Mit den Tipps und Workshops im ADMIN-Magazin 03/2013 sichern Administratoren ihre Webserver und Netze gegen Angriffe ab: gegen Abhören sensibler Informationen, ... (mehr)

Externe Checks

Doch natürlich dürften die meisten Unternehmen und Organisationen ihre Content-Management-Systeme, Shops und andere Webapplikationen nicht selbst entwickeln, sondern auf kommerzielle oder Open-Source-Systeme zurückgreifen. In diesem Fall können Penetrationstests mit entsprechenden Tools Informationen zum Sicherheitsstatus des Webservers und der dort betriebenen Webapplikationen zu Tage fördern. Mit Skipfish [15] hat Google einen Sicherheitsscanner für Webapplikationen unter der Apache License 2.0 freigegeben. Darüber hinaus stellt Google mit der Safe-Browsing-API [16] eine Programmierschnittstelle für Browserhersteller bereit, mit der URLs gegen Googles permanent aktualisierte Liste verdächtiger Phishing- und Malware-Seiten gecheckt werden können. Es lohnt sich also regelmäßig nachzusehen, ob die eigene Website geblockt wird. Derzeit nutzen Chrome, Safari und Firefox die Safe-Browsing-API, die man über folgende URL auch im Browser aufrufen kann: http://www.google.com/safebrowsing/diagnostic?site=mysite.com.

Dabei ersetzt man mysite.com einfach durch den eigenen Domainnamen oder verwendet zum Testen eine bekannte Malware-Domain, etwa von der Malware-Domain-Liste [17].

Mit der Initiative S hat auch der Branchenverband der Internetwirtschaft eco eine Online-Plattform im Angebot, mit der Unternehmen die Sicherheit ihrer Website regelmäßig und automatisch überprüfen lassen können. Die Registrierung unter [18] ist kostenlos und setzt zur Verifizierung der Anforderung lediglich den Zugriff auf eine bestimmte E-Mail Adresse voraus (info@domain, webmaster@domain, abuse@domain oder initiative-s@domain). Auch die Universität von Kalifornien hat mit Wepawet ein Analysetool für Domains (Javascript, Flash und PDF-Dateien) entwickelt.

Web Application Firewalls

Haben Sourcecode-Analyse und Penetrationstest keine Hinweise auf Schwachstellen ergeben, bedeutet das natürlich nicht zwangsläufig, dass der eigene Webserver auch dauerhaft frei von Sicherheitslücken ist. Für die aktive Absicherung von Webservern und Webapplikationen empfiehlt sich daher die Installation einer Web Application Firewall, kurz WAF. WAFs untersuchen die Kommunikation zwischen Webserver und Browser auf Anwendungsebene (http, https) und bieten auf diese Weise Schutz vor typischen Angriffen wie Cross Site Scripting (XSS), SQL Injection und bekannten Sicherheitslücken von Webapplikationen. WAFs werden entweder als Reverse Proxy vor dem eigentlichen Webserver oder als Plugin direkt auf dem Webserver betrieben. Die bekannteste WAF aus dem Open-Source-Lager ist ModSecurity [19], die es als Plugin für Apache, IIS und Nginx gibt. ModSecurity lässt sich bei den meisten Distributionen einfach über die Paketverwaltung einspielen. So genügt zur Installation unter Debian/Ubuntu beispielsweise ein

sudo apt-get install libapache2-modsecurity modsecurity-crs

Auch einige Hersteller von UTM-Firewalls (etwa Sophos UTM) oder Load-Balancern (wie Riverbed oder F5) bieten Produkte mit integrierten WAFs an.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019