LoadBalancerBlog.de

Das das Web sich zunehmend weg von reiner Präsentation und hin zur Interaktion entwickelt (hat), ist eine Binsenweisheit. Und dass dabei Security – etwa zum Schutz persönlicher Daten oder natürlich von Zahlungsdaten – eine wichtige Rolle spielt, ebenfalls. Das Mittel der Wahl in solchen Fällen ist der Einsatz von HTTPS (also HTTP über SSL / TLS).

Im einfachsten Fall werden Websites mit solchen Sicherheitsanforderungen komplett unter HTTPS betrieben. Was aber, wenn ein Mischbetrieb gewünscht ist? Wenn zum Beispiel nur der Anmelde- oder Bezahlvorgang in einem  Shop geschützt werden soll, während all die anderen Zugriffe (z.B. Produktrecherche, aber auch das “In den Warenkorb legen”), die vermutlich 90% aller Zugriffe ausmachen, eigentlich problemlos über HTTP gehen könnten? (weiterlesen …)

In dieser Woche ist eine neue Variante für Denial-Of-Service (DoS)-Angriffe gegen Webserver aufgetaucht: die “partiellen HTTP-Anfragen”. Ähnlich wie beim altbekannten “SYN-Flooding” auf TCP-Ebene werden hier auf HTTP-Ebene Verbindungen angefangen, aber nicht abgeschlossen, wodurch ein Webserver schnell verstopft und somit lahmgelegt wird.

Als Werkzeug für solche Angriffe wurde ein Perl-Skript namens “Slowloris” veröffentlicht (vgl. Golem-Artikel dazu.)

Die gute Nachricht ist: KEMP Load Balancer sind gegen Slowloris-Angriffe immun – und schützen gleichzeitig die hinter ihnen befindlichen Webserver.

[Nachtrag 24. Juni 2009:] Inzwischen kam noch ein weiterer Aspekt auf… Neben Webservern wie “Apache” sind ja auch HTTP Proxy Caches wie “Squid” verwundbar. Sind KEMP-Anwender ebenfalls betroffen? Die Antwort ist auch hier: Nein,  die Proxy Caching-Funktion der KEMP Load Balancer hat diese Schwachstelle nicht – mit einem LoadMaster sind Sie auf der “sicheren Seite”.

Das Intrusion Prevention System (IPS) des LoadMasters ist eine der nützlichen Neuerungen in der Version 4.3 – und bisher haben wir es in diesem Blog noch nicht wirklich angesprochen. Nutzen wir doch die gegenwärtige Aufregung um das jüngste und noch ungepatchte Loch in Microsoft’s Internet Information Server, um exemplarisch den Nutzen des IPS zu demonstrieren. (weiterlesen …)

Dem Load Balancer die SSL/TLS Entschlüsselung von HTTPS-Verbindungen zum Browser zu überlassen, ist weit verbreitete Standardpraxis (vgl. mein Blogartikel zu SSL Beschleunigung). Was aber, wenn auch die Strecke zwischen Load Balancer und Real Server durch SSL geschützt werden soll? (weiterlesen …)

SSL-Beschleunigung ist einer der größten Extra-Pluspunkte eines geeigneten Load Balancers – für manche Anwender sogar der Hauptzweck. Doch funktioniert das auch in jedem Fall? Ja – wenn man einige Grundvoraussetzung schafft. Hier steht, welche das sind. (weiterlesen …)