SECURITY: Web-Anwendungen: Ein beliebtes Angriffsziel
SECURITY: Web-Anwendungen: Ein beliebtes Angriffsziel
Filterung auf der Anwendungsebene
Die Reverse-Proxy-Technologie versetzt eine Firewall in die Lage, alle über HTTP- und HTTPS laufenden Benutzeranfragen abzufangen, damit sie analysiert werden können, bevor sie die Zielanwendungen erreichen. Dazu muss die SSL-Verbindung entschlüsselt werden, um auf den digitalen Datenstrom zugreifen zu können. Weiterhin sollte eine solche Lösung so konfiguriert werden können, dass sich die Nutzer authentifizieren müssen - wahlweise durch einfache Authentifizierung etwa durch Login mit Benutzername und Passwort, starke Authentifizierung (Radius, RSA SecurID) oder sogar gegenseitige Authentifizierung (X509-Zertifikat).
Zur Erreichung eines höchsten Sicherheitslevel sollte eine Vielzahl der nachfolgenden Filtermechanismen eingesetzt
werden. URL-Normalisierung hat etwas gewährleistet, dass Requests den HTTP-/RFC-Spezifikationen entsprechen und keine unzulässigen Zeichen enthalten. Sofort nach der Installation eliminiert die Lösung bekannte Angriffe, die auf Escape-Folgen, Directory Traversal oder anderen nicht zulässigen Codesequenzen beruhen. Die parametrische Kontrolle von Headern (Namen, Grösse) und Methoden (GET, POST, HEAD) blockt weitere bekannte Angriffe ab wie Speicherüberlauf und Angriffe, bei denen Webdav- oder Options-Methoden eingesetzt werden.
Anfragen, die diesen Filter passiert haben, müssen dann mit einer Blacklist abgeglichen werden. Diese Liste blockt unverzüglich alle bekannten Angriffe auf die Server und deren wesentliche Anwendungssoftware-Komponenten wie SQL-Injection, Instruction Injection, IIS-Angriffe, Apache und PHP.
Zur Erreichung eines höchsten Sicherheitslevel sollte eine Vielzahl der nachfolgenden Filtermechanismen eingesetzt
werden. URL-Normalisierung hat etwas gewährleistet, dass Requests den HTTP-/RFC-Spezifikationen entsprechen und keine unzulässigen Zeichen enthalten. Sofort nach der Installation eliminiert die Lösung bekannte Angriffe, die auf Escape-Folgen, Directory Traversal oder anderen nicht zulässigen Codesequenzen beruhen. Die parametrische Kontrolle von Headern (Namen, Grösse) und Methoden (GET, POST, HEAD) blockt weitere bekannte Angriffe ab wie Speicherüberlauf und Angriffe, bei denen Webdav- oder Options-Methoden eingesetzt werden.
Anfragen, die diesen Filter passiert haben, müssen dann mit einer Blacklist abgeglichen werden. Diese Liste blockt unverzüglich alle bekannten Angriffe auf die Server und deren wesentliche Anwendungssoftware-Komponenten wie SQL-Injection, Instruction Injection, IIS-Angriffe, Apache und PHP.
