Hallo, ich habe vor kurzem auf heise.de einen Artikel gelesen, in dem es darum ging, dass Angreifer einen Anwendungsserver so manipulieren, dass die Daten (z.B. in der Datenbank) verschlüsselt werden. Später wird das Opfer dann erpresst, um die Daten wieder zu bekommen.
Meine Frage:
Wie kann ich meinen Anwendungsserver (in meinem Fall Tomcat) gegen Manipulation schützen?
Hallo,
Meine Frage:
Wie kann ich meinen Anwendungsserver (in meinem Fall Tomcat)
gegen Manipulation schützen?
eine einfache Lösung gibt es da nicht.
Zunächst sollte das darunterliegende Betriebssystem abgesichert werden.
Keine unnötigen Dienste, überflüssige Pakete entfernen, evtl. SELinux oder
AppArmor konfigurieren.
Dann muss Tomcat selbst gesichert werden.
Zu guter letzt müssen natürlich die Applikationen, die in Tomcat laufen
überprüft und gesichert werden.
Kurzum: Alleine stehst du da schon mal auf verlorenem Posten.
Gruß,
Steve
eine einfache Lösung gibt es da nicht.
Hab ich auch nicht erwartet 
Danke für die Schnelle Antwort.
Gut - Also als als erstes die Anwendung, das Betriebssystem mit sämtlichen Diensten und Zugängen absichern.
Gibt es denn eine Möglichkeit eine Manipulation zu erkennen? Auch wenns dann schon zu spät ist.
Ich dachte daran, über einen separaten Dienst die Integrität des Webapp-Verzeichnises in dem der Code für die Anwendung liegt zu prüfen. Natürlich dürfen dort keine weiteren Dateien (wie Log-Dateien) gespeichert werden.
Hallo,
da hilft nur ein gutes Monitoring. Die Logs sollten natürlich an einen separaten Log-Server geschickt werden, denn auf dem System selbst, sind sie natürlich lösch-/veränderbar.
Nur das Web-App-Verzeichnis zu beobachten reicht auch nicht. Ein Angreifer kann Daten auch außerhalb verändern, es braucht es also ein umfassendes Konzept. Tripwire oder Aide könnten aber zumindest eine erste Warnung geben.
Gruß,
Steve
Hallo,
Wie kann ich meinen Anwendungsserver (in meinem Fall Tomcat)
gegen Manipulation schützen?
eine einfache Lösung gibt es da nicht.
[…]
Zu guter letzt
… ist eine gute Backup-Strategie viel wert. Nein, nicht zu letzt. Merke: duply ist ein cooles Program …
Sebastian
Ok. Danke für die Antwort - das hilft mir schon.
Meine Frage:
Wie kann ich meinen Anwendungsserver (in meinem Fall Tomcat)
gegen Manipulation schützen?
Gar nicht. Das ist auch der falsche Ansatz.
Also zunächst solltest du den Server immer so weit wie möglich einschränken und vor der Außenwelt abschotten, wie es meine Vorredner bereits beschrieben. Auch eine Updatestrategie ist wichtig. Aber… Wenn es jemand wirklich darauf anlegt, wird er einen Weg finden, deinen Server zu übernehmen. Das hängt immer vom Aufwand/Nutzen-Verhältnis ab.
Und wogegen du dich wenig bis gar nicht schützen kannst, sind alle sozialen Angriffe (gefundener USB-Stick landet im Computer des Chefs oder die Sekretärin öffnet ein manipuliertes PDF, weil im Betreff was von Mahnung steht)
Vor Datenverlust (inkl. der von dir beschriebenen Verschlüsselung) schützen nur regelmäßige Backups bei denen verschiedene Versionsstände vorgehalten werden.
Vorschlag:
Dann kann der böse Virus hergehen und deine kompletten Daten verschlüsseln. Wenn deine Berechtigungen restriktiv genug gesetzt sind, öffnest du einfach die letzte Schattenkopie und holst von da die Daten zurück. Wenn das nicht greift, läufst du den Sicherungspfad einfach weiter nach unten, bis du auf eine funktionierende Version triffst.