|
Sicherer
und kostengünstiger Zugriff auf Webapplikationen
Quelle: Netzguide
E-Security 2004
Autor: Tom Hager, CEO, InfoTrust
Die neuen Secure-Proxy-Technologien
ermöglichen nicht nur den einfachen,
sicheren und kostengünstigen Zugriff
auf Unternehmensdaten. Auch die Webapplikationen
selber werden zuverlässig vor den zahlreichen
Attacken geschützt.
Mitarbeiter
können heute mittels der bewährten
IPSec-VPN-Technologie sicher auf Unternehmensdaten
zugreifen. Um den Zugriff zu gewährleisten,
muss auf dem vom Mitarbeiter verwendeten
System ein IPSec VPN Client installiert
werden. Zu diesem Zweck kann dem Mitarbeiter
ein vom Unternehmen, mit einem installierten
IPSec VPN Client vorkonfiguriertes Notebook
zur Verfügung gestellt werden. Der
IPSec VPN Client sollte nicht nur den sicheren
Datentransport und die Benutzerauthentisierung
beinhalten. Wichtig ist auch die Installation
einer von zentraler Stelle aus definierbaren
Desktop-Firewall. Das zentrale Management
des IPSec VPN Clients ist für den effizienten
und sicheren Betrieb der Lösung unerlässlich.
Unsicherheit
"Fremd-Client"
Doch es gibt Situationen, beispielsweise
am Flughafen, im Hotel und im Internet-Cafe,
in denen der Mitarbeiter auf Unternehmensdaten
zugreifen möchte, ohne dass er als
Client Informatikmittel des Unternehmens
benötigt. Auf diesem "fremden"
Client kann er einzig über einen Standardbrowser
wie den Microsoft Internet Explorer oder
den Netscape Navigator auf Unternehmensapplikationen
zugreifen. Dank der Verbreitung von ADSL-
und anderen Breitband-Technologien können
Mitarbeiter auf diese Weise auch komfortabel
von zu Hause aus arbeiten.
Der Standardbrowser ist für den Zugriff
auf Unternehmensdaten die einzige valable
Komponente, falls das Unternehmen den Mitarbeitern
den Remote-Zugriff ermöglichen will,
aber aus Kostengründen keine dedizierten
Notebooks mit installiertem IPSec VPN Client
zur Verfügung stellt. Keine Alternative
aus betrieblicher Sicht ist die Installation
des IPSec VPN Client auf dem privaten System
des Mitarbeiters. Somit müssen die
im Unternehmen zur Verfügung gestellten
Applikationen für den Zugriff via Browser
webfähig sein. Der Zugriff erfolgt
über die Standard-Webprotokolle wie
HTTP und HTTPS (HTTP über SSL).
Bei dieser Methode befinden sich die Unternehmensressourcen
aus Gründen der Sicherheit in der demilitarisierten
Zone (DMZ). Beim IPSec Client genügt
es, wenn die Ressourcen im Intranet sind.
(Abbildung 1)
Beim IPSec-Zugriff
können die Unternehmensressourcen im
Intranet stehen, beim Zugriff über
Webprotokolle (SSL-Zugriff) befinden sich
die Ressourcen aus Gründen der Sicherheit
in der demilitarisierten Zone (DMZ).
Grenzen der Firewall
Webapplikationen wie
Microsoft Outlook Web Access oder Lotus
iNotes bergen aber dieselben Gefahren in
sich wie Webapplikationen, die für
den Zugriff von Kunden und Lieferanten in
der DMZ stehen. Bei einem Angriff auf eine
Webapplikation bieten klassische Firewalls
keinen Schutz, da der Zugriff auf die Webapplikation
für alle ankommenden Verbindungen generell
von der Firewall erlaubt werden muss. Einem
Angreifer kann der Weg via Webapplikation
nicht verwehrt werden.
Er attackiert die Webapplikation oder die
Authentisierungsmodule der Webapplikation,
beziehungsweise den Benutzer der diese verwendet,
mittels SQL Injection, Cross Site Scription
(XSS), Script Injection, Cookie-Poisoning,
Forceful Browsing und Denial-of-Service-Attacken,
die auf SSL Handshakes basieren. Im Allgemeinen
werden sehr häufig Schwachstellen der
Webapplikation oder des Webservers ausgenutzt,
es werden täglich neue Schwachstellen
bekannt. Die Verschlüsselung der Daten
über SSL bietet gegen diese Art von
Attacken keinen Schutz.
Ein Angreifer, dem es gelingt, eine Webapplikation
erfolgreich anzugreifen, bekommt Zugang
zu vertraulichen Daten, wie zum Beispiel
zu den E-Mails aller Mitarbeiter des Unternehmens.
Secure Proxy
Die Problematik der
Sicherheitsrisiken bei Webapplikationen
lässt sich entweder durch entsprechende
Integration von Sicherheitsmassnahmen und
ständiges Einspielen von Patches oder
durch die Vorschaltung eines Secure Proxy
lösen. Die Absicherung der Webapplikationen
ohne Secure Proxy ist äusserst kostenintensiv.
Auch das Aufrechterhalten eines hohen Sicherheitsstandards
durch das Einspielen von Patches und sicherheitsrelevante
Anpassungen der Applikation verursachen
einen sehr hohen Betriebsaufwand. Der Secure
Proxy hingegen schützt die Webapplikationen
einfach und zuverlässig vor Angriffen,
auch in Fällen, in denen die Webapplikationen
selbst verwundbar sind. So werden nicht
nur die Sicherheitsanforderungen des Unternehmens
erfüllt, auch die Betriebskosten werden
wesentlich reduziert.
Der Secure Proxy wird in der DMZ vor den
eigentlichen Webapplikationen platziert.
Die gewünschte Verbindung des Benutzers
zum Applikationsserver wird auf dem Secure
Proxy terminiert. Bei SSL-Verbindungen übernimmt
der Secure Proxy zudem den leistungsintensiven
SSL Handshake und entlastet dadurch die
Applikationsserver. Jede Anfrage wird einem
Regelset gegenübergestellt und auf
ihre Zulassung geprüft. Zwischen dem
Benutzer und der Webapplikation besteht
keine direkte Verbindung. Der Secure Proxy
unterbricht das HTTP/HTTPS-Protokoll, analysiert
die Daten und sendet diese in einer neuen
Verbindung zur Webapplikation, sofern die
in den Daten enthaltene Anfrage zugelassen
ist. Der Benutzer bemerkt nichts von diesem
Vorgang, der Secure Proxy arbeitet völlig
transparent.
(Abbildung 2)
Der Secure Proxy
wird in der DMZ vor den eigentlichen Webapplikationen
platziert. Die gewünschte Verbindung
des Benutzers zu den Applikationsservern
wird auf dem Secure Proxy terminiert. Zwischen
dem Benutzer und der Webapplikation besteht
keine direkte Verbindung. Der Secure Proxy
unterbricht das HTTP/HTTPS-Protokoll, analysiert
die Daten und sendet diese in einer neuen
Verbindung zur Webapplikation, sofern die
in den Daten enthaltene Anfrage zugelassen
ist.
Einsatz von One-Time-Passwörter
Beim Zugriff auf interne
Ressourcen von „fremden“ Systemen
aus besteht zudem die Gefahr, dass ein Benutzer
mittels installierter Software zur Aufzeichnung
der Tastatureingabe "abgehört"
wird. Die von ihm eingegeben Passwörter
können somit ausspioniert und wiederverwendet
werden. Abhilfe dagegen bieten so genannte
One-Time-Passwörter, beispielsweise
Hardware Token wie die bekannte RSA SecurID.
Diese generiert automatisch alle 60 Sekunden
ein neues Passwort. Ein generiertes Passwort
kann vom Benutzer nur einmal verwendet werden.
Das vom Angreifer abgehörte Passwort
ist somit für diesen wertlos. Der Secure
Proxy bietet einen Authentisierungsservice
für die Integration solcher One-Time-Passwörter.
Der Benutzer wird auf diese Weise vor missbräuchlicher
Nutzung seines Passwortes geschützt.
Zudem werden sämtliche Zugriffe auf
die Webapplikationen aufgezeichnet. Dadurch
kann zu jedem Zeitpunkt festgestellt werden,
wann welcher Benutzer auf welche Applikationen
zugegriffen hat. Diese Daten können
für weitere Auswertungen bezüglich
Nutzung sowie auch für forensische
Untersuchungen genutzt werden.
Fazit
Der Zugriff auf Webapplikationen
kann durch das Vorschalten eines Secure
Proxy mit den Sicherheitsanforderungen des
Unternehmens in Einklang gebracht werden.
Nicht verhindert werden können mit
dieser Massnahme Probleme, die durch den
Benutzer verursacht werden. Der Benutzer
kann sich beispielsweise aus dem Internet-Cafe
entfernen, ohne sich abzumelden, oder vertrauliche
Daten auf dem Desktop des „fremden“
Systems speichern. Wenn Mitarbeiter über
den Browser von jedem "fremden"
System aus auf Unternehmensdaten zugreifen
können, muss klar klassifiziert werden,
welche Daten über diese Zugriffsart
zur Verfügung gestellt werden. Bei
kritischen Daten sollte diese Zugriffsart
nur für „eigene“ mittels
Client-Zertifikat authentisierte Systeme
oder "eigene" mit IPSec VPN Client
ausgerüstete Systeme zugelassen werden.
Ein zentraler Punkt zur Steigerung der Unternehmenssicherheit
ist aber unabhängig von der gewählten
Technologie die Schulung und das Sicherheitsbewusstsein
der Benutzer.
top
|
