Sie sind hier
E-Book

Profikurs Sicherheit von Web-Servern

Ein praxisorientiertes Handbuch - Grundlagen, Aufbau und Architektur - Schwachstellen und Hintertüren - Konkrete Praxisbeispiele realisiert unter Windows und Unix/Linux

AutorHeinz-Dieter Knöll, Volker Hockmann
VerlagVieweg+Teubner (GWV)
Erscheinungsjahr2008
Seitenanzahl154 Seiten
ISBN9783834894717
FormatPDF
KopierschutzDRM
GerätePC/MAC/eReader/Tablet
Preis46,99 EUR
Wie einfach ist es, einen Web-Server zu hacken - aber wie einfach kann es auch sein, Web-Server effektiv zu schützen. Das Buch zeigt, wie es geht. Erfahren Sie alles, was Sie zur Realisierung und Absicherung von Web-Servern unter Windows- und Unix/Linux-Systemen benötigen. Behandelt werden der Apache und der Internet Information Server, installiert auf Windows und/oder Linux. Wo liegen die Schwachstellen und wie können diese effektiv beseitigt werden? Die Autoren liefern zuverlässiges Erfahrungswissen.

Volker Hockmann betreut zur Zeit als Systemadministrator bei einer Krankenkasse die Einführung der elektronischen Gesundheitskarte und hat viele Jahre als Consultant im Bereich Netzwerksicherheit gearbeitet.
Prof. Dr. Heinz-Dieter Knöll ist Professor an der Leuphana-Universität Lüneburg.

Kaufen Sie hier:

Horizontale Tabs

Leseprobe

11 Internet Information Services (IIS) 6.0 (S. 74-75)

"Wenn wir vor der Wahl stehen, ob wir eine neue Funktion hinzufügen oder ein Sicherheitsproblem lösen können, müssen wir uns für die Sicherheit entscheiden." (Bill Gates). Der Internet Information Service 6.0 von Microsoft wird für die Versionen XP Professional und Windows 2003-Server ausgeliefert. Wie beim Windows 2003-Server wird der IIS in einem verriegelten Status, also einer schon bei der Installation vorgegebenen gehärteten Version, installiert. So sind z.B. nach der Installation keine dynamischen Webseiten (ASP etc.) darstellbar. Änderungen können über die mitgelieferte, Web Service Extensions genannte, neue Administrationsfunktion im Snap-in IIS-Manager der Microsoft-Management-Konsole (MMC) vorgenommen werden.

11.1 Architektur des IIS 6.0
Die Architektur des IIS 6.0 hat sich im Vergleich zu seinen Vorgängern grundlegend geändert und verbessert. Der IIS 6.0 weist jetzt eine Verfeinerung in den Bereichen Skalierbarkeit und Zuverlässigkeit auf. In den Vorgängerversionen (IIS 4.X/5.X) gab es immer wieder Probleme dahingehend, dass Webseiten und dazugehörende Applikationen in einem Prozess liefen. Stürzte eine Applikation ab, wurden alle anderen Applikationen mitgezogen, da sie alle in einem Prozess angeordnet waren. Der IIS 6.0 unterstützt den „Worker Process Isolation Mode"-(WPIM-)Betrieb.

Der IIS 6.0 isoliert zusammengehörende Webseiten und Applikationen in so genannten application pools. Microsoft spricht in diesem Zusammenhang auch von einem unabhängigen „worker process", der die einzelnen application pools bedient. Jeder „Worker Process" arbeitet in einem eigenen Speicherbereich und zieht bei einem Absturz keine weiteren „Worker Processes" oder Operatoren mit. Es ist möglich, Sicherheitsparameter für jede Webseite einzustellen. Application Pools können mit unterschiedlichen Kriterien und Bestimmungen eingerichtet werden. Microsoft unterscheidet zwischen vier verschiedenen Modi: - Recycling: Innerhalb einer Applikation kann der Pool mehrfach wieder verwendet werden. Bestimmbare Parameter: Zeitspanne, Anzahl der Prozesse und die Cache-Größe - Performance: Arbeitsprozesse können geschlossen werden, wenn diese keine Daten zur Verarbeitung mehr empfangen.

Die CPU wird dadurch merklich entlastet. - Health: Hier werden die Arbeitsprozesse überwacht. In Intervallen werden die Prozesse angesprochen. Ist ein Prozess nicht mehr in der Lage, eine Rückantwort zu geben, wird er beendet. Dafür kann eine Zeitspanne angegeben werden, die der Prozess abwarten muss, bevor er beendet oder neu gestartet wird. - Identity: Unter diesem Modus wird den Prozessen eine spezifische Identität zugeordnet. Somit ist es möglich, jedem Prozess ein Sicherheitskonto zuzuordnen. Viele der HTTP-Funktionen wurden von den Microsoft-Entwicklern in den Kernel- Modus-Treiber verschoben, um die Anwendungen sicherer zu machen.

Der Treiber http.sys cached jetzt die Webseiten selbst und verbessert damit die Leistung, ohne von außen angreifbar zu sein. Andere Erweiterungen, sind z.B. der "Background Intelligent Transfer Service" (BITS), eine Servererweiterung, die es ermöglicht, Updates nach deren „Notwendigkeit" zu installieren. Jeder Administrator sollte bei einem solchen Dienst erst einmal sehr skeptisch werden. Werden doch automatisch durch einen Dienst Updates, die von Microsoft als notwendig gekennzeichnet wurden, eingespielt. Administratoren kennen spätestens seit den Windows NT 6.0 Service Packs die Probleme mit Updates. Updates gehören zuallererst auf ein Testsystem und werden nach einer gründlichen Prüfung auf dem Produktivsystem eingespielt. Dies ist natürlich auch für alle anderen Systeme und Applikationen gültig. Als zusätzliches Highlight wurde eine differenziertere Auswahl der automatisch startenden Systemdienste angegeben.

Inhaltsverzeichnis
Geleitwort5
Vorwort7
Inhaltsverzeichnis9
Abbildungs- und Tabellenverzeichnis13
1 Ziel dieses Buches14
2 „Wir sind sicher – Wir haben eine Firewall“16
3 Allgemeines zu Web-Servern20
4 Protokolle, Datenverkehr und Logfiles24
4.1 HTTP-Header24
4.2 Protokolldateien des Microsoft Internet Information Services26
4.3 Protokolldateien des Apache-Servers27
4.4 Wie funktioniert ein Web-Server29
5 Zugriffsmethoden (Request Methods)32
5.1 GET-Methode32
5.2 HEAD-Methode33
5.3 POST-Methode33
5.4 PUT-Methode34
5.5 DELETE-Methode34
5.6 LINK-Methode34
5.7 UNLINK-Methode34
5.8 TRACE-Methode34
5.9 OPTIONS-Methode35
5.10 CONNECT-Methode35
5.11 Weitere Methoden35
6 Programmiersprachen im WWW36
6.1 Perl36
6.2 PHP38
6.3 ASP39
7 Hacker, Tools und Methoden44
7.1 Abgrenzung: Hacker, Cracker, Angreifer44
7.2 Typen und Klassifizierungen von Angriffsmethoden47
7.3 Scanner, Sniffer, Passwortknacker und weitere Tools aus dem Internet48
7.4 Trojaner49
8 Penetrations-Test52
8.1 Was vorher zu beachten wäre52
8.2 Der Penetrations-Test-Konflikt54
9 Informationsbeschaffung anhand eines Beispiels58
9.1 Angriff auf die Webseiten von SCO58
9.2 Informationsbeschaffung mittels Suchmaschinen am Beispiel Google61
9.2.1 Informationsbeschaffung Microsoft IIS 6.061
9.2.2 Google Suchanfragen nach verschiedenen Arten und Standardseiten von Web-Servern63
9.3 ICMP-Echo-Anfragen64
9.4 Informationen über Netzwerke sammeln64
9.4.1 Dateistrukturen auf Ihrem Server auflisten nach Eingabe einer falschen URL65
9.4.2 Informationen zu Applikationen sammeln65
9.4.3 Informationen über angelegte Ordner, Dateien auf dem Web-Server66
9.4.4 Stand der installierten Updates und Patches auf dem Server68
9.4.5 “Out of Office”-Nachrichten per Email68
10 Der Apache-Web-Server72
10.1 Architektur des Apache-Web-Server72
10.2 Multi-Thread und Multi-Prozess Web-Server74
10.3 Serverlogging und Status beim Apache-Server74
10.4 Architektur des Apache 2.075
10.5 Sicherheitsperspektiven77
10.5.1 Installation des Apache unter einem anderen Benutzer77
10.5.2 Dateisystem des Web-Server absichern78
10.5.3 Server Limits konfigurieren79
10.5.4 Verschlüsselung mit SSL79
10.5.5 Zugriffsbeschränkungen per .htaccess80
11 Internet Information Services (IIS) 6.088
11.1 Architektur des IIS 6.088
11.2 Integration in Windows90
11.3 Zugriffsberechtigung und Dienste91
11.4 Zugriffskontrolllisten – ACL93
12 Angriffe auf IIS Web-Server96
12.1 Bekannte Sicherheitsrisiken96
12.1.1 Lockout-Funktion auf einem Web-Server101
12.1.2 RPC-DCOM-Verwundbarkeiten102
13 Angriffe auf Apache-Web-Server104
13.1 Der PHP XML-RPC-Bug104
13.2 Pufferüberlauf im Apache Tomcat Connector105
13.3 Der Angriff auf die Software Foundation Web-Server105
14 Maßnahmen zur Absicherung110
14.1 Grundlegende Maßnahmen111
14.1.1 Updates installierter Systeme und Programme111
14.1.2 Entfernung aller unnötigen Script-Mappings und Beispieldateien113
14.1.3 Zugriffsrechte für die Verzeichnisse festlegen114
14.1.4 Den IIS-Dienst als separaten Dienst laufen lassen116
14.1.5 Härten des Betriebssystems116
14.1.6 Konzepte und Vorüberlegungen zur Absicherung126
14.1.7 Tools und Programme zur Absicherung des Apache-Servers126
14.1.8 Tools für den Internet Information Service131
14.1.9 Tools für Apache (Windows/Unix)133
15 „Wenn es doch passiert ist“ – Was ist nach einem Einbruch zu tun?138
15.1 Erste Schritte139
15.2 Spurensicherung140
15.3 Rechtliche Aspekte der Forensik141
16 Fazit144
Anhang148
Anhang A148
Anhang B – Apache Response Codes150
Anhang C – IIS Response Codes152
Anhang D – Beispielcode bindshell.c156
Quellenverzeichnis158
Sachwortverzeichnis162

Weitere E-Books zum Thema: Sicherheit - IT Security

Digitale Fernsehtechnik in Theorie und Praxis

E-Book Digitale Fernsehtechnik in Theorie und Praxis
MPEG-Basiscodierung, DVB-, DAB-, ATSC-Übertragungstechnik, Messtechnik Format: PDF

Digitale Fernsehtechnik in Theorie und Praxis behandelt alle aktuellen digitalen TV-, Rundfunk- bzw. Multimedia-Standards wie MPEG, DVB, DAB, ATSC, T-DMB und ISDB-T. Das Buch setzt sich so praxisnah…

Digitale Fernsehtechnik in Theorie und Praxis

E-Book Digitale Fernsehtechnik in Theorie und Praxis
MPEG-Basiscodierung, DVB-, DAB-, ATSC-Übertragungstechnik, Messtechnik Format: PDF

Digitale Fernsehtechnik in Theorie und Praxis behandelt alle aktuellen digitalen TV-, Rundfunk- bzw. Multimedia-Standards wie MPEG, DVB, DAB, ATSC, T-DMB und ISDB-T. Das Buch setzt sich so praxisnah…

Digitale Fernsehtechnik in Theorie und Praxis

E-Book Digitale Fernsehtechnik in Theorie und Praxis
MPEG-Basiscodierung, DVB-, DAB-, ATSC-Übertragungstechnik, Messtechnik Format: PDF

Digitale Fernsehtechnik in Theorie und Praxis behandelt alle aktuellen digitalen TV-, Rundfunk- bzw. Multimedia-Standards wie MPEG, DVB, DAB, ATSC, T-DMB und ISDB-T. Das Buch setzt sich so praxisnah…

Digitale Fernsehtechnik in Theorie und Praxis

E-Book Digitale Fernsehtechnik in Theorie und Praxis
MPEG-Basiscodierung, DVB-, DAB-, ATSC-Übertragungstechnik, Messtechnik Format: PDF

Digitale Fernsehtechnik in Theorie und Praxis behandelt alle aktuellen digitalen TV-, Rundfunk- bzw. Multimedia-Standards wie MPEG, DVB, DAB, ATSC, T-DMB und ISDB-T. Das Buch setzt sich so praxisnah…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Security@Work

E-Book Security@Work
Pragmatische Konzeption und Implementierung von IT-Sicherheit mit Lösungsbeispielen auf Open-Source-Basis Format: PDF

Die Autoren erläutern die konzeptionellen und technischen Grundlagen des Themas IT-Sicherheit anhand anschaulicher Beispiele. Im Fokus stehen dabei die praktische Verwendbarkeit realitätsnaher…

Security@Work

E-Book Security@Work
Pragmatische Konzeption und Implementierung von IT-Sicherheit mit Lösungsbeispielen auf Open-Source-Basis Format: PDF

Die Autoren erläutern die konzeptionellen und technischen Grundlagen des Themas IT-Sicherheit anhand anschaulicher Beispiele. Im Fokus stehen dabei die praktische Verwendbarkeit realitätsnaher…

Weitere Zeitschriften

Arzneimittel Zeitung

Arzneimittel Zeitung

Die Arneimittel Zeitung ist die Zeitung für Entscheider und Mitarbeiter in der Pharmabranche. Sie informiert branchenspezifisch über Gesundheits- und Arzneimittelpolitik, über Unternehmen und ...

FREIE WERKSTATT

FREIE WERKSTATT

Die Fachzeitschrift FREIE WERKSTATT berichtet seit der ersten Ausgaben 1994 über die Entwicklungen des Independent Aftermarkets (IAM). Hauptzielgruppe sind Inhaberinnen und Inhaber, Kfz-Meisterinnen ...

dima

dima

Bau und Einsatz von Werkzeugmaschinen für spangebende und spanlose sowie abtragende und umformende Fertigungsverfahren. dima - die maschine - bietet als Fachzeitschrift die Kommunikationsplattform ...

DSD Der Sicherheitsdienst

DSD Der Sicherheitsdienst

Der "DSD – Der Sicherheitsdienst" ist das Magazin der Sicherheitswirtschaft. Es erscheint viermal jährlich und mit einer Auflage von 11.000 Exemplaren. Der DSD informiert über aktuelle Themen ...

DULV info

DULV info

UL-Technik, UL-Flugbetrieb, Luftrecht, Reiseberichte, Verbandsinte. Der Deutsche Ultraleichtflugverband e. V. - oder kurz DULV - wurde 1982 von ein paar Enthusiasten gegründet. Wegen der hohen ...

elektrobörse handel

elektrobörse handel

elektrobörse handel gibt einen facettenreichen Überblick über den Elektrogerätemarkt: Produktneuheiten und -trends, Branchennachrichten, Interviews, Messeberichte uvm.. In den monatlichen ...

F- 40

F- 40

Die Flugzeuge der Bundeswehr, Die F-40 Reihe behandelt das eingesetzte Fluggerät der Bundeswehr seit dem Aufbau von Luftwaffe, Heer und Marine. Jede Ausgabe befasst sich mit der genaue Entwicklungs- ...