Categories: FirewallSicherheit

XML Web Services brauchen eine Firewall

Netzwerk-Firewalls sind der wesentliche Bestandteil der vorherigen Generation von Sicherheitsinfrastruktur. Der Gedanke hinter dieser Art Infrastruktur war in etwa wie folgt:




Wir können nicht von der Sicherheit all unserer Systeme abhängig sein. Lasst uns deshalb einen Umkreis definieren, in dem mit Hilfe von Netzwerk-Firewalls diese Systeme versteckt werden. Außerdem lasst uns den folgenden Mechanismus einrichten:

  • Definieren, welche IP-Adressen sich in diesem Umkreis befinden
  • Allem außerhalb dieses Umkreises nicht trauen
  • Nur dem trauen, was sich innerhalb dieses Umkreises befindet
  • Annehmen, dass die Ports, die für bestimmte Protokolle offen bleiben, die Sicherheit des Systems nicht zu sehr beeinträchtigen

Mit anderen Worten lautet die typische Frage, die durch eine Netzwerk-Firewall gelöst wird: „Soll dieses Datenpaket, das von einem Sender-IP an einen bestimmten Port des Ziel-IP gerichtet ist, durchgelassen werden?“

Die Sicherheit auf Anwendungsebene wirft andere Fragen auf und erfordert eine andere Lösung. Die typische Frage, die durch eine XML Application Firewall gelöst wird, ist: „Soll diese SOAP-Nachricht, die im Namen eines Anfordernden eines Services mit einer bestimmten Identität (von der zuständigen Authentifizierungsbehörde bestätigt) und mit der nötigen Vertrauenswürdigkeit und dem Non-Repudiation-Schutz gesendet wurde, an den Zielvorgang des Ziel-Web-Service weitergeleitet werden?“

Der Gedanke hinter dem Einsatz von XML Application Firewalls ist in etwa wie folgt: „Wir können nicht davon abhängen, dass alle uns zu Grunde liegenden Systeme nachweisbar sicher sind. Lasst es uns deshalb erforderlich machen, dass alle Anforderungen von Services durch eine XML Application Firewall geleitet werden, die verschiedenen Kategorien von Anfordernden bestimmte Zugangsstufen zuweist und gleichzeitig über mehrere Geschäftssysteme hinweg für beständige und überprüfbare Sicherheits- und Überwachungspraktiken sorgt.“

Organisationen werden sich allmählich klar, dass die alte Sicht der Dinge nicht mehr ausreicht. Netzwerk-Firewalls werden zwar weiterhin zentraler Bestandteil der Gestaltung eines Netzwerks sein, doch sie tragen den folgenden aktuellen Erfordernissen und Realitäten nicht Rechnung:

  • Die meisten Verstöße gegen die Sicherheitsvorkehrungen gehen von einem Punkt innerhalb des Bereichs der Firewall aus.
  • Wirtschaftliche Erfordernisse verlangen Zugang und Integration über die Firewall hinaus.
  • Ports, die bestimmte Protokolle passieren sollen, werden für eine große Zahl verschiedener Zwecke verwendet.
  • XML-Web-Service-SOAP-Nachrichten sind gerade deshalb entwickelt worden, um bestehende Firewalls leicht passieren zu können, indem sie mithilfe von Transportprotokollen (HTTP, SMTP usw.) gesendet werden, die gewöhnlich durch offene Firewall-Ports geleitet werden.
  • Nur wenige Knoten in einem Datennetzwerk mit XML Web Services werden neuer, mit modernen Mitteln (.NET, aktuelle J2EE-Apps-Server usw.) geschriebener Code sein. Legacy- und gepackte Anwendungen werden die Mehrzahl der Knoten darstellen. Die Sicherheitsniveaus dieser Anwendungen unterscheiden sich sehr stark voneinander, und es ist häufig schwer, ihre Sicherheitsfunktionen zu überprüfen und zu verwalten.

Zweck der XML Application Firewalls ist es, diese Erfordernisse gemeinsam mit der bestehenden Netzwerk-Firewall-Infrastruktur (anstatt diese zu ersetzen) zu erfüllen.

Page: 1 2 3 4

ZDNet.de Redaktion

Recent Posts

Microsoft ernennt neuen Windows-Chef

Der Chef der Abteilung Devices übernimmt den wiedervereinten Geschäftsbereich Windows und Surface. Die Leitung der…

2 Tagen ago

Bürokratie, Cyberkriminalität & Digitalisierungschaos: Wie kann Deutschland sicherstellen, nicht abgehängt zu werden?

Deutschland hat das Potenzial, durch gezielte Förderung der Digitalisierung und enge Zusammenarbeit zwischen Behörden und…

2 Tagen ago

Online-Testportale: Wie man ihr Vertrauen auf den Prüfstand stellt

Wer auf der Suche nach neuen Produkten oder Dienstleistungen ist, schaut sich oftmals zunächst im…

2 Tagen ago

Apple schließt kritische Lücke in iOS, iPadOS und macOS

Eine Schwachstelle erlaubt das Ausführen von Schadcode aus der Ferne. Als Einfallstor dienen speziell gestaltete…

2 Tagen ago

Mozilla stopft zwei kritische Lücken in Firefox

Sie erlauben die Ausführung von Schadcode außerhalb der Browser-Sandbox. Betroffen sind Firefox für Windows, macOS…

3 Tagen ago

Abstürze von Windows Server: Microsoft veröffentlicht Notfall-Patch

Die März-Sicherheitsupdates führen einen Speicherfehler ein. Der wiederum lässt einen System-Dienst einfrieren und löst unter…

3 Tagen ago