B 5.4 Webserver

Beschreibung
Das World Wide Web (WWW) ist eines der zentralen Medien der heutigen Informationsgesellschaft. Die Informationsangebote im WWW werden von Servern bereitgestellt, die Daten, meist Dokumente in Form von HTML-Seiten, an entsprechende Clientprogramme ausliefern. Dies erfolgt typischerweise über die Protokolle HTTP (Hypertext Transfer Protocol) oder HTTPS (HTTP über SSL bzw. TLS, d. h. HTTP geschützt durch eine verschlüsselte Verbindung). Neben dem Einsatz im Internet werden Webserver auch in zunehmendem Maße für interne Informationen und Anwendungen in Firmennetzen (Intranet) eingesetzt. Ein Grund dafür ist, dass sie eine einfache und standardisierte Schnittstelle zwischen Server-Anwendungen und Benutzern bieten und entsprechende Client-Software (Webbrowser) für praktisch jede Betriebssystemumgebung kostenlos verfügbar ist.
Die Bezeichnung Webserver (oder auch WWW-Server) wird meist sowohl für das Programm benutzt, welches die HTTP-Anfragen beantwortet, als auch für den Rechner, auf dem dieses Programm läuft. Bei Webservern sind verschiedene Sicherheitsaspekte zu beachten.
Da ein Webserver ein öffentlich zugängliches System darstellt, sind eine sorgfältige Planung vor dem Aufbau eines Webservers und die sichere Installation und Konfiguration des Systems und seiner Netzumgebung von großer Bedeutung. Das Thema Sicherheit umfasst bei Webservern auch deswegen eine relativ große Anzahl von Gebieten, weil auf einem Webserver meist neben der reinen Webserver-Anwendung noch weitere Serveranwendungen vorhanden sind, die zum Betrieb des Webservers erforderlich sind und deren sicherer Betrieb ebenfalls gewährleistet sein muss. Beispielsweise werden die Daten meist über das Netz (etwa per ftp oder scp) auf den Server übertragen oder es wird Zugriff auf eine Datenbank benötigt.
Einige der relevanten Aspekte sollen an dieser Stelle kurz erläutert werden.
Planung des Webauftritts
Ein wichtiger Aspekt der Sicherheit eines Webservers ist bereits relevant, bevor dieser überhaupt existiert: Planung und Organisation des Webangebots. Nur dann, wenn geklärt ist, welche Ziele mit dem Webangebot erreicht werden sollen (handelt es sich um ein reines Informationsangebot, um ein E-Commerce- oder ein E-Government-Angebot?) und welche Inhalte oder Anwendungen zu diesem Zweck angeboten werden, kann durch entsprechende Maßnahmen dafür gesorgt werden, dass Sicherheitsprobleme so weit wie möglich vermieden werden.
Der Aspekt der Sicherheit muss bereits sehr früh in der Planungsphase berücksichtigt werden, um die entstehende Architektur entsprechend sicher auslegen zu können.
Organisation
Bei der Betreuung eines Webangebots sind oft mehrere Organisationseinheiten beteiligt, häufig werden die technische und die inhaltliche Betreuung von verschiedenen Stellen übernommen. Manchmal wird der Server gar nicht mehr in der Organisation selbst betrieben, sondern bei einem externen Dienstleister untergebracht. Für das möglichst reibungslose Funktionieren des Webangebots müssen daher entsprechende organisatorische Rahmenbedingungen geschaffen werden. Idealerweise sollte eine Redaktion für das Webangebot eingerichtet werden (siehe M 2.272 Einrichtung eines WWW-Redaktionsteams ).
Auch bei der Festlegung der organisatorischen Rahmenbedingungen eines Webangebots sollte das Thema Sicherheit eine Rolle spielen. Davon hängt insbesondere eine schnelle und effektive Reaktion auf Probleme ab.
Sicherheit von Datenübertragung und Authentisierungsmechanismen
Generell wird ein Webserver von außen über die HTTP-Schnittstelle angesprochen. Abhängig davon, welches Ziel das Webangebot hat und welche Inhalte und Anwendungen angeboten werden, sind die folgenden Fragen von Bedeutung:
- Muss die Integrität der Daten bei der Übertragung vom Webserver zum Client geschützt werden?
- Muss die Vertraulichkeit der Daten bei der Übertragung vom Webserver zum Client gewährleistet werden?
- Ist eine Authentisierung des Webservers dem Client gegenüber erforderlich?
- Ist eine Authentisierung der Clients gegenüber dem Webserver erforderlich?
Bei einem reinen Informationsangebot, das öffentlich zugänglich sein soll, werden alle diese Fragen normalerweise verneint werden können. Handelt es sich jedoch um ein E-Commerce- oder E-Government-Angebot, so werden sicherlich mehrere Fragen bejaht.
Im Wesentlichen betreffen diese Fragen nur Eigenschaften der verwendeten Übertragungsprotokolle HTTP oder HTTPS. Spezifisch für den einzelnen Webserver ist dabei nur, inwieweit der Webserver diese Protokolle unterstützt. Diese Punkte können daher als Kriterien für die Auswahl eines Webserver-Produktes herangezogen werden.
Sicherheit der Inhalte und Anwendungen auf dem Webserver
Um die Inhalte und Anwendungen auf dem Server vor unbefugtem Zugriff oder Veränderung zu schützen, ist es wichtig, die Rechte der verschiedenen beteiligten Benutzer klar festzulegen. Die organisatorische und technische Realisierung der Trennung zwischen verschiedenen Benutzern, die eventuell Inhalte auf dem Server einstellen bzw. pflegen dürfen, oder gar zwischen verschiedenen Webangeboten, die gemeinsam auf einem Server beheimatet sind, ist ein wichtiger Aspekt der Sicherheit eines Webangebots.
Technische Sicherheit des Servers
Die Kompromittierung eines Webservers kann erhebliche finanzielle Verluste oder Imageschäden nach sich ziehen. Da es in der Regel keine oder nur wenige (vertrauenswürdige) Anwender auf einem Web-Server gibt, werden die meisten Angriffe nicht lokal, sondern über das Netz ausgeführt. Daher spielt der Schutz des Webservers gegen Angriffe über das Netz (also z. B. über das Internet, aber auch aus dem Intranet heraus) eine sehr wichtige Rolle. Neben Angriffen auf die Webserver-Anwendung sind auch Angriffe auf Schwachstellen des verwendeten Betriebssystems oder anderer Programme möglich, beispielsweise auf eine nicht ausreichend gesicherte Datenbankanbindung, auf einen eventuell vorhandenen ftp-Zugang oder auf per NFS oder SMB freigegebene Verzeichnisse. Oft wird zur Realisierung eines Webangebots auch der Zugriff auf weitere IT-Systeme, etwa einen Datenbankserver, benötigt. Da immer mehr Webangebote nicht mehr ausschließlich aus statischen HTML-Seiten bestehen, sondern beispielsweise über entsprechende Anwendungen Zugriff auf Datenbanken bieten, spielt außerdem die Sicherheit dieser Programme eine zunehmende Rolle.
Gefährdungslage
Für den IT-Grundschutz werden pauschal die folgenden Gefährdungen als typisch im Zusammenhang mit einem Webserver und der Nutzung des WWW angenommen:
Organisatorische Mängel:
- | G 2.1 | Fehlende oder unzureichende Regelungen |
- | G 2.4 | Unzureichende Kontrolle der IT-Sicherheitsmaßnahmen |
- | G 2.7 | Unerlaubte Ausübung von Rechten |
- | G 2.9 | Mangelhafte Anpassung an Veränderungen beim IT-Einsatz |
- | G 2.28 | Verstöße gegen das Urheberrecht |
- | G 2.32 | Unzureichende Leitungskapazitäten |
- | G 2.37 | Unkontrollierter Aufbau von Kommunikationsverbindungen |
- | G 2.96 | Veraltete oder falsche Informationen in einem Webangebot |
- | G 2.100 | Fehler bei der Beantragung und Verwaltung von Internet-Domainnamen |
Menschliche Fehlhandlungen:
- | G 3.1 | Vertraulichkeits-/Integritätsverlust von Daten durch Fehlverhalten der IT-Benutzer |
- | G 3.37 | Unproduktive Suchzeiten |
- | G 3.38 | Konfigurations- und Bedienungsfehler |
Technisches Versagen:
- | G 4.10 | Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen |
- | G 4.22 | Software-Schwachstellen oder -Fehler |
- | G 4.39 | Software-Konzeptionsfehler |
Vorsätzliche Handlungen:
- | G 5.2 | Manipulation an Informationen oder Software |
- | G 5.19 | Missbrauch von Benutzerrechten |
- | G 5.20 | Missbrauch von Administratorrechten |
- | G 5.21 | Trojanische Pferde |
- | G 5.23 | Computer-Viren |
- | G 5.28 | Verhinderung von Diensten |
- | G 5.43 | Makro-Viren |
- | G 5.48 | IP-Spoofing |
- | G 5.78 | DNS-Spoofing und Pharming |
- | G 5.87 | Web-Spoofing |
- | G 5.88 | Missbrauch aktiver Inhalte |
Maßnahmenempfehlungen
Um den betrachteten IT-Verbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.
In diesem Baustein werden die für einen Webserver spezifischen Gefährdungen und Maßnahmen beschrieben. Darüber hinaus muss für die Sicherheit des verwendeten Servers der Baustein B 3.101 Allgemeiner Server umgesetzt werden, sowie je nach dem eingesetzten Betriebssystem beispielsweise die Bausteine B 3.102 Unix-Server oder B 3.108 Windows Server 2003 . Falls das Webangebot Inhalte enthält, die von einer Webanwendung dynamisch aus einer Datenbank erzeugt werden, ist auch der Baustein B 5.7 Datenbanken zu berücksichtigen. Insbesondere dann, wenn der Webserver aus dem Internet heraus angesprochen werden kann, sollte auch Baustein B 1.8 Behandlung von Sicherheitsvorfällen beachtet werden.
Für die sichere Anbindung eines Webservers an öffentliche Netze (z. B. das Internet) ist Baustein B 3.301 Sicherheitsgateway (Firewall) zu betrachten, ebenso wie für den Zusammenschluss mehrerer Intranets zu einem übergreifenden Intranet. Die kontrollierte Anbindung externer Anschlusspunkte (z. B. von Telearbeitsplätzen via ISDN) wird im Baustein B 5.8 Telearbeit behandelt.
Ein Webserver sollte in einem separaten Serverraum aufgestellt werden. Hierbei zu realisierende Maßnahmen sind in Baustein B 2.4 Serverraum beschrieben. Wenn kein Serverraum zur Verfügung steht, kann der Webserver alternativ in einem Serverschrank aufgestellt werden (siehe Baustein B 2.7 Schutzschränke ). Wird der Webserver nicht bei der Organisation selbst, sondern bei einem externen Dienstleister betrieben, so muss Baustein B 1.11 Outsourcing betrachtet werden.
Für den erfolgreichen und sicheren Aufbau eines Webservers sind eine Reihe von Maßnahmen umzusetzen. Die Schritte, die dabei durchlaufen werden sollten, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im folgenden aufgeführt.
-
Planung des Einsatzes (siehe M 2.172 Entwicklung eines Konzeptes für die Web-Nutzung
) und Festlegung einer WWW-Sicherheitsstrategie (siehe M 2.173 Festlegung einer Web-Sicherheitsstrategie
):
- Festlegung des Einsatzzwecks des Webservers
- Festlegung der Sicherheitsziele
- Gegebenenfalls Auswahl geeigneter Authentisierungsmechanismen
- Anpassung der Netzstruktur
- Organisatorische Regelungen
-
Einrichtung des Webservers (siehe M 2.175 Aufbau eines Webservers
):
- Umsetzung der IT-Grundschutz-Maßnahmen für den Serverrechner (siehe z. B. Baustein B 3.102 Server unter Unix ) oder Umsetzung der Maßnahmen des Bausteins B 1.11 Outsourcing , falls der Betrieb des Webservers von einem externen Dienstleister übernommen wird.
- Gegebenenfalls Nutzung sicherer Kommunikationsverbindungen (siehe M 5.66 Verwendung von SSL beziehungsweise M 5.64 Secure Shell )
- Vermeidung von Java, ActiveX und anderen aktiven Inhalten im eigenen Webangebot (siehe auch M 5.69 Schutz vor aktiven Inhalten )
-
Betrieb des Webservers (siehe M 2.174 Sicherer Betrieb eines Webservers
):
- regelmäßige Kontrolle
- Anpassung an Änderungen und Tests
- Zugriffsschutz auf WWW-Dateien (M 4.94 Schutz der Webserver-Dateien )
- Protokollierung am Webserver
- Notfallvorsorge für den Webserver (siehe M 6.88 Erstellen eines Notfallplans für den Webserver und ergänzend auch Baustein B 1.3 Notfallvorsorge-Konzept )
- Datensicherung (siehe Baustein B 1.4 Datensicherungskonzept )
-
Sicherer Betrieb von WWW-Clients
Obwohl der sichere Betrieb von WWW-Clients (Arbeitsplatzrechner) nicht direkt zum Thema Webserver gehört, sollen an dieser Stelle einige Hinweise zur Sicherheit von Webbrowsern gegeben werden. Für jeden (Client-) Rechner, der mit dem Internet verbunden wird, müssen die entsprechenden Maßnahmen aus dem hier anzuwendenden Baustein B 3.201 Allgemeiner Client umgesetzt werden. Für den sicheren Zugriff auf das WWW sind außerdem folgende Maßnahmen zu beachten:- Sichere Konfiguration und Nutzung der WWW-Client Software (Webbrowser) (siehe M 5.45 Sicherheit von WWW-Browsern )
- Schutz vor Viren, Makro-Viren, aktiven Inhalten (siehe M 4.33 Einsatz eines Viren-Suchprogramms bei Datenträgeraustausch und Datenübertragung , M 5.69 Schutz vor aktiven Inhalten)
- Soweit möglich, sollten sichere Kommunikationsverbindungen genutzt werden (siehe M 5.66 Verwendung von SSL ).
Nachfolgend wird das Maßnahmenbündel für den Bereich "Webserver" vorgestellt. Auf eine Wiederholung von Maßnahmen anderer Bausteine wird hier aus Redundanzgründen verzichtet.
Planung und Konzeption
- | M 2.172 | (A) | Entwicklung eines Konzeptes für die Web-Nutzung |
- | M 2.173 | (A) | Festlegung einer Web-Sicherheitsstrategie |
- | M 2.175 | (A) | Aufbau eines Webservers |
- | M 2.271 | (A) | Festlegung einer Sicherheitsstrategie für den WWW-Zugang |
- | M 2.272 | (A) | Einrichtung eines WWW-Redaktionsteams |
- | M 2.298 | (Z) | Verwaltung von Internet-Domainnamen |
- | M 4.34 | (Z) | Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen |
- | M 4.176 | (B) | Auswahl einer Authentisierungsmethode für Webangebote |
- | M 5.64 | (Z) | Secure Shell |
- | M 5.66 | (Z) | Verwendung von SSL |
- | M 5.69 | (A) | Schutz vor aktiven Inhalten |
Beschaffung
- | M 2.176 | (B) | Geeignete Auswahl eines Internet Service Providers |
Umsetzung
- | M 4.94 | (A) | Schutz der WWW-Dateien |
- | M 4.95 | (A) | Minimales Betriebssystem |
- | M 4.96 | (Z) | Abschaltung von DNS |
- | M 4.97 | (Z) | Ein Dienst pro Server |
- | M 4.98 | (A) | Kommunikation durch Paketfilter auf Minimum beschränken |
- | M 4.99 | (C) | Schutz gegen nachträgliche Veränderungen von Informationen |
Betrieb
- | M 2.174 | (A) | Sicherer Betrieb eines Webservers |
- | M 2.273 | (A) | Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates |
- | M 4.33 | (A) | Einsatz eines Viren-Suchprogramms bei Datenträgeraustausch und Datenübertragung |
- | M 4.64 | (C) | Verifizieren der zu übertragenden Daten vor Weitergabe / Beseitigung von Restinformationen |
- | M 4.78 | (A) | Sorgfältige Durchführung von Konfigurationsänderungen |
- | M 4.177 | (B) | Sicherstellung der Integrität und Authentizität von Softwarepaketen |
- | M 5.59 | (A) | Schutz vor DNS-Spoofing |
Notfallvorsorge
- | M 6.88 | (B) | Erstellen eines Notfallplans für den Webserver |