Sie sind hier
E-Book

Profikurs Sicherheit von Web-Servern

Ein praxisorientiertes Handbuch - Grundlagen, Aufbau und Architektur - Schwachstellen und Hintertüren - Konkrete Praxisbeispiele realisiert unter Windows und Unix/Linux

AutorHeinz-Dieter Knöll, Volker Hockmann
VerlagVieweg+Teubner (GWV)
Erscheinungsjahr2008
Seitenanzahl154 Seiten
ISBN9783834894717
FormatPDF
KopierschutzDRM
GerätePC/MAC/eReader/Tablet
Preis46,99 EUR
Wie einfach ist es, einen Web-Server zu hacken - aber wie einfach kann es auch sein, Web-Server effektiv zu schützen. Das Buch zeigt, wie es geht. Erfahren Sie alles, was Sie zur Realisierung und Absicherung von Web-Servern unter Windows- und Unix/Linux-Systemen benötigen. Behandelt werden der Apache und der Internet Information Server, installiert auf Windows und/oder Linux. Wo liegen die Schwachstellen und wie können diese effektiv beseitigt werden? Die Autoren liefern zuverlässiges Erfahrungswissen.

Volker Hockmann betreut zur Zeit als Systemadministrator bei einer Krankenkasse die Einführung der elektronischen Gesundheitskarte und hat viele Jahre als Consultant im Bereich Netzwerksicherheit gearbeitet.
Prof. Dr. Heinz-Dieter Knöll ist Professor an der Leuphana-Universität Lüneburg.

Kaufen Sie hier:

Horizontale Tabs

Leseprobe

11 Internet Information Services (IIS) 6.0 (S. 74-75)

"Wenn wir vor der Wahl stehen, ob wir eine neue Funktion hinzufügen oder ein Sicherheitsproblem lösen können, müssen wir uns für die Sicherheit entscheiden." (Bill Gates). Der Internet Information Service 6.0 von Microsoft wird für die Versionen XP Professional und Windows 2003-Server ausgeliefert. Wie beim Windows 2003-Server wird der IIS in einem verriegelten Status, also einer schon bei der Installation vorgegebenen gehärteten Version, installiert. So sind z.B. nach der Installation keine dynamischen Webseiten (ASP etc.) darstellbar. Änderungen können über die mitgelieferte, Web Service Extensions genannte, neue Administrationsfunktion im Snap-in IIS-Manager der Microsoft-Management-Konsole (MMC) vorgenommen werden.

11.1 Architektur des IIS 6.0
Die Architektur des IIS 6.0 hat sich im Vergleich zu seinen Vorgängern grundlegend geändert und verbessert. Der IIS 6.0 weist jetzt eine Verfeinerung in den Bereichen Skalierbarkeit und Zuverlässigkeit auf. In den Vorgängerversionen (IIS 4.X/5.X) gab es immer wieder Probleme dahingehend, dass Webseiten und dazugehörende Applikationen in einem Prozess liefen. Stürzte eine Applikation ab, wurden alle anderen Applikationen mitgezogen, da sie alle in einem Prozess angeordnet waren. Der IIS 6.0 unterstützt den „Worker Process Isolation Mode"-(WPIM-)Betrieb.

Der IIS 6.0 isoliert zusammengehörende Webseiten und Applikationen in so genannten application pools. Microsoft spricht in diesem Zusammenhang auch von einem unabhängigen „worker process", der die einzelnen application pools bedient. Jeder „Worker Process" arbeitet in einem eigenen Speicherbereich und zieht bei einem Absturz keine weiteren „Worker Processes" oder Operatoren mit. Es ist möglich, Sicherheitsparameter für jede Webseite einzustellen. Application Pools können mit unterschiedlichen Kriterien und Bestimmungen eingerichtet werden. Microsoft unterscheidet zwischen vier verschiedenen Modi: - Recycling: Innerhalb einer Applikation kann der Pool mehrfach wieder verwendet werden. Bestimmbare Parameter: Zeitspanne, Anzahl der Prozesse und die Cache-Größe - Performance: Arbeitsprozesse können geschlossen werden, wenn diese keine Daten zur Verarbeitung mehr empfangen.

Die CPU wird dadurch merklich entlastet. - Health: Hier werden die Arbeitsprozesse überwacht. In Intervallen werden die Prozesse angesprochen. Ist ein Prozess nicht mehr in der Lage, eine Rückantwort zu geben, wird er beendet. Dafür kann eine Zeitspanne angegeben werden, die der Prozess abwarten muss, bevor er beendet oder neu gestartet wird. - Identity: Unter diesem Modus wird den Prozessen eine spezifische Identität zugeordnet. Somit ist es möglich, jedem Prozess ein Sicherheitskonto zuzuordnen. Viele der HTTP-Funktionen wurden von den Microsoft-Entwicklern in den Kernel- Modus-Treiber verschoben, um die Anwendungen sicherer zu machen.

Der Treiber http.sys cached jetzt die Webseiten selbst und verbessert damit die Leistung, ohne von außen angreifbar zu sein. Andere Erweiterungen, sind z.B. der "Background Intelligent Transfer Service" (BITS), eine Servererweiterung, die es ermöglicht, Updates nach deren „Notwendigkeit" zu installieren. Jeder Administrator sollte bei einem solchen Dienst erst einmal sehr skeptisch werden. Werden doch automatisch durch einen Dienst Updates, die von Microsoft als notwendig gekennzeichnet wurden, eingespielt. Administratoren kennen spätestens seit den Windows NT 6.0 Service Packs die Probleme mit Updates. Updates gehören zuallererst auf ein Testsystem und werden nach einer gründlichen Prüfung auf dem Produktivsystem eingespielt. Dies ist natürlich auch für alle anderen Systeme und Applikationen gültig. Als zusätzliches Highlight wurde eine differenziertere Auswahl der automatisch startenden Systemdienste angegeben.

Inhaltsverzeichnis
Geleitwort5
Vorwort7
Inhaltsverzeichnis9
Abbildungs- und Tabellenverzeichnis13
1 Ziel dieses Buches14
2 „Wir sind sicher – Wir haben eine Firewall“16
3 Allgemeines zu Web-Servern20
4 Protokolle, Datenverkehr und Logfiles24
4.1 HTTP-Header24
4.2 Protokolldateien des Microsoft Internet Information Services26
4.3 Protokolldateien des Apache-Servers27
4.4 Wie funktioniert ein Web-Server29
5 Zugriffsmethoden (Request Methods)32
5.1 GET-Methode32
5.2 HEAD-Methode33
5.3 POST-Methode33
5.4 PUT-Methode34
5.5 DELETE-Methode34
5.6 LINK-Methode34
5.7 UNLINK-Methode34
5.8 TRACE-Methode34
5.9 OPTIONS-Methode35
5.10 CONNECT-Methode35
5.11 Weitere Methoden35
6 Programmiersprachen im WWW36
6.1 Perl36
6.2 PHP38
6.3 ASP39
7 Hacker, Tools und Methoden44
7.1 Abgrenzung: Hacker, Cracker, Angreifer44
7.2 Typen und Klassifizierungen von Angriffsmethoden47
7.3 Scanner, Sniffer, Passwortknacker und weitere Tools aus dem Internet48
7.4 Trojaner49
8 Penetrations-Test52
8.1 Was vorher zu beachten wäre52
8.2 Der Penetrations-Test-Konflikt54
9 Informationsbeschaffung anhand eines Beispiels58
9.1 Angriff auf die Webseiten von SCO58
9.2 Informationsbeschaffung mittels Suchmaschinen am Beispiel Google61
9.2.1 Informationsbeschaffung Microsoft IIS 6.061
9.2.2 Google Suchanfragen nach verschiedenen Arten und Standardseiten von Web-Servern63
9.3 ICMP-Echo-Anfragen64
9.4 Informationen über Netzwerke sammeln64
9.4.1 Dateistrukturen auf Ihrem Server auflisten nach Eingabe einer falschen URL65
9.4.2 Informationen zu Applikationen sammeln65
9.4.3 Informationen über angelegte Ordner, Dateien auf dem Web-Server66
9.4.4 Stand der installierten Updates und Patches auf dem Server68
9.4.5 “Out of Office”-Nachrichten per Email68
10 Der Apache-Web-Server72
10.1 Architektur des Apache-Web-Server72
10.2 Multi-Thread und Multi-Prozess Web-Server74
10.3 Serverlogging und Status beim Apache-Server74
10.4 Architektur des Apache 2.075
10.5 Sicherheitsperspektiven77
10.5.1 Installation des Apache unter einem anderen Benutzer77
10.5.2 Dateisystem des Web-Server absichern78
10.5.3 Server Limits konfigurieren79
10.5.4 Verschlüsselung mit SSL79
10.5.5 Zugriffsbeschränkungen per .htaccess80
11 Internet Information Services (IIS) 6.088
11.1 Architektur des IIS 6.088
11.2 Integration in Windows90
11.3 Zugriffsberechtigung und Dienste91
11.4 Zugriffskontrolllisten – ACL93
12 Angriffe auf IIS Web-Server96
12.1 Bekannte Sicherheitsrisiken96
12.1.1 Lockout-Funktion auf einem Web-Server101
12.1.2 RPC-DCOM-Verwundbarkeiten102
13 Angriffe auf Apache-Web-Server104
13.1 Der PHP XML-RPC-Bug104
13.2 Pufferüberlauf im Apache Tomcat Connector105
13.3 Der Angriff auf die Software Foundation Web-Server105
14 Maßnahmen zur Absicherung110
14.1 Grundlegende Maßnahmen111
14.1.1 Updates installierter Systeme und Programme111
14.1.2 Entfernung aller unnötigen Script-Mappings und Beispieldateien113
14.1.3 Zugriffsrechte für die Verzeichnisse festlegen114
14.1.4 Den IIS-Dienst als separaten Dienst laufen lassen116
14.1.5 Härten des Betriebssystems116
14.1.6 Konzepte und Vorüberlegungen zur Absicherung126
14.1.7 Tools und Programme zur Absicherung des Apache-Servers126
14.1.8 Tools für den Internet Information Service131
14.1.9 Tools für Apache (Windows/Unix)133
15 „Wenn es doch passiert ist“ – Was ist nach einem Einbruch zu tun?138
15.1 Erste Schritte139
15.2 Spurensicherung140
15.3 Rechtliche Aspekte der Forensik141
16 Fazit144
Anhang148
Anhang A148
Anhang B – Apache Response Codes150
Anhang C – IIS Response Codes152
Anhang D – Beispielcode bindshell.c156
Quellenverzeichnis158
Sachwortverzeichnis162

Weitere E-Books zum Thema: Sicherheit - IT Security

Cyberversicherung für Vermittler

E-Book Cyberversicherung für Vermittler
Risiko, Bewertung und Deckung Format: PDF

Vermittler, die Ihre Kunden zu Absicherungsmöglichkeiten der immer wichtiger werden den Risikoklasse „Cyberrisiken“ fundiert beraten möchten, soll dieses Buch bei Ihrer Einarbeitung in diese…

Hacking für Manager

E-Book Hacking für Manager
Was Manager über IT-Sicherheit wissen müssen. Die Tricks der Hacker. Format: PDF

Die Technik, die uns heute überschwemmt, lässt uns gar keine Chance mehr, alles so abzusichern, dass wir auch wirklich sicher sind. Lernen Sie die Waffen Ihrer Gegner und Ihre eigenen…

Trust in IT

E-Book Trust in IT
Wann vertrauen Sie Ihr Geschäft der Internet-Cloud an? Format: PDF

Cloud Computing ist der nächste Paradigmenwechsel in der IT - weg von starren IT-Infrastrukturen hin zur dynamischen Nutzung von IT-Ressourcen. Beim Cloud Computing nutzen Unternehmen Hardware,…

IT-Risiko-Management mit System

E-Book IT-Risiko-Management mit System
Von den Grundlagen bis zur Realisierung - Ein praxisorientierter Leitfaden Format: PDF

Der praxisbezogene Leitfaden für das IT-Risiko-Management im Unternehmen ist branchenneutral und angepasst an die aktuelle Situation der Standardisierung, der IT Governance und der aktuellen…

Trust in IT

E-Book Trust in IT
Wann vertrauen Sie Ihr Geschäft der Internet-Cloud an? Format: PDF

Cloud Computing ist der nächste Paradigmenwechsel in der IT - weg von starren IT-Infrastrukturen hin zur dynamischen Nutzung von IT-Ressourcen. Beim Cloud Computing nutzen Unternehmen Hardware,…

IT-Risiko-Management mit System

E-Book IT-Risiko-Management mit System
Von den Grundlagen bis zur Realisierung - Ein praxisorientierter Leitfaden Format: PDF

Der praxisbezogene Leitfaden für das IT-Risiko-Management im Unternehmen ist branchenneutral und angepasst an die aktuelle Situation der Standardisierung, der IT Governance und der aktuellen…

Trust in IT

E-Book Trust in IT
Wann vertrauen Sie Ihr Geschäft der Internet-Cloud an? Format: PDF

Cloud Computing ist der nächste Paradigmenwechsel in der IT - weg von starren IT-Infrastrukturen hin zur dynamischen Nutzung von IT-Ressourcen. Beim Cloud Computing nutzen Unternehmen Hardware,…

Weitere Zeitschriften

Bibel für heute

Bibel für heute

BIBEL FÜR HEUTE ist die Bibellese für alle, die die tägliche Routine durchbrechen wollen: Um sich intensiver mit einem Bibeltext zu beschäftigen. Um beim Bibel lesen Einblicke in Gottes ...

BMW Magazin

BMW Magazin

Unter dem Motto „DRIVEN" steht das BMW Magazin für Antrieb, Leidenschaft und Energie − und die Haltung, im Leben niemals stehen zu bleiben.Das Kundenmagazin der BMW AG inszeniert die neuesten ...

CE-Markt

CE-Markt

 Das Fachmagazin für Consumer-Electronics & Home Technology Products Telefónica O2 Germany startet am 15. Oktober die neue O2 Handy-Flatrate. Der Clou: Die Mindestlaufzeit des Vertrages ...

Computerwoche

Computerwoche

Die COMPUTERWOCHE berichtet schnell und detailliert über alle Belange der Informations- und Kommunikationstechnik in Unternehmen – über Trends, neue Technologien, Produkte und Märkte. IT-Manager ...

VideoMarkt

VideoMarkt

VideoMarkt – besser unterhalten. VideoMarkt deckt die gesamte Videobranche ab: Videoverkauf, Videoverleih und digitale Distribution. Das komplette Serviceangebot von VideoMarkt unterstützt die ...

F- 40

F- 40

Die Flugzeuge der Bundeswehr, Die F-40 Reihe behandelt das eingesetzte Fluggerät der Bundeswehr seit dem Aufbau von Luftwaffe, Heer und Marine. Jede Ausgabe befasst sich mit der genaue Entwicklungs- ...