T3CON07: Die TYPO3-Firewall kommt
Freitag, 21. September 2007 12:12 - Autor: Ekkehard Gümbel
Eine spannende Neuigkeit gab es gleich zum Anfang des Konferenzteils der diesjährigen TYPO3-Konferenz T3CON07: Lars Jensen, zuständiger Projektleiter im Security Team, kündigte die Bereitstellung einer “TYPO3-Firewall” an, genauer gesagt einer Web Application Firewall (WAF) auf Basis von mod_security.
Das Funktionsprinzip ist so einfach wie nützlich: Serverbetreiber bekommen einen einfachen Weg zur Installation der WAF und werden mit einem Basis-Regelwerk versorgt, das sie unverändert verwenden oder durch eigene Regeln ersetzen bzw. ergänzen können.
Der Clou: Sollte ein neues Sicherheitsloch in TYPO3 oder in einer TYPO3-Extension auftauchen, so wird gleichzeitig mit dem Security Bulletin auch der zugehörige Regelsatz bereitgestellt, der das Ausnutzen der Verwundbarkeit unterbindet. Dies ist insbesondere für TYPO3-Hoster von großem Wert, die viele Instanzen auf ihren Servern betreiben und nur schwer sicherstellen können, dass alle betroffenen Installationen sofort gefixt werden (und dass auch später die verwundbare Version nicht wieder auftaucht.)
Klar ist auch, dass das Security Team damit zusätzlichen Aufwand auf sich nimmt - immerhin müssen neue Regeln nicht nur entwickelt, sondern vor Bereitstellung auch intensiv getestet werden.
In jedem Fall ein Super-Service!
Als weiterer sehr nützlicher Effekt wird erhofft, dass Betreiber von TYPO3-WAFs ihre mod_security Logfiles zur Verfügung stellen - ein optionaler, automatisierter Mechanismus hierfür ist ebenfalls in Vorbereitung. Das Ergebnis wäre ein riesiges Monitoring-System, dass Häufungen illegaler Zugriffstypen erkennen lässt und so z.B. neue Zero-Day-Exploits aufdecken würde.
September 22nd, 2007 21:21
[...] über eine geplante TYPO3-Firewall und das TYPO3 Live Hacking, das auf der Konferenz statt fand auf dem TYPO3 Security [...]
September 24th, 2007 10:41
Hervorrangeder Ansatz gerade für T3-Projekte mit gewerblichem Hintergrund, denen ein Defacing, ein DOS oder gar der Verlust sensibler (Kunden)daten gar nicht gut zu Gesicht steht.
Dem Artikel ist kein Release-Datum zu entnehmen?!
September 24th, 2007 18:00
Hi,
mehrere Leute haben mich inzwischen schon nach Terminen gefragt… Es wird in den nächsten Tagen eine offizielle Ankündigung der TYPO3 WAF geben. Status ist jedenfalls, dass kurzfristig eine ausgedehnte Beta-Phase beginnen wird, für die noch Interessierte Serverbetreiber gesucht werden. Ein automatisches Verteilen von Regeln wird in dieser Phase noch nicht geschehen.
September 27th, 2007 11:42
an wen wendet man sich den am besten für eine Teilnahme an der Beta-Phase?
September 27th, 2007 12:24
Hallo Dirk!
Vor dem offiziellen Announcement (inkl. Bekanntgabe der richtigen “Kanäle”) tut sich da ohnehin noch nichts, also bis dahin bitte abwarten. Eine Mengenbeschränkung für die Betaphase ist nicht vorgesehen.
P.S. Ein zentraler Kanal wird dann übrigens eine neue TYPO3-WAF Mailingliste sein!
September 27th, 2007 13:09
dank dir, dann werd ich die Augen offen halten
September 30th, 2007 23:39
[...] von naw.info veröffentlicht. Sicherheitsrelevante Themen waren auch die in TYPO3 5.0 kommende TYPO3 Firewall die auf mod_security Basis dafür sorgen soll, dass auf Sicherheitslöcher schneller reagiert [...]
Oktober 1st, 2007 11:12
[...] zum Thema: T3CON07: Die TYPO3-Firewall Tag: typo3Beitrag tauschen:Diese Symbole sind verlinkt zu Internetseiten die das Tauschen von [...]
Dezember 6th, 2007 19:50
[...] Ruhe an der Hacker-Front, aber auch keine Verlautbarungen über Fortschritte z.B. in Sachen WAF oder Security in 4.2. Mein Eindruck ist, dass momentan überall der Jahresend-Stress dominiert. [...]
November 12th, 2008 00:43
Hallo,
gibt es mitlerweile schon ein paar Regelsätze für Mod_Security2, um eine Typo3-Installation sicherer zu machen?