SicherheitAbsicherung eines produktiven Webservers
und Entdeckung von Angreifern
Absicherung eines Webservers mit E-Mail◦ Doppelte Firewall (DMZ)◦ Validierung der Benutzereingaben
Entdeckung von Angreifern (Intrusion Detection)◦ Logdateianalyse◦ Verhaltensanalyse (Heuristik)
Inhaltsverzeichnis
Konfiguration FW01◦ Von Internet
HTTP (80), HTTPS (443), SMTP (25)◦ Von DMZ
SMTP (25), DNS (53) Konfiguration FW02
◦ Von DMZ -
◦ Von LAN HTTP (80), HTTPS (443) POP3 (110), IMAP(143), SMTP (25), SSH (22),
FTP (20, 21)
Doppelte Firewall (DMZ)
Alle Benutzereingaben werden validiert, bevor sie verarbeitet werden.
Problem: SQL-Injection◦ Logik in der Applikation:
$Authentisiert = "SELECT Username FROM Users WHERE Username = '$stringUsername' AND Password = '$stringPassword'";
◦ Der Angreifer gibt als Login und Password jeweils ' OR ''=' ein.$Authentisiert = "SELECT Username FROM Users WHERE Username = '' OR ''='' AND Password = '' OR ''=''";
◦ Prüfung ist immer "true" und gibt den ersten Namen der Tabelle "Users" zurück
Lösung: Eingabevalidierung◦ Erlaubt werden nur Buchstaben und Zahlen als Benutzername und Passwort.
Validierung der Benutzereingaben
Login:Password:
Webmail
Access Denied (403)◦ heisst: jemand hat einen Zugriff versucht
Not Found (404)◦ heisst: jemand hat versucht, die Seite aufzurufen
Viele offene Verbindungen◦ Verdacht auf SYN-Flood
Logdateianalyse
Problem:◦ Durch die Logdateianalyse lassen sich nur geblockte Dateien
herausfiltern◦ Angriffe können aber auch erfolgreich sein
Lösung:◦ Verhaltensanalyse auf Auffälligkeiten
Anmeldung erfolgt aus einem völlig anderen Land als beim letzten Mal in 24h Sessionnumer bleibt gleich, auch wenn der Browser gewechselt wird neue
Session nötig Rasant ansteigender Datenverkehr
◦ Verhaltensanalyse ist eine Heuristik und kann Fehlalarme produzieren, weil: Benutzer kann auf Reisen sein Benutzer kann für eine Präsentation viele Dateien benötigen
Verhaltensanalyse (Heuristik)