Windows 2003 Server - Sicherheit

[Dave]

Hallo,

momentan bin ich noch am Überlegen, ob ich mir nun einen Windows 2003 VServer einrichten lasse. In letzter Zeit habe ich mich in dieses OS mit Hilfe verschd. Bücher eingelesen - und habe davon auch einiges umsetzen können, das XP Pro ja ähnliche Elemente (z.B. IIS etc.) aufweist. Was in den Büchern nur als "Randthema" angeschnitten wird: Das Thema Sicherheit beim Betrieb als (öffentlich zugänglicher) Internetserver mit IIS, PHP, MySQL, Perl, etc. .
Die meisten dieser VServer werden mit PLESK angeboten, mit dem man ja so ziemlich alles verwalten kann. Es soll dort auch die Möglichkeit geben, Updates für die Skriptsprachen einzuspielen (?). Weiterhin wird der Server ja noch mit WindowsUpdate-Hotfixes u.a. Patches versorgt. Jetzt ergibt sich aber immer noch die Frage:

Was bedeutet "Sicherheit" bei einem Windows 2003 Server?
Wie schütze ich den Server vor Angriffen?

Wäre euch sehr verbunden, wenn ihr mich ein wenig zum Thema Windows-Server-Sicherheit auflären könntet.

Viele Grüße,

Dave

 

[Sinepp]

Hallo,

sehr pauschale Fragen, zu denen man jeweils einen Aufsatz schreiben könnte...

unter Sicherheit versteht man in der Regel:
- Integrität
- Vertraulichkeit
- Verbindlichkeit
- Verfügbarkeit

Wenn ein Server also als sicher gelten soll, dann sollte er diese vier Punkte berücksichtigen. Das gilt sowohl für Windows als auch andere Arten von "Servern".

Ein Schutz vor Angriffen erfolgt, in dem man die vier oben genannten Punkte konsequent verfolgt und deren Einhaltung als "Maxime" sicherstellt. Welche Maßnahmen dazu ergriffen werden müssen hängt ganz von den Diensten ab, die sich auf Deinem Host befinden werden.

Grüße
Sinepp

 

[Dave]

Ja ... Auf dem Server sollten die ganz normalen Dienste wie IIS, PHP, Perl, MySQL und PLESK laufen. Der Server sollte als Webserver dienen, also nicht für den Einsatz im Unternehmen - rein privat. Bei dem Absichern dieser einzelnen Skriptsprachen bzw. Module weiß ich wirklich nicht, wo man da anfangen soll.

 

[Thunderbyte]

Bei dem Absichern dieser einzelnen Skriptsprachen bzw. Module weiß ich wirklich nicht, wo man da anfangen soll.

Nun, indem man sich in die sichere Konfigurierung dieser Skriptsprachen einliest. Speziell PHP hat sich als ziemliche Gefährdung erwiesen. Eine sichere Konfiguration (in der php.ini) ist hier Pflicht. Stichworte wären hier "Safe Mode" (on) oder "fopen()".

Ansonsten finde ich es wirklich lobenswert, dass Du Dir VORHER Gedanken um die Sicherheit machst. Das machen leider viel zu wenige...

Thunda

 

[Dave]

Nun, indem man sich in die sichere Konfigurierung dieser Skriptsprachen einliest. Speziell PHP hat sich als ziemliche Gefährdung erwiesen. Eine sichere Konfiguration (in der php.ini) ist hier Pflicht. Stichworte wären hier "Safe Mode" (on) oder "fopen()".

Verstehe ich das richtig, dass hauptsächlich die Gefährdung nicht durch das System an sich, sondern durch die verwendeten Skriptsprachen entsteht?

 

[Bert Dil]

Hallo Dave,

Verstehe ich das richtig, dass hauptsächlich die Gefährdung nicht durch das System an sich, sondern durch die verwendeten Skriptsprachen entsteht?

mit dem System wirst Du vermutlich eher das umgekehrte Problem haben, daß Du heute statt der früher immer monierten offenen Scheunentore mehr Sicherheit default bekommst als Du möchtest.

Statt Büchern (die auch nur aus den M$-Whitepapers abschreiben) ist das Original oft die bessere Quelle:
Als Einstieg Überblick über das Windows Server 2003-Sicherheitshandbuch

Tschüß
Dilbert

 

[Dave]

Hallo Dilbert,

... habe mir das E-Book jetzt bei MS gedownloadet und werde mich auch heute abend noch einlesen - mal sehen, wie weit mein Englisch reichen wird ...

 

[Bert Dil]

Hallo Dave,

mit nichts lernt man schneller Englisch als
Babylon - online dictionary and full text translation software (trialversion sollte es dort immer noch umsonst geben)
oder
der Google-Toolbar (dort gibt es ein Übersetzungstool das per Tiptext die deutsche Bedeutung anzeigt) Google Pack

Tschüß + guten Rutsch + viel Security im neuen Jahr ;-)
Dilbert

 

[Dave]

guten Rutsch + viel Security im neuen Jahr ;-)
Dilbert

... Das wünsche ich dir auch! (Kann sicher jeder hier gut gebrauchen!)

 

[Sinepp]

Hallo Dave,

Thema Absicherung PHP wurde hier schon erläutert und ist zur Zeit wirklich wichtig. Hier werden diverse Exploits auf URL Basis gefahren (Stichworte: remote shell, remote command invocation...) Das ist aber Peanuts, 5-10 Einstellungen, je nach Möglichkeit und gut.

Falls Dir noch Fragen kommen, immer her damit.

Grüße
Sinepp

 

[Dave]

Thema Absicherung PHP wurde hier schon erläutert und ist zur Zeit wirklich wichtig. Hier werden diverse Exploits auf URL Basis gefahren (Stichworte: remote shell, remote command invocation...) Das ist aber Peanuts, 5-10 Einstellungen, je nach Möglichkeit und gut.

Hallo Sinepp,

du meinst damit die Einstellungen in der php.ini? Werde hier gleich mal lokal den IIS einrichten und PHP einspielen. Hast du einen Link zu dem entsprechenden Thema?

Gruß,

Dave

 

[Sinepp]

Hallo,

genau die meine ich. Schau mal hier:
Linux-Magazin - php

Ist zwar alt, aber aktuell und bietet auch einige Hintergrundinfos.

Grüße
Sinepp

 

[Dave]

genau die meine ich. Schau mal hier:
Linux-Magazin - php

Hallo,

... man, das ist echt super!
Das hatte ich gemeint mit Beschreibungen zur Sicherheit - es ist nämlich auch so geschrieben, dass man es auch leicht nachvollziehen kann.
... Man kann ja im Grunde genommen alles zu PHP-Sicherheit in der php.ini einstellen und muss sich eben bemühen, einen "sauberen" Programmcode zu erstellen, wenn er öffentlich zugänglich sein soll.

Perl bzw. CGI wird auch ähnlich so abgesichert wie PHP, d.h. ein einer einzelnen Konfigurationsdatei?

Viele Grüße,

Dave

 

[mic]

Hallo

Ich bin auch der Meinung, die grösste Gefahr geht von den Serverscripten aus.

Mein Win-VPS hostet nur eine kleine Webseite mit dem IIS (mit ASP), ohne Mail, Datenbank oder FTP. Ich habe weder Firewall aktiviert noch einen Virenscanner installiert, hatte aber trotz öffentlicher(=gut verlinkter) IP bisher noch keine Probleme. Selbstverständlich surfe ich nicht mit dem Server-IE, habe kein Forum-, Game- oder Mailscript installiert und biete deshalb kaum Angriffsziele für Hacker(-Kids).

Gruß

mic

 

[Dave]

Hallo
Ich bin auch der Meinung, die grösste Gefahr geht von den Serverscripten aus.

Hallo mic,

wenn man sich für einen WIN-VPS entscheidet denke ich, dass es vorerst einmal ratsam ist, den VPS ohne PLESK/Confixx bzw. ohne MySQL, PHP etc. zu bestellen. Denn dann hat man die Möglichkeit, sich erstmal mit dem System an sich vertraut zu machen ohne allzu große Angst davor haben zu müssen, dass gleich was schief läuft. Wenn man dann soweid ist, dass man behaupten kann, dass man sich gut mit der Server-Umgebung auskennt, kann man ja nach und nach die Skriptsprachen installieren und diese sauber absichern.

Ich denke, dass ich das so machen werde, falls ich mit einem WIN-VPS anfange...


Kannst du mir Tipps geben bei der Konfiguration von WIN2003-Server?
Auf was hast du bei den Einstellungen bez. Sicherheit und Stabilität besonderen Wert gelegt?

Erfahrungen anderer sind mehr wert als 100 Bücher.


Viele Grüße & einen guten Rutsch,

Dave

 

[Thunderbyte]

Hallo mic,

wenn man sich für einen WIN-VPS entscheidet denke ich, dass es vorerst einmal ratsam ist, den VPS ohne PLESK/Confixx bzw. ohne MySQL, PHP etc. zu bestellen. Denn dann hat man die Möglichkeit, sich erstmal mit dem System an sich vertraut zu machen ohne allzu große Angst davor haben zu müssen, dass gleich was schief läuft. Wenn man dann soweid ist, dass man behaupten kann, dass man sich gut mit der Server-Umgebung auskennt, kann man ja nach und nach die Skriptsprachen installieren und diese sauber absichern.

Dieses Vorgehen ist sehr zu begrüßen:
1. lernt man den Umgang mit dem OS von der Pike auf.
2. zieht speziell Plesk, aber auch Confixx doch an der Systemperformance. Das ist auf einem Root vernachlässigbar, ein Vserver oder RootDS kann sich hingegen deswegen langsam anfühlen.

Guter Rutsch!
Thunda

 

[mic]

Hallo

Natürlich ist es entscheidend wofür man den Server nutzt. Nur um ein paar Webseiten mit etwas Serverscripting mit Windows online zu bringen braucht man weder Plesk/Confixx noch php oder mysql. Ausserdem sind kleine (und günstige) Win-VPS meist so schwachbrüstig dass mit Plesk schon alle Resourcen verbraucht sind.

Mein Erfahrungen ohne Plesk: Windows-VPS: Webserver OHNE Plesk in Betrieb nehmen

und mit Plesk:

So richte ich meinen Win-VPS ein... (kleines HowTo mit einem S4U-VPS)

Obwohl ich mich eher als Laie bezeichenen würde starte ich hier mal ein kleines HowTo um meine Erfahrungen und Erkenntnisse mit euch zu teilen. Gedacht ist es als Hilfe für Einsteiger die noch weniger Ahnung haben als ich, aber auch Profis sollten ihren Spaß dabei haben und vielleicht...

serversupportforum.de

Natürlich könnte man auch einen ASP-Webspace verwenden, aber manche "Anwendungen" sind einfach nicht zu einem vernünftigen Preis hostbar.

Gruß

mic

 

[Dave]

Mein Erfahrungen ohne Plesk: Windows-VPS: Webserver OHNE Plesk in Betrieb nehmen

und mit Plesk:

So richte ich meinen Win-VPS ein... (kleines HowTo mit einem S4U-VPS)

Obwohl ich mich eher als Laie bezeichenen würde starte ich hier mal ein kleines HowTo um meine Erfahrungen und Erkenntnisse mit euch zu teilen. Gedacht ist es als Hilfe für Einsteiger die noch weniger Ahnung haben als ich, aber auch Profis sollten ihren Spaß dabei haben und vielleicht...

serversupportforum.de

Hallo,

... wirklich zwei sehr gute Einführungen mit Tipps zum WIN03-Server!

IPSec scheint ja auch ein interessantes Thema zu sein. Hab das mal bei mir lokal ausprobiert. Wenn ich dort meine IP eintrage, die zugelassen werden soll, könnte ich ein Problem bekommen, da doch T-Com (nach 24h?) die IP-Adressen wechselt, oder?

Gruß

Dave

 

[Sinepp]

Ausserdem sind kleine (und günstige) Win-VPS meist so schwachbrüstig dass mit Plesk schon alle Resourcen verbraucht sind.

Auf meinem vServer (allerdings Linux) läuft alles wunderbar mit 128 MB RAM.

Grüße
Sinepp

 

[Dave]

Hallo,

sinnvoll ist es sicher auch, wenn man auf den RemoteDesktop nur über ein VPN zugreift - dann sind die gesendeten Daten ja alles verschlüsselt.
Habe diesen Artikel hier gefunden: WinTotal - Artikel - VPN mit Windows XP

Bei der Einrichtung auf dem Server, muss man bei TCP/IP eine Adresszuweisung bestimmen, z.B:

Meine IP ist: 12.123.456.789

Also gebe ich bei "Von:" folg ein: 12.123.456.789
Und bei "Bis:" 12.123.456.789

-> Das will er aber nicht annehmen (?!). Der obere Wert (Von) muss kleiner sein. Wenn ich den oberen Wert aber verkleinere, können ja noch mehrere meine VP nutzen, da ja mehrere IPs abgedeckt sind!

Wie kann ich also den VP auf nur _eine_ IP beschränken und nicht auf ein gesamtes Netz?

Gruß,

Dave