Wie lässt sich ein Server härten? – Teil 1

Wer einen Server betreibt, der der Öffentlichkeit zugänglich gemacht wird, hat es nicht immer leicht mit der Sicherheit. Der kleinste Fehler kann dazu führen, dass die Maschine kompromitiert wird und Daten von Kunden oder eigene Daten gestohlen werden können. Hin und wieder werden diese Server weiter für andere kriminelle Zwecke missbraucht. Meistens ohne, dass der Betreiber dies bemerkt. Also müssen Schutzmechanismen her, um die Anwendungen und das Betriebssystem zu schützen. Im Allgemeinen ist dies bekannt als Serverhärtung oder Serverhardening.

Dieser Artikel ist Teil einer Serie, die laufend veröffentlicht wird. Fett gedruckte Einträge in der To-Do Liste werden im Artikel behandelt.

To-Do Liste

Damit ihr das Problem kurzerhand angehen könnt kommt hier eine schnelle To-Do Liste. Im Nachgang werden alle Punkte detaillierter erläutert.

  • Server über 1 bis mehrere DMZ betreiben
  • Nur benötigte Rollen und Features installieren
  • Nicht benötigte Dienste beenden
  • Remotecontrol nur über interne Netzwerke erlauben
  • Unbenutzte Ports am Server schließen
  • Hostfirewall zusätzlich einsetzen
  • Software so aktuell wie möglich halten

Server über 1 bis mehrere DMZ betreiben

Als DMZ ist die sogenannte demilitarisierte Zone bekannt. Durch diesen speziellen Netzwerkbereich wird das interne Netzwerk vom Internet abgeschottet. Kein direkter Zugriff auf ein internes System ist damit mehr möglich. Gleichzeitig sind bei dieser Konstellation auch keine direkten Verbindungen von Innen nach Außen möglich. Zwei Beispiele kommen mir hier in den Sinn:

  1. Surfen über Proxies
  2. Datenaustausch nach außen

DMZ

Im obigen Bild sind die nummerierten Pfeile so zu verstehen, dass der Zugriff vom Client, über die Firewall 2 leidiglich bis zum Proxy reicht. Der Proxy kümmert sich anschließend um die Anfragen nach außen und holt sich die geforderten Inhalte. Bevor die Daten weitergeleitet werden, prüft ein Proxy, je nach Fähigkeit und Einstellungen, viele unterschiedliche Dinge wie: Malware in den Inhalten, JavaScripte mit Links auf Seiten in Blacklisten usw.

Ein ählniches Prinzip wird beim Fileshare in der DMZ auch angewendet. Dort kann von außen ein Benutzer Daten ablegen. Ein Client kann dann die Daten dort abholen, ohne dass er einen Dienst im Internet nutzt. Gleichzeitig kann ein User von außen nicht auf ein System im internen Netzwerk schreiben.

Blog aktiv unterstützen

Nur benötigte Rollen und Features installieren

Vor allem von Windows Server Betriebssystemen kennt man die so genannten Features und Rollen. Dabei handelt es sich beispielsweise um Hyper-V, Telnet oder das .NET Framework in einer bestimmten Version. Unter Linux ist es nicht ganz so komfortabel. Hier musst du als Administrator genau aufpassen welche Prozesse nach der Installation bereits laufen und zu welcher Software diese gehören. Nicht benötigte Software muss abgestellt werden, im besten Falle sogar deinstalliert. Wie wird das bei Windows bewerkstelligt?

Deinstallation von Rollen und Features unter Windows

Bevor ich mit viel Prosa anfange zu langweilen, möchte ich vermehrt Links und Videos einbauen, die bereits existieren und dir zeigen, wie etwas genau aus zu sehen hat. Dieses Video vermittelt das Wissen recht schnell und liefert noch einen Bonus: Die Verwendung der PowerShell! Also gut aufpassen und mitschreiben

Deinstallation von Software unter Linux

Bei Linux haben wir ein kleines Problem: Es gibt zu viele Distributionen, die alle samt unterschiedlich arbeiten. Dadurch ist die Installation bei Ubuntu beispielsweise sehr einfach, während ich für Gentoo selbst nachschlagen müsste. Möchtest du ein Linux härten, dass apt als Datenquelle verwendet so kannst du mit folgenden Kommandos loslegen. Damit wir alles vollständig haben, möchte ich kurz mit der Installation beginnen.

Installation

  • sudo apt-get update
  • sudo apt-get install <gewünschtes Softwarepaket>

Hast du das Paket nicht gefunden, kannst du apt suchen lassen:

  • sudo apt-cache search <vermutlicher Name der Software>

Deinstallation

  • sudo apt-get remove <Name der Software>
  • sudo apt-get purge -y <Name der Software>

Damit sollte alles vom apt basierten Linux entfernt worden sein.

Weiterführende Artikel

Bücher zum Thema

 

Beitragsbild: Cortana scripting language verändert, von Christiaan ColenCC BY-SA 2.0

Artikel teilen:

2 Gedanken zu „Wie lässt sich ein Server härten? – Teil 1

  • 24. April 2016 um 19:12
    Permalink

    Top!

    Ich freue mich schon über die anderen Teile. So kann ich sonst nichts kritisieren, weil ich nicht weiss was noch kommt :)

    Antwort
    • 26. April 2016 um 21:45
      Permalink

      Danke für den Kommentar. Es folgen noch weitere Teile richtig, aber gern kannst du ruhig schreiben was du denkst :-) Eventuell fehlen mir noch einige Punkte.

      Antwort

Kommentar verfassen