Sicherheit der F5 BIG-IP-Plattform

Da Angriffe auf Anwendungen und Netzwerke immer komplexer werden und eine Abwehr dagegen schwieriger wird, ist die Gewährleistung der Datensicherheit für Unternehmen jeder Größe zu einem der dringendsten Probleme geworden. Aufsehenerregende Datenlecks und Verstöße können den Ruf eines Unternehmens schädigen und dramatische Auswirkungen auf dessen Geschäftstätigkeit haben.

Seit der Einführung der F5 BIG-IP-Plattform war Sicherheit ein primärer Faktor bei allen Design- und Architekturentscheidungen. Jede nachfolgende Version oder jedes neue Produkt verfügt über sicherere Standardeinstellungen, integrierte mehr sicherheitsrelevante Funktionen und wurde strengeren Sicherheitstests, -sicherungen und -zertifizierungen unterzogen. Angesichts der zunehmenden Sicherheitsbedrohungen werden bei neuen und erworbenen Produkten kontinuierlich Best Practices angewendet, um die Sicherheit von Netzwerken, Anwendungen und Daten zu gewährleisten. Heute fungieren die Produkte von F5 als strategische Kontrollpunkte zur Verwaltung des kritischen Informationsflusses eines Unternehmens und verbessern gleichzeitig die Bereitstellung webbasierter Anwendungen durch Leistungs- und Sicherheitsverbesserungen.

Bei der Bewertung der allgemeinen Sicherheitslage muss ein Unternehmen zwei strukturelle Faktoren berücksichtigen: einen sicheren Softwareentwicklungslebenszyklus und die inhärenten Sicherheitsfunktionen seines Application Delivery Network. Durch Leistungen an beiden Fronten bietet F5 Führung und Produkte, um die neuen Sicherheitsherausforderungen von heute zu meistern und Unternehmen dabei zu helfen, Identitäten, Anwendungen und vertrauliche Daten zu schützen – und gleichzeitig die Ausfallzeiten der Anwendungen zu minimieren und die Produktivität der Endbenutzer zu maximieren.

Ein wirklich sicheres System beruht zwar auf vielen Faktoren, die Grundlage bilden jedoch die beiden Säulen Design und Codierung. Der F5 Secure Software Development Lifecycle (SDLC) trägt dazu bei, sicherzustellen, dass alle Produkte gemäß den höchsten Sicherheitsstandards entwickelt und vor der Veröffentlichung strengen Tests unterzogen werden.

Eine fundierte Sicherheit beginnt bereits früh im Produktentwicklungsprozess. Bevor eine einzige Codezeile geschrieben wird, führt das F5-Produktentwicklungsteam eine umfassende Bedrohungsmodellbewertung durch. Architekten bewerten jede neue Funktion, um zu ermitteln, welche Schwachstellen sie für das System schaffen oder einführen könnte.

Das Beheben einer Sicherheitslücke, deren Behebung in der Entwurfsphase eine Stunde dauert, kann in der Codierungsphase zehn Stunden und nach der Auslieferung des Produkts sogar bis zu tausend Stunden dauern. Daher ist es wichtig, Sicherheitslücken frühzeitig im Prozess zu erkennen. Zu den typischen Diskussionen während der Bewertung eines Bedrohungsmodells gehören die Definition und Überprüfung der Sicherheitsgrenzen, die Eingrenzung der Bedrohungsfläche und bewährte Methoden für die Entwicklung und Implementierung sicherheitsrelevanter Funktionen.

Nachdem die Entwürfe fertig sind, beginnt die Codierung. Alle Entwicklungsmitarbeiter von F5 wurden gründlich im Schreiben von sicherem Code geschult. Aber wenn es um Software- und Netzwerk-Exploits geht, kann selbst der kleinste Fehler enorme Folgen haben. F5-Entwickler führen mit dem Sicherheitsteam regelmäßige Codeüberprüfungen durch und verwenden außerdem statische Codeanalysetools, um häufige Probleme zu identifizieren. Codestandards und bewährte Methoden helfen Entwicklern, häufige Sicherheitsfallen zu vermeiden.

Zeit- und arbeitsintensive Sicherheitstests sind für jede Organisation ein riesiger Aufwand. Bei F5 arbeiten Sicherheits- und Entwicklungsteams zusammen, um ein hohes Maß an Sicherheit für jede auf den Markt gebrachte Software zu gewährleisten.

Interne Sicherheitsteams führen Penetrationstests durch, indem sie als Angreifer agieren und versuchen, die BIG-IP-Plattform zu kompromittieren. Darüber hinaus führt F5 Fuzz-Tests für alle Programme durch. Beim Fuzz-Test wird ausgewertet, wie Programme mit fehlerhaften Eingaben umgehen, beispielsweise mit einem längeren oder kürzeren Netzwerkpaket oder einer Eingabe mit falschen Daten. Die meisten lassen sich problemlos bewältigen, andere können jedoch eine Ausnahme verursachen und wieder andere können eine schwerwiegende Sicherheitslücke darstellen. Penetrationstests und Fuzz-Tests machen F5-Geräte so sicher wie möglich gegen Denial-of-Service-Angriffe (DoS) sowie codebasierte Angriffe.

Darüber hinaus erweitert F5 durch seine Beziehungen zu akademischen Einrichtungen kontinuierlich seine Wissensbasis, um mehrere Arten von Fehlern abzudecken, wie zum Beispiel:

• Pufferüberläufe und Stack-Smashing-Angriffe, die unsichere String-Manipulationslogik ausnutzen.
• Die falsche Verwendung dynamischer Speicherverwaltungsfunktionen.
• Probleme im Zusammenhang mit Ganzzahlen, einschließlich Ganzzahlüberläufen, Vorzeichenfehlern und Abschneidefehlern.
• Einführung von Formatstring-Schwachstellen.
• E/A-Schwachstellen, einschließlich Race Conditions.

F5 verwendet eine hochentwickelte Scan-Anwendung von Drittanbietern, die den Quellcode jede Nacht auf eine Reihe kritischer Fehler analysiert. Zur Kompilierungszeit sucht die Code-Scan-Anwendung nach Sicherheitslücken und -defekten, „Build Breaker“-Fehlern, Absturzfehlern wie Speicherlecks und -beschädigungen sowie unvorhersehbarem Anwendungsverhalten, das durch neuen Code verursacht wird. Durch das Scannen des Quellcodes können auch nicht schwerwiegende Fehler wie Datenintegritätsprobleme und Leistungsengpässe gefunden werden.

Darüber hinaus arbeitet F5 seit Jahren mit Drittfirmen zusammen, um zusätzliche Tests verschiedener Art durchzuführen:

• Black-Box-Tests: Anwendungs- und Plattformtests ohne Wissen über das Produkt, das über die Informationen hinausgeht, die einem Angreifer aus öffentlichen Dokumenten zugänglich wären.
• Grey-Box-Tests: Anwendungs- und Plattformtests mit Teilinformationen wie beispielsweise dem internen Design oder dem Zugriff auf die Dokumentation der internen Datenstrukturen sowie der verwendeten Algorithmen. Gray-Box-Tester benötigen sowohl allgemeine als auch detaillierte Dokumente, die die Anwendungen beschreiben.
• White-Box-Test (auch bekannt als Clear-Box-Test, Glass-Box-Test, Transparent-Box-Test oder Strukturtest): Testen der internen Strukturen oder Funktionsweise einer Anwendung im Gegensatz zu ihrer Funktionalität. White-Box-Tests erfordern fortgeschrittene Systemkenntnisse sowie Programmierkenntnisse.

Sicherheitstesttools entwickeln sich im Laufe der Zeit weiter und es werden neue Produkte eingeführt. F5 arbeitet eng mit mehreren Anbieterpartnern zusammen, um neue Protokolle einzubinden, die Testabdeckung zu erweitern und Tools auf der Grundlage sich entwickelnder Bedrohungsmodelle und neu entdeckter Exploits zu aktualisieren. Sobald die BIG-IP-Software mehrere Tests bestanden hat, verwendet F5 sie in seiner eigenen Produktumgebung, um sicherzustellen, dass sie wirklich zur Veröffentlichung bereit ist.

Trotz Bedrohungsmodellen, sicherer Codierung, Schulungen und Tests aller Art treten Schwachstellen auf. Wenn in der Produktion eine Schwachstelle erkannt wird, ist eine rechtzeitige Reaktion von entscheidender Bedeutung.

Die F5-Richtlinie zur Reaktion auf Sicherheitslücken wird regelmäßig aktualisiert, um Kundenanforderungen und Branchenpraktiken Rechnung zu tragen. Indem F5 den Schwerpunkt auf die Reaktion auf Sicherheitsvorfälle legt – unabhängig davon, ob diese intern entdeckt, durch Tests Dritter oder von einem Kunden gemeldet werden – verfolgt und meldet F5 Schwachstellen mindestens wöchentlich, um eine korrekte Priorisierung und zeitnahe Reaktion sicherzustellen.

Durch die enge Zusammenarbeit mit Sicherheitsforschern und anderen Fachleuten wie der National Vulnerability Database, MITRE CVE, CERT Coordination Center, Redhat, OpenSSL und ISC kann F5 Schwachstellen verantwortungsvoll offenlegen und Gegenmaßnahmen, Patches und Schutz vor Exploits bereitstellen. Im letzten Jahr hat F5 über 350 Sicherheitshinweise für die Öffentlichkeit bereitgestellt – von Artikeln, die über aktuelle Bedrohungen (z. B. Skript-Injektionen, Trojaner) aufklären, bis hin zum Schutz vor Malware und DDoS-Angriffen – um sicherzustellen, dass die neuesten Sicherheitsinformationen verfügbar sind.

Die BIG-IP-Plattform wurde speziell für erhöhte und verstärkte Sicherheit entwickelt und bietet mehrere wichtige Funktionen, mit denen Unternehmen ihre Sicherheitslage stärken können:

• Appliance-Modus
• Sicherer Tresor
• Sicherheitsverstärktes Linux (SELinux)
• Sicherheitszertifizierungen
• DoS-Schutz

Die BIG-IP-Plattform und F5 TMOS sind so konzipiert, dass Hardware und Software zusammenarbeiten, um Unternehmensanwendungen und -daten zu schützen und gleichzeitig die Anwendungsbereitstellung im gesamten Netzwerk zu optimieren.

Der Appliance-Modus wurde ursprünglich für Unternehmen in Branchen mit sensiblen Daten wie dem Gesundheits- und Finanzdienstleistungssektor entwickelt und wird heute von Unternehmen aller Bereiche verwendet. Durch Aktivieren des Appliance-Modus können Unternehmen eine bessere Kontrolle über ihre Netzwerke und Anwendungen erlangen, indem sie die folgenden Einschränkungen durchsetzen:

• Entfernen Sie den Zugriff auf die Bash-Shell.
• Beschränken Sie den administrativen Zugriff auf das Konfigurationsprogramm und den TMSH. Mit diesen hierarchischen Befehlszeilenprogrammen können Administratoren das BIG-IP-System einfach verwalten und konfigurieren sowie Statistiken und Leistungsdaten anzeigen.
• Deaktivieren Sie die Root-Anmeldung, um zu verhindern, dass sich der Root-Benutzer auf irgendeine Weise beim Gerät anmeldet, auch nicht über die serielle Konsole.
• Schränkt die Dateiberechtigungen für das Stammverzeichnis (/root) des Root-Kontos für zahlreiche Dateien und Verzeichnisse ein. Standardmäßig sind neue Dateien nur für den Benutzer lesbar und beschreibbar und alle Verzeichnisse sind besser gesichert.
• Verhindern Sie, dass das Always-On Management (AOM)-Subsystem, das die Lights-Out-Verwaltung für das BIG-IP-System bereitstellt, auf den Host zugreift. Der AOM kann den Host nur mit einem Hardware-Reset-Befehl zurücksetzen.

Zu beachten ist, dass der Appliance-Modus nach der Aktivierung nicht mehr deaktiviert werden kann. Organisationen müssen stattdessen eine neue Lizenz erwerben und eine Neuinstallation der Software durchführen. Administratoren können auf dem Lizenzbildschirm im Konfigurationsprogramm der BIG-IP-GUI überprüfen, ob ein Gerät im Appliance-Modus ausgeführt wird.

Private SSL-Schlüssel zählen zu den wertvollsten Vermögenswerten in einem Netzwerk und viele Organisationen stellen strenge Anforderungen an die Sicherheit der Schlüssel, die über einen einfachen Dateisystemschutz hinausgehen. Die Secure Vault-Funktion – verfügbar auf allen F5-Hardwaregeräten – schützt private SSL-Schlüssel mit einem Hauptschlüssel, der in einem Hardwareschloss gespeichert ist, sodass die private SSL-Schlüsseldatei auch dann nicht vom Angreifer verwendet werden kann, wenn sie von einem kompromittierten Backup-Server oder einer Malware-Infektion wiederhergestellt wird.

Jedes BIG-IP-Gerät verfügt über einen einzigartigen Einheitenschlüssel und einen gemeinsamen Hauptschlüssel. Beide sind symmetrische AES-256-Schlüssel. Der eindeutige Geräteschlüssel wird in einem speziell entwickelten Hardware-EEPROM auf jedem physischen Gerät gespeichert. Dieser Einheitenschlüssel verschlüsselt den Hauptschlüssel, der wiederum private SSL-Schlüssel verschlüsselt, SSL-Schlüsseldateien entschlüsselt und Zertifikate zwischen BIG-IP-Geräten synchronisiert. Hauptschlüssel folgen der Konfiguration in einer Hochverfügbarkeitskonfiguration (HA), sodass alle Einheiten denselben Hauptschlüssel gemeinsam nutzen, aber dennoch über ihren eigenen Einheitenschlüssel verfügen. Der Hauptschlüssel wird über den vom Zertifikatsmanager eingerichteten sicheren Kanal synchronisiert. Die mit dem Hauptschlüssel verschlüsselten Passphrasen können nur auf den Systemen verwendet werden, für die der Hauptschlüssel generiert wurde.

Die Secure Vault-Unterstützung kann auch von vCMP-Gästen (Virtual Clustered Multiprocessing) verwendet werden. vCMP ermöglicht die Ausführung mehrerer Instanzen der BIG-IP-Software auf einem Gerät, wobei jeder Gast über einen eigenen Einheitenschlüssel und Hauptschlüssel verfügt. Der Gasteinheitenschlüssel wird auf dem Host generiert und gespeichert. Dadurch wird die Hardwareunterstützung erzwungen. Er ist durch den Hauptschlüssel des Hosts geschützt, der wiederum durch den Hosteinheitenschlüssel in der Hardware geschützt ist.

Security Enhanced Linux (SELinux) wird sowohl in F5-Entwicklungsprozessen als auch in Produktionsumgebungen der Kunden verwendet und rationalisiert die Menge an Software, die für die Durchsetzung von Sicherheitsrichtlinien zuständig ist, und ermöglicht eine von der Sicherheitsrichtlinie selbst getrennte Durchsetzung von Sicherheitsentscheidungen. Beispielsweise kann ein SELinux-Profil den TMOS-Kernel anweisen, einem bestimmten Prozess die Ausführung der Bash-Shell für immer zu untersagen und so das System vor Schwachstellen wie Shellshock zu schützen, die es einem Angreifer ermöglichen können, Kontrolle über einen Webserver oder Router zu erlangen.

SELinux erhöht außerdem die Sicherheit, indem es eine obligatorische Zugriffskontrolle (Mandatory Access Control, MAC) als Ergänzung zum diskretionären Zugriffskontrollsystem (Discretionary Access Control, DAC) von Linux bereitstellt. MAC besteht aus Benutzer-, Rollen- und Domänenbezeichnungen für Subjekte, Ressourcenbezeichnungen für Objekte und durch Richtlinien definierten Beziehungen zwischen Subjekten und Objekten. SELinux-Steuerelemente beschränken den Zugriff von Benutzerprogrammen und Systemservern auf Dateien und Netzwerkressourcen. Durch die Beschränkung der Berechtigungen auf das zum Funktionieren notwendige Minimum wird die Fähigkeit dieser Programme und Daemons verringert oder eliminiert, durch unbekannte Schwachstellen wie Pufferüberläufe oder Fehlkonfigurationen Schaden anzurichten. Da MAC unabhängig von den (diskretionären) Steuerungsmechanismen von Linux arbeitet, gibt es bei MAC kein Konzept eines Root-Superusers, und daher weist es auch nicht die bekannten Mängel des herkömmlichen Linux-DAC-Systems auf.

Für Organisationen des Bundes und des Finanzsektors (FSI) gelten zusätzliche Vorschriften, die Sicherheitszertifizierungen wie Common Criteria und FIPS 140-2 erfordern. Diese und andere Sicherheitszertifizierungen in den USA und weltweit stellen sicher, dass das zertifizierte Produkt Standards in Bereichen wie Authentifizierung, Auditing, Kryptografie, Verwaltung und sichere Kommunikation erfüllt. Zertifizierungsstandards und -anforderungen ändern und entwickeln sich parallel zur Sicherheitswelt. Aus diesem Grund sind die meisten Zertifizierungen auf eine bestimmte Produktversion beschränkt.

Um über Sicherheitsänderungen, bewährte Methoden und sich entwickelnde Standards auf dem Laufenden zu bleiben, nimmt F5 an der International Cryptographic Modules Conference (ICMC) und den International Common Criteria-Konferenzen (ICCC) teil, um Organisationen robuste Sicherheit sowie optimierte Compliance zu bieten. Das Cryptographic Module Validation Program (CMVP) des National Institute of Standards and Technology (NIST) treibt die F5-Roadmap für Kryptografie voran.

Viele F5-Produkte wurden nach Common Criteria zertifiziert, einer weltweiten Sicherheitszertifizierung, die von Regierungsbehörden und Unternehmen auf der ganzen Welt verwendet wird. 26 Länder haben ein Abkommen zur gegenseitigen Anerkennung unterzeichnet. Dadurch wird effektiv sichergestellt, dass ein zertifiziertes Produkt in allen oder einem der Unterzeichnerländer als zertifiziert vermarktet werden kann.

Die vom NIST entwickelten Federal Information Processing Standards (FIPS) werden von US-Regierungsbehörden und Regierungsauftragnehmern in nichtmilitärischen Computersystemen verwendet. Bei der FIPS 140-Reihe handelt es sich um Computersicherheitsstandards der US-Regierung, die Anforderungen an Kryptografiemodule (einschließlich Hardware- und Softwarekomponenten) für den Einsatz durch Ministerien und Behörden der US-Bundesregierung definieren.

FIPS 140-2-konforme F5-Produkte verwenden FIPS 140-2-zertifizierte Hardware-Sicherheitsmodule (HSMs), um die Konformitätsanforderungen zu erfüllen. Ein HSM ist ein sicheres physisches Gerät zum Generieren, Speichern und Schützen digitaler, hochwertiger kryptografischer Schlüssel. Es handelt sich dabei um einen sicheren Kryptoprozessor, der häufig in Form einer Steckkarte (oder anderer Hardware) mit integriertem Manipulationsschutz geliefert wird. Das BIG-IP-System umfasst einen FIPS-Kryptografie-/SSL-Beschleuniger – eine HSM-Option, die speziell für die Verarbeitung von SSL-Verkehr in Umgebungen entwickelt wurde, die FIPS 140-1 Level 2-konforme Lösungen erfordern.

F5 BIG-IP-Geräte sind FIPS 140-2 Level 2-kompatibel. Diese Sicherheitsbewertung gibt an, dass die Plattform nach dem Import vertraulicher Daten in das HSM kryptografische Techniken einbezieht, um sicherzustellen, dass die Daten nicht im Klartextformat extrahiert werden können. BIG-IP-Geräte verfügen außerdem über manipulationssichere Beschichtungen oder Siegel, um physische Manipulationen zu verhindern. Das einzigartige Schlüsselverwaltungsframework der BIG-IP-Plattform ermöglicht eine hochgradig skalierbare, sichere Infrastruktur, die höhere Verkehrsaufkommen bewältigen kann und zu der Unternehmen problemlos neue Dienste hinzufügen können.

Darüber hinaus verwendet der FIPS-Kryptografie-/SSL-Beschleuniger Smartcards, um Administratoren zu authentifizieren, Zugriffsrechte zu erteilen und Verwaltungsaufgaben zu teilen und so eine flexible und sichere Möglichkeit zur Durchsetzung der Schlüsselverwaltungssicherheit bereitzustellen.

Bei einem DoS-Angriff handelt es sich um den Versuch, einen Rechner oder eine Netzwerkressource für die vorgesehenen Benutzer unzugänglich zu machen, um so die Dienste eines mit dem Internet verbundenen Hosts vorübergehend oder auf unbestimmte Zeit zu unterbrechen oder auszusetzen. Ein Distributed-Denial-of-Service (DDoS) geht von einer Angriffsquelle mit mehr als einer – oft Tausenden – eindeutigen IP-Adressen aus.

Die Architekten von F5 haben mehrere Strategien entwickelt, um DoS-Angriffe zu verhindern und abzuschwächen. Entwicklungsteams haben Funktionen veröffentlicht und Patente für Techniken zum Schutz von Unternehmensdaten und zur Gewährleistung der Sicherheit der grundlegenden Elemente einer Anwendung (Netzwerk, DNS, SSL und HTTP) angemeldet. Die Softwarefunktionen ermöglichen einen umfassenden Schutz, beispielsweise durch Ratenbegrenzung verschiedener Anfragetypen, Ermittlung, ob zu viele Pakete vorhanden sind oder wer die Anfrage initiiert hat, Bereitstellung von Heuristiken und Verhinderung von Spoofing.

Durch Nutzung der inhärenten Sicherheitsfunktionen des intelligenten Verkehrsmanagements und der Anwendungsbereitstellung schützt und gewährleistet die BIG-IP-Plattform die Verfügbarkeit der Netzwerk- und Anwendungsinfrastruktur eines Unternehmens selbst unter anspruchsvollsten Bedingungen.

Während die Angriffe auf Netzwerke, Anwendungen und Daten weiter zunehmen, können Unternehmen, die auf die BIG-IP-Plattform vertrauen, auf die Sicherheit ihrer Systeme vertrauen und so ihre wertvollsten Vermögenswerte schützen.

F5 gewährleistet die Sicherheit der BIG-IP-Plattform durch seinen strengen Secure Software Development Lifecycle-Prozess, der darauf ausgelegt ist, Schwachstellen vor der Produktfreigabe zu erkennen und zu beheben. Darüber hinaus verfügt die BIG-IP-Plattform über mehrere wichtige Sicherheitsfunktionen – wie Appliance-Modus, Secure Vault, SELinux, Sicherheitszertifizierungen und DoS-Schutz – die dazu beitragen, die Integrität kritischer Anwendungen und Unternehmensdaten zu gewährleisten.

Das Ausmaß und die Komplexität der Sicherheitsbedrohungen werden sich mit Sicherheit weiterentwickeln. Gleichzeitig wird F5 weiterhin zweckgebundene Sicherheitslösungen entwickeln, die Unternehmen dabei helfen, Angriffe zu verhindern, abzuschwächen und darauf zu reagieren – und dabei gleichzeitig ihren Ruf zu verteidigen und ihr Geschäft zu schützen.