Bundesamt für Sicherheit in der Informationstechnik

G 5.198 Missbrauch der WS-Notification-Broker in einer SOA

Ein NotificationBroker erhält eine Subscription für einen NotificationConsumer, wobei diese durch einen Stellvertreter initiiert wurde. Damit besteht die Gefahr eines Denial-of-Service-( DoS )-Angriffs auf eine bekannte Adresse, indem der Broker viele Nachrichten (Notifications) an die vorgegebene Adresse verschickt.

Jeder kann eine Operation auf einem Interface auslösen, sofern mit einer gültigen Richtlinie gearbeitet wird (siehe G 5.183 Angriffe auf XML ). In einer Subscription wird die Zieladresse für den Consumer spezifiziert. Sofern der Subscriber auch der Empfänger einer Nachricht ist, wird eine Peer-to-Peer-Beziehung etabliert.

Für den Zugriff auf Informationen unterstützen die WS-Notification-Standards das Publish/Subscribe-Verfahren.

Wird ein NotificationBroker benutzt, kann der Fall auftreten, dass neben Brokern in der eigenen Informationsdomäne auch solche aus anderen Domänen verwendet werden.

Informationen, die ein Service-Provider an Broker in einer anderen Domäne weitergibt, unterliegen jedoch nicht mehr der administrativen Kontrolle der eigenen Domäne. Ohne Schutz der zu verteilenden Information besteht so die Gefahr, dass nicht-autorisierte NotificationConsumer unter einer fremden Richtlinie Zugang zu diesen Informationen erhalten.

NotificationConsumer können sich für spezifische Themen (Topics) anmelden. Verteilt der NotificationBroker Nachrichten (Notifications) mit diesen Topics an die Empfängergruppe, kann er die relevanten NotificationConsumer über ihre IP -Adresse zu einer Gruppe zusammenfassen und die zugehörigen Notifications an diese Gruppe übersenden (One-Way-Notification).

Werden verschiedene Consumer auf eine gemeinsame Gruppenadresse abgebildet, birgt dies Risiken, da es sich bei der Multicast-Adressierung im Internet um eine anonyme Gruppe handelt, deren Kontroll- und Replikationsmechanismen weder unter der Administration des Brokers noch der Consumer stehen.

Die Anmeldung an eine Gruppe und das Versenden von Notifications an eine Gruppe können durch eine Richtlinie unterstützt werden. Muss die Richtlinie bei einer Gruppenkommunikation durchgesetzt werden, erhöht sich jedoch das Risiko einer Peer-to-Peer-Kommunikation: Durch Zugang zu einem Multicast-Provider kann ein Angreifer sich in den Informationsfluss einhängen, ohne die erforderliche Authentisierung am Broker durchlaufen zu haben, zum Beispiel an einem "Sparse Mode Rendezvous Point (RP)" im Netz.

Meldet sich ein NotificationConsumer für ein bestimmtes Topic an, wird er mit der entsprechenden Information vom NotificationBroker per One-Way-Notification informiert, gemäß den lokal gültigen Richtlinien (Policies) für den Broker.

Beim Broker kann jedoch eine Subscription verloren gehen, z. B. wenn diese automatisch, technisch oder bewusst manuell gelöscht wird. Für den Consumer ist nicht erkennbar, ob er keine Publikation erhält, weil keine Nachrichten im Broker vorliegen oder weil keine Subscription mehr definiert ist. Es gibt derzeit kein Protokollmittel, mit dem der Status einer einmal eingerichteten Subscription überprüft werden kann.

Für den Schutz des Inhalts einer WS-Notification und die korrekte Klassifizierung ist der Verursacher (Erzeuger) verantwortlich. Da der mögliche Empfängerkreis dieser WS-Notification im Voraus nicht bekannt ist, kann kein Nutzerzertifikat der Empfänger verwendet werden.

Als Ersatz kann ein Attributzertifikat genutzt werden. Allerdings stellt sich hierbei das Problem, wie der private Schlüsselanteil an die berechtigten Empfänger verteilt werden kann. Diese Gefährdung wird noch komplexer, wenn die betreffende WS-Notification über mehr als eine Informationsdomäne verteilt wird. Insbesondere besteht die Gefährdung auch darin, dass der Besitz eines solchen privaten Schlüsselanteils noch nichts über die Berechtigung zu dessen Verwendung aussagt.

Stand: 15. EL Stand 2016

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK