Thema: Netzwerksicherheit für Anfänger

Netzwerksicherheit für Anfänger

Keywords: Viren, Trojaner, Sicherheit, FTP, FTPS, SFTP, verschlüsselt, Firewall, Passwörter, Datentransfer, Dateirechte, Verzeichnisrechte, htaccess

Dieser Beitrag soll Anfängern, die sich nunmehr zu Webmastern ernannt sehen, helfen sich mit den Gedanken der Netzwerksicherheit vertraut zu machen und einen Einstieg zu finden. Gemäss dem Motto des Forums "Hilfe zur Selbsthilfe" sollen Begriffe und Überlegungen angesprochen werden die im Selbststudium zu vertiefen sind.
Dieser Beitrag ersetzt nicht fundierte Kenntnisse und ist auch nicht als die ultimative 0815-Lösung gedacht.

Gerade Anfängern fällt es oftmals schwer mögliche Wege der Einschleusung von Schadcode zu überblicken. Hier im Forum gibt es unzählige Threads zu dem Thema "gehackt". Doch handelt es sich wirklich jedesmal um ein "Hacken" der Website oder spielen auch andere Faktoren eine Rolle?
Es war einmal vor langer Zeit, da wurde auch ein mir unterstellter Server (486er, 8MB Ram, 500 MB HD - Linux - Apache , FTP, Telnet, ...) geknackt und ein Rootkit, das die Fernsteuerung des Rechners ermöglichte, installiert. Es ist nunmal suboptimal, wenn man die Eierlegende Wollmilchsau als Serverkonfiguration hat und verursacht Kopfschmerzen und jede Menge Arbeit die Absicherung fehlerhaft zu konfigurieren. Und Nein, wir wollen jetzt nicht darüber diskutieren ob ich zu doof bin einen Server zu konfigurieren. Es geht darum welche Konsequenzen wir in der IT daraus gezogen haben, als wir den Server in isolierter Testumgebung unter die Lupe genommen haben.
Zunächst einmal starteten wir das System als solches. Auf den ersten Blick erschien alles normal, abgesehen davon, dass die Harddisk in einer Tour am rödeln war. Ein Blick in die Logfiles förderte auch keine nennenswerten Erkenntnisse zutage. Also wurde die Festplatte ausgebaut und in ein anderes isoliertes Testsystem eingebaut und zugemountet. Da sah die Sache schon anders aus. Die zuvor scheinbar freien 300MB der Festplatte waren schon mal nicht vorhanden. Die Kapazität war zu 98% ausgereizt. Wir fanden in vielen versteckten und vom infizierten Betriebssystem ausgeblendeten Verzeichnissen jede Menge Dateien die dort nicht hingehörten.
Unverschlüsselter Datenverkehr war mitprotokolliert worden und förderte die Accountdaten von POP3 (E-Mail), FTP, Telnet-Verbindungen zutage. Die Systemprotokollierung war ausser Kraft gesetzt worden. Nur um in groben Zügen den "Ist-Zustand" zu beschreiben. Als Einfallstor wurde ein Account lokalisiert der eines der TOP 10 Passwörter enthielt und so wie es sich gehört mit Admin-Rechten ausgestattet war. In der Diskussionsrunde "ob denn da einfach einer so was mit dem Server machen darf" kam ganz klar die Antwort zustande: Ja wenn diese Dienste von uns for free angeboten werden müssen wir uns ja nicht wundern, wenn dann ein Aussenstehender auf die Idee kommt diese zu nutzen.

Welche Ansatzpunkte gibt es nun auf die man achten sollte

1) Internetzugang

Auch heute gibt es noch Personen deren Internetzugang über Modem und Zugangssoftware realisiert wird.
Dass der Rechner dabei direkt mit dem Internet verbunden ist scheinen die wenigsten mitzubekommen. Entsprechend kurzlebig ist demzufolge auch die Stabilität des Systems.
Wenn man nun eine einfache Kosten Nutzen Rechnung für einen einfachen NAT-Router, der dann als erste Komponente mit dem Internet verbunden ist, aufstellt, ist durchaus ersichtlich warum 100 Euro als Geldverschwendung angesehen werden.
Man geht doch viel lieber zum PC-Service, zahlt dort jedesmal 25 Euro und installiert sein Betriebssystem alle paar Wochen neu.

http://www.elektronik-kompendium.de/...et/0812111.htm
http://www.elektronik-kompendium.de/...om/1206041.htm
http://www.elektronik-kompendium.de/...et/0811021.htm
http://www.zdnet.de/sicherheit_in_de...39191150-1.htm

2) Firewall & Paketfilter

Eine Firewall, bzw. ein Paketfilter ist nur so brauchbar wie das Betriebssystem auf dem sie läuft. Ist das System erstmal korumpiert / infiziert ist der Nutzen wohl eher zweifelhaft. Die ach so beliebten Personal-Firewalls zählen daher bei genauer Betrachtung doch eher zu den Placebo-Firewalls und vermitteln eher das zweifelhafte Gefühl etwas für die Sicherheit getan zu haben. Sinnvoller ist da eher ein Router mit integrierter Firewall / Paketfilterfunktion.

http://betrieblicher-datenschutz-ext...ter-sicherheit
http://de.wikipedia.org/wiki/Firewall
http://wiki.ubuntuusers.de/personal_firewalls
http://www.ulm.ccc.de/PersonalFirewalls


3) Virenscanner

Das Abblocken von Malware wie Viren und Trojaner geht allerdings über die Fähigkeit der Router im SOHO-Bereich hinaus. Unabdingbar ist dafür ein Virenscanner der sich auf aktuellem Status der Virensignaturen befinden sollte.
Doch welcher ist nun der Beste aus der grossen Anzahl von Möglichkeiten.
Zunächst einmal, der beste Scanner nützt nichts wenn diese nervenden Popupmeldungen "Datei xyz kann wegen Schadcode nicht geöffnet werden" weggeklickt werden und die Datei dann, weil man sie ja unbedingt anschauen muss, die ist ja wichtig, nach Deaktivierung des Scanners geöffnet wird.
Die IT hier im Forum wird mir zustimmen, dass es tatsächlich User gibt, denen man auch eine Datei mit der Bezeichnung "klick_mich_ich_bin_ein_Virus.exe" zukommen lassen kann und die diese Datei öffnen werden!
Also denkt daran, den besten Schutz bietet dieses Ding zwischen euren Ohren.

http://www.heise.de/software/download/o0g0s3l11k183
http://www.chip.de/artikel/Virenschu..._43376747.html
http://www.pcwelt.de/ratgeber/Gratis...er-295920.html
http://www.testberichte.de/t/4/2728/0/1.html

Idealerweise verfügt der Virenscanner über eine eingeschaltete "On Access" Überprüfung. Das ist so wie mit der heissen Herdplatte von der man dann die Finger lässt sowie man den Temperaturzustand empirisch ermittelt hat.

Weiterhin ist es ratsam einen Virenscan regelmässig von einer Live CD durchzuführen, da nur so gewährleistet wird, dass die Integrität des Scan-Systems vorhanden ist. Desinfec't (vormals Knoppicilin) von der c't-Redaktion herausgegeben bietet eine derartige Möglichkeit.

http://de.wikipedia.org/wiki/Knoppicillin
http://www.heise.de/software/downloa..._edition/37894
http://www.heise.de/software/download/desinfect/71642

4) Passwörter

Passwörter die im Wörterbuch zu finden sind sowie Kreationen aus den TOP10 oder TOP20 der beliebtesten Passwörter erhöhen die Sicherheit von Benutzeraccounts ungemein. Man kann ja jederzeit danach googlen sollte man es mal vergessen haben.

http://www.chip.de/news/Die-beliebte..._23419353.html
http://www.zdnet.de/news/wirtschaft_...41526495-1.htm
http://www.pcgameshardware.de/aid,70...cherheit/News/
http://www.mobilfunk-talk.de/3910-di...sswoerter.html


5) Verschlüsselung

Es ist immer wieder kurios zu sehen, dass Zugangsdaten im Klartext per E-Mail verschickt werden. Dass eine Standard E-Mail einer Postkarte oder Ansichtskarte gleichzusetzen ist, die formal jeder mitlesen kann wird dabei offensichtlich ausser acht gelassen. Ebenso erheiternd für Postmaster ist die Auflistung halber Branchenbücher im Empfängerfeld der E-Mail. Dass diese "Freundschaftswerbungen" ein gefundenes Geschenk für Datensniffer auf verseuchten Mail-Relay's sind und das Spamaufkommen erhöhen ist halt ein unvermeidbarer Nebeneffekt. Hauptsache alle in dieser Liste bekommen mit wer die Mail noch erhalten hat.
Was sonst noch per E-Mail für Unfug angestellt werden kann ist beim BSI nachzulesen.
https://www.bsi.bund.de/DE/Themen/In...mail_node.html
Empfehlenswert ist der Einsatz von Mailinglisten und die Verwendung des BCC-Feldes (Blind Carbon Copy) als Empfängerangabe, sowie der Einsatz von Beispielsweise PGP.


Datentransfer / Datenübertragung

Zur Datenübertragung beliebt ist das File Transfer Protokoll, selbstverständlich unverschlüsselt in seiner Grundform über Port 21.
http://de.wikipedia.org/wiki/File_Transfer_Protocol
Erfährt man in der Tagespresse, dass Streetview an Strassenecke XY über das unverschlüsselte WLAN das Passwort "GummiBär" mitgespeichert hat, so laufen alle Datenschützer Amok. Dass aber Gott und das Internet die Daten des FTP-Zugangs mitlesen können wird offensichtlich gebilligt.

Welchen Ausweg gibt es?

Zu nennen wären FTPS (FTP Secure TLS SSL)

http://de.wikipedia.org/wiki/FTP_%C3%BCber_SSL
http://de.wikipedia.org/wiki/Secure_...nsfer_Protocol

Sowie SFTP oder auch FTP über SSH sowie SCP

http://de.wikipedia.org/wiki/SSH_File_Transfer_Protocol
http://de.wikipedia.org/wiki/Secure_Copy

Der beliebte FTP-Client Filezilla bietet die Möglichkeiten der Verschlüsselung
http://www.heise.de/software/downloa...portable/48887
http://typo3.sfroemken.de/server/sft...filezilla.html
http://infoblog.li/filezilla-schlues...er-sftp-login/
http://board.gulli.com/thread/843649...tp-using-ssh2/
http://www.railshosting.de/hilfe/sftp

ftp verschlüsselt
http://faq.hosteurope.de/view.php?mo...ontent_id=4423
http://www.strato-faq.de/artikel.html?articleid=2391
http://hilfe-center.1und1.de/hosting/technik/ftp/7.html
http://www.freesoft-board.to/f238/tu...ls-341959.html
http://www.wise-ftp.de/know-how/ftp_..._protokoll.htm

WLAN Sicherheit
http://www.voip-information.de/sicherheit-wlan.html
http://www.uni-due.de/zim/services/w...cherheit.shtml
http://www.zdnet.de/sicherheit_in_de...39142125-1.htm
http://www.pcwelt.de/ratgeber/Funkne...er-152321.html
http://www.pcwelt.de/news/Drahtloses...ls-336618.html
http://www.chip.de/artikel/Must-Have..._42231506.html
http://www.pcwelt.de/news/Sicherheit...t-1436519.html

FTP-Technik
http://www.elektronik-kompendium.de/...et/0902241.htm

6) Dateirechte Unix

Mein Windows gehört mir, warum soll ich nicht als Administrator arbeiten. Klar, OK. Bei Einbenutzersystemen mag das noch eingeschränkt gelten, bei Mehrbenutzersystemen ist diese Aussage allerdings *zensiert*.
Stell Dir mal vor Du kommst nach Hause und hast ungebetene Gäste die es sich bei Dir, wie Schneewittchen bei den 7 Zwergen, gemütlich machen da Du deinen Wohnungsschlüssel von aussen an die Tür gehängt hast. Aha, so was machst Du nicht. Und warum kommst Du dann auf die blöde Idee das auf Deinem Webspace zu machen indem Du 777 für Verzeichnisse und 666 für Dateien vergibst? ( 777 für Dateien geht auch, nur warum sollen die ausführbar sein?)
Du sagt anders geht das nicht. Du hast also dieses wwwrun Problem.
Um Webspace zur Verfügung zu stellen gibt es mehrere Lösungsansätze. Am elegantesten ist es den Virtuellen Hosts (Webservern) jeweils den Benutzernamen zuzuordnen, dann klappts auch mit dem FTP.
http://www.joomlaportal.de/sicherhei...tml#post190583
(den Thread durchlesen)

Dateirechte Verzeichnisrechte

http://de.wikipedia.org/wiki/Unix-Dateirechte
http://linuxwiki.de/DateiRechte
http://wiki.ubuntuusers.de/rechte
http://magazine.joomla.org/issues/Is...-2011/item/353
http://www.joomlaportal.de/sicherhei...p-ini-etc.html

777 und die Hoster http://www.joomlaportal.de/joomla-1-...77-setzen.html
http://www.joomlaportal.de/allgemein...ml#post1184321
http://www.linux-magazin.de/Heft-Abo...-den-Webserver

7) .htaccess

Was ist diese ominöse htaccess denn nun genau? Sie ermöglicht eine Erweiterung der Konfiguration Deines Webspaces innerhalb von Parametern die Dein Hoster Dir erlaubt. Man kann damit nicht nur Passwort Schutz für Verzeichnisse erstellen und URL-Rewriting durchführen, auch andere Einstellungen lassen sich damit Verzeichnisspezifisch setzen.
Du solltest diese Option auf jeden Fall verwenden um Dein Backend im Verzeichnis "administrator" zu sichern.

http://de.wikipedia.org/wiki/Htaccess
http://de.selfhtml.org/servercgi/server/htaccess.htm
http://httpd.apache.org/docs/1.3/howto/htaccess.html

http://www.lerneniminternet.de/htm/tip_htaccess.html
http://www.sachen-fuer-webmaster.de/...-htaccess.html


htaccess passwort generator
http://forum.webhostlist.de/forum/qu...schuetzen.html
http://www.bocombo.de/produkte/php/9/bohtaccess.html
http://tools.dynamicdrive.com/password/
http://www.htaccesstools.com/htpasswd-generator/


8) Zwischenbilanz

Bis jetzt hatte das alles noch nicht wirklich was mit Joomla zu tun. Doch nun fasse dich selbst mal an der Nase und sage mir warum irgend ein "pöhser Hax0r" Zeit damit verschwenden sollte an Deine Zugangsdaten zu kommen, wenn es für ihn viel einfachere Möglichkeiten gibt Deinen Account zu assimilieren und nach seinen eigenen Vorstellungen umzugestalten?!

9) Joomla was nun

Installiere nur das was wirklich nötig ist und halte dann regelmäßig nach Updates Ausschau, wobei regelmässig jetzt nicht alle Jubeljahre bedeutet. Vergiss dabei Deine Extensions nicht.
Auf die vielfach gestellte Frage ob man denn nun jedes Update mitmachen muss ein Beispiel:
Wenn bei Deinem Auto die Bremse defekt ist genügt es da die Hupe lauter zu stellen? Eher nicht! Anders wenn Du neue schicke Felgen montierst.
Im Klartext: Unterscheide zwischen UPDATE das sicherheitsrelevante Funktionen beinhaltet und UPGRADE das neue Features hinzufügt. Ein UPGRADE kann auch innerhalb einer Version stattfinden. Der Joomla Core wird in der Regel mit Sicherheitsupdates versorgt.
Vermeide Extensions die sich im "Field Test" befinden, also recht neu sind (an der Spitze ist es einsam) oder die nicht mehr gepflegt werden, was nicht heissen soll, dass diese Sicherheitsrisiken beinhalten. Vermeide auf jeden Fall Erweiterungen bei denen Sicherheitslecks bekannt sind.

Anlaufstellen
http://www.joomlaportal.de/installat...on-joomla.html
http://www.heise.de/security/
http://www.joomla-security.de/themen...iterungen.html
http://docs.joomla.org/Vulnerable_Extensions_List

Erstelle regelmässige Backups Deiner Website und Deiner Datenbank. Dieser Punkt scheint hier in vielen "gehackt" Threads Kopf- und Bauchschmerzen zu bereiten. Offensichtlich ist die Meinung verbreitet, dass Festplatten ewig halten und eine vernünftige Wartung derselben auch nur so http://www.cc-c.de/download/defrag.pdf durchgeführt werden kann.

Kontrolliere Deine Logdateien ob es auffällige Anfragen an Deinen Webspace gibt. Tja was auffällig ist, da musst Du Dich schon einarbeiten. Aber ich gebe Dir mal den Tipp nachzusehen wann und wie oft das Verzeichnis "administrator" oder auch ähnliche Adminfunktionaltäten aufgerufen werden.
Analog gilt das für den FTP-Zugang. Gedanken solltest Du dir auf jeden Fall machen wenn Aktivitäten vermerkt sind während Du in Urlaub warst / bist.

Ist es sinnvoll Joomla die Geschwätzigkeit auszutreiben indem man Beispielsweise den Generator Namen umstylt?
Nun man kann auch Aufwand ohne Ende treiben und die Identität verschleiern. Bots und andere Scripte werden jedoch genügend Informationen beim Durchprüfen der Website finden und Joomla identifizieren, so dass man derartige Aktionen doch eher als Fleissaufgabe ansehen kann.


10) Weiterführende Verweise

Lacki's FAQ zu Joomla 1.5 - Unbedingt und Überhaupt zu empfehlen
http://www.joomlaportal.de/erste-sch...a-1-5-faq.html

Joomla! Sicherheits Checkliste von rabe (ja, auch für 1.5 und nachdenken hilft)
http://www.joomlaportal.de/sicherhei...heckliste.html


Joomla Login
http://extensions.joomla.org/extensi...gin-protection
http://extensions.joomla.org/extensi...ite-protection

Security Extensions
http://www.joomlaportal.de/sicherhei...eich-test.html
http://jeffchannell.com/2010-joomla-...omparison.html
http://www.joomlaportal.de/allgemein...-sinnvoll.html
http://www.joomlaportal.de/sicherhei...mponenten.html

Gehackt was nun
Erst mal eine index.html anlegen. Eine .htacces erstellen um den Webspace zu sichern. Und die Weiterführenden Links studieren. Hierbei Augenmerk auf die vielfach zitierte Liste von flotte.

http://www.joomlaportal.de/sicherhei...leitfaden.html
https://www.fc-hosting.de/joomla/tip...sicherheit.php
777: http://magazine.joomla.org/issues/Is...-2011/item/353


Flotte's Liste
https://www.fc-hosting.de/joomla/tip...la-gehackt.php

Joomlasecurity
http://www.joomla-security.de/themen...s-ich-tun.html

Brain 1.0
http://brain.yubb.de/

Ooops, beinahe hätte ich HTTPS vergessen. Ist natürlich auch verschlüsselt und E-Commerce Betreiber sollten sich mit diesem Thema etwas näher beschäftigen. Auch das Stichwort "Zertifikate" sollte man in seine Überlegungen mit einbeziehen.
Nähere Auskünfte kann euch dann euer Hoster geben.

HTTPS

http://de.wikipedia.org/wiki/Hyperte...rotocol_Secure
http://upload.wikimedia.org/wikipedi...rtificates.png
http://www.verisign.de/ssl/ssl-infor...ecurity-works/
http://www.thawte.de/resources/ssl-i...ssl/index.html

https://www.info-point-security.com/...Paper_0210.pdf
http://www.stern.de/tv/sterntv/ueber...co-590596.html

https://www.administrator.de/index.php?content=94162


So und für unsere Experimentierfreudigen Fortgeschrittenen die sich weiterbilden wollen ein paar Infos zu

VHOST & HTTPS (für Fortgeschrittene)
http://httpd.apache.org/docs/2.0/de/vhosts/
http://www.tutorials.de/hosting-webs...ueber-ssl.html
http://blog.pregos.info/2010/12/18/h...-zertifikaten/
http://isp-control.net/documentation...ing_mod_gnutls
http://blog.benny-baumann.de/?p=273


Schlusswort

Es macht recht wenig Sinn Joomla wie Fort Knox abzusichern, wenn die Zugangsdaten für Deinen Webspace bekannt sind. Da kannst Du auch gleich einen Beitrag erstellen wie blackice2999 es unter "Geiz ist geil" getan hat und die Zugangsdaten für Joomla posten.
Das Ergebnis wird dann zwar nicht so sein wie Du es Dir vorstellst, aber es ist umsonst

Und klicke nicht auf jeden Button der sich Dir beim Surfen auftut
http://www.dasinternetabschalten.de/