• Zielgruppen
  • Suche
 

Sicherer Webserver

Zur Absicherung Ihres WWW-Servers sollte ergänzend zu den allgemeinen Sicherheitsmaßnahmen zur Serversicherheit Folgendes beachtet werden:

  • Installation eines HTTP-Servers, der bei Sicherheitsproblemen vom Hersteller aktualisiert wird. Üblich sind Apache, ISS und auch nginx; wir empfehlen eher den Einsatz von Apache.
  • Minimale Rechtevergabe für alle Programme und Dateien: Der HTTP-Server wird z.B. unter UNIX üblicherweise nicht mit Root-Privilegien sondern als User www oder www-data betrieben. Dem User www-data sollten dann keine unnötigen Zugriffsrechte auf andere Dateien oder Programme gewährt werden.
  • Abschalten nicht benötigter Features wie z.B. von Server-Side-Includes.
  • Deaktivierung der Anzeige von detailierten Server-Informationen oder Fehlermeldungen am Web-Client. Aussagekräftige Fehlermeldungen sollten auf dem Server in Logdateien landen und dort regelmäßig gesichtet werden.
  • Verwenden von CGI-Programmen (Common Gateway Interface) oder anders dynamisch generierten Webseiten (z.B. mod_php, ASP) nur, wenn diese unbedingt notwendig sind, z.B. für die Anbindung einer Datenbank. Niemals Shells, Interpreter o.ä. in das cgi-bin-Verzeichnis stellen.
  • Verwendung des TLS-verschlüsselten https-Protokolls mit Zertifikaten der DFN-PKI, wenn vertrauliche Informationen übermittelt oder Logins und Sessions zum Einsatz kommen.

Das BSI widmet Webservern einen eigenen Grundschutz-Baustein B5.4.

Apache Webserver - Installation und sicherer Betrieb

An dieser Stelle weisen wir auf die vom Bundesamtes für Informationstechnik (BSI) veröffentlichte Studie zu Installation und Betrieb eines sicheren Apache Web-Servers hin. Die Studie ist sehr umfangreich und beinhaltet u.a. folgende Themen:

  • Architektur von Apache 1.3 und 2.0
  • Konfiguration und Konfigurationsdateien
  • Absicherung, Prüflisten

Apache Web-Server Sicherheitsstudie des BSI (PDF)

Microsoft Internet Information Server (IIS) - Installation und sicherer Betrieb

Die Konfiguration eines IIS können wir aus Kapazitätsgründen i.Allg. nicht unterstützen. Manchmal ist der Einsatz eines IIS jedoch notwendig:

  • eine (Web-) Anwendungssoftware basiert auf dem IIS,
  • ein Webserver soll auf einem Windows-Server betrieben werden (Apache ist dabei nicht wirklich zu empfehlen, insbesondere nicht als Teil des XAMPP),
  • ein Fileshare eines Windows-Rechners soll über WebDAV inklusiver Benutzern und deren Rechte verfügbar sein.

Mit den nur noch unterstützen Versionen ab 6.0 ist der IIS zwar grundsätzlich in der Standardeinstellung sicherer geworden, der Betrieb erfordert aber eine Auseinandersetzung mit den zahlreichen Einstellungsmöglichkeiten.

Beachten Sie bitte auch, dass neben den technischen Einstellungen auch die LIzenzierung korrekt erfolgen muss. Es bedarf bei Windows-Server vor 2012 grundsätzlich einer Webedition oder passender CALs, ab Server 2012 sind diese in den Standard- und Datacenter-Editions enthalten - zumindest für öffentliche, unauthentifizierte Webseiten. Wie die Lizenzierung für interne Webanwendungen erfolgen muss, ist schwierig. Für Fileserver, deren Inhalt auch per WebDAV freigegeben werden soll, dürften bei der Verwendung von User-CALs für die Lizenzierung der internen Freigabe-Clients keine weiteren CALs nötig sein.