Het aantal beveiligingsincidenten met webapplicaties neemt dramatisch toe. Dat schrijft Govcert in een document dat adviezen geeft over beveiliging van deze toepassingen. De toename heeft drie oorzaken, zo schrijft het computerincident-responsteam van de Nederlandse overheid. Ten eerste zijn er meer webapplicaties. Ten tweede komen problemen eerder aan het licht doordat gebruikers hun applicaties scherper in de gaten houden. Tenslotte maken kwaadwillenden vaker misbruik van kwetsbaarheden in de toepassingen.
Omdat een webapplicatie deel uitmaakt van een keten van ict-services, moet beveiliging zich niet alleen richten op de webapplicatie zelf, zo stelt Govcert. Beheerders moeten daarnaast ook aandacht schenken aan het netwerk, platformen en het identiteits- en toegangsbeheer. Govcert stelt een document beschikbaar waarin wordt beschreven hoe al deze lagen kunnen worden beveiligd: het Raamwerk Beveiliging Webapplicaties (RBW).
Het document beschrijft kwetsbaarheden en dreigingen en geeft praktische adviezen over maatregelen die kunnen worden genomen.
Besturingssysteem hardenen
Zo adviseert Govcert om het besturingssysteem zoveel mogelijk te 'hardenen'. Dat is het uitkleden van het systeem, zodat zo min mogelijk functies overblijven die misbruikt kunnen worden. Dat kan bijvoorbeeld door zoveel mogelijk communicatiemogelijkheden uit te schakelen, de rechten van het systeem te minimaliseren en gebruik te maken van jailing. Dat is het creëren van een geïsoleerde omgeving, ook wel een zandbak genoemd, waarbinnen het besturingssysteem draait.
Een goede inrichting van de gedemilitariseerde zone (DMZ) van het netwerk is ook heel belangrijk, stelt Govcert. De DMZ is een apart stuk netwerk dat speciaal is bedoeld om er applicaties in onder te brengen die bereikbaar zijn vanaf het internet. Govcert adviseert onder andere om verschillende segmenten te creëren voor verschillende applicaties. Vervolgens kunnen regels worden opgesteld die bepalen welke routes verkeersstromen mogen nemen die onderweg zijn naar een bepaald type applicatie.
Daarnaast is het verstandig om een server minimaal twee netwerkaansluitingen te geven: een voor aansluiting op het productiegedeelte en een voor aansluiting op het beheergedeelte.
Aanvalspatronen herkennen
Applicaties kunnen onder andere worden beveiligd door een firewall op toepassingenniveau te plaatsen tussen client en server, door invoer van tevoren te controleren op allerlei vormaspecten en door http-verzoeken te vergelijken met een lijst van bekende aanvalspatronen. Zo voorkom je dat aanvallen die syntactisch volledig in orde zijn toch de webapplicatie bereiken.
Webapplicatie
Met webapplicatie bedoelt Govcert een applicatie die bereikbaar is via een webbrowser of via een andere http(s)-client.
Dit is een goede case voor bewijsbaar veilige informatie systemen. Als de domeinen voor informatie bewerking + opslag informatie-theoretisch gescheiden zijn van het domein voor informatie communicatie dan is dit een stuk veiliger. De presentatie van een operationeel systeem waarin dit het geval is, is te vinden op de link http://www.wuala.com/freemovequantumexchange. Door de Informatie-Theoretische veiligheid zijn de onbeveiligde en beveilige domeinen volledig van elkaar gescheiden en zijn dit soort problemen met dit systeem onmogelijk.
Wat een stoute kwaadwillenden! Het lijken wel inbrekers die stiekum een openstaand huis binnendringen! En dan ook nog een advies van de Nederlandse overheid! Diezelfde overheid die geen cent uitgeeft om universiteiten op niveau IT-onderzoek en onderwijs te laten doen. Diezelfde overheid, die alleen maar microsoft software wil. De software die niet werkt als een zeef voor malware, etc. maar als een vergiet zogauw contact gemaakt wordt met het internet. Uitgeklede systemen? Stel een Linux distro samen voor alle Nederlanders die geen IT-expert zijn. U maakt mij toch niet wijs dat een leek (die ook een computer heeft) iets van deze adviezen begrijpt!
Govcert adviseert multi-homed om security redenen en Giac juist het tegenovergestelde “The dual-homed PC architecture is generally recognized as the worst in terms of scalability, manageability, and security.?
http://www.giac.org/resources/whitepaper/network/352.php
Wat is nu het beste advies?