verbergen Register Globals und veraltete Long-Arrays deaktivieren Zugriffe außerhalb eines PHP- Verzeichnisses verhindern Remote-File-Inclusion deaktivieren Session-Handling nur mit Cookies Client-Zugriff auf Cookie deaktivieren ;php.ini display_errors = Off display_startup_errors = Off log_errors = On register_globals = Off register_long_arrays = Off open_basedir =/$PHPFILES/ allow_url_fopen = Off allow_url_include = Off session.use_only_cookies = 1 session.cookie_httponly = 1

18 Sichere Server, sichere Middleware Konfiguration TYPO3 Default install utility password ändern Install Tool deaktivieren: Datei typo3conf/enable_install_tool umbenennen Neuen Admin Account einrichten und Default Admin Account entfernen Encryption Key nach der Installation ändern

19 Sichere Server, sichere Middleware Konfiguration TYPO3 localconf.php in sicheres Verzeichnis schieben und einen Verweis anlegen Separate DB Users für FE und BE Secure your external configuration files (i.e. TypoScript) //LocalConfiguration.php <?php require("/var/www/localhost/ securedata/localconf.php");?> //LocalConfiguration.php if (TYPO3_MODE=='FE') { $typo3_user_name = 'restricted_user'; } else { $typo3_user_name = 'extended_user'; } #apache2.conf <FilesMatch "\.(ts)$"> order deny,allow deny from all </FilesMatch>

20 Sichere Server, sichere Middleware Rollenbasierte Zugriffsberechtigungen Dedizierte technische Benutzerkonten für Services Dedizierte Benutzerkonten zur Administration Dedizierte Benutzerkonten für den Zugriff auf vertrauliche Daten Persönliche Benutzerkonten für Administratoren Minimale Zugriffsberechtigungen gemäß Rollen Sichere Passworte oder stärkere Authentisierung

21 Sichere Server, sichere Middleware Überwachung implementieren Überwachung der Verfügbarkeit (Komponenten und Endezu-Ende) Überwachung der Auslastung (Komponenten und Ende-zu- Ende) Überwachung der Webinhalte Überwachung wesentlicher Dateien (z.b. Konfigurationsdateien)

22 Sichere Server, sichere Middleware Host basierte Firewall Regelwerk: Alles verbieten (drop, reject) außer erwünschte Protokolle und Ports Outbound und Inbound wirksam Trennung der Sicherheitszonen Logging für alle Accept-Regeln aktivieren für Catch-All-Regel (drop any/any) an externer Firewall deaktivieren für Catch-All-Regel (dropany/any) an internen Firewalls aktivieren

23 Sichere Server, sichere Middleware Virenschutz Renommiertes Produkt wählen Stündlich neue Viren-Pattern abfragen Logging aktivieren Monitoring aktivieren Host basiertes Intrusion Detection System (Host-IDS) Insbesondere bei höherem Sicherheitsbedarf sinnvoll Renommiertes Produkt wählen Mit spezifischen Regeln integrieren (Tuning) Regelmäßig neue Pattern des Herstellers abfragen Logging aktivieren Monitoring aktivieren Regelmäßig spezifische Regeln pflegen

24 Sichere Websites und Web-Applikationen Sicherheit Architektur / Netzwerk Eigenbetrieb oder externes Hosting Server / Middleware Eigenbetrieb oder externes Hosting Web-Site / Web-Applikation CMS / Applikationssoftware, Eigenentwicklung, externe Entwicklung Betrieb / Changemanagement

25 Sichere Web-Site, sichere Web-Applikation Verschlüsselter Datentransfer Bei Übertragung vertraulicher Daten SSL mit aktuellem Server-Zertifikat (>= 2048 Bit RSA, kein RC4, vertrauenswürdige CA) und Perfect-Forward-Secrecy Ggf. auch internen Datenverkehr verschlüsseln Kryptografisch gesicherte Datenspeicherung Passwörter als gesalzene kryptographische Hashes speichern Vertrauliche Daten verschlüsseln Schlüssel gegen unbefugten Zugriff sichern

26 Sichere Web-Site, sichere Web-Applikation Rollenbasierter Web-Zugriff Ohne Authentifizierung Anzeige von Content ohne Interaktion Human Interaction Proof(z.B. CAPTCHAs) Verhindern des Spiderns von Informationen Verhindern von automatischer Dateneingabe Verhindern von automatischer Transaktionen Zugriff auf ressourcenhungrige Funktionen

27 Sichere Web-Site, sichere Web-Applikation Rollenbasierter Web-Zugriff Einfache persönliche Authentifizierung (Username/Passwort) Zugriff auf vertrauliche Daten Eingabe und Hochladen von Daten Einfache kommerzielle Transaktionen Zugriff auf besonders ressourcenhungrige Funktionen Zusätzliche Authentisierung bei kritischen Funktionen Zurücksetzen von Authentisierungsdaten als Self-Service Höhere Sicherheit (SSL-Client-Zertifikat, TAN) Höherer Sicherheitsbedarf Begrenzter Benutzerkreis

28 Sichere Web-Site, sichere Web-Applikation Sicher entwickelte Web-Applikationen Programmkonstrukte Request-Parameter, Benutzereingaben und hochgeladene Dateien gegen unkontrollierte Ausführung filtern (Injection-Angriffe) Request-Parameter, Benutzereingaben und hochgeladene Dateien gegen unkontrollierte Anzeige filtern (Cross-Site-Scripting-Angriffe) Request-Parameter, Benutzereingaben und hochgeladene Dateien auf unerwünschte Inhalte prüfen (Defacement-Angriffe) Filterung ebenfalls vor der Verwendung potentiell kompromittierter Altdaten durchführen

29 Sichere Web-Site, sichere Web-Applikation Beispiel: Request-Parameter, Benutzereingaben und hochgeladene Dateien gegen unkontrollierte Ausführung filtern (Injection-Angriffe) URL/Sourcefile: <?php // URL-Parameter ungefiltert verwendet // read article description if ($db->multi_query( "SELECT name,description,price FROM articles WHERE id = $_REQUEST['article']")) { //?> <?php URL-Parameter gefiltert $articleid = (int) $_REQUEST['article']; // // read article description if ($db->multi_query( "SELECT name,description,price FROM articles WHERE id = $articleid")) { //?>

30 Sichere Web-Site, sichere Web-Applikation Beispiel: Request-Parameter, Benutzereingaben und hochgeladene Dateien gegen unkontrollierte Anzeige filtern (Cross-Site-Scripting-Angriffe) URL/Sourcefile: <?php // // read article review if ($db->multi_query("select r.title,r.rating,u.name,r.post_date,r.content FROM reviews r,users u,articles a WHERE a.id = $articleid AND r.article_id=a.id AND r.user_id=u.id")) { $result = $db->store_result(); if ($result->num_rows > 0) { while ($row = $result->fetch_row()) {?> <h3><?=$row[0]?> (<?=$row[1]?> / 5)</h3> <p> von <?=$row[2]?> am <?=$row[3]?><br/> <?=$row[4]?> </p> // DB-Einträge ungefiltert verwendet

31 Sichere Web-Site, sichere Web-Applikation Beispiel: Request-Parameter, Benutzereingaben und hochgeladene Dateien gegen unkontrollierte Anzeige filtern (Cross-Site-Scripting-Angriffe) URL/Sourcefile: <?php // // read article review if ($db->multi_query("select r.title,r.rating,u.name,r.post_date,r.content FROM reviews r,users u,articles a WHERE a.id = $articleid AND r.article_id=a.id AND r.user_id=u.id")) { $result = $db->store_result(); if ($result->num_rows > 0) { while ($row = $result->fetch_row()) { $title=filter_var($row[0],filter_sanitize_string); $rating=filter_var($row[1],filter_sanitize_string); $uname=filter_var($row[2],filter_sanitize_string); $postdate=filter_var($row[3],filter_sanitize_string); $content=filter_var($row[4],filter_sanitize_string);?> <h3><?=$title?> (<?=$rating?> / 5)</h3> <p> von <?=$uname?> am <?=$postdate?><br/> <?=$content?> </p> // DB-Einträge vor Anzeige gefiltert

32 Sichere Web-Site, sichere Web-Applikation Sicher entwickelte Web-Applikationen Programmkonstrukte Request-Parameter von internen Variablen entkoppeln Anzeige vertraulicher oder verräterischer Daten verhindern Alle Fehlerzustände abfangen Keine internen Fehler über das Web anzeigen Fehlermeldungen über das Web nicht zu spezifisch anzeigen autocomplete=off für alle Formularfelder mit vertraulichen Daten Für Formulare vorzugsweise POST statt GET verwenden Requestsdetektieren, protokollieren und ablehnen, die offensichtlich Angriffe enthalten Requests protokollieren und ablehnen, die nicht aus der Web- Applikation stammen können

33 Sichere Web-Site, sichere Web-Applikation Sicher entwickelte Web-Applikationen Sicheres Session-Handling Sichere Session-ID verwenden (hinreichende Entropie), möglichst im Cookie (nicht als URL-Parameter) Zugriff auf Cookie über Flags einschränken (Path, Secure, HttpOnly) Sonstige Sessiondaten ausschließlich auf Serverseite vorhalten Session-Timeout implementieren Zulässigkeit von Zugriffen auf Unterseiten und Funktionen explizit anhand der Sessiondaten prüfen Maßnahmen gegen automatische Attacken CAPTCHAs Transaktionen je Zeitraum begrenzen Progressive Wartezeit bei fehlgeschlagenen Transaktionen Anzahl fehlgeschlagener Transaktionen begrenzen

34 Sichere Web-Site, sichere Web-Applikation Sicher entwickelte Web-Applikationen Verhinderung diverser Attacken Challenge/Response oder dynamische Token gegen Replay-Attacken Zusätzliches Token gegen Cross-Site-Request-Forgery Clientseitige Checks und X-FRAME-OPTIONS DENY in HTTP -Response- Headern gegen Clickjacking Verwendung von X-Content-Type-Options: nosniff gegen Contentbasierte Browser-Angriffe Content Security Policy: CSP-Header + Auslagern von Ressourcen (Scripte, Bilder) in separate Dateien gegen Injection-basierte Browser-Angriffe Überwachung Sicherheitsrelevante Transaktionen protokollieren (z.b. Login/Logout) Fehlerzustände protokollieren Angriffsversuche protokollieren und melden

35 Sichere Web-Site, sichere Web-Applikation Beispiel: Content Security Policy: CSP-Header + Vermeiden von Inline-Scripten (also Auslagern von Scripten in separate Dateien) <body>... <script>function dosubmitdata() {...}</script> <button onclick='dosubmitdata();'>submit Data</button>... Javascript inline verwendet HTTP-Header: Content-Security-Policy: default-src 'none'; img-src*; script-src script.hackme.sn... <script src='submitdata.js'></script> <button id='submitdata'>submit Data</button>... Javascript ausgelagert in separate Datei // function dosubmitdata() {...} document.addeventlistener('domcontentready', function () { document.getelementbyid('submitdata').addeventlistener('click', dosubmitdata); });

36 Sichere Web-Site, sichere Web-Applikation Reverse Proxy Zusätzliche Absicherung von Web-Servern Terminiert die jeweilige Quell-HTTP-Verbindung und baut Sie in Zielrichtung neu auf Kann SSL-Verbindungen terminieren Wirkt gegen diverse Anomalien im HTTP Kann HTTP-Optionen filtern Ermöglicht Blacklist für HTTP-Clients Kann evtl. bis hin zu einer Web-Application-Firewall ausgebaut werden Web-Applikation und Reverse Proxy sollten gemeinsam getestet und ausgerollt werden

37 Sichere Web-Site, sichere Web-Applikation Web-Application-Firewall (WAF) Insbesondere bei dynamischen Web-Applikationen sinnvoll Zusätzliche Absicherung von Web-Applikationen Blacklist-Ansatz ermöglicht schnelleren Roll-Out bei guter Basissicherheit Whitelist-Ansatz bringt höhere Sicherheit Verschiedene Funktionen können von der Web-Applikation in die WAF verlagert werden (Session-Handling, Authentisierung, SSL, URL- Codierung, Brute-Force-Vermeidung) Web-Applikation darf nicht gegen die WAF arbeiten Web-Applikation und WAF sollten gemeinsam getestet und ausgerollt werden Regelmäßig spezifische Regeln pflegen

38 Sichere Web-Site, sichere Web-Applikation

39 Sichere Web-Site, sichere Web-Applikation Schutzmaßnahmen auf Client-Seite berücksichtigen Firewalls Proxies Popup-Blocker Cookie-Blocker und -Filter Javascript-Blocker Blocker für sonstige aktive Inhalte (Java, Flash, etc.) Upload-/Download-Schleusen

40 Sichere Websites und Web-Applikationen Sicherheit Architektur / Netzwerk Eigenbetrieb oder externes Hosting Server / Middleware Eigenbetrieb oder externes Hosting Web-Site / Web-Applikation CMS / Applikationssoftware, Eigenentwicklung, externe Entwicklung Betrieb / Changemanagement Eigenbetrieb oder externes Hosting

41 Sicherer Betrieb, Changemanagement

42 Sicherer Betrieb, Changemanagement Sicherer Betrieb (Basis) Regelmäßige Datensicherung (Backup) Patchmanagement Logging Komponenten Überwachung, Alarmierung Verfügbarkeit Auslastung Security-Events Regelmäßige Logauswertung Anomalien Sicherheitsrelevante Ereignisse

43 Sicherer Betrieb, Changemanagement Security Lifecycle Regelmäßige Pen-Tests/Audits Regelmäßige Security-Reviews Hoher Sicherheitsbedarf 24x7 Computer-Emergency-Response-Team (CERT) Security Information and Event Management (SIEM) Logging Administrationstätigkeiten Kontinuierliche Logauswertung Anomalien Sicherheitsrelevante Ereignisse

44 Sicherer Betrieb, Changemanagement Changemanagement Jede Änderung kann Einfluss auf die Security haben Security auch im Budget berücksichtigen Bewertung von Change-Requests auch in Bezug auf Security Test von Change-Requests auch in Bezug auf Security

45 Sichere Websites und Web-Applikationen und das Ergebnis:

46 Sichere Websites und Web-Applikationen und wer ist nun zuständig für Sicherheit? OWASP Top 10 Architektur / Netzwerk Server / Middleware CMS/ Applikationssoftware Web-Content / Web-Applikation A1 Injection X X X X A2 Broken Authentication and Session Management - - X X A3 Cross-Site Scripting (XSS) - - X X A4 Insecure Direct Object References A5 Security Misconfiguration - - X X X X X X

47 Sichere Websites und Web-Applikationen und wer ist nun zuständig für Sicherheit? OWASP Top 10 Architektur / Netzwerk Server / Middleware CMS/ Applikationssoftware Web-Content / Web-Applikation A6 Sensitive Data Exposure X X X X A7 Missing Function Level Access Control A8 Cross-Site Request Forgery (CSRF) A9 Using Components with Known Vulnerabilities A10 UnvalidatedRedirects and Forwards - X X X - - X X X X X X - - X X

48 Sichere Websites und Web-Applikationen Alles berücksichtigt / umgesetzt? Prima! Aber

49 Sichere Websites und Web-Applikationen 100% Sicherheit gibt es nicht Machen Sie es den Angreifern schwer! Erhöhen Sie den Aufwand für erfolgreiche Angriffe durch weitere Sicherheitsmaßnahmen! Setzen Sie Ihre Ressourcen gezielt ein! Bleiben Sie wachsam!

50 Weitere Informationen Open Web Application Security Project, OWASP Top Ten Project, Open Web Application Security Project, Development Guide, Bundesamt für Sicherheit in der Informationstechnik (BSI), IT Grundschutzkataloge ( Insbesondere Baustein B 5.21 Webanwendungen /baust/b05/b05021.html und Maßnahmen M 4 Hard- und Software, Maßnahmen 4.94, 4.176, 4.359, 4.360, 4.392ff /m/m04/m04.html Bundesamt für Sicherheit in der Informationstechnik (BSI), Studie CMS: Security-Tipps zu konkreten Produkten:

51 Fragen & Antworten

52 Premium IT-Sicherheit Made in Germany Langjährige und vertrauensvolle Partnerschaften Sicherheitspartner der Bundesrepublik Deutschland seit 2004 Enge Kooperationen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesministerium des Innern (BMI) Partner der Allianz für Cyber-Sicherheit und Mitglied der TeleTrusT Initiative ITSMIG Zusammenarbeit mit Einrichtungen für Forschung und Entwicklung

53 Daten & Fakten zur secunet Security Networks AG >340 Mitarbeiter an sieben deutschen Standorten Vertriebs- und Projektaktivitäten weltweit Geschäftsbereiche Public Sector und Business Sector secunet Security Networks AG Hamburg Essen Siegen Berlin Dresden Geschäftsbereich Public Sector Geschäftsbereich Business Sector Frankfurt München Gegründet 1997 Im Prime Standard der Deutschen Börse gelistet Größter Anteilseigner: Giesecke & Devrient GmbH (79%) Umsatz 2013*: 63,9 Mio., EBIT: 3,7 Mio. *vorläufiges Ergebnis per

54 secunet Security Networks AG Dr. Markus Müller Bereichsleiter Managed Security Services