Grundlagen der Web-Entwicklung INF3172

Transkript

1 Grundlagen der Web-Entwicklung INF3172 Security Thomas Walter Version 1.0

2 Security Begrifflichkeiten Security: Angriffssicherheit Datenschutz: Schutz des Einzelnen vor Missbrauch der eigenen Daten (data privacy) Datensicherheit: Vertraulichkeit, Verfügbarkeit und Integrität informationsverarbeitender Systeme 2

3 3

4 zone-h 4

5 website defacement A website defacement is an attack on a website that changes the visual appearance of the site or a webpage. These are typically the work of system crackers, who break into a web server and replace the hosted website with one of their own. The most common method of defacement is using SQL Injections to log on to administrator accounts. 5

6 6

7 ein Wettbewerb aus dem Jahr 2003 Für den 6. Juli soll ein Website-Defacement- Wettbewerb geplant sein, bei dem möglichst viele Webseiten in kurzer Zeit gehackt werden sollen. Gewinner wird, wer als erster 6000 Webseiten manipuliert hat. (heise newsticker) Website-Defacements: Manipulation einer Web-Site, nicht notwendig Root-Zugriff 7

8 8

9 Gliederung 0. Kurze Theorie 1. Die Situation 2. Das Netzwerk 3. Der Host 4. Der Webserver 5. Die anderen Server 6. Informationen 9

10 0. Kurze Theorie Exploit: Aufzeigen einer Lücke durch Beispielschadprogramm (oder dessen Beschreibung) ab Veröffentlichen des Exploits ist die Lücke bekannt interessant ist die Zeit davor Idee des Bundestrojaners, Stuxnet etc. Zero-Day-Exploit: Exploit am gleichen Tag wie Veröffentlichen der Lücke kein Patch verfügbar 10

11 IDS IDS: Intrusion Detection System erkennen der Korrumption eines Systems Snort und viele andere 11

12 1. Die Situation der Webserver muss weltweit erreichbar sein und HTTP-Requests bedienen gekoppelt mit weiteren Diensten und Anwendungen Applikations ( ebay, HomeBanking,...) Administration 12

13 interessant... der Webserver ist immer erreichbar und ein potentiell sehr interessanter Server große Server (Angabe InfoPark): Anzahl der Angriffe im Bereich 1.000/Sekunde 13

14 Was kann getan werden??? verschiedene Szenarien: Betreiber von Netzwerk und Server (z.b. uni-tuebingen.de) Betrieber des Servers (Lehrstuhl Informationsdienste) Kunde eines Providers (Max Mustermann) je nach Szenario kann ganz anders agiert werden... 14

15 beteiligte Rechner typischerweise sind in einem Web-Prozess 3,5 Rechner beteiligt Webserver Client Datenbank Applikations -Server 15

16 kein Witz es werden Webserver betrieben, ohne dass der Administrator das weiß... manche Software (Microsoft...) installiert heimlich einen Webserver diese sind häufig offen und veraltert, ideales Einfallstor, um weitere Server anzugreifen... 16

17 ...in Dänemark Der Streit um die Karikaturen Mohammeds scheint sich auf das Internet auszudehnen. Seit einiger Zeit verzeichnet die IT- Security-Website Zone-H.org einen massiven Anstieg an gehackten dänischen Webseiten. 17

18 2. Das Netzwerk diejenigen, die das Netzwerk konfigurieren können, können bereits sehr früh zentrale Vorkehrungen treffen nur der Webserver muss von außen erreichbar sein nur auf Ports (?) 22 (???) alles andere noch besser geschützt/blockieren 18

19 getrennte Netze Verteilung der Rechner auf verschiedene Netze Firewall 1 DMZ Webserver Client Applikations -Server Firewall 2 internes Netz Datenbank 19

20 3. Der Host Für diejenigen, die den Host selbst betreiben typische Grundregeln: nur die notwendigen Dienste betreiben!!! sendmail??? X??? nur die notwendigen Ports freigeben 80, 443, 22 BS Updaten Logfiles kontrollieren etc. Standard-Ports ändern (etwa Datenbank-Ports) 20

21 und welches Betriebssystem??? je nu, das sollen Sie sich selbst überlegen... 21

22 4. Der Webserver die Wahl des Webservers ist sehr wichtig Apache MS IIS...für die ganz mutigen... 22

23 23

24 24

25 also Apache... zunächst die Apache-Konfiguration üblicherweise die httpd.conf Default-Config ist oft brauchbar, aber niemals ideal Benutzerkennung für Apache-Dienst Verzeichnis-Baum für Webangebote Zugriffsrechte auf Verzeichnisse Script-Alias wie cgi-bin Directory-Listing 25

26 wer betreibt den Apache-Dienst?...hoffentlich nicht root! 26

27 wo liegen die Web- Dokumente? Konfiguration htdocs am besten ganz separat im Verzeichnisbaum keine (!!!) Systemdateien in diesem Verzeichnisbaum (Kennwortdateien über.htaccess auslagern) 27

28 Zugriffsrechte Apache regelt die Zugriffsrechte Ordner- oder Location-weise auch Dateiweise es kann viel konfiguriert werden: Zugriffsbeschränkung nach IP oder Name Directory-Listing erlauben/verbeiten Name der index.html Regelung von oben nach unten im Verzeichnisbaum 28

29 29

30 wo liegen die CGIs? üblich: Script-Alias cgi-bin separat von htdocs dieses Verzeichnis nicht lesend ausliefern dieses Verzeichnis für Suchmaschinen verbieten Testscripte entfernen 30

31 Administration für den Zugang zum Webserver: unverschlüsselte Protokolle vermeiden kein FTP, kein telnet SSH verwenden kein SSH mit Kennwort, nur mit Zertifikat 31

32 32

33 System Maintenence das System muss gewartet werden regelmäßig Apache-Updates einspielen genauso für Application Software wie PHP oder Java 33

34 Suchmaschinen Suchmaschinen sollten meistens nicht den gesamten Webserver durchsuchen dürfen Konfiguration über Datei robots.txt 34

35 HTTPS / SSL SSL mit Apache: mod_ssl von Ralf S. Engelschall mit openssl man sollte sich genau überlegen, ob HTTPS benötigt wird basiert meistens auf openssl, und das war in der Vergangenheit häufiges Einfallsloch 35

36 welche Apache-Module? Apache ist völlig modular aufgebaut Module können statisch (performanter) oder dynamisch (flexibler) eingebunden werden Warum Module einbinden, die man nicht braucht??? etwa: mod_cgi, mod_ssi,... 36

37 Informationen über den eigenen Server man sollte nicht unnötig viele Informationen über den eigenen Server veröffentlichen etwa folgende Angebote sperren: server_info server_status php_info 37

38 38

39 Highend: der DOS-Angriff DOS: Denial of Service große Anzahl von Zugriffen legen Serverdienst lahm verschiedene Abwehrstrategien, etwa Änderung der IP-Adresse (Microsoft) DDOS: Distributed Denial of Service 39

40 5. Die anderen Server Applikation-Server sind besonders anfällig CGI PHP J2EE Tomcat/JBoss/ Wordpress Forensoftware wie phpbb... 40

41 nur die notwendigen Dienste nur die notwenigen Dienste betrieben updaten besonders wichtig unnötige Beispielscripte entfernen phpinfo() nicht für alle veröffentlichen! 41

42 speziell PHP die Konfioguration in der php.ini kontrollieren register_globals = off belassen 42

43 6. Information ein echter Webserver kann nicht so mal nebenbei betrieben werden Kontrolle des Servers Updaten des Servers (BS, Webserver, Application, alles) Informieren über aktuelle Sicherheitslücken der Betrieb eines Webservers kostet Ressourcen 43

44 Quellen einiges nützliches: BSI Isabel Münch: Apache Webserver 44

45 45

46 do it yourself greifen Sie sich doch selbst an! durch geregelten Angriff von Außen kann man die eigenen Schwachstellen selbst erkennen Programme wie satan (Security Administrator's Tool for Analyzing Networks ) mit dem Netzwerkadmin bitte vorher absprechen... 46

47 SATAN Security Administrator Tool for Analyzing Networks "Improving the Security of Your Site by Breaking Into it" (Dan Farmer, Wietse Venema) letzte Version 1995 zahlreiche Weiterentwicklungen 47

48 ...und was macht Max Mustermann? Max kann nicht viel tun, aber immerhin: sichere Paßwörter sichere Protokolle (SSH), wenn vom Provider zugelassen nicht auf das Backup des Providers verlassen, sondern eigenes Backup aller Daten 48

49 weitere Topics SQL Injection generell immer alle Eingaben validieren XSS / XSRF Sandbox-Prinzip (Java <-> Javascript) Same Origin Policy Session Hijacking / Session fixation / Session besser mit Cookies als in Session ID in URL Cookies (Domainbezug) ARP Spoofing DNS Spoofing URL Spoofing 49

50 weitere Topics Ajax Security Flash security (z.b. Highscore ändern durch reverse engineering oder sniffing von http requests) Gefahr durch Referer (eine geheim gehaltene URL bleibt nicht geheim, wenn sie Links enthält) Buffer Overflow (z.b. Apache, PHP Interpreter) URL erraten (oft bzgl. downloadbarer Rechnungsdokumente, Übungslösungen) https / Einfache Zertifikate leicht zu erhalten / Sicherheitsmeldung bei selst-zertifizierten Zertifikaten wird oftmals ignoriert, obwohl sich ein Man-In-The-Middle Angriff auf genau diese Weise äußern würde Angreifer haben anders als am Geldautomat unendlich viele Versuche 50

51 ...habe fertig... An einem normalen Sonntag werden auf Zone- H zwischen und Seiten gemeldet. 51

52 und nun Haben wir einige Kernthemen zur Sicherheit kennen gelernt die wir nicht vergessen sollten! es folgt noch eine Zusammenfassung 52