Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.174 Sicherer Betrieb eines WWW-Servers - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.174 Sicherer Betrieb eines WWW-Servers

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

WWW-Server sind attraktive Ziele für Angreifer und müssen daher sehr sorgfältig konfiguriert werden, damit sie sicher betrieben werden können. Das Betriebssystem und die Software müssen so konfiguriert sein, dass der Rechner so gut wie möglich gegen Angriffe geschützt wird. Solange der Rechner nicht entsprechend konfiguriert ist, darf er nicht ans Netz genommen werden.

Daher sollte ein WWW-Server, der Informationen im Internet anbietet, entsprechend den folgenden Vorgaben installiert werden:

Je nach Art des WWW-Servers bieten sich unterschiedliche Möglichkeiten zum Schutz an. Allen diesen Möglichkeiten gemeinsam ist allerdings, dass der eigentliche Serverprozeß des WWW-Servers, der sogenannte http-Daemon oder http-Dienst, nur mit eingeschränkten Rechten ausgestattet sein sollte. Nicht alle Webserver-Produkte ermöglichen es, den Prozess direkt mit sehr eingeschränkten Rechten zu starten. Je nach eingesetztem Produkt muss daher individuell geprüft werden, wie ein minimales Rechteprofil realisiert werden kann.

Der Webserver-Prozess sollte, wenn möglich, nur auf einen Teil des Dateibaumes zugreifen können. Unter Unix kann dies z. B. mit dem chroot-Programm realisiert werden. Kann ein Angreifer nun eine Schwachstelle über den Webserver-Prozess ausnutzen, so hat er trotzdem keinen Zugriff zum eigentlichen Betriebssystem.

Außerdem sollten vom Hersteller mitgelieferte cgi-Skripte, asp-Dateien oder sonstige serverseitige Programme, die meist nur Beispielcharakter haben, vollständig entfernt werden, da sie oft Schwachstellen enthalten.

Das Verzeichnis, in dem die abrufbaren Dateien gespeichert sind, sollte auf einer eigenen Partition einer Festplatte liegen, um eine leichtere Wiederherstellung nach einem Festplattenschaden zu ermöglichen. Außerdem sollten die Unterverzeichnisse und Dateien einem speziellen Benutzer gehören (zum Beispiel wwwadmin) und durch minimale Zugriffsrechte vor unbefugtem Zugriff geschützt werden.

Bei der Konfiguration der Webserver-Anwendung sollten, unabhängig von der eingesetzten Webserveranwendung, einige grundlegende Aspekte berücksichtigt werden. Wie diese im einzelnen konfiguriert werden, hängt von der Webserver-Anwendung ab.

Meist existieren Optionen, mit denen festgelegt werden kann, ob bei einer HTTP-Anfrage nach einem Verzeichnis (also ohne Angabe eines konkreten Dateinamens), der Inhalt des betreffenden Verzeichnisses aufgelistet werden soll, oder ob stattdessen bestimmte Dateien (beispielsweise index.html) zurückgegeben werden sollen. Dies sollte folgendermaßen konfiguriert werden:

Falls festgelegt werden kann, dass Programme oder cgi-Skripte nur in bestimmten Verzeichnissen ausgeführt werden dürfen, so sollte diese Option auf jeden Fall sehr eng eingestellt werden. Keinesfalls sollte die Ausführung von Programmen für den gesamten WWW-Bereich freigegeben werden. Es ist empfehlenswert, wenn möglich für Programme und Skripte ein eigenes Verzeichnis anzulegen und die Ausführung nur in diesem Verzeichnis zu gestatten.

Oft kann festgelegt werden, ob Dateien oder Verzeichnisse, die mittels eines symbolischen Links (Unix) oder einer Verknüpfung (Windows) in den WWW-Dateibaum "eingeblendet" wurden, angezeigt werden sollen. Dies sollte möglichst unterbunden werden, da auf diese Weise leicht Dateien zugreifbar werden können, die eigentlich nicht veröffentlicht werden sollen.

Folgende Checkliste wird empfohlen:

Beispiel: Aufbau eines einfachen WWW-Servers

Als einfacher WWW-Server wird ein Server betrachtet, bei dem sich die Inhalte einzelner Seiten nur selten ändern, keine cgi-Programme verwendet werden und es keinen besonderen Zugriffsschutz gibt. Die einzelnen WWW-Dokumente werden über einen Datenträger auf den WWW-Server eingespielt. Bei einem solchen Server können alle Systemdateien und auch alle HTML-Seiten mit einem Schreibschutz versehen werden. Ein Angreifer kann bei einem solchen Aufbau zwar noch temporäre Dateien und Protokolleinträge abändern, das System selber aber nicht mehr. Ein solcher Zugriffsschutz sollte durch ein physikalisch schreibgeschütztes Medium realisiert werden, z. B. eine oder mehrere CD-ROMs oder eine schreibgeschützte Wechselplatte. Zumindest aber sollten regelmäßige Integritätsprüfungen (siehe M 4.93 Regelmäßige Integritätsprüfung.

In dem http-Daemon sollten die nicht benötigten Funktionalitäten abgeschaltet werden, wie z. B. die Möglichkeit zum Ausführen von cgi-Skripten. Auf jeden Fall sollten mitgelieferte cgi-Programme entfernt werden.

Bei einer häufig vorkommenden Variante eines einfachen Webservers können die Dokumente mit entsprechenden Berechtigungen auf dem WWW-Server interaktiv abgeändert werden. In diesem Fall ist der Schutz vor unbefugten Veränderungen und eine regelmäßige Integritätsprüfung in kurzen Intervallen besonders wichtig.