PortalDerWirtschaft.de



Suchmaschinenoptimierung mit PdW
mit Content-Marketing - Ihre News
English

SonicWALLs Aventail E-Class SRA vor Angriffen bestens geschützt


Von griffity GmbH

Wildcard-Policy für URL-Adressen schützt Clientless SSL VPN

München, 08. Dezember 2009 – Das amerikanische Computer Emergency Readyness Team (US-CERT) meldete am 30.11.2009, dass einige Produkte für Clientless SSL VPN einen Sicherheitsmechanismus von Webbrowsern aushebeln. Angreifer können damit beispielsweise Authentifizierungsprozesse umgehen, sensible Daten stehlen oder andere Web-Attacken starten.
Thumb Der Sicherheitsmechanismus „Same Origin Policy“ für Browser und Webanwendungen dient dazu, dass Objekte einer Website oder Web-basierenden Anwendung wie beispielsweise Cookies nicht von einer anderen Quelle ausgelesen werden können. JavaScript oder ActionSkript dürfen nur dann auf Objekte zugreifen, falls sie aus derselben Quelle stammen. Wenn für eine VPN-Verbindung vor den Domain-Namen der Name des VPN-Servers gesetzt ist, greift die Same Origin Policy nicht mehr, da alle Objekte nun scheinbar aus einer Quelle stammen, auch wenn danach unterschiedliche Domains folgen. Leitet ein Angreifer den VPN-Nutzer auf eine manipulierte Site, kann er sensible Daten abgreifen oder die Tunnel-Verbindung für sich nutzen. Falls Unternehmen eine Richtlinie so festgesetzt haben, dass alle URL-Adressen für *.com zugelassen sind, sind potenziell alle Anwendungen gefährdet, die über den Domain-Namen angesprochen werden. Ein Beispiel: Die Domain für die Anwendung lautet https://workplace.mydomain.com und *.com ist als erlaubte Ressource definiert. Meldet sich ein Benutzer dann für seinen Outlook Web Access unter https://workplace.mydomain.com/go/owa001.mydomain.com an, liegen alle Cookies der Domain workplace.mydomain.com auch für die OWA-Anwendung offen. Falls der Anwender dann beispielsweise auf eine Phishing-Adresse in seiner E-Mail (https://workplace.mydomain.com/go/badguys.com/) klickt, werden alle Anfragen, die badguys.com an die Web-Anwendung richtet, als korrekt und gültig interpretiert und alle Cookies, die badguys.com auslesen möchte, bekommt die Anwendung demzufolge auch zurückgemeldet. Die Aventail-Produktlinie ist nur dann angreifbar, wenn IT-Administratoren die Richtlinien für die Domainnutzung sehr allgemein halten. Der einfachste Weg, Attacken zu verhindern, ist es, die Nutzung von Wildcards in URL-Ressourcen einzuschränken. Ein Beispiel: Lautet die Hauptdomain des Unternehmens mydomain.com und die Domains weiterer Standorte des Unternehmens sind http://owa001.sea.mydomain.com, http://owa001.sjc.mydomain.com, etc., dann sollte als Wildcard-URL beispielsweise nur http://owa001.*.mydomain.com erlaubt sein. SonicWALL empfiehlt, Wildcards in Top-Level-Domains wie http://*.com oder http://*.net nicht zuzulassen. Alle SonicWALL-Kunden sind bereits über die Lösungsmöglichkeiten informiert. Zudem hat das Unternehmen sofort ein Service Bulletin eingerichtet. Weitere Informationen finden SonicWALL-Kunden unter: https://webmail.sonicwall.com/exchweb/bin/redir.asp?URL=http://www.sonicwall.com/us/Support.html

Kommentare

Bewerten Sie diesen Artikel
Bewertung dieser Pressemitteilung 5 Bewertung dieser Pressemitteilung 2 Bewertungen bisher (Durchschnitt: 4.5)
Hinweis Für den Inhalt der Pressemitteilung ist der Einsteller, Susan Rahnis, verantwortlich.

Pressemitteilungstext: 294 Wörter, 2573 Zeichen. Artikel reklamieren
Keywords
Diese Pressemitteilung wurde erstellt, um bei Google besser gefunden zu werden.

Tragen Sie jetzt Ihre kostenlose Pressemitteilung ein!