Der eigene Webserver als Verteiler von Schadcode oder als Sprungbrett für weitere Angriffe auf andere Systeme – Dies nicht nur ein theoretisches Szenario, sondern die Realität. In der Vergangenheit hat es schon viele Unternehmen getroffen und es wird auch in Zukunft passieren. Ein Unternehmens-Webserver ist dazu noch ein sehr lohnendes Ziel für einen Angreifer der Schadcode verbreiten möchte.
Ein erfolgreicher Angriff auf einen Unternehmens-Webserver hat meistens nicht mit mangelndem Sicherheitsbewusstsein zu tun, vielmehr mit den immer komplexer werdenden Anwendungen und Content Management Systemen. Die meisten Angriffe finden nicht gegen das Betriebssystem selbst statt, sondern gegen die Web-Applikation. Sei es über Eingabefelder oder eine SQL-Injektion. Im schlimmsten Fall ist der Webserver kompromittiert und arbeitet nun für den Angreifer. Aber dieser Artikel hat nichts mit den Floskeln vom Marketing diverser Hersteller zu tun, wie Image-Verlust oder negative Nachrichten. Dafür ist das Thema zu wichtig und die Systeme viel zu komplex um einfach nur mit dem Finger auf andere zu zeigen.
Je nach Größe des Unternehmens stehen ein Webserver oder eine ganze Farm in einem Provider-Rechenzentrum bzw. betreiben viele auch Webserver in der DMZ, wie zum Beispiel Shop-Systeme oder andere Portale. Diese Webserver sind oft durch eine Paket-Filter Firewall oder besser durch ein Application Level Gateway geschützt. Aber dies ist nicht mehr ausreichend, da diese Schutzmechanismen nicht greifen, wenn sich der Angriff gegen die Web-Applikation selbst richtet. Dann sind diese Systeme nicht in der Lage den Webserver zu schützen. Aber das liegt nicht an den Firewall-Systemen, dafür sind und waren sie auch nicht gedacht.
Um die Web-Applikation zu schützen braucht man eine Web Application Firewall (WAF). Das Problem bei den Systemen ist aber der oft hohe Preis und zusätzlich der Aufwand für die Konfiguration. Trotzdem werden in Zukunft WAF-Systeme immer wichtiger um die Flut der Sicherheitslücken und somit das Verteilen von Schadcode über Webserver zu verhindern. Dies haben auch die Hersteller erkannt und beginnen so langsam auch kleinere Systeme anzubieten.
Der Schutz heutiger IT-Systeme die extern zu erreichen sind kann nicht mehr nur mit einer einfachen Firewall erreicht werden. Hier bedarf es ein Zusammenspiel von mehreren Schutzmechanismen um diese Systeme effektiv zu abzusichern.
Da sich diese Angriffe immer mehr häufen, sehen wir hier aktiven Handlungsbedarf für mehr Sicherheit, bei den Betreibern der Server, und vor allem bei den Herstellern von WAF-Systemen.
Trotzdem ist es wichtig die Web-Server und Applikationen auf dem aktuellen Stand zu halten und auch die zur Verfügung stehenden Updates zu installieren. Bei der Programmierung ist direkt darauf zu achten, Code zu schreiben, der auf eine hohe Sicherheit der Anwendung selbst abzielt. Quick’n dirty hilft hier nur meist den Angreifern. Weiterhin ist es unabdingbar die Systeme auf Unregelmäßigkeiten zu prüfen. Dabei spielt es keine Rolle, ob es sich nur um einen einfachen root-Server mit mehr oder weniger statischen Seiten handelt oder um ganze Server-Farmen.