Ein praxisorientiertes Handbuch - Grundlagen, Aufbau und Architektur - Schwachstellen und Hintertüren - Konkrete Praxisbeispiele realisiert unter Windows und Unix/Linux
E-Book, Deutsch, 154 Seiten, eBook
Reihe: Edition
ISBN: 978-3-8348-9471-7
Verlag: Vieweg & Teubner
Format: PDF
Kopierschutz: Wasserzeichen (»Systemvoraussetzungen)
Volker Hockmann betreut zur Zeit als Systemadministrator bei einer Krankenkasse die Einführung der elektronischen Gesundheitskarte und hat viele Jahre als Consultant im Bereich Netzwerksicherheit gearbeitet.
Prof. Dr. Heinz-Dieter Knöll ist Professor an der Leuphana-Universität Lüneburg.
Zielgruppe
Professional/practitioner
Autoren/Hrsg.
Weitere Infos & Material
1;Geleitwort;5
2;Vorwort;7
3;Inhaltsverzeichnis;9
4;Abbildungs- und Tabellenverzeichnis;13
5;1 Ziel dieses Buches;14
6;2 „Wir sind sicher – Wir haben eine Firewall“;16
7;3 Allgemeines zu Web-Servern;20
8;4 Protokolle, Datenverkehr und Logfiles;24
8.1;4.1 HTTP-Header;24
8.2;4.2 Protokolldateien des Microsoft Internet Information Services;26
8.3;4.3 Protokolldateien des Apache-Servers;27
8.4;4.4 Wie funktioniert ein Web-Server;29
9;5 Zugriffsmethoden (Request Methods);32
9.1;5.1 GET-Methode;32
9.2;5.2 HEAD-Methode;33
9.3;5.3 POST-Methode;33
9.4;5.4 PUT-Methode;34
9.5;5.5 DELETE-Methode;34
9.6;5.6 LINK-Methode;34
9.7;5.7 UNLINK-Methode;34
9.8;5.8 TRACE-Methode;34
9.9;5.9 OPTIONS-Methode;35
9.10;5.10 CONNECT-Methode;35
9.11;5.11 Weitere Methoden;35
10;6 Programmiersprachen im WWW;36
10.1;6.1 Perl;36
10.2;6.2 PHP;38
10.3;6.3 ASP;39
11;7 Hacker, Tools und Methoden;44
11.1;7.1 Abgrenzung: Hacker, Cracker, Angreifer;44
11.2;7.2 Typen und Klassifizierungen von Angriffsmethoden;47
11.3;7.3 Scanner, Sniffer, Passwortknacker und weitere Tools aus dem Internet;48
11.4;7.4 Trojaner;49
12;8 Penetrations-Test;52
12.1;8.1 Was vorher zu beachten wäre;52
12.2;8.2 Der Penetrations-Test-Konflikt;54
13;9 Informationsbeschaffung anhand eines Beispiels;58
13.1;9.1 Angriff auf die Webseiten von SCO;58
13.2;9.2 Informationsbeschaffung mittels Suchmaschinen am Beispiel Google;61
13.2.1;9.2.1 Informationsbeschaffung Microsoft IIS 6.0;61
13.2.2;9.2.2 Google Suchanfragen nach verschiedenen Arten und Standardseiten von Web-Servern;63
13.3;9.3 ICMP-Echo-Anfragen;64
13.4;9.4 Informationen über Netzwerke sammeln;64
13.4.1;9.4.1 Dateistrukturen auf Ihrem Server auflisten nach Eingabe einer falschen URL;65
13.4.2;9.4.2 Informationen zu Applikationen sammeln;65
13.4.3;9.4.3 Informationen über angelegte Ordner, Dateien auf dem Web-Server;66
13.4.4;9.4.4 Stand der installierten Updates und Patches auf dem Server;68
13.4.5;9.4.5 “Out of Office”-Nachrichten per Email;68
14;10 Der Apache-Web-Server;72
14.1;10.1 Architektur des Apache-Web-Server;72
14.2;10.2 Multi-Thread und Multi-Prozess Web-Server;74
14.3;10.3 Serverlogging und Status beim Apache-Server;74
14.4;10.4 Architektur des Apache 2.0;75
14.5;10.5 Sicherheitsperspektiven;77
14.5.1;10.5.1 Installation des Apache unter einem anderen Benutzer;77
14.5.2;10.5.2 Dateisystem des Web-Server absichern;78
14.5.3;10.5.3 Server Limits konfigurieren;79
14.5.4;10.5.4 Verschlüsselung mit SSL;79
14.5.5;10.5.5 Zugriffsbeschränkungen per .htaccess;80
15;11 Internet Information Services (IIS) 6.0;88
15.1;11.1 Architektur des IIS 6.0;88
15.2;11.2 Integration in Windows;90
15.3;11.3 Zugriffsberechtigung und Dienste;91
15.4;11.4 Zugriffskontrolllisten – ACL;93
16;12 Angriffe auf IIS Web-Server;96
16.1;12.1 Bekannte Sicherheitsrisiken;96
16.1.1;12.1.1 Lockout-Funktion auf einem Web-Server;101
16.1.2;12.1.2 RPC-DCOM-Verwundbarkeiten;102
17;13 Angriffe auf Apache-Web-Server;104
17.1;13.1 Der PHP XML-RPC-Bug;104
17.2;13.2 Pufferüberlauf im Apache Tomcat Connector;105
17.3;13.3 Der Angriff auf die Software Foundation Web-Server;105
18;14 Maßnahmen zur Absicherung;110
18.1;14.1 Grundlegende Maßnahmen;111
18.1.1;14.1.1 Updates installierter Systeme und Programme;111
18.1.2;14.1.2 Entfernung aller unnötigen Script-Mappings und Beispieldateien;113
18.1.3;14.1.3 Zugriffsrechte für die Verzeichnisse festlegen;114
18.1.4;14.1.4 Den IIS-Dienst als separaten Dienst laufen lassen;116
18.1.5;14.1.5 Härten des Betriebssystems;116
18.1.6;14.1.6 Konzepte und Vorüberlegungen zur Absicherung;126
18.1.7;14.1.7 Tools und Programme zur Absicherung des Apache-Servers;126
18.1.8;14.1.8 Tools für den Internet Information Service;131
18.1.9;14.1.9 Tools für Apache (Windows/Unix);133
19;15 „Wenn es doch passiert ist“ – Was ist nach einem Einbruch zu tun?;138
19.1;15.1 Erste Schritte;139
19.2;15.2 Spurensicherung;140
19.3;15.3 Rechtliche Aspekte der Forensik;141
20;16 Fazit;144
21;Anhang;148
21.1;Anhang A;148
21.2;Anhang B – Apache Response Codes;150
21.3;Anhang C – IIS Response Codes;152
21.4;Anhang D – Beispielcode bindshell.c;156
22;Quellenverzeichnis;158
23;Sachwortverzeichnis;162
Ziel dieses Buches.- “Wir sind sicher — Wir haben eine Firewall„.- Allgemeines zu Web-Servern.- Protokolle, Datenverkehr und Logfiles.- Zugriffsmethoden (Request Methods).- Programmiersprachen im WWW.- Hacker, Tools und Methoden.- Penetrations-Test.- Informationsbeschaffung anhand eines Beispiels.- Der Apache-Web-Server.- Internet Information Services (IIS) 6.0.- Angriffe auf IIS Web-Server.- Angriffe auf Apache-Web-Server.- Maßnahmen zur Absicherung.- „Wenn es doch passiert ist“ — Was ist nach einem Einbruch zu tun?.- Fazit.
11 Internet Information Services (IIS) 6.0 (S. 74-75)
"Wenn wir vor der Wahl stehen, ob wir eine neue Funktion hinzufügen oder ein Sicherheitsproblem lösen können, müssen wir uns für die Sicherheit entscheiden." (Bill Gates). Der Internet Information Service 6.0 von Microsoft wird für die Versionen XP Professional und Windows 2003-Server ausgeliefert. Wie beim Windows 2003-Server wird der IIS in einem verriegelten Status, also einer schon bei der Installation vorgegebenen gehärteten Version, installiert. So sind z.B. nach der Installation keine dynamischen Webseiten (ASP etc.) darstellbar. Änderungen können über die mitgelieferte, Web Service Extensions genannte, neue Administrationsfunktion im Snap-in IIS-Manager der Microsoft-Management-Konsole (MMC) vorgenommen werden.
11.1 Architektur des IIS 6.0
Die Architektur des IIS 6.0 hat sich im Vergleich zu seinen Vorgängern grundlegend geändert und verbessert. Der IIS 6.0 weist jetzt eine Verfeinerung in den Bereichen Skalierbarkeit und Zuverlässigkeit auf. In den Vorgängerversionen (IIS 4.X/5.X) gab es immer wieder Probleme dahingehend, dass Webseiten und dazugehörende Applikationen in einem Prozess liefen. Stürzte eine Applikation ab, wurden alle anderen Applikationen mitgezogen, da sie alle in einem Prozess angeordnet waren. Der IIS 6.0 unterstützt den „Worker Process Isolation Mode"-(WPIM-)Betrieb.
Der IIS 6.0 isoliert zusammengehörende Webseiten und Applikationen in so genannten application pools. Microsoft spricht in diesem Zusammenhang auch von einem unabhängigen „worker process", der die einzelnen application pools bedient. Jeder „Worker Process" arbeitet in einem eigenen Speicherbereich und zieht bei einem Absturz keine weiteren „Worker Processes" oder Operatoren mit. Es ist möglich, Sicherheitsparameter für jede Webseite einzustellen. Application Pools können mit unterschiedlichen Kriterien und Bestimmungen eingerichtet werden. Microsoft unterscheidet zwischen vier verschiedenen Modi: - Recycling: Innerhalb einer Applikation kann der Pool mehrfach wieder verwendet werden. Bestimmbare Parameter: Zeitspanne, Anzahl der Prozesse und die Cache-Größe - Performance: Arbeitsprozesse können geschlossen werden, wenn diese keine Daten zur Verarbeitung mehr empfangen.
Die CPU wird dadurch merklich entlastet. - Health: Hier werden die Arbeitsprozesse überwacht. In Intervallen werden die Prozesse angesprochen. Ist ein Prozess nicht mehr in der Lage, eine Rückantwort zu geben, wird er beendet. Dafür kann eine Zeitspanne angegeben werden, die der Prozess abwarten muss, bevor er beendet oder neu gestartet wird. - Identity: Unter diesem Modus wird den Prozessen eine spezifische Identität zugeordnet. Somit ist es möglich, jedem Prozess ein Sicherheitskonto zuzuordnen. Viele der HTTP-Funktionen wurden von den Microsoft-Entwicklern in den Kernel- Modus-Treiber verschoben, um die Anwendungen sicherer zu machen.
Der Treiber http.sys cached jetzt die Webseiten selbst und verbessert damit die Leistung, ohne von außen angreifbar zu sein. Andere Erweiterungen, sind z.B. der "Background Intelligent Transfer Service" (BITS), eine Servererweiterung, die es ermöglicht, Updates nach deren „Notwendigkeit" zu installieren. Jeder Administrator sollte bei einem solchen Dienst erst einmal sehr skeptisch werden. Werden doch automatisch durch einen Dienst Updates, die von Microsoft als notwendig gekennzeichnet wurden, eingespielt. Administratoren kennen spätestens seit den Windows NT 6.0 Service Packs die Probleme mit Updates. Updates gehören zuallererst auf ein Testsystem und werden nach einer gründlichen Prüfung auf dem Produktivsystem eingespielt. Dies ist natürlich auch für alle anderen Systeme und Applikationen gültig. Als zusätzliches Highlight wurde eine differenziertere Auswahl der automatisch startenden Systemdienste angegeben.
