Webserver vor Angriffen schützen
Schotten dicht!
Eigenverantwortung
Webserver vor Angriffen schützen
Der eigene Webserver erfreut sich bei Website-Betreibern steigender Beliebtheit. So hat man auf seinem eigenen Rechner die vollen Zugriffsrechte und kann auf diesem weitestgehend tun und lassen, was man will. Vor allem wer auf dynamische Webseiten setzt, benötigt einen performanten Webserver. Bevor man sich ein hochpreisiges Shared-Hosting-Paket besorgt, auf dem man in der Regel bis auf den FTP-Zugang in manchen Fällen nur einen eingeschränkten SSH-Zugang hat, kann man gleich zu einem dedizierten Server greifen. Bei den stetig sinkenden Preisen für den eigenen Server ist der Preisunterschied zum Shared Hosting in Relation zu den hinzugewonnenen Möglichkeiten mittlerweile zu vernachlässigen.
Während man sich als Kunde eines Webhosting-Anbieters bei einem Shared-Hosting-Paket um nichts zu kümmern braucht, sieht die Sache bei einem eigenen dedizierten Server schon etwas anders aus: Der Kunde ist für die Administration und Absicherung seines Rechners komplett selbst verantwortlich ? von einem so genannten Managed Server einmal abgesehen, bei dem sich der Webhoster um die Administration und Sicherheit des Rechners kümmert.
Internet Professionell zeigt, wie Sie Ihren dedizierten Webserver unter Linux mit dem Apache-Webserver vor Angriffen schützen und was es dabei alles zu beachten gilt. Zudem gehen wir auch auf andere wichtige Aspekte ein wie Denial-of-Service-Attacken und wie man sich davor schützt. Dabei interessiert uns auch die Frage, wie Webhoster auf Angriffe auf dedizierte Server reagieren und welche Möglichkeiten zum Schutz vor zu hohem Traffic und den daraus resultierenden Kosten bestehen.
Apache stets vorn
Webserver vor Angriffen schützen
Ob Shared-Hosting-Paket oder der eigene dedizierte Rechner ? eine Menge Webpräsenzen laufen unter dem Webserver Apache. Nach der aktuellen Webserver-Survey von Netcraft (
www.netcraft.com) für den Oktober dieses Jahres liegt der Marktanteil des Apache-Webservers bei knapp 68 Prozent ? Tendenz steigend. Der Erfolg des Servers kommt dabei nicht von ungefähr: Der Apache-Server ist flexibel zu konfigurieren, bietet eine Menge Funktionen und ist dank seiner Open-Source-Lizenz frei verfügbar.
Auch wenn Open-Source-Software in der Regel relativ sicher ist und im Vergleich zu mancher kommerziellen Konkurrenz gerade in diesem Bereich positiv glänzt, ist auch die frei verfügbare Software nicht frei von diversen Sicherheitslücken und Bugs. Dabei ist natürlich gerade der Apache-Server ein beliebtes Ziel auf der Suche nach Sicherheitslücken und anderen Einfallstoren ? erreicht man doch bei der Marktpräsenz von Apache eine Menge potenzieller Opfer für etwaige Angriffe.
Denial of Service & Co.
Webserver vor Angriffen schützen
Jeder mit dem Internet verbundene Rechner ist einer gewissen Gefahr ausgesetzt ? so auch ein dedizierter Webserver. Eine bekannte und zugleich auch häufig auftretende Gefahr sind so genannte Denial-of-Service-Attacken, kurz DOS genannt. Damit bezeichnet man einen Angriff auf einen Server mit dem Ziel, diesen durch Überlastung außer Betrieb zu setzen. Erfolgt dieser Angriff koordiniert von einer größeren Anzahl von Systemen aus, spricht man von einem DDoS-Angriff, was für Distributed Denial of Service steht.
So belastet eine DoS-Attacke einen bestimmten Dienst eines Servers, zum Beispiel den Webserver, mit einer großen Anzahl an Anfragen ? dies geht so weit, dass der Server entweder sehr langsam wird oder seinen Dienst komplett einstellt. Im Vergleich zu anderen Angriffen braucht der Hacker hierbei nicht einmal in den Computer einzudringen ? daher benötigt er auch keine Passwörter oder Ähnliches.
Effizienter als Denial-of-Service-Attacken ist das gezielte Ausnutzen von Programmfehlern, um einen Dienst auf dem Server außer Betrieb zu setzen ? also das Ausnutzen von Sicherheitslücken.
Eine weitere Gefahr für dedizierte Server kann aber auch das Ausspähen von Passwörtern sein, um dann den Rechner entsprechend umzukonfigurieren und beispielsweise zum Anbieten illegaler Downloads oder als Relay-Server für Spammer zu missbrauchen.
Firewall als Türsteher
Webserver vor Angriffen schützen
Ein erster Schutz vor ungebetenen Gästen auf dem eigenen System ist die Einrichtung einer Firewall. Auch wenn dieser Schutzwall in der Regel zur Kontrolle des Datenverkehrs zwischen Internet und lokalem Netzwerk zum Einsatz kommt, hat er durchaus auch auf einem dedizierten Server seine Berechtigung. Da man auf seinem eigenen Server besonders gerne herumspielt, kann es schon mal passieren, dass man dabei aus Versehen einen Dienst startet, der auf dem Server eigentlich gar nicht zur Verfügung stehen sollte.
Daher sollte man eine Paketfilter-Firewall auf dem dedizierten Server aufsetzen und standardmäßig erst einmal alle Ports sperren und anschließend nur diejenigen Ports freigeben, die man in der Praxis auch tatsächlich benötigt.
Freilich bringt die Einrichtung eines Paketfilters auch entsprechende Risiken mit sich. Wer sich nicht sicher ist, was er genau macht, kann mit der versuchten Einrichtung eine Menge Schaden am System anrichten, so dass im schlimmsten Fall gar nichts mehr läuft. Zum Beispiel wenn sich der Kunde selbst aus dem System aussperrt, indem er den SSH-Port sperrt. Viele Anbieter dedizierter Server bieten jedoch entsprechende Sicherheitsvorkehrungen an. So kann man sich zum Beispiel bei Strato zur System-Reparatur über eine Remote-Konsole einloggen, wenn die reguläre Administration nicht mehr funktioniert. Sollte auch diese Möglichkeit fehlschlagen, besteht immer noch die Möglichkeit der Neuinstallation des Systems.
Als Paketfilter kommen bei aktuellen Linux-Kernels die so genannten iptables zum Einsatz. Der Einsatz und die Konfiguration von iptables sind jedoch für Laien nicht ganz trivial.
Patch-Day
Webserver vor Angriffen schützen
Mit der etwaigen Einrichtung einer Firewall ist es jedoch noch längst nicht getan. Wenn Ihre Firewall alle nicht benötigten Ports blockt, hilft Ihnen dies nichts, wenn eventuell vorhandene Sicherheitslücken auf den benutzten Ports, etwa dem Port 80, ausgenutzt werden. Daher sollten Sie stets darauf achten, dass die auf dem Server installierte Software über die aktuellsten Sicherheits-Patches verfügt.
Für das hier zu Lande auf dedizierten Servern beliebte Suse Linux bietet der Hersteller unter
www.suse.de/de/private/download/updates eine Übersicht der verfügbaren Updates und Patches, unter
www.suse.de/de/security finden Sie aktuelle Security-Announcements. Zudem bietet zum Beispiel 1&1 einen entsprechenden Update-Server an, über den Sie bequem aktuelle Kernel- und Programm-Updates beziehen können. Der Traffic zwischen diesem Server und Ihrem Rechner wird dabei nicht in Rechnung gestellt ? so kostet Sie das Plus an Sicherheit nicht einmal etwas.
Follow up
Webserver vor Angriffen schützen
Hundertprozentige Sicherheit gibt es nie ? aber man sollte die Gefahren auch nicht überbewerten. Wer sein System regelmäßig mit den aktuellsten Sicherheits-Patches füttert und Einstellungen beziehungsweise Änderungen am System mit Bedacht vornimmt, kann sich beruhigt zurücklehnen und den Erfolg seiner Webpräsenz genießen.
Die größere Gefahr ist nach wie vor der Kunde selbst: Einfachste Passwort-Kombinationen machen Angreifern den direkten Zugang zum System oft deutlich einfacher als die Suche nach Sicherheitslücken. Und wenn der Root-Zugang erst einmal geöffnet ist, stehen einem Hacker alle Möglichkeiten offen: Daten manipulieren, illegale Downloads anbieten oder Spam-Mails versenden.