© arfo, Fotolia.com
Modsecurity schützt Zugriffe und Antworten von Webservern
Häuptling in Rüstung
von Sebastian Wolfgarten
Erschienen im Linux-Magazin
2010/01
Auch sicher konfigurierte und aktuell gehaltene Webserver sind durch Schwachstellen in einer Webapplikation kompromittierbar. Modsecurity ist eine Apache-Erweiterung, die als Web Application Firewall den Webserver vor Einbrüchen schützt.
Sicherheitsprobleme im Web beruhen in der Regel nicht mehr auf der Konfiguration oder der Aktualität ihrer Serversoftware. Tomcat, Apache und selbst der IIS haben in den letzten Jahren eine hohe Reife erzielt, sodass sie kaum über nennenswerte Schwachstellen verfügen - wenn auch Ausnahmen die Regel bestätigen. Diese Entwicklung bringt die Angreifer dazu, ihr Interesse auf die dort laufenden Webapplikationen und Skripte zu richten.
Immer neue Nutzeranforderungen machen Webapplikationen komplexer: Ajax, Interaktion mit externen Datenbanken, Backend-Schnittstellen und Verzeichnisdienste gehören schon zum Standardumfang einer modernen Anwendung. Mit dieser Entwicklung wächst die mögliche Angriffsfläche (siehe Kasten "Attacken auf Webserver").
|
Verglichen mit lokalen Anwendungen sind Webapplikationen deshalb so verletzlich, weil sehr viele verschiedene Komponenten vom Browser des Benutzers über die Infrastruktur des Internets hin zum Webserver des Anbieters und die dahinterliegenden Backends beteiligt sind. Überall können Schwachstellen auftreten. Zentral bleibt aber der Server.
Prüft er Benutzereingaben nur unzureichend und übergibt sie an eine im Hintergrund agierende Datenbank, so kann ein Angreifer mittels SQL Injection eigene Kommandos in die Befehlskette einspeisen. Das führt zu vielfältigen Konsequenzen: Ist er erst einmal in der Lage, unautorisiert Daten zu lesen, zu verändern oder zu löschen, gewinnt er großen Einfluss auf die Anwendung.
Erlaubt es die Anwendung dem Angreifer, Dateien auf dem Webserver abzulegen, die sich ihrerseits übers Web abrufen lassen, so konstruiert der Eindringling eine so genannte Webshell. Da der Server seine Dateien ausführt, kann er zunächst über Bande gespielte Betriebssystembefehle auf dem Webserver ausführen und schließlich auch interaktiven Shellzugriff erlangen. Der umfasst aufgrund der Architektur eines sorgsam konfigurierten Apache zwar keine Root-Rechte, aber oft sind die gar nicht nötig, um an die sensiblen Daten zu gelangen. Zusätzlich steigt mit der Zahl installierter Dienste die Chance für den Angreifer, einen zu entdecken, der verwundbar ist.
Angriff von innen
Insofern kompromittiert eine Schwachstelle in einer Webapplikation auch einen noch so sicher konfigurierten und aktuell gehaltenen Apache. Besonders heikel ist dieser Umstand, wenn der Server in einer Hosting-Umgebung steht, in der sich viele Kunden die Ressourcen eines echten Webservers teilen. Schutzmechanismen wie Virtualisierung oder Jails, trennen die einzelnen Instanzen zwar, aber die Sicherheit des Gesamtsystems hängt von der des schwächsten Glieds ab. Kann der Angreifer etwa einen Sniffer installieren, hört er sehr einfach die Passwort-Authentifizierung seiner Nachbarn ab, wenn die keine geeignete Verschlüsslung nutzen. Damit kommt der Angriff von innen, aus der unmittelbaren Umgebung des Betreibers.
Gerade Skriptsprachen und Frameworks wie PHP oder Ruby on Rails helfen Webentwicklern zwar schnell zu Ergebnissen zu kommen, verdecken aber oft die Gefahren, die damit einhergehen, wenn Sicherheit nicht den entsprechenden Raum erhält. Aber auch komplexere Umgebungen wie Java, Tomcat und Jboss helfen nur bedingt, da sie viele Aspekte vor dem Entwickler verstecken, der sie damit aus den Augen verliert. (S. Wolfgarten/N. Magnus)
|
Schutzwall fürs Web
Web Application Firewalls (WAFs) untersuchen Daten im Gegensatz zu klassischen Paketfiltern nicht auf der Netzwerk- oder Transportschicht, sondern auf Ebene des HTTP-Protokolls, also auf der OSI-Schicht 7 [1]. Sie verstehen das HTTP-Protokoll selbst. Dazu analysieren sie ein- und ausgehende Clientanfragen und Serverantworten, um auf Basis von Regeln zwischen gutartigen sowie bösartigen Anfragen zu unterscheiden. Gegebenenfalls ergreifen sie sogar Gegenmaßnahmen. Bei entsprechender Konfiguration untersucht die Software selbst verschlüsselte HTTPS-Verbindungen.
Jede Menge Zubehör
Während klassische Netzwerk-basierte Firewalls - überspitzt formuliert - entweder jede oder keine HTTP-Verbindung erlauben, so filtern WAFs also gezielt einzelne HTTP-Verbindungen auf Basis ihres Inhalts. Eine leistungsfähige Web Application Firewall für den Apache ist Modsecurity, ein komplexes Modul für den Apache Webserver, das ursprünglich Ivan Ristic entwickelt hat. Inzwischen kümmert sich das Unternehmen Breach Security um den Vertrieb und die weitere Entwicklung [2].
Die Software ist in zwei Varianten verfügbar. Zum einen gibt es eine Open-Source-Variante unter der GPLv2, außerdem eine kommerzielle Variante mit professionellem Support, vorkonfigurierten Appliances und Management-Konsolen. Modsecurity läuft unter Linux, Solaris, Free BSD, Open BSD, Net BSD, AIX und Windows, wobei die neueren Versionen jedoch nur für Apache 2.x verfügbar sind. Dieser Artikel beschreibt die Version 2.5.10, der nach Redaktionsschluss erschienene Nachfolger 2.5.11 enthält aber auch nur Bugfixes.
Der Funktionsumfang der Software ist enorm, aber umfassend dokumentiert [3]: Sie protokolliert HTTP-Anfragen und ermöglicht Admins feinen Zugriff auf einzelne Elemente einer Anfrage, etwa den Inhalt einer »POST«-Anfrage, detektiert in Echtzeit Angriffe auf Basis von positiven oder negativen Sicherheitsmodellen und erkennt Anomalien durch mitgelieferte Muster bekannter Schwachstellen.
Die mächtigen Regeln erkunden, ob sich Kreditkarten im Datenstrom befinden, oder verwehren mittels Geo IP Zugriffe aus bestimmten Regionen. Modsecurity prüft nicht nur eingehende Anfragen, sondern auch ausgehende Antworten des Servers. Die Software ist in der Lage, Chroot-Umgebungen zu implementieren. Als Reverse Proxy schützt er auch Webapplikationen auf anderen Webservern wie einem Tomcat oder IIS.
Breach liefert zudem zahlreicher Kernregeln mit, die den Grundschutz des Webservers gewährleisten. Umfangreiche Dokumentation, viele Beispiele und eine Mailingliste unterstützen die Benutzer. Modsecurity ist also ein geeignetes Mittel, um Webserver und ihre Anwendungen vor Schwachstellen zu schützen. Vor die mitunter sehr komplexe Konfiguration haben die Götter jedoch die Installation des Drittanbietermoduls gesetzt.
|
Ähnliche Artikel
|
|
Projekteküche
|
Neues aus der Welt der freien Software und ihrer Macher
|
|
Vollautomatik
|
Pentesting mit Metasploit und dem Autopwn-Modul
|
|
Tooltime
|
Die besten zehn Eclipse-Plugins
|
|
Fischen in der Logflut
|
Test: Security Information Management mit Neusecure
|
|
Türöffner
|
Service-orientierte Abbildung von Geschäftsprozessen mit freier Software
|
|
Selektive Wärme
|
Selbstbauprojekt: Linux steuert Wärmepumpe
|
| Whitepaper |
|---|
|
Open Source Datenintegration in der Praxis: Fallstudien und Anwendungsbeispiele (Folge 2)
Der zweite Teil des Open Source Datenintegration in der Praxis: Fallstudien und Anwendungsbeispiele White Papers beleuchtet anhand weiterer ausgewählter Case Studies die Implementierung von Open Source Datenintegration in der Praxis und benennt die daraus resultierenden Vorteile.
Download PDF (Registrierung erforderlich)
|
|
Usage Landscape Enterprise Open Source Data Integration
Die Nachfrage nach Datenintegrationslösungen für Unternehmen ist zunehmend gestiegen und vor allem das Interesse an Open Source Technologien wird immer größer. Doch wie und von wem werden Open Source Datenintegrationslösungen genutzt und welches Nutzungsverhalten lässt sich daraus ableiten? Das vorliegende White Paper präsentiert die Erfahrungswerte von über 1000 Open Source Nutzern und liefert fundierte Antworten auf diese Fragen.
Download PDF (Registrierung erforderlich)
|
Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links"
nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedrucken Fassung entsprechen.
|
