M 4.405 Verhinderung der Blockade von Ressourcen (DoS) bei Webanwendungen und Web-Services

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Entwickler

Webanwendungen und Web-Services bieten häufig ressourcenintensive Funktionen an, die zum Beispiel komplexe Datenbankabfragen oder Datenübermittlungen auslösen. Werden diese rechenintensiven Operationen bewusst gehäuft aufgerufen oder die Webanwendungen und Web-Services mit Anfragen überflutet, können hierdurch Ressourcen im Übermaß belegt und der Betrieb bis zur Unerreichbarkeit eingeschränkt werden. Dieses Vorgehen wird als Denial-of-Service-Angriff (DoS) bezeichnet.

DoS-Angriffe beruhen in den meisten Fällen ebenso wie Brute-Force- und Enumeration-Angriffe auf Automation (siehe M 4.396 Schutz vor unerlaubter automatisierter Nutzung von Webanwendungen). Daher sollten zur Vorbeugung gegen DoS-Angriffe ähnliche Schutzmechanismen umgesetzt werden. Dazu zählen beispielsweise folgende Maßnahmen:

Zusätzlich geben die folgenden Beispiele Hinweise auf spezifische Schutzmaßnahmen, um Denial-of-Service-Angriffe bei Webanwendungen und Web-Services zu erschweren:

Bei Web-Anwendungen und Web-Services, bei denen aufgrund ihrer Natur mit gezielten, zum Beispiel politisch motivierten DoS-Angriffen aus dem Internet zu rechnen ist, kann auch die Zusammenarbeit mit einem Dienstleister sinnvoll sein, der sich auf die Abwehr von DoS-Angriffen spezialisiert hat. Solche Dienstleister leiten den IP-Verkehr im Angriffsfall über eigene Systeme, die Zugriffe filtern und/oder die Zielsysteme durch andere Maßnahmen wie zum Beispiel Zwischenspeicher (Caching) entlasten. Dabei ist im Vorfeld abzuwägen, ob durch die Umleitung der Datenströme über die Systeme Dritter zusätzliche Gefährdungen oder Anforderungen entstehen. Eine beliebte Angriffsmethode für zwischengespeicherte Web-Seiten ist beispielsweise, dass der Angreifer nicht vorhandene Unterseiten aufruft. Wenn dies der Dienstleister nicht abfängt und die Anfrage nach der vermeintlich neuen Unterseite an die ursprüngliche Seite weiterleitet, kommt es zu einem unbeabsichtigten DoS-Angriff des Dienstleisters. Solchen neuen Angriffsvektoren muss bei der Auswahl des Anti-DoS-Dienstleisters begegnet werden.

In serviceorientierten Architekturen (SOA) müssen zudem die Einträge in der Service-Registry von SOA-Diensten vor Manipulationen geschützt werden. Deshalb ist in der WS-Policy festzulegen, wer schreibenden Zugriff auf die Service-Registry hat. Das sind üblicherweise Service-Provider der eigenen technischen Domäne und Administratoren. SOAP-Nachrichten, die von Providern an die Service-Registry zwecks Registrierung übersandt werden, sind zusätzlich über das Provider-Zertifikat abzusichern, z. B. im Label der SOAP-Nachricht. Anhand der Zertifikate kann die Service-Registry überprüfen, ob der Eintrag echt ist. Ebenso muss sich ein Quality-of-Service-(QoS)-Agent mit einem Zertifikat gegenüber der Service-Registry ausweisen, wenn er QoS-Parameter an einen SOA-Dienst übermittelt. Zum Schutz der in der Regel periodisch erfolgenden Synchronisation zwischen verteilten Service-Registries sind die SOAP-Nachrichten, die die Synchronisationsinformation beinhalten, mittels des Zertifikats der absendenden Service-Registry abzusichern, z. B. im Label der SOAP-Nachricht.

Prüffragen: