Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator
Bis vor kurzem galten Firewalls als der Schutz schlechthin vor Angriffen aus dem Internet auf das eigene Netz. Sie stellten sicher, daß aus dem Internet heraus kein Verbindungsaufbau in das interne Netz möglich war und interne Nutzer problemlos auf Informationen im Internet zugreifen konnten. Aufgrund der immer größeren Verbreitung von sogenannten aktiven Inhalten auf WWW-Seiten hat sich diese Situation allerdings geändert. Informationen aus dem Internet werden nicht mehr nur betrachtet, sondern teilweise wird beim Betrachten auch fremder Programmcode ausgeführt. Momentan ist hiermit Java, ActiveX und Javascript gemeint, künftig könnten auch noch weitere hinzukommen. Auch ist über sogenannte Plug-Ins das Starten anderer Programme aus dem Browser heraus möglich, teilweise sogar automatisch aus einer HTML-Seite heraus. Je nach Art dieser Programme ist mit ihrem Ausführen eventuell ein Sicherheitsrisiko verbunden.
Um ein internes Netz vor Mißbrauch durch aktive Inhalte aus dem Internet zu schützen, sind aus heutiger Sicht mehrere Vorgehensweisen denkbar, die im folgenden anhand von Java, ActiveX und Javascript vorgestellt werden.
Verbieten von aktiven Inhalten auf der Firewall
Auch heute noch kann man sehr gut auf das Internet zugreifen, ohne wirklich aktive Inhalte zu benötigen. Dies ist die sicherste und deshalb empfohlene Methode für den Zugriff auf das Internet, da hiermit weiterhin die Firewall die Hauptkontrolle übernehmen kann. Um die Entgegennahme von aktiven Inhalten zu verhindern, benötigt man auf dem Application Gateway einen Proxy, der HTML-Seiten auf aktive Inhalte untersucht. Findet er diese, müssen sie aus der Seite herausgefiltert werden. Es gibt eine Reihe von Application Gateways, die diese Funktionalität bieten (siehe M 2.75 Geeignete Auswahl eines Application-Gateway).
Es muß allerdings davon ausgegangen werden, daß diese Lösung, obwohl sie die sicherste ist, in Zukunft eine immer geringere Akzeptanz finden wird, da die Anzahl derjenigen Seiten zunimmt, wo der aktive Inhalt die eigentliche Information enthält. Wird der aktive Inhalt herausgefiltert, kann der interne Benutzer nicht mehr auf diese Information zugreifen.
Hinweis: Auch in E-Mails können aktive Inhalte versteckt sein, daher sollten auch diese daraufhin überprüft werden. Da verschlüsselte Kommunikation nicht auf aktive Inhalte überprüft werden kann, dürfen bei zentraler Filterung SSL-basierte WWW-Zugriffe nicht erlaubt werden.
Verbieten von aktiven Inhalten im WWW-Browser
Bei zentral administrierten Arbeitsplatzrechnern ist es denkbar, die Rechte der einzelnen Benutzer so weit einzuschränken, daß diese die Sicherheitseinstellungen ihres WWW-Browsers nicht mehr ändern können. Diese könnten dann so konfiguriert werden, daß aktive Inhalte nicht ausgeführt werden. Hierbei kann dann auch auf dem Application Gateway auf die Filterung nach aktiven Inhalten verzichtet werden, da aktive Inhalte unter diesen Umständen im internen Netz keinen Schaden mehr anrichten können.
Eine andere Lösung ist, für den Zugriff auf das Internet nur bestimmte WWW-Browser zuzulassen. So gibt es nicht nur den Netscape Communicator und den Internet Explorer, sondern auch andere Browser, die keine Möglichkeiten zum Ausführen von aktiven Inhalten haben.
Zum einen könnte die Verwendung solcher Browser durch eine entsprechende Verwaltung der Arbeitsplatzrechner sichergestellt werden. Hierbei müssen aber die Betriebssysteme der Arbeitsplatzrechner eine zuverlässige Rollentrennung zwischen Benutzer und Administrator bieten, damit vom Administrator voreingestellte Konfigurationen von den Benutzern nicht rückgängig gemacht werden können. Bei Betriebssystemen wie Windows 3.1 und Windows 95 sind daher zusätzliche Sicherheitsvorkehrungen notwendig.
Zum anderen könnte der Proxy auf der Firewall so eingerichtet werden, daß nur Internetzugriffe einer vorgegebenen Browser-Software erlaubt sind. Hierbei ist allerdings zu berücksichtigen, daß die Sicherheit dieser Variante von der Kennung der verwendeten WWW-Browser abhängt. Mit einem Hex- Editor sollte ein versierter Benutzer keine Schwierigkeiten haben, einen WWW-Browser seiner Wahl so abzuändern, daß dieser die gewünschte Kennung hat.
Sensibilisierung der Benutzer
Es ist auch denkbar, die Verantwortung ganz in die Hände der Benutzer zu legen. Die aktiven Inhalte sollten im WWW-Browser im Regelfall abgeschaltet sein, die Benutzer haben aber die Erlaubnis, unter bestimmten Umständen auch aktive Inhalte auszuführen. Dies könnte z. B. der Fall sein, wenn sie auf das WWW-Informationsangebot eines bekannten Herstellers ohne aktive Inhalte nicht mehr zugreifen können.
Insbesondere ActiveX erlaubt mit seinen verschiedenen Sicherheitseinstellungen, das Ausführen von ActiveX auf bestimmte WWW-Server zu beschränken, so daß der Benutzer nicht dauernd seine Einstellungen ändern muß.
Es ist aber zu bezweifeln, daß ein Benutzer wirklich immer wieder die Sicherheitseinstellungen seines WWW-Browsers ändert, wenn er auf eine andere WWW-Seite wechselt, wo ihn z. B. ein Link vom "bekannten Hersteller" hingeführt haben könnte. Außerdem kann eine einzelne Web- Seite auf einem "sicheren" Rechner auch weitere Web-Seiten laden, die sich auf "unsicheren" Rechnern befinden. Darüber hinaus sind Angriffe im Internet möglich, bei denen ein Benutzer gar nicht die WWW-Seite bekommt, die er angefordert hat (siehe z. B. G 5.48 IP-Spoofing und G 5.78 DNS-Spoofing).
Filterung bestimmter aktiver Inhalte
In der letzten Zeit sind Programme entwickelt worden, die analog zu Computer-Virensuchprogrammen aktive Inhalte daraufhin untersuchen, ob darin sicherheitsgefährdender Code enthalten ist. Dies ist für die Benutzer eine sehr akzeptable Lösung, da diese dann auf alle ungefährlichen aktiven Inhalte zugreifen können.
Es stellt sich allerdings die Frage, ob solche Programme wirklich einen Schutz bieten. So kann beispielsweise ein Virensuchprogramm nicht vor trojanischen Pferden schützen, und solche können natürlich auch beträchtlichen Schaden anrichten.
Ausführen aktiver Inhalte in einer geschützten Umgebung
Java und Javascript sind so in den WWW-Browsern implementiert, daß diese in einer sogenannten Sandbox ausgeführt werden. Wurde diese Sandbox richtig implementiert, so kann der aktive Inhalt nicht auf Daten außerhalb dieser Sandbox zugreifen. Zwar sind noch immer sogenannte Verfügbarkeitsattacken (Denial of Service: DOS) möglich, aber die Vertraulichkeit und Integrität anderer Daten ist nicht gefährdet. Dieses Sandbox-Verfahren kann noch weiter ausgedehnt werden.
Hierfür bieten sich zwei Verfahren an:
Auf einem Unix-Rechner ist es z. B. möglich, einen WWW-Browser in einer change-root - Umgebung zu starten, in der der WWW-Browser nur noch Zugriff auf ein eingeschränktes Dateisystem hat. Sollte ein aktiver Inhalt Schaden anrichten, so kann er dies nur innerhalb dieser eingeschränkten Umgebung. Damit ein Benutzer von seinem Arbeitsplatzrechner aus arbeiten kann, muß der WWW- Browser auf diesem angezeigt werden, was beispielsweise über X-Windows möglich wäre. Auch mit Windows NT ist ein solcher Aufbau möglich.
Empfehlung:
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000.