Jörn Wagner und Dr. Sascha Dahl von Explicatis beleuchten in einem  Artikel der aktuellen Ausgabe 07/2010 der Zeitschrift „iX‟, dem Magazin für professionelle Informationstechnik, die Funktionsweise von Database Firewalls, bieten eine Produktübersicht und haben das kostenlos verfügbare Produkt GreenSQL getestet. Ab heute ist diese Ausgabe mit dem Cover-Thema „Firewall für Datenbanken‟ an jedem gut sortierten Kiosk erhältlich.

Explicatis berät Sie kompetent zu Fragen der IT-Sicherheit. Ein Baustein zur Erhöhung der Datensicherheit im Betrieb von Anwendungen kann die Einrichtung einer Database Firewall sein.

Publikation

Wagner, J.; Dahl, S. (2010): Zugriff unerwünscht – Datenbank-Firewalls: Schutz nach außen und innen, in: iX – Magazin für professionelle Informationstechnik, 7 / 2010, S. 108 – 110

Der neuste Hammerdeal bei COUPIES: 20 € Rabatt bei Foot Locker auf Deinen Einkauf ab 100 €!

Noch bis 26. Mai 2010 gibt es somit bis zu 20% Rabatt auf das gesamte Sortiment. Das Beste: Wer Fan von COUPIES auf Facebook wird und ein Vorher-Nachher-Foto (mit den alten und neuen Turnschuhen) hochlädt, erhält die Chance auf die Erstattung des Einkaufs durch COUPIES bis zu einer Höhe von 150 €!

Also, nichts wie hin zu Foot Locker und mit COUPIES ordentlich Rabatt abstauben. Die COUPIES-App gibt es im iPhone AppStore und Android Market sowie zum Download für Windows Mobile und Java-fähige Smartphones.

Ob und bei welchem dieser Projekte Explicatis eine tragende realisierende Funktion übernimmt, werden die Leser dieses Blogs in Kürze erfahren

Weitere Informationen zum 2. Call stehen in der Pressemitteilung unter http://www.mbem.nrw.de/web/media_get.php?mediaid=1396&fileid=3879&sprachid=1 zur Verfügung.

Auf sieben Seiten werden dem Leser des größten deutschen Magazins für Informationstechnologie alle bekannten Angriffstypen auf Webanwendungen dargelegt und gezeigt, wie diese vermieden werden können.

Anhand zahlreicher Beispiele realer Webseiten wird gezeigt, welche Fehler zu teilweise dramatischen Folgen führen. Damit eine Webseite nicht durch eine Pressemitteilung über einen erfolgreichen Angriff zweifelhafte Berühmtheit erlangt, ist ein ganzheitliches Sicherheitskonzept über alle Phasen der Anwendungsentwicklung erforderlich.

Allerdings ist die Verschlüsselung sämtilcher ein- und ausgehender Festplattendaten rechenintensiv, was zu einem merklich geringerem Datendurchsatz bei Lese- und Schreiboperationen führt. Da für einen Server aber beides gewährleistet sein musste, bin ich über Google auf die VPN-Accelerator-Karte

Soekris Engineering VPN-Karte / vpn1401

gestoßen, die die Verschlüsselung und Kompression von Daten mit gängigen Verfahren auf einem eigenen Prozessor durchführt und somit die übrigen System-Ressourcen schont. Nach Angaben des Herstellers verschlüsselt sie mit einer Geschwindigkeit von 210 und 460 Mbps, je nach Verfahren. Da diese Karte bereits für 69,00 € inkl. MwSt. zu haben ist, habe ich sie einfach mal ausprobiert.

Die Installation

Leider muss zur Installation der Kernel neu kompiliert werden, was aber bei FreeBSD kein Problem ist. Hier einfach die bestehende Kernel-Konfiguration (oder standardmäßig bspw. /sys/i386/conf/GENERIC) bearbeiten und folgende Zeilen hinzufügen:

  device crypto
  device cryptodev
  device hifn

Anschließend den Kernel neubauen und in der Datei /boot/loader.conf vermerken, dass das Verschlüsselungsmodul bereits beim Systemstart geladen werden soll:

  hifn_load="YES"

Nach einem Neustart wurde die Karte direkt von GELI erkannt. Seither wird für Lese- und Schreiboperationen weniger CPU-Zeit verbraucht, ferner ist das Systemverhalten deutlich agiler. Auch SSH- und SSL-Anwendungen profitieren von dieser Hardware.

Allerdings verfügen die getesteten Server jeweils über eine verhältnismäßig langsame CPU (Athlon XP 2400). Ob bei moderneren Mehrkernprozessoren ein Geschwindigkeitsvorteil bemerkbar ist, müsste man mal ausprobieren. Gerne postet mir einer seine Erfahrung!

Im Januar 2009 ersteigerte ich einen 3ware 8006-2LP-Controller auf eBay für ca. 30,00 € für den Betrieb in einem kleinen Projektserver. Der Verkäufer verkaufte den Artikel ohne Garantie als gebraucht aber vollständig funktionstüchtig, da kaum gebraucht. Nachdem ich den Controller in Betrieb nahm stelle sich heraus, dass der Controller nach jedem 7. – 10. Neustart die RAID-Einstellungen verlor. Es stand immer Port 1 NOT IN USE. Die Lösung war ein manuelles REBUILD über das BIOS oder über das 3DM Management-Tool. Da sich das Problem auch nicht durch die aktuelle Firmware lösen lies, wandt ich mich an den 3Ware-Service. Dieser ging direkt von einem defekten Controller aus. Aus der Seriennummer ging hervor, dass der Controller 4 Jahre alt ist.

Überraschenderweise teilte mit der nette Service-Mann jedoch mit, dass er sich dafür einsetzen wolle, dass ich aus Kulanz einen neuen Controller zugesendet bekomme – obwohl ich keine Rechnung über den Kauf vorliegen habe. Wenige Tage später erhielt ich eine RMA-Nummer und habe nun einen neuen, bisweilen fehlerfrei laufenden Controller im Projektserver! Also ein toller Service!

Wir können den Einsatz von 3ware-Controllern nur empfehlen:

• Sie funktionieren auf sehr vielen Plattformen, insbesondere FreeBSD
• Der Service ist super
• Sie sind günstig und leistungsstark
• Die Raid-Management-Software 3DM ist super um sich aus der Ferne über den Status des RAIDs zu informieren und Wartungsarbeiten durchzuführen. Alles über ein SSL-verschlüsseltes Webinterface.

In dem Artikel stellen wir die verfügbaren Arten von PHP-Frameworks vor und gehen ausführlich auf die vier weit verbreitesten Frameworks ein. In einem kurzen Performance-Test vergleichen wir die Geschwindigkeit anhand einer einfachen Business-Anwendung mit Datenbank-Anbindung. Zu guter Letzt erhält der Leser noch einen Überblick über sechs weitere, nicht so verbreitete aber leistungsstarke Frameworks, die wir mit den jeweiligen Besonderheiten vorgestellt haben.

Also am besten direkt in den Kiosk seines Vertrauens gehen und das Sonderheft kaufen, eh es vergriffen ist!

Beispiel Storyboard mit Mockups von Balsamiq erstellt

Installieren könnt ihr euch das Tool unter http://www.balsamiq.com/products/mockups/desktop#download. Vorher muss Adobe Air installiert sein. In der kostenlosen Testversion ist die Option zum Speichern der Storyboards und Exportieren der Grafiken deaktiviert. Über den Umweg “Export…” und “Import…” lässt sich aber das Speichern dennoch realisieren; mit einem Screenshot (unter Windows ALT + DRUCK) und anschließendem Einfügen in ein Grafikprogramm ist auch die Grafik-Exportfunktion zu ersetzen.

Für den kommerziellen Einsatz empfiehlt es sich jedoch, die 79 $ für die Vollversion auszugeben.

Eine zusätzliche Sicherheit gegen diese Angriffe bietet das Sicherheitsmodul “ModSecurity” in der Version 2. ModSecurity ist ein Open-Source Softwaremodul für den Webserver “Apache“, der weitverbreitesten Serversoftware für den Betrieb einer Webseite. Es filtert alle ein- und ausgehenden Daten und fungiert so als Software-Firewall für Webseiten. Zu den Diensten zählen die Erkennung und Vermeidung vielfältiger Angriffe gegen Webanwendungen, die Kontrolle des Webseiten-Traffics und die Echtzeitanalyse der Infrastruktur. Einige Features im Überblick:

• Paralleles text matching
• Geo IP-Auflösung
• Kreditkartennummer-Erkennung
• Erkennung der Einschleusung schädlicher Inhalte
• Automatisierte Aktualisierung der Erkennungsregeln

Die Installation ist ziemlich einfach. Für FreeBSD findet sich beispielsweise unter http://www.cyberciti.biz/faq/freebsd-install-configure-mod_security/ eine kurze Anleitung zur Installation und serverweitigen Aktivierung des Plugins. Nach Aktivierung werden alle Anfragen gefiltert und verdächtige Anfrage geblockt.

Auch wenn dies bei fast allen Anwendungsfällen erwünscht ist, kann die Filterung bei einigen Anwendungen nicht gewollt sein. Beispielsweise ist der Abruf einer XSD-Datei, eine XML-Schema-Datei, nicht mehr möglich. In diesem Fall ist dem Log, standardmäßig in /var/log/httpd-modsec2_audit.log liegend, zu entnehmen, welche Regel gegriffen hat. Diese kann dann selektiv für eine bestimmte Webseite oder eine bestimmte Datei einer Webseite deaktiviert werden. Da jede Regel über eine ID verfügt, kann diese einfach aus dem Log heraus kopiert werden und dann wie folgt in die Konfiguration des Webservers innerhalb des VirtualHost-Eintrags eingefügt werden:

<IfModule mod_security2.c>
    <LocationMatch "/index.php/">
        SecRuleRemoveById 970003
    </LocationMatch>
</IfModule>

Output-Filter selektiv deaktiveren:

<IfModule mod_security2.c>
    <LocationMatch "/index.php/">
        SecResponseBodyAccess Off
    </LocationMatch>
</IfModule>

Das erste Beispiel deaktiviert die Filter-Regel 970003 für eingehende Anfragen an die Datei index.php, der zweite Teil deaktiviert die Filterung des ausgehenden Inhalts, der von der index.php-Datei erzeugt wird. Diese Einstellung sind beispielsweise für den Betrieb einer MediaWiki-Seite notwendig, da es ansonsten zu Fehlermeldungen mit ModSecurity und dem Standardregelwerk kommt.

Diese Konfigurationseinstellung kann einfach mit in den betreffenden VirtualHost-Eintrag der Webseite integriert werden.

Es ist beachtlich, wieviele Einträge von dem Plugin gefiltert werden. Nach kurzer Zeit sind die Log bereits mehrere 100 KB groß – es ist unerlässlich, die mod_security-Logs in ein Logrotate-Skript aufzunehmen!

Weitere Links

Allgemeines Sicherheitstutorial für Webanwendungen

http://docs.joomla.org/Security_Checklist_1_-_Getting_Started

Webseite von ModSecurity

http://www.modsecurity.org/