Web-Application-Security

Transkript

1 Web-Application-Security Uwe Maurer Senior Consultant

2 Argumentation Risikopotential und neue Anforderungen Gefährdungen für Webanwendungen Lösungsansatz Web Application Firewall Web-Portale im Intranet Technische und organisatorische Lösungen

3 Risikosituation heute Risiko Anforderungen / Kosten Mobilität erfordert stärkere Öffnung der Unternehmen Kerngeschäftsprozes se sind von IT abhängig Attraktivität steigt Schwachstellen Bedrohungen 100 Mrd. durch Internetkriminalität Fast alle Webserver kompromittiert Angriffe im Intranet sind normal Zeit

4 Innovationspotential Budgetoptimierung Automatisierung Konsolidierung Netzkonsolidierung Serverkonsolidierung Anwendungskonsolidierung

5 Die Bedrohung im Web wächst 82% der Web Attacken klassifiziert als einfach durchzuführen (Internet Threat Survey, 2005) 62% der 1000 größten Unternehmen stufen Web-Sicherheitsrisiken mit 10 auf einer Skala von 1-10 ein (SRI Security Survey, Sept 2004) 90% Zunahme von berichteten Web Attacken im letzten Jahr (CSI/FBI Computer Crime Survey, 2005) Neue gesetzliche Bestimmungen müssen beachtet werden - Gramm-Leach-Bliley (US Finanzinstitutionen) - HIPAA (Gesundheitswesen) - Basel II (Internationale Finanzinstitutionen) - Information Privacy Acts (Europa, Japan, Kanada, etc)

6 Website Incidents CSI/FBI 2005 Zum Vergleich 2004: 89% 1-5 incidents und nur 5% >10 incidents

7 Bedrohungen / Angriffe Angriffstypen Angriffsziele Angriffe auf den Client / Cross-Site-Scripting Command Insertions / SQL-Injection Aushorchen (disclosure) Angriffe auf Anwendungslogik Buffer-Overflow Passwörter / Sessions Datenmanipulation Kreditkarten Betrug Systemkontrolle

8 Herkömmliche Netzwerk-Sicherheit Fokus auf automatisierte verbreitete Attacken von Würmern, Viren Ziel dieser Attacken: Störung des Systems durch Suche nach bekannten Schwachstellen in bekannten Systemen Würmer Viren Netzwerk Attacken!! Netzwerk-Firewalls IPS und Antivirus Web Server OS Applikations- Server OS Netzwerk Datenbank- Server OS

9 Attacken gegen Web Applikationen Die meisten Hacker attackieren heute speziell ungesicherte Web Applikationen Traditionelle Methoden können diese Attacken nicht stoppen, Diese da es dafür Attacken keine sind allgemeinen sehr gefährlich, Patches da oder sie unbemerkten Signaturen gibt Zugriff auf Daten ermöglichen (Finanzinfos, IDs, Kreditkarten, etc) 75% der Attacken zielen heute auf Web Applikationen Würmer Viren Netzwerk-Attacken Netzwerk-Firewalls IPS und Antivirus Web Applikationen Keine Signaturen Intern entwickelte Web Applikationen Keine Patches Web Server OS Applikations- Server OS Netzwerk Datenbank- Server OS DATEN

10 Demonstration von Webangriffen Unberechtigter Zugang SLQ-Injection Mißbrauch des Content-Management-Systems Unterlaufen der Authentifizierung Cross-Site-Scripting Betrug Parameter-Tampering Method-Guessing Einrichten einer Hintertür oder eines Trojaners

11 Web Application Firewall Bad Guy Webshop Firewall blockt alles außer Web-Verkehr Web Application Firewall erlaubt nur erwünschte Web-Zugriffe Web-Anwendung und Datenbank sind gesichert

12 Citrix Application Firewall Citrix Application Firewall schützt gegen Attacken auf Application Layer 7 Eine gehärtete Sicherheits-Appliance Sicherheit für Web und Web Services Positives Sicherheitsmodell - keine Signaturen nötig! Erweitere Lernfunktion Einfaches Browser-basiertes Policy Management

13 Gründlicher Schutz Überblick Positives Sicherheitsmodell zum Schutz der Webanwendungen Form Field Consistency Cookie Consistency Start URLs Deep Stream Inspection Verhindert Diebstahl von sensitiven Daten Reverse Proxy Funktionen zum Schutz der Infrastruktur Erweiterte Lernfunktion Schutz für HTML und XML Security Management Kosistenter Schutz für mehrere Applikationen Delegation des Security Managements an Applikationsexperten Verbesserte Performance Reduktion der Betriebskosten durch Appliances

14 Dynamische Policy Start-URL Start-URL Session-ID HTML1 HTML1 html1 Start-URL Links aus html1 ID-Policy html1 URL aus HTML1 Filter-Engine URL aus HTML1 Parsing Parsing Dynamische Policy: Angriffe wie Code Red und Nimda werden sofort verhindert Entlastung der Administration das Regelwerk wird automatisch aktualisiert!

15 Deep Stream Inspection Bi-direktionale Analyse Header und Payload Inspection Komplettes Parsing Semantische Extraktion Sessionization Protokoll-neutral HTML XML

16 Erweitertes Erlernen des Applikationverhaltens Automatische Policy- Empfehlungen Automatisch erstellte Regeln Eliminiert False-Positives Passt sich an sich verändernde Applikationsumgebungen an Analyse des Traffic in beiden Richtungen und exakte Policies für höchste Sicherheit

17 Filter-Techniken White-Lists Character checks Length limits HTTP-Header checks Encoding Cookie consistency Form field consistency XML support XML Operation part formats Operation access inspection Black-Lists Forbidden Characters Deny URL List Buffer Overflow protection SQL-Protection XSS-Protection Other known HTTP-attacks Content Filters Header modification Stop- / Go-words Content-rewrite Password-policy Comment stripping

18 HTML Form Field Protection Schützt Applikationen durch Blockieren von illegalen Input-Parametern Applikation sendet Formular an Client Client komplettiert und liefert Formular zurück Für jede Sitzung stellt die Citrix Application Firewall sicher, dass: - jedes Feld zurückgeliefert wird - keine Felder durch den Client hinzugefügt wurden - Read-only und versteckte Felder unverändert bleiben - Daten in Drop-Down-Listen oder Radio Button Felder in Ordnung sind - maximale Länge der Formfelder stimmt

19 Protokolle und Alerts Erfassung aller Security Events Logs sind geordnet nach Anwendungen Zusammengefasste Web Server-Logs Export der Web Server Logs nach syslog oder Apache Log Format Flexible Alert Optionen Pager SNMP Trap Syslog

20 Enterprise Reporting Security Summary Konfiguration aller Application Security Defenses Configuration Summary App Firewall-Konfiguration, definierte Administratoren, geschützte Applikationen Executive Summary Statistik der entdeckten und blockierten Attacken je Web Applikation

21 Organisatorische Umsetzung Sensibilisierung Management, Administratoren, Entwickler Konzept und Policies Web-Security-Richtlinien, Change-Management, Betriebskonzept Geplantes Vorgehen Budgetoptimierung, Stufenkonzept, Abnahmen Nachweisbarkeit Incident-Handling, Übergaben, Maßnahmenplan Sichere Programmentwicklung Naming, Testplan, Modultest, Verwendung von ActiveCode Betriebsübergabe und Prüfungen Sicherheits-, Funktions- und Verfügbarkeitstest

22 Portale im Intranet? Keine Segmentierung Keine Beobachtbarkeit Keine Filterung Einfache Authentifizierung Geringe Standardisierung Fat-Clients Anwendungsproprietäre Netze Schlechte Aktualisierung Unbekannter Sicherheitszustand Monitoring nur auf Verfügbarkeit

23 Portal als Single-Point-Of-Entry SSL-Gateway Access-Zone Mailfilter Content-Zone Webfilter Loadbalancer User-Netze Web-Application- Firewall SAP-Portal Leitstand Citrix- Presentationserver CRM Backoffice SAP

24 Zielszenario Portal-Security Portal als Single-Point-Of-Entry Anwendungen und Daten vollständig geschützt Auf allen Ebenen, Netz- und Anwendungsebene Positives Sicherheitsmodell Gekapselte Servernetze Überwachung mittels Anomaly-Detection Nutzung des Effizienzpotentials von Portalen Hohe Kosteneinsparungen Ein Zugang, Individualisierung von Daten und Services Zukunftsfähige Topologie

25 Zusammenfassende Thesen Anwendungskonsolidierung ist notwendig Webanwendungen sind das Einfallstor Weitere Sicherheitseinrichtungen erforderlich Eine Sicherheitstechnik für alle Webanwendungen Technik allein reicht nicht aus Sicherheit ist möglich und umsetzbar

26 Und wie geht s weiter? Erstellen eines Lösungsentwurfs Workshopbasiertes Konzept Installation der vorkonfigurierten Komponenten vor Ort Regeltuning und Coaching Abnahme / optional Security-Audit Weitere Optionen Ergänzung mit IDS/IPS Ergänzung mit Log-Konsolidierung Zertifizierung nach ISO27001