Sicherheitsuntersuchung des Apache Jakarta Tomcat Servlet Containers Konfiguration und Tests Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 (0) 1888 9582 0 E-Mail: [email protected] Internet: http://www.bsi.bund.de © Bundesamt für Sicherheit in der Informationstechnik 2006 Bundesamt für Sicherheit in der Informationstechnik Seite 2 (von 187) Sicherheitsuntersuchung des Apache Inhaltsverzeichnis Jakarta Tomcat Servlet Containers Inhaltsverzeichnis 1. EINLEITUNG........................................................................................................... 9 2. INSTALLATION DER DEBIAN 3.1 SARGE BASISPLATTFORM........................11 2.1 Vorbereitung einer virtuellen Maschine.......................................................................................................12 2.2 Installation von Debian 3.1 Sarge in der virtuellen Maschine....................................................................23 2.3 Installation der zu testenden Anwendungen................................................................................................28 2.4 Replikation von virtuellen Maschinen..........................................................................................................29 3. INSTALLATION DER SOFTWAREKOMPONENTEN.......................................... 31 3.1 Java Software Design Kit (SDK, Version 1.5.0_05).....................................................................................32 3.2 Apache Webserver (Version 2.0.54)..............................................................................................................33 3.3 Jakarta Tomcat Servlet Container (Version 5.5.9)......................................................................................35 3.4 Jakarta Tomcat Connector Modul mod_jk (Version 1.2.14).....................................................................39 3.4.1 Apache-Konfigurationsdatei httpd.conf....................................................................................................40 3.4.2 Tomcat Konfigurationsdatei server.xml....................................................................................................41 3.4.3 Apache-Konfigurationsdatei workers.properties.......................................................................................43 3.5 Installation des MySQL-Connectors/J..........................................................................................................45 3.6 Installationen für die JNDI-Konnektivität...................................................................................................46 3.7 Installation der Logging-Komponenten........................................................................................................46 3.8 Einrichtung des lokalen DNS-Servers...........................................................................................................47 3.9 Werkzeuge für Penetrationstests...................................................................................................................51 3.9.1 SPIKE........................................................................................................................................................51 3.9.2 Benutzung von SPIKE...............................................................................................................................51 3.9.3 Ethereal......................................................................................................................................................54 3.9.4 OpenSSL....................................................................................................................................................54 3.10 Werkzeuge für statische Tests.....................................................................................................................55 3.10.1 Flawfinder und Splint für C.....................................................................................................................55 3.10.2 Findbugs für Java.....................................................................................................................................57 3.10.3 Java-Dokumentation................................................................................................................................60 Seite 3 (von 187) Bundesamt für Sicherheit in der Informationstechnik Inhaltsverzeichnis Sicherheitsuntersuchung des Apache Jakarta Tomcat Servlet Containers 4. EINRICHTUNG DER AUTHENTISIERUNGSINFORMATIONEN..........................61 4.1 Einrichtung von Test-Benutzerkonten auf Betriebssystemebene...............................................................61 4.2 Einrichtung von Test-Benutzerkonten für die Web-Authentisierung.......................................................61 4.3 Initialisierung der tomcat_users.xml Datei..................................................................................................62 4.4 Initialisierung der MySQL-Datenbank mit den Authentisierungsinformationen....................................63 4.5 Initialisierung der LDAP-Datenbank mit den Authentisierungsinformationen.......................................64 4.6 Konfiguration des LDAP-Browsers gq.........................................................................................................68 4.7 Erzeugung einer CA und Generierung von SSL-Server- und Client-Zertifikaten..................................71 4.7.1 Installation einer Certification Authority (CA).........................................................................................71 4.7.2 Erzeugung eines SSL Server-Zertifikats (Tomcat)...................................................................................73 4.7.3 Erzeugung eines SSL Server-Zertifikats (Apache)...................................................................................76 4.7.4 Erzeugung von Client-Zertifikaten............................................................................................................78 5. DURCHFÜHRUNG DER TESTS........................................................................... 84 5.1 Funktionale Tests der Sicherheitsfunktionen von Tomcat.........................................................................84 5.1.1 Funktionale Tests für die Authentisierung................................................................................................84 5.1.1.1 Ergebnisse zu Test1............................................................................................................................86 5.1.1.1.1 T1: HTTP Connector, BASIC-Authentisierung, Memory Realm..............................................87 5.1.1.1.2 T2: HTTP Connector, BASIC-Authentisierung, JDBC Realm..................................................88 5.1.1.1.3 T3: HTTP Connector, BASIC-Authentisierung, JNDI Realm...................................................88 5.1.1.1.4 T4: HTTP Connector, DIGEST-Authentisierung, Memory Realm............................................89 5.1.1.1.5 T5.1: HTTP Connector, FORM-Authentisierung, Memory Realm...........................................89 5.1.1.1.6 T5.2: HTTP Connector, FORM-Authentisierung, JDBC Realm...............................................90 5.1.1.1.7 T5.3: HTTP Connector, FORM-Authentisierung, JNDI Realm................................................91 5.1.1.1.8 T6: HTTPS Connector, Client Zertifikat Authentisierung, Memory Realm..............................91 5.1.1.1.9 T7: AJP1.3 Connector, BASIC-Authentisierung, Memory Realm............................................92 5.1.1.1.10 T8: AJP1.3 Connector, DIGEST-Authentisierung, Memory Realm........................................92 5.1.1.1.11 T9: AJP1.3 Connector, FORM-Authentisierung, Memory Realm...........................................93 5.1.1.1.12 T10: AJP1.3 / SSL Connector, Client Zertifikat Authentisierung, Memory Realm................93 5.1.1.2 Ergebnisse zu Test2............................................................................................................................93 5.1.1.2.1 T11: HTTP Connector, BASIC-Authentisierung, Memory Realm............................................93 5.1.1.2.2 T12: HTTP Connector, DIGEST-Authentisierung, Memory Realm..........................................94 5.1.1.2.3 T13.1: HTTP Connector, FORM-Authentisierung, Memory Realm.........................................94 5.1.1.2.4 T13.2: HTTP Connector, gemischte BASIC- und FORM-Authentisierung, Memory Realm...96 5.1.1.2.5 T14: HTTPS Connector, Client Zertifikat Authentisierung, Memory Realm............................97 5.1.1.2.6 T15: AJP1.3 Connector, BASIC-Authentisierung, Memory Realm........................................100 5.1.1.2.7 T16: AJP1.3 Connector, DIGEST-Authentisierung, Memory Realm......................................100 5.1.1.2.8 T17.1: AJP1.3 Connector, FORM-Authentisierung, Memory Realm......................................100 5.1.1.2.9 T17.2: AJP Connector, gemischte BASIC- und FORM-Authentisierung, Memory Realm....100 5.1.1.2.10 T18: AJP1.3 / SSL Connector, Client Zertifikat Authentisierung, Memory Realm..............100 5.1.1.3 Ergebnisse zu Test3..........................................................................................................................101 5.1.1.3.1 T19.1: HTTP Connector, BASIC-Authentisierung, Memory Realm.......................................101 5.1.1.3.2 T19.2: HTTP Connector, BASIC-Authentisierung, JDBC Realm...........................................101 5.1.1.3.3 T19.3: HTTP Connector, BASIC-Authentisierung, JNDI Realm............................................102 Bundesamt für Sicherheit in der Informationstechnik Seite 4 (von 187) Sicherheitsuntersuchung des Apache Inhaltsverzeichnis Jakarta Tomcat Servlet Containers 5.1.1.3.4 T20: HTTP Connector, DIGEST-Authentisierung, Memory Realm........................................102 5.1.1.3.5 T21: HTTP Connector, FORM-Authentisierung, Memory Realm..........................................102 5.1.1.3.6 T22: HTTPS Connector, Client Zertifikat Authentisierung, Memory Realm..........................103 5.1.1.3.7 T23.1: AJP1.3 Connector, BASIC-Authentisierung, Memory Realm.....................................103 5.1.1.3.8 T23.2: AJP1.3 Connector, BASIC-Authentisierung, JDBC Realm.........................................104 5.1.1.3.9 T23.3: AJP1.3 Connector, BASIC-Authentisierung, JNDI Realm..........................................104 5.1.1.3.10 T24: AJP1.3 Connector, DIGEST-Authentisierung, Memory Realm....................................104 5.1.1.3.11 T25: AJP1.3 Connector, FORM-Authentisierung, Memory Realm.......................................105 5.1.1.3.12 T26: AJP1.3 / SSL Connector, Client Zertifikat Authentisierung, Memory Realm..............105 5.1.2 Funktionale Tests für die Zugriffskontrolle ...........................................................................................106 5.1.2.1 Tests der Zugriffsrechte auf dem Niveau der Java Virtual Machine...............................................106 5.1.2.1.1 T27 Tomcat beenden................................................................................................................107 5.1.2.1.2 T28 neuen Prozess starten.........................................................................................................108 5.1.2.1.3 T29 Netzwerk-Socket öffnen und Daten übertragen................................................................109 5.1.2.1.4 T30.1 Lesen innerhalb des Bereichs der Web-Anwendung.....................................................109 5.1.2.1.5 T30.2 Schreiben innerhalb des Bereichs der Web-Anwendung...............................................110 5.1.2.1.6 T30.3 Löschen innerhalb des Bereichs der Web-Anwendung.................................................111 5.1.2.1.7 T30.4 Ausführen innerhalb des Bereichs der Web-Anwendung..............................................112 5.1.2.1.8 T31 Lesen / Schreiben / Löschen / Ausführen außerhalb der Web-Anwendung.....................112 5.1.2.1.9 T32 Zugriff auf Tomcat-eigene Komponenten.........................................................................113 5.1.2.2 Tests der Zugriffsrechte auf dem Niveau von Webanwendungen...................................................114 5.1.2.2.1 T33.1 HTTP Connector, Zugriff auf eine geschützte JSP-Seite...............................................115 5.1.2.2.2 T33.2 AJP13 Connector, Zugriff auf eine geschützte JSP-Seite..............................................116 5.1.2.2.3 T34.1 HTTP Connector, Zugriff auf ein geschütztes Verzeichnis ..........................................116 5.1.2.2.4 T34.2 AJP13 Connector, Zugriff auf ein geschütztes Verzeichnis .........................................116 5.1.2.2.5 T35 Schutz einzelner HTTP-Methoden vor anonymen Zugriffen...........................................116 5.1.2.3 Tests der Zugriffsrechte auf dem Niveau von Valves......................................................................119 5.1.2.3.1 T36.1 HTTP Connector, verbotene Anfragen mit IP-Adresse des Clients..............................121 5.1.2.3.2 T36.2 AJP13 Connector, verbotene Anfragen mit IP-Adresse des Clients..............................121 5.1.2.3.3 T37 Erlaubte Anfragen mit IP-Adresse des Clients.................................................................122 5.1.2.3.4 T37.1 HTTP Connector, erlaubte Anfragen mit IP-Adresse des Clients.................................122 5.1.2.3.5 T37.2 AJP13 Connector, erlaubte Anfragen mit IP-Adresse des Clients.................................123 5.1.2.3.6 T38 / T 39 HTTP bzw. AJP13 Connector, verbotene / erlaubte Anfragen mit Hostname des Clients......................................................................................................................................................123 5.1.2.4 Protokollierung.................................................................................................................................127 5.1.2.4.1 T40 Kontrolle der Log-Datei für eine <Logger>-Komponente...............................................128 5.1.2.4.2 T41 Protokollierung mit Access Log Valve.............................................................................129 5.1.2.5 Zuverlässigkeit der Dienstleistung...................................................................................................129 5.1.2.5.1 T42 Failover beim Ausfall einer Tomcat-Instanz.....................................................................130 5.1.2.5.2 T43 Persistente Sessions beim Herunterfahren........................................................................131 5.1.2.6 Verschlüsselung...............................................................................................................................132 5.1.2.6.1 T44 SSL mit Null-Cipher.........................................................................................................132 5.1.2.6.2 T45 SSL mit schwacher Verschlüsselung................................................................................133 5.1.2.6.3 T46 SSLv2, SSLv3 oder TLS...................................................................................................133 5.1.2.7 Datenschutz......................................................................................................................................136 5.1.2.7.1 T47 / T48 Datenschutz-bezogene Analyse der Ergebnisse aus Tests T40 und T41................136 5.1.2.8 Minimale Rechtevergabe..................................................................................................................137 5.1.2.8.1 T49 Ausführung von Tomcat als nicht-privilegierter Benutzer...............................................138 5.2 Penetrationstests - Vorgehensweise.............................................................................................................138 5.2.1 Angriffsszenarien.....................................................................................................................................138 5.2.2 Beispielanwendungen..............................................................................................................................139 Seite 5 (von 187) Bundesamt für Sicherheit in der Informationstechnik Inhaltsverzeichnis Sicherheitsuntersuchung des Apache Jakarta Tomcat Servlet Containers 5.3 HTTP-Connector: Angriffe von einem HTTP-Client...............................................................................140 5.4 AJP-Connector ohne SSL-Client-Authentisierung....................................................................................141 5.4.1 Angriffe eines maliziösen HTTP-Clients................................................................................................141 5.4.1.1 Vorgehensweise...............................................................................................................................141 5.4.1.2 Bewertungskriterien.........................................................................................................................143 5.4.1.3 Ergebnis............................................................................................................................................143 5.4.2 Angriffe einer maliziösen Web-Anwendung...........................................................................................148 5.4.2.1 Vorgehensweise...............................................................................................................................148 5.4.2.2 Bewertungskriterien.........................................................................................................................151 5.4.2.3 Ergebnis............................................................................................................................................152 5.5 AJP Connector mit SSL Client Authentisierung.......................................................................................152 5.5.1 Funktionsweise des Systems....................................................................................................................153 5.5.2 Angriffe....................................................................................................................................................158 5.5.2.1 Testfälle............................................................................................................................................158 5.5.2.2 Vorgehensweise...............................................................................................................................159 5.5.2.3 Bewertungskriterien.........................................................................................................................160 5.5.2.4 Ergebnis............................................................................................................................................161 5.6 Quellcode-Analysen.......................................................................................................................................163 5.6.1 Automatische Überprüfung des Quellcodes............................................................................................163 5.6.2 Manuelle Überprüfung des Quellcodes...................................................................................................164 5.6.3 Umfang der Quellcode-Analyse..............................................................................................................167 5.6.3.1.1 T91/T94 Automatische und manuelle Prüfung des Quellcode.................................................168 5.6.3.1.2 T92 Manuelle Sichtung der Schnittstelle zu JSSE (SSL).........................................................172 5.6.3.1.3 T93 Manuelle Sichtung der Authentisierungsmethoden..........................................................173 6. EMPFEHLUNGEN UND MASSNAHMEN........................................................... 176 6.1 Allgemeine Maßnahmen bzw. Maßnahmen auf Betriebssystemebene....................................................176 6.1.1 Dateiberechtigungen und -zuordnung.....................................................................................................176 6.1.2 Passworte für die Benutzer / Webanwendung.........................................................................................177 6.1.3 Passwort des JAVA Zertifikatspeichers..................................................................................................177 6.1.4 Host-basierte Firewall (netfilter / iptables)..............................................................................................178 6.1.5 Gesicherte Kommunikation.....................................................................................................................178 6.1.6 Eingeschränkte Laufzeitumgebung (chroot)...........................................................................................179 6.1.7 Nutzung von erweiterten Zugriffsschutzmechanismen unter SELinux...................................................179 6.2 Maßnahmen beim Apache Webserver.......................................................................................................179 6.2.1 Zugriffsberechtigungen...........................................................................................................................180 6.2.2 Watchdog-Funktionalität.........................................................................................................................180 6.3 Maßnahmen beim Jakarta Tomcat Servlet Container.............................................................................180 6.3.1 Installation unter einem Tomcat Benutzer...............................................................................................180 6.3.2 Shutdown-Port.........................................................................................................................................181 6.3.3 Logging....................................................................................................................................................181 6.3.4 Manager und Admin Webanwendungen.................................................................................................182 6.3.5 Zugriffsbeschränkungen..........................................................................................................................183 6.3.6 Tests der Konfiguration...........................................................................................................................183 6.3.7 Verschlüsselte Verbindung (SSL)...........................................................................................................184 6.3.8 Anbindung einer Datenbank per JDBC...................................................................................................185 Bundesamt für Sicherheit in der Informationstechnik Seite 6 (von 187) Sicherheitsuntersuchung des Apache Inhaltsverzeichnis Jakarta Tomcat Servlet Containers 6.3.9 Anbindung einer Datenbank per JNDI....................................................................................................185 6.3.10 Single-Sign-On......................................................................................................................................185 7. WEITERE PUNKTE / BUGS / VERBESSERUNGSMÖGLICHKEITEN..............186 8. ABKÜRZUNGEN................................................................................................. 187 9. WICHTIGE SHELL-VARIABLEN, VERZEICHNISSE UND DATEIEN................188 10. REFERENZEN................................................................................................... 189 10.1 Web-Referenzen (Stand 30.11.2005).........................................................................................................189 Seite 7 (von 187) Bundesamt für Sicherheit in der Informationstechnik Inhaltsverzeichnis Sicherheitsuntersuchung des Apache Jakarta Tomcat Servlet Containers Bundesamt für Sicherheit in der Informationstechnik Seite 8 (von 187) Sicherheitsuntersuchung des Apache Einleitung Jakarta Tomcat Servlet Containers 1. Einleitung Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Sicherheits untersuchung des Open Source Jakarta Tomcat durchführen lassen. Diese Untersuchung teilt sich in mehrere Projektphasen auf. Dieses Dokument beschreibt die durchgeführten Tests und Analysen sowie die Installation des dazugehörigen Testsystems. Die durchzuführenden Tests wurden in einer früheren Projektphase im Dokument „Feinkonzept zur Sicherheitsuntersuchung des Apache Tomcat Servlet Containers“ fest gelegt. Dieses frühere Dokument wird im weiteren unter [Tomcat Fein.] referiert. Es ist für das Verständnis des jetzigen Dokuments nicht erforderlich, da die Beschreibung der Testfälle 1:1 übernommen wurde, aber dennoch eine empfehlenswerte Lektüre. Der Umfang des Dokuments liegt begründet in dem Streben nach: 1. Nachvollziehbarkeit und Reproduzierbarkeit der Testergebnisse und 2. Rückverfolgbarkeit der Testergebnisse zu den Testbeschreibungen des Feinkonzepts. Dieses Dokument stellt im ersten Schritt die Vorgehensweise bei der VMware-basierten Installation eines Debian 3.1 Sarge Linux Betriebssystems (basierend auf der Debian 3.1 Linuxtag 2005 Edition Installations-DVD) zum Zweck der Sicherheitsuntersuchung von Tomcat zusammen. Im zweiten Schritt wird die Installation und Konfiguration • des Webservers Apache (Version 2.0.54) • des Servlet-Containers1 Tomcat (Version 5.5.9) • des Connectors mod_jk (Version 1.2.14.1) sowie die Durchführung der damit durchgeführten und [Tomcat Fein.] zusammengestellten Tests beschrieben. Abschließend werden Empfehlungen für die sichere Konfiguration zum Betrieb von Tomcat gegeben. In diesem Dokument verwendete Notation Dieses Dokument verwendet die folgende Regeln zur Darstellung und Hervorhebung: • H inweis: die Zeichenvorlage Hinweis kommt am Anfang von Absätzen zum Einsatz, die als ganzes hervorzuheben sind. Der optische Effekt bleibt somit minimal. 1 Ein Servlet Container dient als Laufzeitumgebung für Java Servlets [Sun Servlets] bzw. Java Server Pages [Sun JSP]. Der Container ist die Schnittstelle zwischen den Webserver und den Servlets, die sich in dem Container befinden. Der Container lädt, initialisiert und führt die Servlets aus. Der Container ordnet einer ankommenden Anfrage einem Servlet zu und leitet diese Anfrage an das Servlet weiter. Das Servlet bearbeitet die Anfrage, ggf. unter Einbeziehung weiterer Hintergrundapplikationen, und erzeugt eine Antwort. Der Container leitet diese Antwort an den Webserver weiter, der sie dann an den Web-Client (z. B. Browser) übermittelt. Seite 9 (von 187) Bundesamt für Sicherheit in der Informationstechnik Einleitung Sicherheitsuntersuchung des Apache Jakarta Tomcat Servlet Containers • Dateinamen, Konfigurationsvariablen, Kommandos, Programm-generierte Ausgaben im Fließtext werden in der Zeichenvorlage Code dargestellt (in der Praxis oft als Fixed-Width Font [z. B. Courier], hier Kursiv)2 • Listing 1: Als Überschrift oder zur Namensgebung für längere Abschnitte aus Scripts bzw. Konfigurationsdateien. Tabellen und Abbildungen werden dagegen unterhalb der Tabelle bzw. Abbildung beschriftet. Für ganze Scripts wird die Absatzvorlage Code eingesetzt (auch möglichst als Fixed-Width Font, z. B. Courier). Die kleinerere Schriftgröße wird zur Vermeidung von automatischen Zeilenumbrüchen bei den z. T. sehr langen Zeilen verwendet. • Zwischenüberschriften werden durch Fettdruck und vertikalen Abstand vom umgebenden Text getrennt, aber im Gegensatz zu Überschriften nicht nummeriert. • Literaturverweise auf das Literaturverzeichnis in Abschnitt 10 am Ende des Dokuments werden in eckigen Klammern angegeben, z. B. als [Tomcat Fein.]. Davor befindet sich in Abschnitt 8 ein Abkürzungsverzeichnis. • URLs auf Webseiten im Internet werden in der Fußnoten angegeben. Der Fließtext bleibt lesbar. • Lange Datei- bzw. Verzeichnisnamen werden teilweise in Fußnoten verlegt, wobei der Fließtext eine eindeutige Kurzform enthält – meist ohne Verzeichnis. Gegen Ende dieses Dokuments findet der Leser eine Zusammenstellung einiger stets wiederkehrender Shellvariablen, Dateinamen und dazugehörige Verzeichnisse. • URLs auf Webseiten / -Applikationen innerhalb der Testumgebung werden mit der Zeichenvorlage URL Intern formatiert. Diese sind nur bei aufgebauter Testumgebung nutzbar. Hinweis: derzeit werden die Formatvorlagen Code / URL Intern farbig hinterlegt, um die Stellen des Auftretens entsprechenden Textes leicht zu identifizieren, bis sich ein möglichst vielen Lesern gefälliges Format herauskristallisiert. 2 Treten derartige Texte in Fußnoten auf, so wird die Zeichenvorlage Fußnote_Code verwendet. Bundesamt für Sicherheit in der Informationstechnik Seite 10 (von 187)
Description: