Bundesamt für Sicherheit in der Informationstechnik

M 4.100 Sicherheitsgateways und aktive Inhalte

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Eines der größten Probleme bei der Konzeption eines Sicherheitsgateways ist die Behandlung der Probleme, die durch die Übertragung aktiver Inhalte zu den Rechnern im zu schützenden Netz entstehen. Derzeit existieren noch keine brauchbaren Programme, die eine ähnlich wirksame Erkennung von Schadfunktionen in ActiveX-Controls, Java-Applets oder Scripting-Programmen ermöglichen, wie sie im Bereich der Computer-Viren möglich ist.

Die Größe der Gefährdung, die von aktiven Inhalten für die Rechner im zu schützenden Netz ausgeht, lässt sich anhand des folgenden Beispiels darstellen: Ein Java-Applet bzw. der Browser darf gemäß der Java-Spezifikationen eine Netzverbindung zu dem Server aufbauen, von dem es geladen worden ist. Diese zur Zeit noch recht wenig benutzte Möglichkeit ist eine zentrale Voraussetzung, wenn Netz-Computer (NC) oder ähnliches eingesetzt werden sollen, die auch ohne spezielle Initiierung durch den Anwender Programme vom Server laden müssen. Um diese Eigenschaft trotz der Verwendung eines Paketfilters vollständig unterstützen zu können, müssen sehr viel mehr Ports freigeschaltet werden oder es muss ein dynamischer Paketfilter eingesetzt werden. Ist das der Fall, können Java-Applets verwendet werden, um kaum zu kontrollierende IP-Verbindungen aufbauen zu können.

Die Kontrolle aktiver Inhalte kann auf verschiedene Weise geschehen:

1. Zentrale Filterung der aktiven Inhalte auf dem Sicherheitsgateway

Sämtliche als schädlich eingestuften Inhalte werden von einer Komponente des Sicherheitsgateways (in der Regel vom ALG ) gefiltert, so dass keine potenziell schädlichen Programme mehr auf den Client-Rechnern eintreffen.

Aktive Inhalte werden über spezielle Tags innerhalb einer HTML-Seite eingebunden. In der Regel werden aktive Inhalte anhand der entsprechenden Tags aus einer HTML-Seite erkannt und gelöscht, oder sie werden durch einen Textbaustein ersetzt, der dem Anwender einen Hinweis über die Tatsache der Filterung gibt. Das Problem besteht dabei darin, dass wegen der komplexen Möglichkeiten der aktuellen HTML-Spezifikation oft nicht alle zu löschenden Tags von den Sicherheitsproxies erkannt werden.

Weiterhin ist problematisch, dass beispielsweise Java-Applets nicht notwendigerweise als Datei mit der Endung .class verschickt werden müssen. Stattdessen können auch komprimierte Dateien eingesetzt werden, die z. B. die Endung .jar (Java-Archive) haben. Das bedeutet, dass ein Java-Filter auch alle von den verwendeten Browsern unterstützten Dateiendungen für Java-Dateien kennen muss. Zusätzliches Schadenspotential resultiert auch aus der Möglichkeit, JavaScript aus Java heraus auszuführen. Ähnliche Probleme existieren im Zusammenhang mit Flash-Objekten, .NET Assemblies und anderen aktiven Inhalten.

Es sollte unbedingt beachtet werden, dass auch aktive Inhalte außerhalb von Webseiten gefiltert werden müssen, beispielsweise in HTML-E-Mails.

2. Dezentrale Abwehr auf den angeschlossenen Clients

Die Ausführung aktiver Inhalte sollte normalerweise durch entsprechende Einstellungen im Browser unterbunden werden. Die Umsetzung einer Whitelist-Strategie für aktive Inhalte wird von verschiedenen Browsern in unterschiedlicher Weise und mehr oder weniger gut unterstützt (Beispiele: Zonenmodell des Microsoft Internet Explorers, Browser-Profile bei Mozilla). Idealerweise sollte ein Browser die Möglichkeit bieten, die Ausführung bestimmter Typen aktiver Inhalte getrennt für einzelne Server oder Domains freigeben oder verbieten zu können.

Dabei ist allerdings zu beachten, dass es auf Grund von Schwachstellen in den Browsern Angreifern möglich sein kann, entsprechende Einschränkungen zu umgehen.

Java-Applets, Acitve-X Objekte und mit Einschränkungen auch Javascript können mit einer digitalen Signatur versehen werden. Die Signatur dient dazu, die Integrität und Authentizität des jeweiligen aktiven Inhalts zu schützen. Werden ausschließlich signierte aktive Inhalte zugelassen, so bietet dies eine erhöhte Sicherheit vor Schadfunktionen. Diese Sicherheit ist jedoch nur indirekt, da der Nutzer auf die Vertrauenswürdigkeit der Signaturstelle, die in Zusammenarbeit mit dem Anbieter der aktiven Inhalte die Signatur erstellt, angewiesen ist.

Selbst die vollständige Deaktivierung der Ausführung aktiver Inhalte bietet aber nur einen begrenzten Schutz vor bösartigen aktiven Inhalten. Aufgrund der Vielzahl von Software-Schwachstellen in den Browsern können die Sicherheitseinstellungen umgangen werden, so dass der intendierte Schutz tatsächlich nicht oder nicht in vollem Umfang existiert.

3. Installation von Anti-Viren-Software und Personal Firewalls auf den Clients

Anti-Viren-Produkte können vor Viren, Makroviren und Trojanischen Pferden schützen, die durch aktive Inhalte automatisch heruntergeladen wurden. Sie bieten einen guten Schutz vor bereits bekannten Schadprogrammen. Mehr zu Anti-Viren-Produkten findet sich in Baustein B 1.6 Schutz vor Schadprogrammen .

Personal Firewalls sind Programme, die auf dem Client-Rechner installiert werden und dort meist mehrere Funktionen wahrnehmen. Sie bieten meist neben der Funktion eines lokalen Paketfilters weitere Funktionen an. Beispielsweise bieten einige Personal Firewalls die Möglichkeit einer Überwachung anderer Programme, die versuchen eine Netz-Verbindung aufzubauen. Solche Verbindungsaufnahmen können dann meist entweder automatisch anhand festgelegter Regeln oder im Einzelfall vom Benutzer selbst erlaubt oder verboten werden. In einigen Fällen bieten sie auch sogenannte "Sandboxen", die die Ausführung aktiver Inhalte kontrollieren und auf unbedenkliche Operationen beschränken können.

Personal Firewalls bieten zusammen mit Anti-Viren-Programmen einen recht guten Schutz vor bösartigen aktiven Inhalten.

Allerdings muss berücksichtigt werden, dass die richtige Konfiguration dieser Programme zusätzlichen Administrationsaufwand erfordert, und dass Personal Firewalls selbst Sicherheitslücken aufweisen können, die das System gefährden.

Bei allen drei Optionen ist eine Sensibilisierung der Benutzer zusätzlich notwendig. Zudem muss sichergestellt werden, dass die Einstellungen auf den Clients bei allen unter Punkt 2 und 3 genannten Schutzvorkehrungen nicht versehentlich oder absichtlich vom Benutzer deaktiviert oder umgangen werden können.

Vorteile der zentralen Filterung Vorteile der dezentralen Filterung
  • Einfache Installation und Administration, da die Filtersoftware nur einmal installiert werden muss.
  • Einfache Protokollierung und Auswertung, da im Gegensatz zur dezentralen Filterung keine Protokolldaten von mehreren Rechnern zusammengeführt werden müssen.
  • Im Gegensatz zur dezentralen Filterung ist keine triviale Manipulation der Filtersoftware durch den Benutzer möglich.
  • Filterprogramme für aktive Inhalte auf dem ALG sind dedizierte Sicherheitsprodukte. Der Schutz vor aktiven Inhalten auf den Clients (z. B. im Browser) ist hingegen oft fehlerhaft implementiert.
  • Die Verwendung der Filtersoftware ist unabhängig von der Software auf den Clients möglich. Es entstehen keine Kompatibilitätsprobleme mit der auf den Clients eingesetzten Software
  • Im Vergleich zur zentralen Filterung höhere Ausfallsicherheit, da die Filterung dezentral erfolgt.
  • Schutz vor verschlüsselten aktiven Inhalten. Bei Filterung auf dem Endgerät können aktiven Inhalte erkannt werden, da sie auf dem Endgerät entschlüsselt werden.
  • Die Ausführung von aktiven Inhalten kann unabhängig vom Sicherheitsgateway abgeschaltet werden.
  • Es entstehen keine Kompatibili-tätsprobleme, die sich durch den Einsatz einer zentralen Filter-software auf dem ALG ergeben könnten.

Tabelle: Vorteile der zentralen beziehungsweise dezentralen Filterung

Empfehlung

Die Entscheidung, wie mit aktiven Inhalten in Webseiten umgegangen wird, hängt in erster Linie vom Schutzbedarf der betreffenden Clients ab. Die folgende Tabelle kann bei der Festlegung der individuellen Strategie als Grundlage dienen:

Schutzbedarf der Clients Empfehlung
Normal Allgemein: Deaktivierung aktiver Inhalte im Browser und Freischaltung nur für vertrauenswürdige Websites.
Virenscanner auf dem Client (siehe auch Baustein B 1.6 Schutz vor Schadprogrammen ).
Eine Filterung aktiver Inhalte auf dem Sicherheitsgateway mit Freischaltung für vertrauenswürdige Websites (Whitelist) ist empfehlenswert.
Hoch Deaktivierung aktiver Inhalte im Browser und Freischaltung nur für vertrauenswürdige Websites.
Virenscanner auf dem Client (siehe auch Baustein B 1.6 Schutz vor Schadprogrammen ).
Filterung aktiver Inhalte auf dem Sicherheitsgateway mit Freischaltung für vertrauenswürdige Websites (Whitelist). Zusätzlich Filterung von Cookies (Whitelist).
Die Kriterien, für welche Websites aktive Inhalte freigeschaltet werden, sollten deutlich restriktiver sein als bei normalem Schutzbedarf.
Eine ergänzende Sicherheitsanalyse wird empfohlen, um sicher zu stellen, dass ein angemessenes Sicherheitsniveau erreicht wurde
Bei zusätzlichen oder speziellen Anforderungen Einsatz einer Personal Firewall auf dem Client.

Tabelle: Empfehlungen für den Umgang mit aktiven Inhalten in Webseiten

Die Entscheidung für eine bestimmte Vorgehensweise und die Gründe, die dafür ausschlaggebend waren, sollten nachvollziehbar dokumentiert werden.

Eine zu "liberale" Einstellung oder gar eine generelle Freigabe aktiver Inhalte ist auch bei normalem Schutzbedarf nicht zu empfehlen. Die möglichen Schäden, die durch bösartige aktive Inhalte in Verbindung mit Schwachstellen in Webbrowsern oder im unterliegenden Betriebssystem entstehen können, sind dafür zu gravierend. Falls für bestimmte, Anwendungen aktive Inhalte zwingend nötig sind, sollten sie nur für die betreffenden Server freigegeben werden.

Bei Neuentwicklungen browserbasierter Anwendungen oder bei einer Weiterentwicklung einer bestehenden Anwendung, die aktive Inhalte im Browser benötigt, sollte kritisch hinterfragt werden, ob die Verwendung der aktiven Inhalte wirklich notwendig ist. Oft lassen sich aktive Inhalte bei gleichwertiger Funktionalität durch serverseitig dynamisch erzeugte Webseiten ersetzen.

Prüffragen:

  • Findet eine Filterung aktiver Inhalte statt?

  • Sind Anforderungen definiert, welche aktiven Inhalte als schädlich einzustufen sind?

  • Entspricht die Umsetzung zur Filterung aktiver Inhalte der als schädlich eingestuften Inhalte den Sicherheitszielen der Organisation?

  • Ist auf den Clients zum Schutz gegen Schadprogramme ein Anti-Viren-Produkt installiert?

  • Ist auf den Clients zum Schutz gegen aktive Inhalte eine Personal Firewall eingerichtet?

  • Sind die Benutzer für den Umgang mit aktiven Inhalten sensibilisiert?

Stand: 13. EL Stand 2013