Web-Security

Bis noch vor ca. 3-4 Jahren habe ich – sogar noch in Vorträgen, Workshops und Tutorials zu RMX und zum Spam-Schutz – die Meinung vertreten, daß die Bedrohungssituation bei E-Mail eine ganz andere sei – oder damals war – als etwa bei Web-Servern. In den letzten Jahren habe ich da aber auch umgelernt und meine Meinung geändert:

Meine frühere Auffassung war, daß man bei E-Mail eine aktive Ressource zur Verfügung stellt, die der Angreifer nutzen kann – Mail in die Mailbox pumpen. Deshalb würde ich den Zugriff beschränken, den Zugriff zumindest in einer gewissen Grundform authentifizieren und bestimmte Angreifergruppen vom Zugriff ausschließen wollen. Anders gesagt: Ich will keine anonymen E-Mails, sondern wissen und beschränken, wer mir etwas in meine Mailbox pumpt.

Als Gegenstück habe ich (damals) stets meinen Webserver erwähnt: Rein statisch, da ist es mir völlig egal, wer da wie worauf zugreift, auch anonym. Der Server war von einer Auslastung der CPU und des Traffic-Kontingentes noch meilenweit entfernt. Was schadet es also, wenn einer drauf zugreift? Was kann er anrichten? Das sage ich heute nicht mehr.

War diese Meinung falsch? Nein, denn wenn mein Webserver noch derselbe wie vor 3-4 Jahren wäre, würde die Meinung noch immer uneingeschränkt gelten. Aber nicht nur die Angriffe, auch das Schutzobjekt selbst, der Webserver hat sich teils schleichend, teils explizit geändert. Immer mehr aktive Seiten kommen ins Spiel, wie z. B. dieses Blog. Und kaum sind solche aktiven Seiten ga, gibt’s Ärger und gefährliche Angriffe – Versuche von Pufferüberläufen, Versuche sich im Blog einzuloggen, tonnenweise Spam über die Kommentarfunktion, Täuschungsversuche zum Referer usw. usw. usw. Die Lawine der Spam-Versuche hat erst abgenommen, als ich die gesamten IP-Adressbereiche verschiedener Provider eines bestimmten Landes komplett vom Blog ausgesperrt habe: Traurig aber nötig, denn auf Beschwerden haben die nicht reagiert. Und auch gewisse Angriffsschemen müssen geblockt werden, die über die Syntax von Zugriffen zu erkennen sind, also regelbasiertes Abblocken und dergleichen.

Und damit sind wir letztlich beim Webserver-Schutz in einer ganz ähnlichen Situation wie beim Mail-Schutz angekommen: Nichts mehr mit freiem unbeschränktem Zugriff, sondern gewisse Länder müssen gesperrt, gewisse Angriffe durch stetig wachsende Regelsätze erkannt werden. Im Prinzip der gleiche systemlose Murks wie bei E-Mail, die gleichen Software-Macken, ebenfalls ein Einfach-Protokoll, das auf diese Form der Angriffe nicht ausgelegt war. Das gleiche in grün.

Warum mir das gerade so für mein Blog einfällt? Nun, gerade eben kam die neue iX 8/2007 in den Briefkasten, und da ist auf Seite 132 ff. ein netter Artikel über das Apache mod_security2-Modul, mit dem man einige dieser Filter-Regeln implementieren kann. Das Modul – und im Prinzip auch der Artikel – sind für Webserver-Betreiber durchaus empfehlenswert.