Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

18.05.2001 - 

Software erweitert Betriebssysteme und Applikations-Server um Security-Funktionen

Sichere Basis für Web-Server

MÜNCHEN (fn) - Für Hacker sind Web-Server der erste Einstiegspunkt, um in ein Firmennetz einzudringen. Spezielle Sicherheitssoftware soll, in Ergänzung zu anderen Maßnahmen, einige der gravierendsten Lücken von Betriebssystemen schließen.

Web-Server laufen, von speziellen Appliances einmal abgesehen, auf konventionellen Betriebssystemen. Hacker nutzen die Schwächen der Systemsoftware aus, um in das Intranet des Site-Betreibers einzudringen. Einige Softwarehersteller entwickelten Produkte, um bekannte Schwächen gängiger Betriebssystemplattformen auszumerzen. "Virtualvault" von Hewlett-Packard zum Beispiel basiert auf einer mit zusätzlichen Sicherheitsfeatures ausgestatteten Version des hauseigenen Betriebssystems "HP-UX".

Root-Kennung unnötigHäufig laufen Web-Anwendungen unnötigerweise unter den "Root"-Privilegien und verfügen damit über die gleichen Benutzerrechte wie ein Administrator - dies ist im Standardbetriebssystem wegen der ungenauen Rechteverwaltung nicht anders zu bewerkstelligen, da das Programm sonst nicht auf Rechnerressourcen zugreifen könnte. In Virtualvault erhalten Internet-Programme daher nicht sämtliche Root-Rechte, sondern nur genau die Privilegien, die zur Laufzeit auch tatsächlich erforderlich sind. Die Sicherheitssoftware enthält zudem einen Web-Server des Herstellers Iplanet sowie eine Java Virtual Machine, die beide in der gesicherten HP-UX-Umgebung laufen. Über ein ebenfalls abgesichertes Applikations-Gateway stellt Virtualvault Verbindungen zu Backend-Systemen her.

Windows NT absichernAuch für Windows NT und 2000 hat HP ein Sicherheitsprodukt entwickelt. Web-Server, die auf diesen Betriebssystemen laufen, werden durch "Webenforcer" zusätzlich abgesichert. Im Gegensatz zu Virtualvault konnte HP bei diesem Produkt jedoch nicht auf den Sourcecode von Microsoft zugreifen, weshalb die Lösung anders arbeitet. Webenforcer analysiert die Web-Server-Umgebung und erstellt Berichte über Sicherheitslücken. Einige Löcher stopft die Software nach Angaben des Herstellers automatisch. Außerdem überwacht das HP-Programm die sicherheitsrelevanten Einstellungen des Systems und alarmiert den Verwalter, sollte jemand versuchen, die Konfiguration zu verändern, um die Internet-Anwendung zu kompromittieren. Die Funktion "Security Enforcement" stellt die Standardeinstellungen wieder her, falls ein Hacker Parameter manipuliert hat. Das Tool greift aber auch ein, wenn die Installation neuer Software die Einstellungen verändern hat. Um immer auf dem neuesten Stand in puncto Sicherheitslücken in der Betriebssoftware aus dem Hause Microsoft zu sein, bietet HP einen Abo-Service an, etwa vergleichbar mit den Update-Diensten der Antiviren-Tool-Hersteller.

HP hat beide Sicherheitstools mit der Applikations-Server-Software des im November 2000 übernommenen Unternehmens Bluestone kombiniert. Die jüngst vorgestellte Version 4.5 von Virtualvault lässt sich zudem mit den WAP-Gateways von Nokia und 724 (vormals Tantau) betreiben, so dass auch der drahtlose Internet-Zugriff abgesichert werden kann. Darüber hinaus integrierte der Hersteller die Public-Key-Infrastructure-Software "Unicert" von Baltimore. Neben dem Iplanet-Web-Server unterstützt Virtualvault nun auch Apache Web-Server.

Eine ähnliche Security-Lösung wie Virtualvault hat die US-Softwareschmiede Argus Systems Group auf den Markt gebracht. Im Gegensatz zu HP schützt "Pitbull" jedoch nicht ein hauseigenes Betriebssystem, sondern sichert Web-Server ab, die unter Solaris und Linux arbeiten. Pitbull erweitert das Standardbetriebssystem um einige Features. Auch dabei erhalten Programme statt der Root-Privilegien genau die Zugriffsrechte, die sie benötigen. Absichern lassen sich damit jedoch nicht nur Web-Server, sondern auch zentrale Mail-Rechner, Datenbank-Systeme und Applikations-Server, die auf den beiden Betriebssystemumgebungen aufsetzen. Argus organisiert Hackerwettbewerbe, um die Sicherheit von Pitbull zu demonstrieren. Während einer solchen Veranstaltung anlässlich der Sicherheitsmesse Infosecurity Europe 2001 in London gelang es der polnischen Hackergruppe "Last State of Delirium" (LSD), wegen einer Lücke im Kernel des Betriebssystems Solaris für Intel-Plattformen, in den Pitbull-geschützten Rechner einzudringen.

Fehler in SolarisJede Hackergruppe erhielt für den Wettbewerb Shell-Konten mit gängigen Benutzerrechten auf dem betreffenden Computer. Argus macht keinen Hehl daraus, dass Pitbull nicht in der Lage war, den Rechner zu schützen, was einmal mehr den Traum von der absoluten Sicherheit zunichte macht. Pitbull wird laut Hersteller in erster Linie auf Solaris-Systemen mit der von Sun entwickelten Sparc-Architektur verwendet, und in dieser Konstellation bestünde die Sicherheitslücke nicht. Eine genauere Fehlerbeschreibung will Argus noch liefern. Zu den Argus-Kunden zählen unter anderem die Zertifizierungsstelle TC Trustcenter aus Hamburg sowie der Bankkonzern UBS in der Schweiz.

Eine besondere Form des Web-Server-Schutzes hat die in Karlsruhe ansässige Firma Ibrixx AG entwickelt. Es handelt sich bei der Lösung um einen Applikations-Server für sichere Web-Anwendungen. Deren Software "Fortnoxx" entkoppelt Rechner, die mit dem Internet verbunden sind, von Computern im Intranet. Statt Requests von außen über Firewall und Web-Server an interne Systeme weiterzuleiten, unterbindet Fortnoxx die direkte Kommunikation zwischen dem Web und dem Backend. Fortnoxx bearbeitet Anfragen von Internet-Anwendern über einen Polling-Mechanismus. Alle Requests werden in einer Warteschlange eingereiht. Kontinuierlich initiiert eine Fortnoxx-Client-Software aus dem Intranet heraus eine Verbindung zum Fortnoxx-Server, der auf dem Web-Server in der "entmilitarisierten Zone" (Demilitarized Zone, kurz DMZ). Trotz des Pollings hält sich die Verzögerung sehr gering. Die Abfragehäufigkeit richtet sich nach der Länge der Warteschlange.

Backend geschütztJeder Request wird auf semantische Korrektheit im Client überprüft. Der Client stellt zudem die Verbindung zu den Backend-Systemen im Intranet her. Hierzu versah Ibrixx seine Software mit den Datenbankschnittstellen sowie Corba- Java-, IIOP- und XML-Interfaces. Der Client ist lediglich in der Lage, Verbindungen zum Server aufzubauen.

Selbst wenn ein Hacker den Web-Server inklusive dem Fortnoxx-Server kompromittieren würde, bleibt die Sicherheit gewahrt, verspricht Ibrixx. Client und Server kommunizieren über ein eigenes Protokoll und authentifizieren über digitale Schlüssel, die dynamisch ausgetauscht werden. Sollte ein Krimineller Zugriff auf den Web-Server haben und auf diese Weise eigene Anfragen an die Backend-Systeme stellen, würde die Kommunikation mit dem Fortnoxx-Client abbrechen und die interne Firewall die Verbindung schließen. Die gesagte Firewall muss hierzu für unidirektionale Kommunikation, von innen nach außen, konfiguriert werden (siehe Grafik). Den dazu erforderlichen Port öffnet der Schutzwall nur, wenn der Client dies fordert.

Abb: Polling statt Durchgriff

Bei Fortnoxx initiiert eine Client-Software aus dem Internet eine Verbindung zum Web-Server, auf dem ein Server-Modul läuft. Quelle: Ibrixx