Der Chefentwickler des Security-Spezialisten Qualys, Ivan Ristic, hat auf der diesjährigen Black-Hat-Konferenz ein Programm vorgestellt, das 150 Schwachstellen in Web-Application-Firewalls aufgedeckt.
Die jährlich stattfindende Black-Hat-Sicherheitskonferenz ist Treffpunkt für Sicherheitsexperten aus aller Welt. Foto: UBM TechWeb
Während der 15. Auflage der IT-Sicherheitskonferenz Black Hat in Las Vegas, stellte Ristic ein Test-Tool vor, das es in sich hat: Insgesamt konnte es 150 Schwachstellen in Web-Application-Firewalls (WAF) erkennen. Der Autor der Open-Source-Firewall "ModSecurity" führte anhand der eigenen Entwicklung vor, wo die Sicherheitslücken zu finden sind. Das Programm testet hierbei die Anfälligkeit auf verschiedenen Protokoll-Ebenen.
WAFs sollen Internet-Anwendungen vor bekannten Angriffen wie SQL-Injections schützen, bei denen mögliche Sicherheitslücken in der Datenbank zum Ausfall einer Website führen können. Die Firewall fängt hierbei Client-Anfragen ab und setzt vordefinierte Regeln durch. Ristic geht davon aus, dass auch andere Firewall-Systeme von dem Problem betroffen sind. So existieren zahlreiche Methoden, um bösartige Anfragen unbemerkt einzuschleusen und die Regeln zu umgehen. Ein Beispiel ist die Veränderung der anfragenden URL, so dass die Protokoll-Ebene den Urheber nicht erkennt und die Firewall umgangen wird. "Da die Technik noch unbekannt ist, schützen die Firewalls nicht vor den Problemen", warnte der Qualys-Mitarbeiter in der Präsentation.
Während der Black-Hat-Konferenz testete Ristic das Tool mit Kollegen verschiedener Unternehmen, wobei auch andere Firewalls attackiert wurden. "Für die Industrie sind diese Angriffe ein großes Problem", so Erwin Huber Dohner, Leiter der Entwicklungsabteilung beim Schweizer Sicherheitsanbieter Ergon Informatik. In Untersuchungen stellten er und seine Mitarbeiter ähnliche Risiken fest.
Damit das Problem behoben wird, hat Ristic das Programm nun veröffentlicht und eine Diskussion zu Angriffen auf Protokoll-Ebene angestoßen. Ein öffentlich zugänglicher Katalog mit den Techniken wird in einem eigenen Wiki zusammengefasst. "Wenn Firmen und Sicherheitsexperten die erkannten Probleme nicht dokumentieren und veröffentlichen, werden Firewall-Entwickler die gleichen Fehler immer wieder begehen", meinte Ristic abschließend. Das entwickelte Überprüfungs-Tool soll Unternehmen helfen, WAFs mit Sicherheitslücken zu erkennen und die Probleme zu beheben.
Kostenlose Firewalls im Test
Gut gemeint, aber nicht immer hilfreich Viele Firewall-Lösung zeigen den Anwendern eine große Anzahl an kryptischen Meldungen, die dann zum schnellen „Wegklicken“ verleiten, da sie nicht verstanden werden.
Ungut – aber leider sehr verbreitet Die freie Lösung PC Tools Firewall Plus versucht bei der Installation einen sogenannten Toolbar mit auf das System zu bringen. Wer hier zu schnell auf „Weiter“ drückt, muss diesen später wieder per Hand entfernen.
Aufgeräumte Oberfläche, die nur einen kleinen Hinweis auf die kostenpflichtige Version zeigt So würden wir uns alle freie Versionen von Firewall-Lösungen wünschen.
Gute Benutzerführung Der Anwender kann schnell und leicht selbst entscheiden, welche Einstellungen er für seinen Schutz bevorzugt – hier die Einstellungen, die bei der PC Tools Firewall im Tasktray bereitstehen.
Klare Aussagen Die Firewall meldet dem Anwender, welches Programm Zugang zum Netz verlangt. Wer mehr Informationen haben oder gar selbst eine Regel definieren (beziehungsweise ändern) möchte, kann diese ebenfalls direkt hier tun.
Die erweiterten Einstellungen Hier können die Nutzer für jede Anwendung direkt entsprechende Regeln festlegen und dabei auch komplexere Bedingungen verwenden, deren Einstellungen gut unterstützt werden.
Der Leaktest Diese Test-Software schickt einen beliebigen Teststring über eine HTTP-Verbindung an der Firewall-Software vorbei auf eine Webseite, was kaum eine freie Lösung (hier der Versuch mit der PC Tools Firewall) erkennen kann.
Frei und gratis – da gibt es doch Unterschiede Wer die kostenfreie Version der Outpost Security Suite wirklich vollständig und länger als zwei Tage nutzen will, muss sich beim Hersteller registrieren.
Auch hier geht es leider nicht weiter Ein Doppelklick auf die Prozesse führt auf eine Werbeseite des Herstellers und der Rechtsklick zeigt in dieser Meldung, dass die Befehl in dieser Version leider nicht zur Verfügung stehen.
Die Anti-Leak-Komponente konnte nicht überzeugen Erst nachdem die Testsoftware per Hand in der Firewall und den Anti-Leak-Einstellungen blockiert wurde, reagierte die Lösung. Zuvor hatte auch sie den String kommentarlos passieren lassen.
Auch hier wieder der unerwünschte Zusatz Anwender, die bei der Installation nicht genau hinschauen, bekommen auch bei der Comodo-Firewall ein zusätzliche Programm (in einer 60-Tage-Versio) auf ihrem Rechner installiert.
Grundsätzlich gute Idee – aber wie weit vertraue ich dem Anbieter dieser Software? Mit der Umlenkung der DNS-Abfragen auf eigne Server des Herstellers Comodo will dieser die Möglichkeit von Angriffen auf die DNS-Infrastruktur herabsetzen.
Direkt nach der Installation aktiv Die Comodo-Firewall meldet nicht nur das entdecke Netzwerk der Testumgebung, sondern hat auch gleich den Zugriff durch unseren Arbeitsrechner auf die Testmaschine registriert.
Volle Kontrolle über die Anwendungen In der Comodo-Firewall sieht ein Nutzer nicht nur, welche Anwendungen auf dem System gerade aktiv sind, er kann die Verbindung im Zweifelsfall auch direkt unterbrechen.
Die Windows-Firewall wird deutlich „gesprächiger“ Mit der Windows 7 Firewall Control von Sphinx Software wird die Bedienung der Firewall deutlich übersichtlicher – wenn der Anwender genügend Englisch versteht.
Mehr Kontrolle und Überblick Die neue Schnittstelle zeigt auch deutlich, dass die standardmäßig zur Verfügung stehende Windows-Firewall durchaus detailliert konfiguriert werden kann.
Kleine, unauffällige Veränderung Nach der Installation der Firewall-Erweiterung der Firma Binisoft steht ein direkter Zugriff auf die Einstellungen der Schutzvorrichtung im Tasktray bereit.
Wird dem Anwender nicht viel helfen Ein Klick auf „Advanced Security“ startet dann einfach die MMC (Microsoft Management Console), die auch standardmäßig auf dem System zur Verfügung steht.