Rundum sicher: Web Application Firewall bei snowflake
In den letzten Wochen und Monaten wurden wir mit einer steigenden Anzahl Angriffe auf bei uns betriebene Webseiten konfrontiert. Es wurden für den Angriff jeweils immer SQL Injection Sicherheitslücken in TYPO3 Extensions ausgenutzt. Der TYPO3 Core war nie von einem erfolgreichen Angriff betroffen, das heisst wenn Sie keine alten und/oder unsicheren Extensions installiert haben müssen Sie nichts befürchten.
Dass eine aktuelle Extension aus dem TYPO3 TER betroffen ist haben wir bei unseren Hostingkunden bisher ebenfalls nie erlebt. Das TYPO3 Security Team (welches einen super Job macht) kümmert sich darum dass eine allfällige Lücke in diesen Extensions geschlossen wird und publiziert ein entsprechendes Security Bulletin.
Bei den betroffenen Extensions handelte es sich bisher ausschliesslich um alte und durch Agenturen erstellte Eigenentwicklungen. Die aktuelle Situation zeigt deutlich, dass Probleme wie SQL Injections bis vor ein paar Jahren im Internetagentur-Umfeld kein grosses Thema waren, entsprechende Angriffe existierten, bzw. erfolgten nicht oder nur sehr selten.
Wir betreiben jedoch sehr viele Seiten mit kundenspezifischen Extensions welche teilweise fünf oder mehr Jahre alt sind. Bei diesen halten wir den TYPO3 Core und die TER-Extensions auf einem aktuellen Stand, wir können uns jedoch nicht um jede dieser speziellen Extensions kümmern.
Aufgrund dieser Problematik haben wir uns entschieden allen Webservern eine Web Application Firewall vorzuschalten. Diese überwacht den HTTP Verkehr auf verdächtige Inhalte und blockiert gegebenenfalls die Anfrage. Durch die Verlagerung der Überprüfung in die HTTP Ebene lassen sich somit sämtlich Installationen in einem Schritt abdecken.
Trotzdem sollten die installierten TYPO3 Versionen und Extensions natürlich auch weiterhin gepflegt und aktualisiert werden. Die Firewall blockiert zwar verdächtige Anfragen, ist jedoch nur eine Ergänzung und kann nicht als Ersatz für eine sicher konfigurierte Installation angesehen werden. Wenn Sie mehr über das Thema Sicherheit wissen möchten, dann kontaktieren Sie uns. Wir helfen Ihnen gerne weiter.
Die Firewall ist seit heute Montag, 09.05.2011 aktiv und blockiert verdächtige Anfragen. Trotz einer möglichst sorgfältigen Vorbereitung inklusive einer mehrwöchigen Testphase ist es möglich, dass ab jetzt gewisse reguläre Anfragen blockiert werden, die Sie nicht blockiert haben möchten. Wir werden sämtliche Aktivitäten überwachen und gegebenenfalls manuell eingreifen. Sollten wir trotzdem etwas nicht unmittelbar entdecken, bitten wir Sie, sich mit uns in Verbindung zu setzen.
