Software Web Application Firewall bietet Schutz durch Kerberos-Zertifikate Der Höllenhund schützt auch Web- Anwendungen Klaus Jotz 09. Juli 2009, 15:34 Uhr In allen Rechenzentren nimmt die Anzahl der Microsoft-Systeme stetig zu. Dieser Tatsache tragen auch die Hersteller unterschiedlichster Sicherheitskomponenten Rechnung. So setzen sie auf bewährte Sicherheitsstandards wie Kerberos, die sich dann zusammen mit den Microsoft-Systemen einsetzen lassen. So sichert die hier vorstellte Web Application Firewall auf dieser Weise zum Beispiel alle ankommenden Verbindungen zu den Web- Servern eines Netzwerks. Bild 1. Der Authentisierungsprozess im Überblick: Dieser sollte sich an der Art, der Rolle, dem Ursprung und vor Dingen an der Intention des jeweiligen Benutzerkreises orientieren Web-Anwendungen stellen heute häufig einen wesentlichen Erfolgsfaktor dar, wenn es um Geschäftsbeziehungen zwischen Unternehmen. Durch sie wird eine Vielzahl von Informationen bereitgestellt, auf die Mitarbeiter, Kunden und Partner rund um die Uhr möglichst reibungslos zugreifen müssen. Deshalb zählen sie zu den wichtigsten und gleichzeitig empfindlichsten IT-Diensten, zumal die dort angebotenen Daten nicht nur für freundlich gesinnte Nutzer interessant sind. Gerade die vernetzten Geschäftsanwendungen bilden ein attraktives Portal für den Zugriff auf die wertvollen Prozesse und Informationen eines Unternehmens. Zwar haben die Sicherheitsfachleute ihre Netzwerke mittlerweile sehr
gut abgesichert und ein physisch realer Einbruch ins Firmengebäude findet kaum mehr statt, doch wie sieht es mit den Anwendungen, speziell den Web-Anwendungen, aus? Moderne Zeiten: Angriffe werden Site-spezifisch Die meisten Angriffe auf Web-Anwendungen tragen heute Site-spezifischen Charakter. Früher analysierten die Angreifer publizierte Schwachstellen, entwickelten dann die Exploits dafür und suchten anschließend die Opfer, auf die sie diese Exploits schließlich anwenden konnten. Bei einem modernen Site-spezifischen Angriff besitzt der Angreifer bereits ein genau definiertes Ziel: Es geht ihm nämlich darum, die Daten eines bestimmten Unternehmens zu stehlen oder dort entsprechendes Chaos zu verursachen. Die dahinter stehende Motivation besitzt damit eine ganz andere, vornehmlich rein kommerzielle oder kriminelle Qualität. Hier geht es um den gewinnbringenden Verkauf unternehmensinterner Daten, Wirtschaftsspionage oder sogar Erpressung. So suchen die Täter beispielsweise mittels Reverse-Engineering die Schwachstellen im IT-System seines Opfers, die sie für seinen Angriff nutzen können. Im Falle der Web-Anwendungen werden diese Schwachstellen leider nur selten durch die Signatur-Listen der IT-Security-Anwendungen abgedeckt. Für die Unternehmen bedeutet dies, dass sie sich dieser neuen Situation mit entsprechenden Maßnahmen anpassen müssen, um ihre Systeme effektiv zu schützen. Das mittlerweile größte Gefahrenpotenzial bildet die steigende Zahl von Webschnittstellen, Web-Anwendungen und Webdiensten, die den Datenaustausch und die Kommunikation erheblich vereinfachen. Ihre eigentliche Aufgabe besteht darin, gewisse Daten für einen bestimmten Anwenderkreis bereit zu stellen. Dafür gibt es Bibliotheken, die auf die Datenbank oder die entsprechenden Schnittstellen zugreifen. Oftmals ist ein Angreifer hier nur eine einzige Login-Seite von den tatsächlich begehrten Daten entfernt. Eine Gefahr: Web-Anwendungen werden häufig nicht ausreichend gepflegt Selten genug werden die Web-Anwendungen allerdings sorgfältig gepflegt und überwacht. Damit öffnen die Verantwortlichen Tür und Tor für Angriffe von jenseits des Unternehmens. Sicherheitslöcher werden von außen gezielt gesucht und mit hoher Wahrscheinlichkeit auch gefunden. Ein typisches Beispiel ist die so genannte SQL-Injektion. Sie ist zwar seit vielen Jahren ein bekanntes Problem, das auch bei den Software-Entwicklern zu bewussterem Programmieren geführt hat. Trotzdem steht sie noch immer mit an oberster Stelle der Angriffsszenarien. Nach wie vor lassen sich sehr viele produktive Anwendungen über diese Methode attackieren, wenn auch nicht mehr durch ein einzelnes Eingabefeld in einem Formular. Es gibt eine Vielzahl von Varianten, wie ein Angreifer diese Technik einsetzen kann. Oftmals stecken die manipulierbaren Schwachstellen sehr viel tiefer in der Anwendung und sind sowohl Entwicklern als auch Sicherheitsspezialisten nicht ohne weiteres offensichtlich. Erhält ein Angreifer mit dieser Methode Zugriff auf die Datenbank eines Unternehmens, so kann er deren Inhalte problemlos und vor allen Dingen unbemerkt auslesen. Selbst wenn das Unternehmen irgendwann diese Schwachstelle erkennt und schließt, kann der Administrator dann nicht mit Sicherheit sagen, ob die Sicherheitslücke bereits genutzt wurde oder nicht. Hier hinterlassen Angreifer äußerst selten ihre Spuren, denn es funktioniert noch alles wie gewohnt und die Daten befinden sich weiterhin dort, wo sie schon immer lagen. Sie werden ja nur elektronisch kopiert und die Zugriffe sehen in den Protokollen nicht anders aus als übliche Anwendungsanfragen, es sei denn sie treten zu absurden Zeitpunkten oder mit unbekannten Zugriffskonten auf. Das ist der entscheidende Unterschied zu einem physikalisch geknackten Safe. Etwas anders sieht es aus, wenn der Angreifer die Daten manipuliert, beispielsweise zum Zwecke einer falschen Transaktion.
Eine weitere effektive Angriffsmethode bietet sich mit Cross-Site-Scripting. Damit kann der Angreifer relativ einfach neu initiierte Sitzungen übernehmen oder falsche Informationen und Javascript-Code verteilen, die er später zum Ausspähen wichtiger Daten verwendet. Zusätzliche Sicherheitsschicht durch vorgelagerte Authentifizierung Die fundamentale Frage für Sicherheitsadministratoren dreht sich nun darum, mit wem und mit welcher Bedrohung es das Unternehmen zu tun hat. Eine Web-Anwendung wird nur dann wirklich sicher, wenn vor der Zugriffsgenehmigung genau geprüft wird, wer mit welcher Methode Informationen abfragt. Das Prinzip ist einfach: Die Eingangskontrolle muss vor der Tür erfolgen, nicht erst im Haus selbst. Für Webapplikationen heißt dies, dass die Authentifizierung vorgelagert und somit getrennt von der eigentlichen Webanwendung erfolgt. Auf diese Weise lassen sich die anonymen Verbindungsversuche zu den Webservern unterbinden. Das entlastet die eigentliche Anwendung, da die Anzahl der potenziellen Angreifer bereits an vorgelagerter Stelle dramatisch reduziert wird. Mit einer Web Application Firewall (WAF) können die Administratoren solch eine vorgelagerte Authentifizierung erzwingen (so genanntes Authentication Enforcement) und die Prüfung selbst an den jeweiligen Authentisierungsdienst delegieren. Die Art dieses Prozesses spielt dabei keine Rolle. Diese Systeme sind so flexibel, dass sie in der Regel sogar mit unterschiedlichen Authentisierungsvarianten und Benutzerverzeichnissen parallel arbeiten. Dies gilt auch für kundenspezifische IAM-Systeme (Identity Access Management). Eine solche WAF, die auch als Reverse-Proxy-Server agiert und dabei alle Zugriffe auf die betreffenden Web-Anwendungen durch sich hindurch leitet, ist airlock von phion. Der Hersteller bezeichnet das System auch als Secure Entry Server geprägt. Dieses soll es den Administratoren ermöglichen, an einem strategisch neuralgischen Punkt in der Architektur den gesamten Zugriff auf die Web-Anwendungen effektiv und effizient umzusetzen und kontrollierbar zu machen. Wache am Eingang: WAF-System überprüft mit Kerberos Neu ist in diesem System die Kerberos- und SSO (Single Sign On)-Integration, die für die aktuelle Version der Lösung als Update zur Verfügung steht. Damit können die Administratoren völlig entkoppelt von der Microsoft-Authentifizierung eine vorgelagerte Authentifizierung erzwingen, um beispielsweise einen SharePoint-Server über LDAP abzusichern. SharePoint ist ein typisches Beispiel für eine Web-Anwendung, die auf diese Weise geschützt werden kann. Ein derartiger Server steht in der Regel sehr weit vorne in der Zugriffshierarchie der Unternehmen und bietet auch die entsprechenden Schnittstellen für die unterschiedlichen Zugriffsvarianten. Durch die vorgelagerte Authentifizierung hat ein Unternehmen die Möglichkeit, ausschließlich stark authentisierte Benutzer auf den jeweiligen Server zugreifen zu lassen, ohne dass ein Administrator dazu alle nur möglichen Filter am SharePoint-Server konfigurieren muss. Die Administratoren haben mit dieser WAF die Möglichkeit, ihr Szenario so aufzubauen, dass die zur sicheren Verbindung mit den Web-Anwendungen erforderlichen Kerberos- Tickets durch die WAF-Lösung selbst zur Verfügung gestellt werden. Dazu holt sich die WAF zunächst vom Domänen-Controller ein entsprechendes Kerberos-Ticket. Jedes Zielsystem, das mit Kerberos arbeiten kann und auf das ein Zugriff erfolgen soll, erhält dabei von airlock ein solches Kerberos-Ticket. Dieses liefert die WAF dann beim Zugriff auf die Webanwendung mit. Der zugreifende Client bleibt bei diesem Prozess der Kerberos- Ticketvergabe vollständig außen vor. Zusätzliche Schnittstellen für die Implementierung werden nicht mehr benötigt.
Die eigentliche Prüfung der Zugriffsberechtigung eines Nutzers führt damit nicht mehr die Webanwendung selbst aus, sondern das vorgelagerte WAF-System. Hier wird auch die Entscheidung über die jeweils zulässigen Zugriffe anhand der Identifizierung des Benutzers gefällt. Dazu kann ein Active Directory (AD) dienen, über das die Authentifizierung sicher gestellt wird und das zusätzlich Informationen zu den Rollen des betreffenden Benutzers bietet. Jeder Anwender kommuniziert dann zwar von seinem System aus mit der Lösung, erkennt dies aber nicht als vorgeschaltete Sicherheitsstufe. Solange er sich nicht als berechtigt ausgewiesen hat, verwehrt ihm das Sicherheitssystem den Zugriff auf die nachfolgenden Server. Erst nach einer erfolgreichen Authentifizierung werden die dem Benutzer oder seinen Rollen entsprechenden Berechtigungen in die Sitzung integriert, wodurch er Zugriff auf bestimmte Systeme, Anwendungen oder Bereiche erhält. Bei jeder Anfrage steht dann von vornherein fest, ob sie zulässig ist oder nicht. Variabel: Die Authentifizierung kann auf verschiedene Weise erfolgen Die Authentifizierung kann aber auch mit Zertifikaten, Token oder anderen Methoden erfolgen. Anschließend hält das Produkt die Benutzersitzung mit den Berechtigungen aufrecht und verfügt über die exakten Informationen, worauf der jeweilige Benutzer zugreifen darf. Der Anwender erhält schließlich einen reibungslosen Zugang auf das gewünschte System, ohne von diesem Vorgang etwas zu bemerken. Dabei wird nicht mehr jeder Benutzer einzeln bei den Web-Anwendungen angemeldet, dies ist bereits durch das Kerberos-Ticket geschehen ist. Ein Vorgang, der mit der jeweiligen Sitzung fest verbunden ist. Hat der Benutzer die Sitzung beendet oder nach einem voreinstellbaren Zeitraum der Inaktivität, verfallen die Kerberos-Tickets und die WAF führt eine entsprechende Abmeldung durch. Während einer laufenden Sitzung prüft die WAF die vom Benutzer an den Zielserver gesendeten Anfragen mit allen Filterstufen. Diese Filter operieren beispielsweise auf der Antwortebene, um Meldungen wie SQL-, Java- oder.net-fehler über entsprechende Muster zu erkennen. Solche Informationen werden nicht ausgeliefert, da sie für potenziell gefährliche Angriffe nutzbare Informationen enthalten können. Deshalb leitet das System auch nicht automatisch die Cookies der Webanwendung an den Browser des Benutzer- Clients weiter. Diese bleiben im Cookie-Speicher der WAF. Diese sendet dann nur verschlüsselte Sitzungs-Cookies an die Benutzer-Browser, die wiederum lediglich für den Zeitraum der Sitzung gültig sind. Sollen bestimmte Informationen dauerhaft auf dem Client gespeichert werden, besteht auch die Möglichkeit, diese Cookies auf dem Weg zum Browser zu verschlüsseln. Diese Cookies wiederstehen dann Manipulationsversuchen, da sie über eine Signatur gesichert sind. Zwar enthält airlock-lösung selbst kein DLP (Data Loss Prevention), um das unerlaubte Herunterladen von Dokumenten zu unterbinden, bietet aber eine ICAP-Schnittstelle, über die ein Administrator den entsprechenden Filter eines anderen Herstellers anschließen kann. Solche Lösungen sollten sich generell bereits in den Unternehmen befinden, denn DLP umfasst ja unter anderem auch die Überwachung des E-Mail-Verkehrs oder die Speicherung von Daten auf Wechselmedien. Darüber hinaus stellt die WAF ein Plugin für die Transaktionssignierung, eine Vielzahl von Filtern auf den unterschiedlichen Ebenen, ein Modul zur SOAP/XML-Validierung, und den neuen PCI DSS (Payment Card Industry Data Security Standard) zur Verfügung. Informationen zur weiteren Funktionalität und Lizensierung der airlock Web Application Firewall sind unter www.phion.com zu finden (Windows IT Pro/ fms). Weitere Bilder zum Artikel
Bild 2. Der Web-Application-Firewall- Kern in der Skizze: Er bildet als Software die Basis des gesamten Systems, in das in einer darüber liegenden Schicht die jeweils erforderlichen Komponenten als Add-On integriert sind. Bild 3. Der Ablauf in der Übersicht: Jede Sitzungsanfrage muss zunächst das Authentication Enforcement Module passieren, das die den Web-Anwendungen vorgelagerte Authentisierung erzwingt und mit zusätzlichen Überprüfungssystemen zusammenarbeiten kann.