Wie lässt sich ein Server härten? – Teil 1

Wer einen Server betreibt, der der Öffentlichkeit zugänglich gemacht wird, hat es nicht immer leicht mit der Sicherheit. Der kleinste Fehler kann dazu führen, dass die Maschine kompromitiert wird und Daten von Kunden oder eigene Daten gestohlen werden können. Hin und wieder werden diese Server weiter für andere kriminelle Zwecke missbraucht. Meistens ohne, dass der Betreiber dies bemerkt. Also müssen Schutzmechanismen her, um die Anwendungen und das Betriebssystem zu schützen. Im Allgemeinen ist dies bekannt als Serverhärtung oder Serverhardening.

Dieser Artikel ist Teil einer Serie, die laufend veröffentlicht wird. Fett gedruckte Einträge in der To-Do Liste werden im Artikel behandelt.

To-Do Liste

Damit ihr das Problem kurzerhand angehen könnt kommt hier eine schnelle To-Do Liste. Im Nachgang werden alle Punkte detaillierter erläutert.

  • Server über 1 bis mehrere DMZ betreiben
  • Nur benötigte Rollen und Features installieren
  • Nicht benötigte Dienste beenden
  • Standard Konfiguration der Dienste prüfen
  • Remotecontrol nur über interne Netzwerke erlauben
  • Unbenutzte Ports am Server schließen
  • Software so aktuell wie möglich halten

Server über 1 bis mehrere DMZ betreiben

Als DMZ ist die sogenannte demilitarisierte Zone bekannt. Durch diesen speziellen Netzwerkbereich wird das interne Netzwerk vom Internet abgeschottet. Kein direkter Zugriff auf ein internes System ist damit mehr möglich. Gleichzeitig sind bei dieser Konstellation auch keine direkten Verbindungen von Innen nach Außen möglich. Zwei Beispiele kommen mir hier in den Sinn:

  1. Surfen über Proxies
  2. Datenaustausch nach außen

DMZ

Im obigen Bild sind die nummerierten Pfeile so zu verstehen, dass der Zugriff vom Client, über die Firewall 2 leidiglich bis zum Proxy reicht. Der Proxy kümmert sich anschließend um die Anfragen nach außen und holt sich die geforderten Inhalte. Bevor die Daten weitergeleitet werden, prüft ein Proxy, je nach Fähigkeit und Einstellungen, viele unterschiedliche Dinge wie: Malware in den Inhalten, JavaScripte mit Links auf Seiten in Blacklisten usw.

Ein ählniches Prinzip wird beim Fileshare in der DMZ auch angewendet. Dort kann von außen ein Benutzer Daten ablegen. Ein Client kann dann die Daten dort abholen, ohne dass er einen Dienst im Internet nutzt. Gleichzeitig kann ein User von außen nicht auf ein System im internen Netzwerk schreiben.

Nur benötigte Rollen und Features installieren

Vor allem von Windows Server Betriebssystemen kennt man die so genannten Features und Rollen. Dabei handelt es sich beispielsweise um Hyper-V, Telnet oder das .NET Framework in einer bestimmten Version. Unter Linux ist es nicht ganz so komfortabel. Hier musst du als Administrator genau aufpassen welche Prozesse nach der Installation bereits laufen und zu welcher Software diese gehören. Nicht benötigte Software muss abgestellt werden, im besten Falle sogar deinstalliert. Wie wird das bei Windows bewerkstelligt?

Deinstallation von Rollen und Features unter Windows

Bevor ich mit viel Prosa anfange zu langweilen, möchte ich vermehrt Links und Videos einbauen, die bereits existieren und dir zeigen, wie etwas genau aus zu sehen hat. Dieses Video vermittelt das Wissen recht schnell und liefert noch einen Bonus: Die Verwendung der PowerShell! Also gut aufpassen und mitschreiben

Deinstallation von Software unter Linux

Bei Linux haben wir ein kleines Problem: Es gibt zu viele Distributionen, die alle samt unterschiedlich arbeiten. Dadurch ist die Installation bei Ubuntu beispielsweise sehr einfach, während ich für Gentoo selbst nachschlagen müsste. Möchtest du ein Linux härten, dass apt als Datenquelle verwendet so kannst du mit folgenden Kommandos loslegen. Damit wir alles vollständig haben, möchte ich kurz mit der Installation beginnen.

Installation

  • sudo apt-get update
  • sudo apt-get install <gewünschtes Softwarepaket>

Hast du das Paket nicht gefunden, kannst du apt suchen lassen:

  • sudo apt-cache search <vermutlicher Name der Software>

Deinstallation

  • sudo apt-get remove <Name der Software>
  • sudo apt-get purge -y <Name der Software>

Damit sollte alles vom apt basierten Linux entfernt worden sein.

 

Berater für die Serverhärtung buchen

 

Als Partner im Janotta & Partner EBS Security Team biete ich zusammen mit meinen Kollegen Server Härtung an.

Ziele

Ziel Angriffsoberfläche verringern
Ziel Beschränkung der Werkzeuge nach erfolgreichem Angriff
Ziel Minimierung der Privilegien nach erfolgreichem Angriff
Ziel Erhöhung der Wahrscheinlichkeit, dass ein erfolgreicher Angriff entdeckt wird
Ziel Minimierung möglicher Angriffsmethoden

Vorteile

Vorteil Serverhärtung ist kostengünstiger als Incident Response
Vorteil Zeitaufwand hält sich in Grenzen (wenige Stunden)
Vorteil Wir härten: Windows Server
Vorteil Wir härten: Linux Server
Vorteil Sicherheitsbestätigungen des jeweiligen Arbeitszeitpunkts werden erstellt

Lassen wir also die Server nicht weiter unsicher im Netzwerk stehen sondern sichern diese heute noch ab!

 

 

Anfrage zur Serverhärtung

 

 

Weiterführende Artikel

Beitragsbild: Cortana scripting language verändert, von Christiaan ColenCC BY-SA 2.0

 

3 Gedanken zu „Wie lässt sich ein Server härten? – Teil 1

Schreibe einen Kommentar