Herkömmliche Schutzmaßnahmen versagen, wenn Hacker versuchen, mit Hilfe von Angriffstechniken wie SQL-Injection Zugriff auf unternehmenskritische Daten zu erhalten. Schuld sind in der Regel Programmierfehler innerhalb von harmlosen Web-Anwendungen oder Komplikationen im Zusammenspiel zwischen diesen Applikationen und den dahinter stehenden Servern oder Datenbanken.
Diese Problematik beunruhigt derzeit viele Unternehmen, denn gerissene Programmierer sind in der Lage, von einem ganz gewöhnlichen PC mit Internet-Zugang und Browser aus Informationen abzurufen, die für sie nicht gedacht sind. Unternehmen müssen reagieren, doch es ist mühsam, lanwierig und teuer, die konkreten Schwachstellen zu finden und zu beseitigen. Abhilfe können spezielle Gateways schaffen, die auf Anwendungsebene dafür sorgen sollen, dass Hacker keine Chance haben.
Wie leistungsfähig einige dieser Spezial-Firewalls sind, wurde jetzt in einem der IDG-Testlabors untersucht. Auf den Prüfstand kamen dabei Lösungen der Anbieter Kavado Inc. ("Kavado Interdo 3.0"), Netcontinuum Inc. ("Netcontinuum NC-1000 Web Security Gateway V 3.5") sowie Sanctum Inc. ("Sanctum Appshield 4.0"). Bei den Testkandidaten handelte es sich um eine Appliance (NC-1000) sowie zwei softwarebasierende Produkte, die aber zusätzlich auch in einer Appliance-Version verfügbar sind.
Kavado
Der kalifornische Hersteller Kavado geht das Problem Web-Application-Security von zwei Seiten an. Mit Hilfe des Tools "Scando 2.0" können Anwender zunächst ihre Applikationen auf potenzielle Schwachstellen untersuchen. Nach deren Beseitigung wacht Interdo 3.0 darüber, dass keine unerlaubten Aktionen stattfinden. Per Voreinstellung erkennt die Lösung wie auch die Konkurrenzprodukte viele Standardattacken, darunter SQL-Injection, Cross-Site-Scripting und schwache Authentifizierungs-Cookies. Interdo erstellt außerdem Regeln, die darauf achten, dass Anfragen auf Basis von HTTP und HTTPS dem Standard entsprechen. Insgesamt zeigten alle getesteten Produkte im Hinblick auf die Sicherheitsfunktion eine starke Leistung, wofür sie neun von zehn möglichen Punkten erhielten.
Kavados Software ist in der Lage, in einem Lernmodus Transaktionen aufzuzeichnen und mögliche Reaktionen vorzuschlagen. Diese können Administratoren entweder annehmen, ablehnen oder modifizieren. Es bedarf allerdings schon einiger Ändern/Speichern/Neustart-Durchgänge, bis die Lösung schließlich ihre volle Funktionalität entfaltet. Die integrierte Hilfefunktion erleichtert diese Arbeit jedoch: Mit nicht zu komplizierten Dialogen helfen Wizards selbst ungeübten Benutzern, die Lösung rasch in Betrieb zu nehmen, auch wenn die Konfiguration noch nicht optimal ist. Ist das Programm einmal zum Laufen gebracht, erfolgt die Kontrolle über eine gut gestaltete proprietäre Management-Konsole, die besser ist als die der Konkurrenzlösungen (zehn Punkte). Zudem besteht die Möglichkeit, die im XML-Format vorliegenden Regeln manuell zu editieren.
Netcontinuum
Anders als Interdo ist NC-1000 Web Security Gateway von Netcontinuum nur als Appliance verfügbar. Die technische Basis bildet eine eigens angepasste Hardware, was im Hinblick auf die Performance Vorteile bringt: In Silizium gebrannte Algorithmen laufen schneller ab als Software auf einem Standardprozessor. Daher schlägt NC-1000 die Konkurrenten auch, was Leistung und Skalierbarkeit betrifft (jeweils zehn von zehn Punkten). Dieser positive Eindruck wird jedoch leider getrübt durch das eher verwirrende User Interface. Nur die Grundfunktionen sind über eine gut gestaltete Oberfläche zu erreichen. Müssen aber Details eingestellt werden oder soll die Konfiguration über den seriellen Port erfolgen, wird die Arbeit schnell kompliziert.
Die Management-Informationen speichert Netcontinuum in einer XML-Datei. Bei anstehenden Änderungen präsentiert das Interface dem Anwender einen Verzeichnisbaum. Dessen Zweige enthalten zwar jeweils die zu ändernde Information, doch die zu finden gestaltet sich alles andere als einfach. Für die meisten Implementierungen notwendige Änderungen wie Routing-Informationen oder die IP-Adresse der Konsole sind schlecht dokumentiert und mühselig aufzufinden. Hat man sie einmal gefunden, gestaltet sich das Eintragen eines anderen Wertes unnötig kompliziert, wodurch der gesamte Prozess stärker verlangsamt wird, als eigentlich notwendig. Daher erhielt Netcontinuum für Management und Konfiguration nur jeweils sieben Punkte.
Sanctum
Ähnlich wie Kavados Interdo ist Appshield 4.0 von Sanctum Teil einer umfassenden ProgrammSuite. Der Anbieter zielt damit eigentlich darauf ab, über mehrstufige Scans während der Softwareentwicklung für mehr Sicherheit zu sorgen, um dann beim Betrieb der jeweiligen Anwendung mit Appshield zusätzlichen Schutz zu bieten. Das leistet das Produkt auch, doch der Weg dahin ist steinig. Statt Wizards bietet Sanctum detaillierte Hilfedateien, die in 16 Schritten erklären, wie ein Grundschutz zu erreichen ist.
Das Einrichten des Systems gestaltet sich unter anderem deswegen kompliziert, weil Sanctum auf ein "positives Sicherheitsmodell" baut: In einer Whitelist werden nur diejenigen Transaktionen definiert, die erlaubt sind. Jede Datenübertragung, die nicht darunter fällt, wird rigo- ros geblockt. Einmal in Betrieb, steht Appshield den Konkurrenz-Tools dann aber in nichts nach, wenn es darum geht, Attacken vom Applikations-Server fernzuhalten.
Die Lösung bietet weit reichende Management- und Reporting-Funktionen. Störend wirkt sich jedoch aus, dass die Bedienung komplizierter ist als nötig, was auf die Gestaltung des User Interface zurückzuführen ist. Das ansonsten sehr starke Produkt leidet darunter, dass Setup-Prozesse und Konfigurationsarbeiten etwas mühsam sind, weil umständlich hin- und hergeklickt werden muss. (ave)
Fazit
Alle getesteten Lösungen bieten sehr guten Schutz vor gängigen Angriffen über Web-Applikationen. Sie sind daher eine nützliche Ergänzung der herkömmlichen Sicherheitsinfrastruktur in Unternehmen. Unterschiede finden sich vor allem bei der Inbetriebnahme und Konfiguration: Hier hat Kavados Interdo die Nase vorn. Wer auf eine gute Performance Wert legt, sollte zu Netcontinuums NC-1000 greifen. Appshield entfaltet seine Stärken, wenn die Sicherheit während des kompletten Lebenszyklus von Web-Applikationen verbessert werden soll.
Abb: Bedienfreundlichkeit entscheidet
Die getesteten Web Security Gateways liegen dicht beieinander. Dank der besseren Konfiguration und Verwaltbarkeit hat Kavado die Nase vorn. Quelle: CW