Webserver sind – gemäß ihrer Natur – einer permanenten Gefahr ausgesetzt: dem Internet. Der Server steht an vorderster Front und bildet ein beliebtes Ziel von Attacken aller Art. Man sollte sich der trügerischen Annahme, man sei kein lohnendes Ziel, nicht hingeben. Angreifer nutzen jede Möglichkeit, um ihre Ziele zu verfolgen: Verbreitung von Schadcode, Bildung von Botnetzen, Identitäts- und Datenklau, Erpressung, Spionage, politische Propaganda oder einfach nur Chaos verbreiten… die Liste ist lang. Den Windows Webserver gegen diese Gefahren abzusichern, ist Ziel dieses Workshops. Teil 1: Grundlagen.
Windows gilt selbst heute noch als ein unsicheres Betriebssystem, doch das völlig zu Unrecht. Microsoft drehte bei Windows Server 2016 und IIS 10 weiter an der Sicherheitsschraube. Es liefert frei Haus Technologien, die es Angreifern erschweren soll, den Server erfolgreich zu attackieren. Doch all das bringt nichts, wenn sie, ob beabsichtigt oder unwissentlich, außer Kraft gesetzt bzw. nicht genutzt werden.
Folgende Grundlagen sollte ein jeder Windows Administrator beherzigen.
Updates installieren! Die meisten Angriffe nutzen bekannte Sicherheitslücken. Die prominente WannaCry-Attacke ist bestes Beispiel. Sie nutzte eine Sicherheitslücke im SMB-Protokoll, welche Microsoft zuvor durch ein Sicherheitsupdate schloss. Es ist immens wichtig, das Betriebssystem zeitnah mit Windows Updates zu versorgen. Microsoft veröffentlicht Updates für seine Produkte immer an jedem zweiten Dienstag eines Monats. Diesen Turnus sollte man als Windows Admin verinnerlichen.
Updates, Updates und nochmal Updates installieren! Nicht nur das Betriebssystem sollte immer aktuell gehalten werden, gleiches gilt für die eingesetzte Software. Das Team um PHP schließt Sicherheitslücken i.d.R. direkt nach Entdeckung einer solchen.
Die MariaDB Foundation veröffentlicht ihrerseits neue Versionen, die neben Bugs auch bekannte Sicherheitslücken behebt. WordPress aktualisiert sich in der Standardkonfiguration selbsttätig. Nur größere Versionswechsel bedürfen einer manuellen Installation. Aber auch Software, die nicht direkt eingebunden ist, sollte unbedingt berücksichtigt werden. So wurde im März 2017 durch den CIA Leak Vault 7 bekannt, dass Schadcode (Hacking Tool) im Open Source-Editor Notepad++ schlummerte.
Registriere dich für die Update-Mitteilungen der Entwickler. Das sind entweder Mailing Listen oder Newsletter. Sie informieren, wenn neue Versionen zur Verfügung stehen. Am besten ist es, zu jeder Software einen Prozess zur Aktualisierung und den notwendigen Schritten zu erstellen. Stelle zudem über eine Checkliste sicher, dass alle Funktionen auch nach dem Update noch funktionieren.
Firewalls sorgen für weitere Sicherheit. Bei korrekter Konfiguration lassen sie nur den Traffic zu, der auch wirklich erforderlich ist. Die meisten Produkte prüfen zudem die Korrektheit der Protokollstandards. Best practice sind mindestens zwei Firewalls unterschiedlicher Hersteller. So kann auf dem Server eine lokale Firewall, an einem Netzwerkübergang – bspw. mittels Appliance oder im Router integriert – eine weitere eingesetzt werden. Ergänzt werden kann das Konstrukt durch eine Firewall auf Applikationsebene, bspw. eine Web Application Firewall, kurz WAF.
Antiviren-Software helfen, bekannten Schadcode an ihrer Arbeit zu behindern. So manch ein Produkt untersucht Daten bereits auf Netzwerkebene, Stichwort Network Inspection. Mit dem integrierten Windows Defender ist man gut gerüstet, schöpft er doch die in Windows integrierten Sicherheitstechniken voll aus.
Durch Einschränken von Rechten und Privilegien können mögliche Attacken verhindert oder deren Auswirkungen zumindest gering gehalten werden. Das bezieht sich nicht nur auf Dienstkonten – worauf später noch eingegangen wird – sondern auch, bzw. ganz im Besonderen auf Benutzerkonten. Natürlich ist es einfacher, den Mitwirkenden Admin-Rechte zu erteilen, um selbst in Ruhe andere Arbeiten nachzugehen. Doch wie heißt es so schön? Auf große Macht folgt große Verantwortung. Nicht jeder ist so affin, mit diesen Privilegien sorgsam umzugehen.
Unter dem Begriff Server Hardening versteht man unter anderem die Deaktivierung von nicht benötigten Diensten und Protokollen, sowie die Deinstallation von ungenutzten Serverrollen und -dienste. Warum sollte auf einem Webserver bspw. der UPnP-Host laufen? Braucht man wirklich den FTP-Dienst? Je weniger Dienste laufen, desto geringer die Angriffsfläche. Windows offeriert zudem Tools zum gewollten Einschränken von Funktionen. In Bezug auf WordPress sollte man darauf achten, nur solche Erweiterungen einzusetzen, die auch wirklich notwendig sind. Darauf wird noch später eingegangen.
Es klingt banal und doch ist es immer noch eine wichtige Grundlage: verwende sichere Passwörter!
Ein langes Passwort mit etwa 16 Zeichen, gespickt mit Groß- und Kleinbuchstaben, der gesamten Palette des Alphabets unter Verwendung von Zahlen und Sonderzeichen, ist ziemlich sicher vor Wörterbuch- oder Brute Force-Attacken. Als deutschsprachiger Administrator stehen dir noch ein paar Umlaute zur Verfügung. Nutze sie! Vergiss die Mär von Sicherheit durch lange Passphrasen, seien sie noch so sinnlos aneinandergereiht. Das hält Hacker nicht auf, also lass es sein.
Du denkst, die Gefahr kommt allein nur aus dem Internet? Weit gefehlt! Die meisten erfolgreichen Angriffe erfolgen innerhalb des Unternehmensnetzwerk. Durch Social Media Engineering bauen sich Angreifer Brückenköpfe im internen Netzwerk, über die sie sich im Netzwerk weiterbewegen. Der RSA Hack hat es gezeigt. Sichere also den Zugriff auf den Webserver so ab, dass Zugriffe auch von intern erschwert werden. Nutze dazu das Potential von Firewalls, schränke Zugriffe ein, platziere den Server in die DMZ. Ein externer Webserver gehört nicht in die Active Directory Domäne. Verwende Verschlüsselung, damit die Kommunikation nicht belauscht werden kann. Was auch gleich ein guter Übergang zum nächsten Punkt ist.
Sichere die Kommunikation durch Verschlüsselung ab. Das ist nicht nur für die Übertragung von Anmeldedaten obligatorisch. Auch sonstiger Verkehr sollte auf verschlüsseltem Wege laufen. Zertifikate gibt es bspw. bei LetsEncrypt kostenlos. Mittlerweile werden Module und Anleitungen, wie man Zertifikate unter Windows automatisch ausstellt, angeboten. Aber selbst kommerzielle Anbieter verlangen kaum mehr als 150,- EUR für ein Zertifikat mit 3 Jahren Laufzeit. Und was sind diese Kosten im Vergleich zu dem Schaden und Reputationsverlust, der angerichtet werden kann? Dieses Thema wurde in diesem Artikel angesprochen. Unsicheren Algorithmen sind zu deaktivieren.
Setze auf Monitoring-Werkzeuge. Prüfe die Logfiles auf ungewöhnliches Verhalten. Handelt es sich um eine mission critical Maschine, sollte man in eine Intrution Prevention-Technik investieren.
Sollten dennoch alle Sicherheitsvorkehrungen fehlschlagen, hilft in letzter Instanz nur ein Backup. Es stellt sicher, dass nicht alle Daten verloren gehen und die aufgewendete Zeit nicht umsonst war. Es sollte eine aktuelle, tägliche Sicherung zur Verfügung stehen. Zudem sollte man erwägen, wöchentlich oder monatlich ein Offline Backup zu erstellen. Offline bedeutet, auf das Sicherungsmedium kann man nach dem Backup nicht mehr zugreifen.
Man sollte aber nicht nur auf ein regelmäßiges Backup achten, sondern auch darauf, dass im Störungsfall ein System wiederhergestellt werden kann. Ein verantwortungsbewusster Administrator führt turnusmäßig Restore Tests durch. Das hilft einerseits die Backups auf ihre Konsistenz zu prüfen, andererseits den Ablauf einer Wiederherstellung im Notfall zu proben und ggf. anzupassen.
Sicherheit ist ein weites, komplexes Feld. Doch die Investitionen werden sich rechnen, allein schon durch einen stabilen Betrieb. Zudem sind die meisten Aufwendungen nur einmaliger Natur. Im Allgemeinen ist es immer ratsam, mit einer gesunden Portion Skepsis an die Sache zu gehen. Die eingesetzten Software und Infrastruktur sollte einer kritischen Analyse unterzogen werden.
Eines sei noch mitgegeben. Jede Infrastruktur ist nur so stark, wie das schwächste Glied in der Kette. Was hilft ein gut abgesicherter Webserver, wenn der verwendete DNS-Server anfällig für MITM-Attacken ist und Anfragen auf fremde Server umleitet? Was hilft die beste Verschlüsselung, wenn der Private Key kompromittiert wurde und so eine zwischengeschaltete Komponente den Verkehr mitlesen kann? Schau über den Tellerrand und unterziehe den beteiligten Komponenten eine kritische Sicherheitsbetrachtung.
0 Kommentare