Server
Server 192.168.0.1 |
|||||
---|---|---|---|---|---|
Workstation 192.168.0.10 |
Workstation 192.168.0.12 |
Hauptzweck eines Servers ist, zentral installierte Dienste für alle Netzwerkteilnehmer zugänglich zu machen.
Wie jeder andere Rechner in einem TCP/IP-Netzwerk auch, hat jeder Server eine oder auch mehrere feste und eindeutige Adresse, in diesem Falle die 192.168.0.1 zum internen Gebrauch.
Hier ist ein kurzer Überblick über die wichtigsten Dienste auf einem solchen Server:
- Fileserver
- Einen Fileserver wird man in der Regel in einem LAN betreiben, welches durch eine Firewall vom Rest der Welt abgeschottet ist. Trotzdem wäre es leichtsinnig, passwortfreie Zugänge zu schaffen, da der Zutritt zum LAN durch Unbefugte unter Umständen auch durch gehackte VPN oder WLAN möglich sein kann.
- Mailserver
- Während sich lokale Mailserver noch relativ simpel aufsetzen lassen, müssen öffentlich zugänglich Mailserver mit hohem Aufwand gegen zahlreiche Angriffsarten geschützt werden. Das SMTP und IMAP werden üblicherweise verschlüsselt übertragen. IMAP verlangt nach Authentifizierung während der Versand von Email durch nicht-authentifiziertes SMTP nur an lokale Adressen erfolgen kann. Der Empfang von Email durchläuft zum Schutz gegen Spam eine Kette von unterschiedlichsten Filtern bis diese zum Postfach des Empfängers gelangen.
- Prüfung des einliefernden Rechners darauf, ob dieser bereits einen Angriffsversuch unternommen hat, ggf. Abweisung durch eine Firewall (macht leider nicht jeder Mailserver)
- Prüfung des einliefernden Rechners auf Eintrag in RBL
- Prüfung auf formale Korrektheit beim SMTP-Dialog
- Erstmaliges Abweisen des einliefernden Rechners »Greylisting«
- Prüfung der eingelieferten Mail auf Signaturen, die auf Spam hinweisen
- Prüfung der eingelieferten Mail auf Malware im Anhang
- Filtern der eingehenden Email nach persönlichen Kriterien mittels Sieve (leider nicht bei jedem Mailserver implementiert)
- Zerlegen der eingelieferten Mail in seine Bestandteile »Mailparser« (bietet leider nicht jeder Mailserver an)
Neben dem Schutz gegen Spam muß für ein stabiles System gesorgt werden. Eine dynamisch aufgesetzte Firewall wird jeden erkannten Angriffsversuch (z.B. Brute force zum Knacken von Zugangsdaten oder Relaying zum Spamversand) bereits ab dem zweiten Versuch komplett abblocken. - Webserver
- Auch beim Webserver gelten grundsätzlich die selben Regeln wie beim Mailserver. Im geschützten LAN ist das Aufsetzen eines Webservers - meist wird es ein »LAMP« sein - recht simpel. Im öffentlich zugänglichen Betrieb ist man wie beim Mailserver zahlreichen Angriffen ausgesetzt, die meist darauf abzielen, irgendwelche Daten abzugreifen oder das gesamte System zu kompromittieren. Hier kommen sogenannte WAF und Systeme zur Abwehr von D.o.S zum Einsatz, die in Verbindung mit einer Echtzeitsperrung mittels dynamischer Firewall ausgesprochen wirksam sind. Andere Angriffsversuche (Synflooding, Ping to death, Spoofing u.v.m) sollten ebenfalls zu der genannten Echtzeitsperrung führen.
Übertragungsprotokoll ist das unverschlüsselte HTTP oder noch besser, das verschlüsselnde HTTPS. Zum Verschlüsseln wird jedoch serverseitig ein »Zertifikat« benötigt, das von einer bestimmten Zertifizierungsstelle ausgestellt wird und deren Root-Zertifikate bereits in allen gängigen Browsern gespeichert sind. Die Kosten für solche Zertifikate sind erheblich - einige 100 Euro pro Jahr und Subdomain sind da üblich - was sich deshalb nur bei Websites lohnt, die entsprechend Umsatz generieren, z.B. Webshops. Dieser Umstand - hohe Kosten und hoher Aufwand bei der Verwaltung - verhindert die im Grunde genommen wichtige Verschlüsselung von »nur« informativen Websites ohne kommerzielle Ausrichtung sehr wirkungsvoll. Abhilfe schafft seit Dezember 2015 ein Projekt namens Let´s encrypt - entsprechende Zertifikate zum Nulltarif und zum einfachen Einrichten für jede Domain / Subdomain.