Seite 13: Checkliste: Server und Hosting

Inhaltsverzeichnis

Sobald ein Server aus dem Internet erreichbar ist, wird er zum potenziellen Angriffsziel. Sichern Sie Ihren Heim- oder Mietserver oder das Webhosting-Paket also besser sofort ab.

Mit Besuch rechnen

Ein aus dem Internet erreichbarer Server ist nicht "geheim", nur weil Sie keine Domain für die Seite eingerichtet haben. In wenigen Stunden kann ein Angreifer sämtliche IPv4-Adressen des Internets durchprobieren und wird Ihre versteckt geglaubte Seite finden. Auch wenn Sie Ihren Server nur per IPv6 zugänglich machen, wo die Wahrscheinlichkeit, zufällig entdeckt zu werden, wirklich winzig ist, gehört ein Kennwort vor Ihre Dienste. Welches Protokoll Sie auch verwenden: Transportverschlüsselung mindestens mit TLS 1.2 ist Pflicht. TLS 1.0 und 1.1 sind unsicher und gehören abgeschaltet. Sobald Sie ein Zertifikat für eine Domain bestellen, ist diese übrigens öffentlich bekannt: Durchsuchbar ist die Liste aller ausgestellten Zertifikate zum Beispiel über crt.sh.

Sich selbst angreifen

Wer einen Dienst im Internet veröffentlicht, sollte öfter mal die Perspektive wechseln. Schauen Sie sich die veröffentlichten Dienste nicht nur aus Nutzer-, sondern hin und wieder aus Angreifersicht an. Scannen Sie Ihr Netzwerk auf offene Ports oder nutzen Sie dafür am besten ein externes Monitoringwerkzeug. Viele Datenlecks, über die wir berichtet haben, hätten verhindert werden können, wenn die Betreiber Authentifizierung (Anmeldung) und Autorisierung (Berechtigungsprüfung) in Ruhe geprüft hätten. Beliebteste Fehler: Windowsdateifreigaben (SMB) ohne Anmeldung, Webserver mit aktivem Directory Listing und Webanwendungen mit URLs, die hochzählbare Zahlen enthalten und Zugriff auf fremde Daten gestatten.

SSH, aber sicher

SSH ist ein vergleichsweise sicherer Weg auf Ihren Server, unter Linux-Admins schon lange der Standard und auch für Windows verfügbar. Um die Sicherheit zu erhöhen, sollten Sie sich per Public-Key-Verfahren anmelden und den Zugang per Kennwort abschalten. Das macht Brute-Force-Attacken nahezu unmöglich. Häufig wird empfohlen, den SSH-Server auf einem anderen Port als 22 lauschen zu lassen. Das ist aber nur ein schwacher Schutz und fällt in die Kategorie "Security by Obscurity".

Zweiten Faktor nutzen

Die Homepage ist für Unternehmen das Schaufenster zum Kunden. Wenn Sie die bei einem Hoster betreiben, ist ein zweiter Faktor für den Admin-Zugang heute Pflicht. Ein einziges Kennwort als Schutz für die gesamten Web-Angebote eines Unternehmens ist heute nicht mehr zeitgemäß! Wer an die Verwaltungsoberfläche kommt, kann eine Menge Schaden anrichten und Sie sogar für längere Zeit aussperren; hat er Ihre Kontaktdaten geändert, müssen Sie im ungünstigen Fall erst beweisen, dass Sie der rechtmäßige Eigentümer sind. Unterstützt der Anbieter keinen zweiten Faktor, fragen Sie beim Kundenservice nach, ob die Funktion in Planung ist, oder suchen Sie sich einen neuen Hoster.

Aktuell halten

Halten Sie die Systeme aktuell. Auf dem neuesten Stand sein sollte unbedingt das Betriebssystem des Servers, ebenso der Webserver und die Interpreter der verwendeten Skriptsprachen (wie PHP, Node.js und Python). Am besten automatisieren Sie die Updates, damit sie regelmäßig ausgeführt werden.

Logfiles sollten Sie nicht erst studieren, wenn es ein Problem gibt. Werfen Sie regelmäßig einen Blick auf die Protokolle. Auch die Logs des SSH-Servers oder unter Windows für Remote Desktop sollten Sie regelmäßig auf Auffälligkeiten checken. In großen Umgebungen sollten Sie das Monitoring all Ihrer Systeme auf einer Plattform zentralisieren, visualisieren und Alarme einrichten. Nur dann fallen Angriffe zeitnah auf.

Nicht alles gehört ins Internet

Die Portweiterleitung ist eine Funktion, die jeder Haushaltsrouter unterstützt. Weil sie so einfach einzurichten ist, sind sich viele nicht bewusst, welche Verantwortung der Klick mitbringt: Wer ein Gerät zum Beispiel auf Port 80 ins Internet hängt, ist ab dem Moment Serverbetreiber! Die Software muss fürs Veröffentlichen im Internet ausgelegt und mit sicheren Zugangsdaten verriegelt sein. Vorsicht ist geboten, wenn Heizungsmonteur oder Elektriker die Heizung oder den PV-Wechselrichter mal "schnell im Router freigeben" wollen. Solche Geräte sind nicht als Server fürs weltweite Internet ausgelegt. Die sichere Alternative zur Portweiterleitung ist ein VPN-Tunnel ins Heimnetz.