Die komplette MONITOR-Ausgabe 11/2008 können Sie hier ...
Die komplette MONITOR-Ausgabe 11/2008 können Sie hier ...
Die komplette MONITOR-Ausgabe 11/2008 können Sie hier ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
20<br />
Thema | Security<br />
probates Mittel darstellen. Bei der Absicherung<br />
gegen Spam-Relays auf Serverseite<br />
geht es darum, den oder die Rechner möglichst<br />
umfassend abzusichern. Zuallererst<br />
sind die vorhandenen SMTP-Services durch<br />
sichere Konfiguration und Firewalls gegen<br />
missbräuchliche Verwendung zu schützen.<br />
Grundsätzlich muss laut Roman Weinberger<br />
aber der gesamte Server gegen Angriffe<br />
gesichert sein, da etwa eine Lücke in<br />
einem CMS wie Joomla dazu dient, schädliche<br />
Software zu installieren, welche zum<br />
Versenden von Spam-Mails verwendet werden<br />
kann.Auf Seite der Server,die Mails von<br />
Spam-Relays entgegen nehmen, sollten alle<br />
bekannten Anti-Spam-Maßnahmen wie<br />
Blacklisting, Greylisting, Bayessche Filter<br />
und andere erprobte Methoden verwendet<br />
werden,um eine Zustellung der Spam-Mails<br />
weitestgehend zu verhindern.<br />
Um der Bedrohung durch Bot-Netzwerke<br />
Herr zu werden gilt es sich zunächst einmal<br />
mit der verteilten Struktur von Bot-<br />
Netzwerken auseinanderzusetzen. „<strong>Die</strong>se<br />
macht ein Vorgehen schwierig, vor allem, da<br />
bei jüngeren Bot-Netzen auch deren Steuerung<br />
dezentral erfolgt“,gibt Weinberger zu<br />
bedenken.<br />
Bestehende Methoden zur automatischen<br />
Erkennung von Angreifern bzw.Mitgliedern<br />
eines Bot-Netzwerks basieren meist auf Fingerprinting-Methoden<br />
und sind vor allem<br />
in modernen IPS-Appliances integriert.Auch<br />
gibt es Ansätze, die an Bot-Netzen beteiligten<br />
Rechner durch die Herkunftsanalyse von<br />
Spam-Mails zu identifizieren.<br />
Integration bereitet die größten Hürden<br />
Auch das Mittun der Hersteller ist gefragt,<br />
und zwar in der <strong>komplette</strong>n Wertschöpfungskette<br />
von Customizing über Implementierung<br />
bis hin zu Wartung und Service<br />
und dem Zusammenspiel mit anderen<br />
proprietären Systemen. „Natürlich sollte eine<br />
CMS-Applikation so sicher wie möglich<br />
sein und Security muss einen hohen Stellenwert<br />
beim Hersteller haben“,sagt der Experte.<br />
In der Praxis erscheint es vor allem wichtig,<br />
den Security Record der CMS-Applikation<br />
und die Response Time der Entwickler<br />
zu analysieren.Beim Customizing sollte laut<br />
Roman Weinberger darauf Wert gelegt werden,<br />
dass Anpassungen ohne Veränderung<br />
der eigentlichen Anwendung (phpBB-<br />
Hacks) über eine Plugin-Architektur mög-<br />
„Wenn eine Anwendung<br />
gegen XSS geschützt<br />
ist, lassen sich<br />
CSRFs vergleichsweise<br />
einfach mit in<br />
Formularen eingebetteten<br />
Shared-Secrets<br />
vermeiden.“ - Günther<br />
Lackner von<br />
Studio78.at<br />
lich sind, um spätere Security-Updates nicht<br />
zu verzögern oder gar zu verhindern.<br />
Das Zusammenspiel mit anderen Systemen<br />
sollte - wenn möglich - nur über definierte<br />
Schnittstellen erfolgen, da es zu erheblichen<br />
Sicherheitsproblemen kommen<br />
kann, wenn sich etwa zwei Anwendungen<br />
den Zugriff auf bestimme Datenbanktabellen<br />
teilen. Denn letztlich gilt es auch zu verhindern,<br />
dass unsichere Komponenten und<br />
Module von Drittanbietern die Sicherheit<br />
des Gesamtsystems torpedieren. „Der Installation<br />
von Komponenten von Drittanbietern<br />
sollte natürlich immer ein Security<br />
Audit vorangehen“, betont Weinberger.<br />
Der Vorteil: Bei zahlreichen open-sourcebasierten<br />
CMS kann das Unternehmen seitens<br />
der Community auf wertvolle Anhaltspunkte<br />
zur Bewertung der jeweiligen Komponenten<br />
zurückgreifen.Ergänzt mit den Informationen<br />
der einschlägigen Security Trakker<br />
sollte sich dadurch ein recht eindeutiges<br />
Gesamtbild ergeben, ob man dem Modul<br />
vertrauen kann. „Bei Unsicherheiten empfiehlt<br />
sich auch eine Analyse des Quellcodes“,<br />
so der Experte weiter.<br />
Fazit: Virtualisierung erhöht<br />
Sicherheitsniveau<br />
Auf jeden Fall sollte vermieden werden, dass<br />
aufgrund von benötigten Features auf Module<br />
mit zweifelhafter Sicherheit zurückgegriffen<br />
wird.Wie aber lässt sich verhindern,<br />
dass Legacy-Systeme die Stabilität und Sicherheit<br />
bedrohen? Einerseits lässt sich mit<br />
den bereits oben erwähnten Methoden wie<br />
mod_security oder IPS die Sicherheit von<br />
Legacy-Systemen prinzipiell erhöhen.<br />
Wie bei jeder sicherheitsrelevanten Anwendung<br />
sollte das wichtigste Ziel nach dem<br />
EOL das Upgrade auf ein aktuelles System<br />
darstellen. Je nach Größe der Anwendung<br />
und den geschätzten Kosten eines Upgrades<br />
inklusive Einschulung kommt im Open-<br />
Source-Bereich auch eine Weiterentwicklung<br />
monitor | November <strong>2008</strong><br />
bzw.Absicherung des bestehenden Systems<br />
auf eigene Kosten in Betracht. „Hierbei sind<br />
aber Probleme bezüglich der Verfügbarkeit<br />
von Experten wie auch der jeweiligen Lizenzierung<br />
denkbar“, räumt Weinberger ein.<br />
Regelmäßige Updates und Wartung bei<br />
den Herstellern sind dennoch oder gerade<br />
auch angesichts der begrenzten Fachressourcen<br />
ein absolutes Pflichtkriterium. <strong>Die</strong> Wartung<br />
und die Fehlerbereinigung spielen mittlerweile<br />
bei allen größeren CMS-Anbietern<br />
eine wichtige Rolle. Bei Joomla falle jedoch<br />
negativ auf, dass auch schwerwiegende Sicherheitslücken<br />
nur recht unscheinbar auf<br />
der Herstellerseite erwähnt werden, kritisiert<br />
Weinberger.<br />
Dennoch zieht der Experte insgesamt eine<br />
positive Bilanz, was die Sicherheitsbilanz<br />
bei OSS-basierten CMS-Lösungen angeht.<br />
Das Einspielen von Bugfixes bereite mittlerweile<br />
nur noch selten Probleme, „sei es bei<br />
Typo3, Joomla oder auch Drupal“, bilanziert<br />
Weinberger. Sehr wohl seien aber Upgrades<br />
auf neue Versionen nach wie vor komplexer<br />
und sollten deshalb zunächst nur in einer<br />
Testumgebung durchgeführt werden. „Als<br />
hervorzuhebende Ausnahme hat sich unserer<br />
Erfahrung nach das LMS-Moodle erwiesen“,<br />
glaubt der Experte.<br />
Um unerwarteten Problemen möglichst<br />
aus dem Weg zu gehen, sollten Unternehmen<br />
abschließend generell auf Best-Practice-Methoden<br />
zur Absicherung und auf<br />
alternative Wege im zunehmenden Methodenmix<br />
zwischen proprietären Anwendungen<br />
zurückgreifen, um den Spagat sicherheitstechnisch<br />
besser zu beherrschen.Experten<br />
empfehlen dazu durchgängige Security-<br />
Audits der jeweils verwendeten Applikationen<br />
wie auch der Server-Setups. Zur bestmöglichen<br />
Absicherung der Systeme bieten<br />
sich zudem die mittlerweile ausgereiften Lösungen<br />
zur Virtualisierung an.<br />
In Verbindung mit einer auf standardisierten<br />
Schnittstellen basierenden Kommunikation<br />
der Anwendungen untereinander bietet<br />
die Virtualisierung immerhin den größtmöglichen<br />
Schutz, da das Kompromittieren<br />
einer Anwendung nicht zwangsweise negative<br />
Auswirkungen auf weitere Programme<br />
der individuellen Softwarelandschaft nach<br />
sich zieht. „Leider werden Schnittstellen-<br />
Protokolle, wie etwa SOAP, auf Seite der populären<br />
CMS-Systeme nur teilweise genützt,<br />
und es ist mitunter notwendig, eigene<br />
Module zu entwickeln“, fasst Roman<br />
Weinberger zusammen. ❏