Der Höllenhund schützt auch Web- Anwendungen



Ähnliche Dokumente
Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

OP-LOG

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

ANYWHERE Zugriff von externen Arbeitsplätzen

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

5. Testen ob TLS 1.0 auf Ihrem System im Internet-Explorer fehlerfrei funktioniert

SharePoint Demonstration

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

Business Application Framework für SharePoint Der Kern aller PSC-Lösungen

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Lizenzen auschecken. Was ist zu tun?

Hinweise zum Update des KPP Auswahltools (Netzwerkinstallation) auf Version 7.2

FTP-Leitfaden RZ. Benutzerleitfaden

Benutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.

Firewalls für Lexware Info Service konfigurieren

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Guide DynDNS und Portforwarding

estos UCServer Multiline TAPI Driver

Lizenzierung von SharePoint Server 2013

Sparkasse Duisburg. versenden aber sicher! Sichere . Anwendungsleitfaden für Kunden

Lizenzierung von SharePoint Server 2013

(1) Mit dem Administrator Modul werden die Datenbank, Gruppen, Benutzer, Projekte und sonstige Aufgaben verwaltet.

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

CLX.Sentinel Kurzanleitung

Internet online Update (Internet Explorer)

Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing

Installation OMNIKEY 3121 USB

robotron*e count robotron*e sales robotron*e collect Anmeldung Webkomponente Anwenderdokumentation Version: 2.0 Stand:

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Clientkonfiguration für Hosted Exchange 2010

Lizenzierung von Windows Server 2012

Wählen Sie bitte START EINSTELLUNGEN SYSTEMSTEUERUNG VERWALTUNG und Sie erhalten unter Windows 2000 die folgende Darstellung:

Firewalls für Lexware Info Service konfigurieren

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

Windows 7: Neue Funktionen im praktischen Einsatz - Die neue Taskleiste nutzen

Arbeiten mit dem neuen WU Fileshare unter Windows 7

Windows 10 Sicherheit im Überblick

Einspielanleitung für das Update DdD Cowis backoffice DdD Cowis pos

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

HTBVIEWER INBETRIEBNAHME

2. Einrichtung der ODBC-Schnittstelle aus orgamax (für 32-bit-Anwendungen)

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Über die Internetseite Hier werden unter Download/aktuelle Versionen die verschiedenen Module als zip-dateien bereitgestellt.

Zwischenablage (Bilder, Texte,...)

S Sparkasse Hohenlohekreis. Leitfaden zu Secure

Tipps und Tricks zur Installation von Java-basierten Programmen auf Handys

Suche schlecht beschriftete Bilder mit Eigenen Abfragen

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version Deutsch

Einrichten des IIS für VDF WebApp. Einrichten des IIS (Internet Information Server) zur Verwendung von Visual DataFlex Web Applications

.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage

Informationen zum neuen Studmail häufige Fragen

Windows 8 Lizenzierung in Szenarien

Monatstreff für Menschen ab 50 Temporäre Dateien / Browserverlauf löschen / Cookies

Um ein solches Dokument zu erzeugen, muss eine Serienbriefvorlage in Word erstellt werden, das auf die von BüroWARE erstellte Datei zugreift.

Spotlight 5 Gründe für die Sicherung auf NAS-Geräten

Tutorial: Wie nutze ich den Mobile BusinessManager?

SANDBOXIE konfigurieren

Installationsanweisung Gruppenzertifikat

Step by Step Webserver unter Windows Server von Christian Bartl

COMPUTER MULTIMEDIA SERVICE

Externe Authentifizierung. Externe Authentifizierung IACBOX.COM. Version Deutsch

Wichtige Hinweise zu den neuen Orientierungshilfen der Architekten-/Objektplanerverträge

Installationsanleitung CLX.PayMaker Home

Den Durchblick haben. VOLKSBANK BAD MÜNDER eg. Online aber sicher: Unsere Produkt- und Sicherheitshotline hilft und informiert

Überprüfung der digital signierten E-Rechnung

Installationsanleitung für CashPro im Mehrbenutzerzugriff/Netzwerkbetrieb

icloud nicht neu, aber doch irgendwie anders

Reporting Services und SharePoint 2010 Teil 1

Datenbank-Verschlüsselung mit DbDefence und Webanwendungen.

Mit jedem Client, der das Exchange Protokoll beherrscht (z.b. Mozilla Thunderbird mit Plug- In ExQulla, Apple Mail, Evolution,...)

Internet Explorer Version 6

Installationsanleitung SSL Zertifikat

Kompatibilitätsmodus und UAC

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Synchronisations- Assistent

FrogSure Installation und Konfiguration

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Thema: Microsoft Project online Welche Version benötigen Sie?

Virtual Private Network

Anleitung zur Nutzung des SharePort Utility

Das große ElterngeldPlus 1x1. Alles über das ElterngeldPlus. Wer kann ElterngeldPlus beantragen? ElterngeldPlus verstehen ein paar einleitende Fakten

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

Öffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:

Zur Bestätigung wird je nach Anmeldung (Benutzer oder Administrator) eine Meldung angezeigt:

Anleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH

Wiederherstellen der Beispieldatenbanken zum Buch Microsoft Project 2010

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten

Windows Small Business Server (SBS) 2008

Bedienungsanleitung für den SecureCourier

pro4controlling - Whitepaper [DEU] Whitepaper zur CfMD-Lösung pro4controlling Seite 1 von 9

Drägerware.ZMS/FLORIX Hessen

Ablaufbeschreibung für das neu Aufsetzen von Firebird und Interbase Datenbanken mit der IBOConsole

Projektmanagement in der Spieleentwicklung

Lokale Installation von DotNetNuke 4 ohne IIS

Gruppenrichtlinien und Softwareverteilung

Transkript:

Software Web Application Firewall bietet Schutz durch Kerberos-Zertifikate Der Höllenhund schützt auch Web- Anwendungen Klaus Jotz 09. Juli 2009, 15:34 Uhr In allen Rechenzentren nimmt die Anzahl der Microsoft-Systeme stetig zu. Dieser Tatsache tragen auch die Hersteller unterschiedlichster Sicherheitskomponenten Rechnung. So setzen sie auf bewährte Sicherheitsstandards wie Kerberos, die sich dann zusammen mit den Microsoft-Systemen einsetzen lassen. So sichert die hier vorstellte Web Application Firewall auf dieser Weise zum Beispiel alle ankommenden Verbindungen zu den Web- Servern eines Netzwerks. Bild 1. Der Authentisierungsprozess im Überblick: Dieser sollte sich an der Art, der Rolle, dem Ursprung und vor Dingen an der Intention des jeweiligen Benutzerkreises orientieren Web-Anwendungen stellen heute häufig einen wesentlichen Erfolgsfaktor dar, wenn es um Geschäftsbeziehungen zwischen Unternehmen. Durch sie wird eine Vielzahl von Informationen bereitgestellt, auf die Mitarbeiter, Kunden und Partner rund um die Uhr möglichst reibungslos zugreifen müssen. Deshalb zählen sie zu den wichtigsten und gleichzeitig empfindlichsten IT-Diensten, zumal die dort angebotenen Daten nicht nur für freundlich gesinnte Nutzer interessant sind. Gerade die vernetzten Geschäftsanwendungen bilden ein attraktives Portal für den Zugriff auf die wertvollen Prozesse und Informationen eines Unternehmens. Zwar haben die Sicherheitsfachleute ihre Netzwerke mittlerweile sehr

gut abgesichert und ein physisch realer Einbruch ins Firmengebäude findet kaum mehr statt, doch wie sieht es mit den Anwendungen, speziell den Web-Anwendungen, aus? Moderne Zeiten: Angriffe werden Site-spezifisch Die meisten Angriffe auf Web-Anwendungen tragen heute Site-spezifischen Charakter. Früher analysierten die Angreifer publizierte Schwachstellen, entwickelten dann die Exploits dafür und suchten anschließend die Opfer, auf die sie diese Exploits schließlich anwenden konnten. Bei einem modernen Site-spezifischen Angriff besitzt der Angreifer bereits ein genau definiertes Ziel: Es geht ihm nämlich darum, die Daten eines bestimmten Unternehmens zu stehlen oder dort entsprechendes Chaos zu verursachen. Die dahinter stehende Motivation besitzt damit eine ganz andere, vornehmlich rein kommerzielle oder kriminelle Qualität. Hier geht es um den gewinnbringenden Verkauf unternehmensinterner Daten, Wirtschaftsspionage oder sogar Erpressung. So suchen die Täter beispielsweise mittels Reverse-Engineering die Schwachstellen im IT-System seines Opfers, die sie für seinen Angriff nutzen können. Im Falle der Web-Anwendungen werden diese Schwachstellen leider nur selten durch die Signatur-Listen der IT-Security-Anwendungen abgedeckt. Für die Unternehmen bedeutet dies, dass sie sich dieser neuen Situation mit entsprechenden Maßnahmen anpassen müssen, um ihre Systeme effektiv zu schützen. Das mittlerweile größte Gefahrenpotenzial bildet die steigende Zahl von Webschnittstellen, Web-Anwendungen und Webdiensten, die den Datenaustausch und die Kommunikation erheblich vereinfachen. Ihre eigentliche Aufgabe besteht darin, gewisse Daten für einen bestimmten Anwenderkreis bereit zu stellen. Dafür gibt es Bibliotheken, die auf die Datenbank oder die entsprechenden Schnittstellen zugreifen. Oftmals ist ein Angreifer hier nur eine einzige Login-Seite von den tatsächlich begehrten Daten entfernt. Eine Gefahr: Web-Anwendungen werden häufig nicht ausreichend gepflegt Selten genug werden die Web-Anwendungen allerdings sorgfältig gepflegt und überwacht. Damit öffnen die Verantwortlichen Tür und Tor für Angriffe von jenseits des Unternehmens. Sicherheitslöcher werden von außen gezielt gesucht und mit hoher Wahrscheinlichkeit auch gefunden. Ein typisches Beispiel ist die so genannte SQL-Injektion. Sie ist zwar seit vielen Jahren ein bekanntes Problem, das auch bei den Software-Entwicklern zu bewussterem Programmieren geführt hat. Trotzdem steht sie noch immer mit an oberster Stelle der Angriffsszenarien. Nach wie vor lassen sich sehr viele produktive Anwendungen über diese Methode attackieren, wenn auch nicht mehr durch ein einzelnes Eingabefeld in einem Formular. Es gibt eine Vielzahl von Varianten, wie ein Angreifer diese Technik einsetzen kann. Oftmals stecken die manipulierbaren Schwachstellen sehr viel tiefer in der Anwendung und sind sowohl Entwicklern als auch Sicherheitsspezialisten nicht ohne weiteres offensichtlich. Erhält ein Angreifer mit dieser Methode Zugriff auf die Datenbank eines Unternehmens, so kann er deren Inhalte problemlos und vor allen Dingen unbemerkt auslesen. Selbst wenn das Unternehmen irgendwann diese Schwachstelle erkennt und schließt, kann der Administrator dann nicht mit Sicherheit sagen, ob die Sicherheitslücke bereits genutzt wurde oder nicht. Hier hinterlassen Angreifer äußerst selten ihre Spuren, denn es funktioniert noch alles wie gewohnt und die Daten befinden sich weiterhin dort, wo sie schon immer lagen. Sie werden ja nur elektronisch kopiert und die Zugriffe sehen in den Protokollen nicht anders aus als übliche Anwendungsanfragen, es sei denn sie treten zu absurden Zeitpunkten oder mit unbekannten Zugriffskonten auf. Das ist der entscheidende Unterschied zu einem physikalisch geknackten Safe. Etwas anders sieht es aus, wenn der Angreifer die Daten manipuliert, beispielsweise zum Zwecke einer falschen Transaktion.

Eine weitere effektive Angriffsmethode bietet sich mit Cross-Site-Scripting. Damit kann der Angreifer relativ einfach neu initiierte Sitzungen übernehmen oder falsche Informationen und Javascript-Code verteilen, die er später zum Ausspähen wichtiger Daten verwendet. Zusätzliche Sicherheitsschicht durch vorgelagerte Authentifizierung Die fundamentale Frage für Sicherheitsadministratoren dreht sich nun darum, mit wem und mit welcher Bedrohung es das Unternehmen zu tun hat. Eine Web-Anwendung wird nur dann wirklich sicher, wenn vor der Zugriffsgenehmigung genau geprüft wird, wer mit welcher Methode Informationen abfragt. Das Prinzip ist einfach: Die Eingangskontrolle muss vor der Tür erfolgen, nicht erst im Haus selbst. Für Webapplikationen heißt dies, dass die Authentifizierung vorgelagert und somit getrennt von der eigentlichen Webanwendung erfolgt. Auf diese Weise lassen sich die anonymen Verbindungsversuche zu den Webservern unterbinden. Das entlastet die eigentliche Anwendung, da die Anzahl der potenziellen Angreifer bereits an vorgelagerter Stelle dramatisch reduziert wird. Mit einer Web Application Firewall (WAF) können die Administratoren solch eine vorgelagerte Authentifizierung erzwingen (so genanntes Authentication Enforcement) und die Prüfung selbst an den jeweiligen Authentisierungsdienst delegieren. Die Art dieses Prozesses spielt dabei keine Rolle. Diese Systeme sind so flexibel, dass sie in der Regel sogar mit unterschiedlichen Authentisierungsvarianten und Benutzerverzeichnissen parallel arbeiten. Dies gilt auch für kundenspezifische IAM-Systeme (Identity Access Management). Eine solche WAF, die auch als Reverse-Proxy-Server agiert und dabei alle Zugriffe auf die betreffenden Web-Anwendungen durch sich hindurch leitet, ist airlock von phion. Der Hersteller bezeichnet das System auch als Secure Entry Server geprägt. Dieses soll es den Administratoren ermöglichen, an einem strategisch neuralgischen Punkt in der Architektur den gesamten Zugriff auf die Web-Anwendungen effektiv und effizient umzusetzen und kontrollierbar zu machen. Wache am Eingang: WAF-System überprüft mit Kerberos Neu ist in diesem System die Kerberos- und SSO (Single Sign On)-Integration, die für die aktuelle Version der Lösung als Update zur Verfügung steht. Damit können die Administratoren völlig entkoppelt von der Microsoft-Authentifizierung eine vorgelagerte Authentifizierung erzwingen, um beispielsweise einen SharePoint-Server über LDAP abzusichern. SharePoint ist ein typisches Beispiel für eine Web-Anwendung, die auf diese Weise geschützt werden kann. Ein derartiger Server steht in der Regel sehr weit vorne in der Zugriffshierarchie der Unternehmen und bietet auch die entsprechenden Schnittstellen für die unterschiedlichen Zugriffsvarianten. Durch die vorgelagerte Authentifizierung hat ein Unternehmen die Möglichkeit, ausschließlich stark authentisierte Benutzer auf den jeweiligen Server zugreifen zu lassen, ohne dass ein Administrator dazu alle nur möglichen Filter am SharePoint-Server konfigurieren muss. Die Administratoren haben mit dieser WAF die Möglichkeit, ihr Szenario so aufzubauen, dass die zur sicheren Verbindung mit den Web-Anwendungen erforderlichen Kerberos- Tickets durch die WAF-Lösung selbst zur Verfügung gestellt werden. Dazu holt sich die WAF zunächst vom Domänen-Controller ein entsprechendes Kerberos-Ticket. Jedes Zielsystem, das mit Kerberos arbeiten kann und auf das ein Zugriff erfolgen soll, erhält dabei von airlock ein solches Kerberos-Ticket. Dieses liefert die WAF dann beim Zugriff auf die Webanwendung mit. Der zugreifende Client bleibt bei diesem Prozess der Kerberos- Ticketvergabe vollständig außen vor. Zusätzliche Schnittstellen für die Implementierung werden nicht mehr benötigt.

Die eigentliche Prüfung der Zugriffsberechtigung eines Nutzers führt damit nicht mehr die Webanwendung selbst aus, sondern das vorgelagerte WAF-System. Hier wird auch die Entscheidung über die jeweils zulässigen Zugriffe anhand der Identifizierung des Benutzers gefällt. Dazu kann ein Active Directory (AD) dienen, über das die Authentifizierung sicher gestellt wird und das zusätzlich Informationen zu den Rollen des betreffenden Benutzers bietet. Jeder Anwender kommuniziert dann zwar von seinem System aus mit der Lösung, erkennt dies aber nicht als vorgeschaltete Sicherheitsstufe. Solange er sich nicht als berechtigt ausgewiesen hat, verwehrt ihm das Sicherheitssystem den Zugriff auf die nachfolgenden Server. Erst nach einer erfolgreichen Authentifizierung werden die dem Benutzer oder seinen Rollen entsprechenden Berechtigungen in die Sitzung integriert, wodurch er Zugriff auf bestimmte Systeme, Anwendungen oder Bereiche erhält. Bei jeder Anfrage steht dann von vornherein fest, ob sie zulässig ist oder nicht. Variabel: Die Authentifizierung kann auf verschiedene Weise erfolgen Die Authentifizierung kann aber auch mit Zertifikaten, Token oder anderen Methoden erfolgen. Anschließend hält das Produkt die Benutzersitzung mit den Berechtigungen aufrecht und verfügt über die exakten Informationen, worauf der jeweilige Benutzer zugreifen darf. Der Anwender erhält schließlich einen reibungslosen Zugang auf das gewünschte System, ohne von diesem Vorgang etwas zu bemerken. Dabei wird nicht mehr jeder Benutzer einzeln bei den Web-Anwendungen angemeldet, dies ist bereits durch das Kerberos-Ticket geschehen ist. Ein Vorgang, der mit der jeweiligen Sitzung fest verbunden ist. Hat der Benutzer die Sitzung beendet oder nach einem voreinstellbaren Zeitraum der Inaktivität, verfallen die Kerberos-Tickets und die WAF führt eine entsprechende Abmeldung durch. Während einer laufenden Sitzung prüft die WAF die vom Benutzer an den Zielserver gesendeten Anfragen mit allen Filterstufen. Diese Filter operieren beispielsweise auf der Antwortebene, um Meldungen wie SQL-, Java- oder.net-fehler über entsprechende Muster zu erkennen. Solche Informationen werden nicht ausgeliefert, da sie für potenziell gefährliche Angriffe nutzbare Informationen enthalten können. Deshalb leitet das System auch nicht automatisch die Cookies der Webanwendung an den Browser des Benutzer- Clients weiter. Diese bleiben im Cookie-Speicher der WAF. Diese sendet dann nur verschlüsselte Sitzungs-Cookies an die Benutzer-Browser, die wiederum lediglich für den Zeitraum der Sitzung gültig sind. Sollen bestimmte Informationen dauerhaft auf dem Client gespeichert werden, besteht auch die Möglichkeit, diese Cookies auf dem Weg zum Browser zu verschlüsseln. Diese Cookies wiederstehen dann Manipulationsversuchen, da sie über eine Signatur gesichert sind. Zwar enthält airlock-lösung selbst kein DLP (Data Loss Prevention), um das unerlaubte Herunterladen von Dokumenten zu unterbinden, bietet aber eine ICAP-Schnittstelle, über die ein Administrator den entsprechenden Filter eines anderen Herstellers anschließen kann. Solche Lösungen sollten sich generell bereits in den Unternehmen befinden, denn DLP umfasst ja unter anderem auch die Überwachung des E-Mail-Verkehrs oder die Speicherung von Daten auf Wechselmedien. Darüber hinaus stellt die WAF ein Plugin für die Transaktionssignierung, eine Vielzahl von Filtern auf den unterschiedlichen Ebenen, ein Modul zur SOAP/XML-Validierung, und den neuen PCI DSS (Payment Card Industry Data Security Standard) zur Verfügung. Informationen zur weiteren Funktionalität und Lizensierung der airlock Web Application Firewall sind unter www.phion.com zu finden (Windows IT Pro/ fms). Weitere Bilder zum Artikel

Bild 2. Der Web-Application-Firewall- Kern in der Skizze: Er bildet als Software die Basis des gesamten Systems, in das in einer darüber liegenden Schicht die jeweils erforderlichen Komponenten als Add-On integriert sind. Bild 3. Der Ablauf in der Übersicht: Jede Sitzungsanfrage muss zunächst das Authentication Enforcement Module passieren, das die den Web-Anwendungen vorgelagerte Authentisierung erzwingt und mit zusätzlichen Überprüfungssystemen zusammenarbeiten kann.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback