JOhn: Serversicherheit

Haben Communitys wie meinVZ, facebook usw. eine Firewall installiert?
Wie sieht es mit Firewall und Antivirusprogrammen auf Webservern aus?
Sind sie ein "Muss"?
Wenn ja . könnt ihr mir welche empfehlen, die sicher und nicht behindernt sind?

Gruß, John

  1. Haben Communitys wie meinVZ, facebook usw. eine Firewall installiert?

    Keine Ahnung. Aber jegliche Sicherheitskonzepte nutzen nichts, wenn die Software schlecht programmiert ist.

    Wie sieht es mit Firewall und Antivirusprogrammen auf Webservern aus?
    Sind sie ein "Muss"?

    Nein - ein Virenscanner ist idR. nicht verkehrt, eine Firewall hat dort IMHO nicht viel verloren, die gehört schon davor im Rechenzentrum angebracht.

    Wenn ja . könnt ihr mir welche empfehlen, die sicher und nicht behindernt sind?

    Wende dich an den Hoster deines Vertrauens.

    1. Nein - ein Virenscanner ist idR. nicht verkehrt,

      Nachdem ich die Performanceeinbrüche durch Virenscanner kenne, möchte ich davon im Allgemeinen abraten.
      Ein Virenscanner, der sich auf das Scannen von Input beschränkt, der nicht von localhost stammt, wäre hingegen eine Überlegung wert.

      mfg Beat

      --
      ><o(((°>           ><o(((°>
         <°)))o><                     ><o(((°>o
      Der Valigator leibt diese Fische
  2. Hallo!

    Haben Communitys wie meinVZ, facebook usw. eine Firewall installiert?
    Wie sieht es mit Firewall und Antivirusprogrammen auf Webservern aus?
    Sind sie ein "Muss"?

    Bei großen Installationen wie facebook oder so hat man im Normalfalls sogar ein mehrstufiges Firewallkonzept.
    Das könnten u.U. so aussehen:

    FW - WEBSERVERFARM - FW - DATENBANKSERVER, BACKUPSERVER, usw.

    Die Firewall dort sieht aber vermutlich anders aus als du dir das vorstellst. Die Firewalls sind vermutlich mehrere physische Maschinen die den IP Verkehr mal entgegen nehmen und dann weiterleiten an die Applikationserver oder ablehnen.

    Das sind keine Firewallprogramm die mal eben auf einem Rechner installiert werden.

    Bei so großen Installationen ist die Firewall eher ein Konzept als ein einzelnes Program.

    Wenn ja . könnt ihr mir welche empfehlen, die sicher und nicht behindernt sind?

    Was genau willst du machen?

    mfg
      frafu

    1. Was genau willst du machen?

      Meine Web 2.0 Plattform (Community) vor Angriffen schützen.

      1. Hallo!

        Was genau willst du machen?

        Meine Web 2.0 Plattform (Community) vor Angriffen schützen.

        Kommt auf die Architektur an. Ich vermute du hast nur einen Root Server? Nur eine IP? Welches OS? Ich geh mal von Linux aus.
        Eine eigene Firewall brauchst du da eigentlich nicht.
        Eine Firewall brauchst du dann, wenn du mehr als einen Server hinter einem Gateway betreibst.
        Wenn du nur einen Webserver und vielleicht Mail betreibst, dann solltest du auf ein paar Sachen achten:

        * Nur die Dienste auf der offiziellen IP lauschen lassen die notwendig sind. Zb MySQL nur auf 127.0.0.1 binden.
        * Unnötige Dienste (ftp?) abschalten.
        * Sichere Passwörter wählen und sich trotzdem gegen Bruteforceangriffe sichern (zb http://denyhosts.sourceforge.net/) oder SSH auf einen anderen Port legen - ich weiß ist Security by obscurity aber hält zumindest Script Kiddies ab.
        * Kein Mail Relay erlauben
        * Das System immer mit den neues Patches am Laufenden halten.
        * Die Web 2.0 Software immer am Laufenden Stand halten. Wenns von dir selber entwickelt ist, dann natürlich auf die üblichen Fehler achten: XSS, SQL Injection, usw. und vielleicht über eine Web Application Firewall nachdenken.

        Das sind mal ein paar Sachen dir mir auf die Schnelle einfallen.
        Wenn du mal so ein großes Aufkommen auf deiner Seite hast, dass du einen Loadbalancer mit mehreren Applicationservern und dedizierten Datenbankservern dahinter brauchst, dann reden wir über eine Firewall. :-)

        mfg
          frafu

        1. Hi.

          Kommt auf die Architektur an. Ich vermute du hast nur einen Root Server? Nur eine IP? Welches OS? Ich geh mal von Linux aus.

          Root. ATM 1 IP. Debian Lenny.

          Eine eigene Firewall brauchst du da eigentlich nicht.

          Gut.

          Eine Firewall brauchst du dann, wenn du mehr als einen Server hinter einem Gateway betreibst.

          ATM noch nicht.

          Wenn du nur einen Webserver und vielleicht Mail betreibst,

          Postfix fungiert als Smarthost. PHP sendet über GoogleMails SMTP E-Mails nach draußen. (Newsletter-System, usw.)

          * Nur die Dienste auf der offiziellen IP lauschen lassen die notwendig sind. Zb MySQL nur auf 127.0.0.1 binden.

          Das tut PostgreSQl bei mir :)

          * Unnötige Dienste (ftp?) abschalten.

          Aber SFTP ist doch okay oder?

          * Sichere Passwörter wählen

          Reichen 8 Stellen a-zA-Z0-9 ?

          und sich trotzdem gegen Bruteforceangriffe sichern (zb http://denyhosts.sourceforge.net/)

          Damit werde ich mich mal auseinander setzen. Bringts was?

          oder SSH auf einen anderen Port legen

          Von 22 auf xxxx gelegt.

          * Kein Mail Relay erlauben

          Kein Mail Relay... hm. wie meinst du das genau? Weil atm s.o. schickt mein PHP die E-Mails über smtp.gmail.com (port 587 (SSL)) raus.

          * Das System immer mit den neues Patches am Laufenden halten.

          apt-get update && apt-get upgrade ?

          * Die Web 2.0 Software immer am Laufenden Stand halten. Wenns von dir selber entwickelt ist, dann natürlich auf die üblichen Fehler achten: XSS, SQL Injection, usw. und vielleicht über eine Web Application Firewall nachdenken.

          Ist von mir entwickelt. Es wird alles escaped in die DB eingegeben und alles escaped ausgegeben.

          Danke für deine Hilfe.
          Wie schütze ich mich denn am besten gegen DOS-Angriffe?

          Wenn da jemand seine 10.000 Trojaner Vics hat und er sein Botnetz auf mich los lässt - was schützt mich davor?

          Gruß, JOhn

          1. Hallo!

            * Unnötige Dienste (ftp?) abschalten.
            Aber SFTP ist doch okay oder?

            Ist kein Unterschied. Brauchst du das? Wenn ja, dann laufen lassen, wenn du den Dienst nicht nutzt, dann abschalten.

            * Sichere Passwörter wählen

            Reichen 8 Stellen a-zA-Z0-9 ?

            Noch ein Sonderzeichen dazu und gut ist's.

            und sich trotzdem gegen Bruteforceangriffe sichern (zb http://denyhosts.sourceforge.net/)
            Damit werde ich mich mal auseinander setzen. Bringts was?

            Ja, Bruteforceloginversuche per ssh hatte ich früher hunderte am Tag. 3 falsche Loginversuche und die IP wird geblockt. Dadurch wird das ganz gut unterbunden.

            * Kein Mail Relay erlauben
            Kein Mail Relay... hm. wie meinst du das genau? Weil atm s.o. schickt mein PHP die E-Mails über smtp.gmail.com (port 587 (SSL)) raus.

            Lauscht auf Port 25 ein SMTP Daemon? Wenn ja, dann darf der nur Mails für die Domain entgegen nehmen die dort gehostet wird. Es darf nicht erlaubt sein über deinen Server zb. Mails an blabla@gmx.net zu schicken. So ein Weiterleiten heißt Relaying und darf maximal nach erfolgreichen Login mit Username/Password oder von Verbindungen von localhost erfolgen.

            Wie schütze ich mich denn am besten gegen DOS-Angriffe?

            Bandbreite, Bandbreite, Bandbreite :-) Nein, keine Ahnung, damit hab ich mich noch nicht im Detail beschäftigt. Gegen einfach DOS Angriffe müssten gängige Router oder Intrusion Detection Systeme schützen.

            Wenn da jemand seine 10.000 Trojaner Vics hat und er sein Botnetz auf mich los lässt - was schützt mich davor?

            Lösegeld? :-) Das ist dann ein DDos Angriff. Da wirst als Hobby Betreiber keine Chance dagegen haben. Hab mal auf einer Konferenz einen Vortrag über DDos Angriffe auf russische Bankensysteme gehört. Gegen groß angelegte DDos Angriffe bist fast chancenlos. In dem Zusammenhang finde ich den ersten dokumentierten "Information Warfare" interessant. Google mal nach "Information Warfare Estonia" Insbesondere diesen Vortrag von der DefCon kann ich empfehlen:
            http://video.google.com/videoplay?docid=-5362349666961901582%23
            Das war u.A. ein fetter DDos Angriff.

            mfg
              frafu

            1. hi.

              * Unnötige Dienste (ftp?) abschalten.
              Aber SFTP ist doch okay oder?

              Ist kein Unterschied. Brauchst du das? Wenn ja, dann laufen lassen, wenn du den Dienst nicht nutzt, dann abschalten.

              hÄ? ich dachte das läuft über SSH2. D.h. ich habs automatisch sobald ich SSh veerwende und das muss ich ja sonst krieg ich Dateien ja nie auf den Server.

              Ja, Bruteforceloginversuche per ssh hatte ich früher hunderte am Tag. 3 falsche Loginversuche und die IP wird geblockt. Dadurch wird das ganz gut unterbunden.

              Danke.

              * Kein Mail Relay erlauben
              Kein Mail Relay... hm. wie meinst du das genau? Weil atm s.o. schickt mein PHP die E-Mails über smtp.gmail.com (port 587 (SSL)) raus.

              Lauscht auf Port 25 ein SMTP Daemon? Wenn ja, dann darf der nur Mails für die Domain entgegen nehmen die dort gehostet wird. Es darf nicht erlaubt sein über deinen Server zb. Mails an blabla@gmx.net zu schicken. So ein Weiterleiten heißt Relaying und darf maximal nach erfolgreichen Login mit Username/Password oder von Verbindungen von localhost erfolgen.

              Wie? Verstehe ich nicht. Also ich habe Postfix als Smarthost eingerichtet.
              mein PHP Skript verschickt auch an @gmx & co..., allerdings über einen externen SMTP Server(gmail auf port 587). Also dürfte bei mir kein SMTP Server lauschen.

              Danke dir,

              JOhn

              1. Hallo!

                * Unnötige Dienste (ftp?) abschalten.
                Aber SFTP ist doch okay oder?

                Ist kein Unterschied. Brauchst du das? Wenn ja, dann laufen lassen, wenn du den Dienst nicht nutzt, dann abschalten.
                hÄ? ich dachte das läuft über SSH2. D.h. ich habs automatisch sobald ich SSh veerwende und das muss ich ja sonst krieg ich Dateien ja nie auf den Server.

                Ich meinte, ein offener Port ist ein offener Port und da ist mal egal was da lauscht. Bei einem Bruteforeangriff ist egal ob es ftp oder sftp ist. Loginversuche kann ich auf beiden durchführen und wenn eine Benutzer/Pwd Kombination erraten wurde ist es egal ob das ftp oder sftp war. Der Unterschied liegt erst in der Übertragung der Daten. sftp Datentransfers kann ich nicht einfach so mitsniffen.

                * Kein Mail Relay erlauben
                .........
                Wie? Verstehe ich nicht. Also ich habe Postfix als Smarthost eingerichtet.
                mein PHP Skript verschickt auch an @gmx & co..., allerdings über einen externen SMTP Server(gmail auf port 587). Also dürfte bei mir kein SMTP Server lauschen.

                Das weiß ich nicht. Hab mich mit Smarthost noch nicht beschäftigt. Einfach ausprobieren.

                mfg
                  frafu

                1. Hm..

                  Aber wie bekommt man Dateien da hoch?
                  Wenn ich kein FTP und kein SFTP benutzen kann, wie dann??

                  1. Hallo!

                    Aber wie bekommt man Dateien da hoch?
                    Wenn ich kein FTP und kein SFTP benutzen kann, wie dann??

                    Ich hab ja geschrieben, deaktiviere den Dienst, wenn du ihn nicht brauchst. Wenn du ihn brauchst, dann schalt ihn ein, ganz klar.

                    Daten kannst aber zb auch mit ssh transferieren. Ist aber vermutlich eher mühsam, wenn man mit Windows arbeitet.

                    mfg
                      frafu

                    1. Moin!

                      Daten kannst aber zb auch mit ssh transferieren. Ist aber vermutlich eher mühsam, wenn man mit Windows arbeitet.

                      Ja! Und genau das nutzt dann entweder SCP (Secure Copy) oder SFTP (Secure FTP). SFTP ist ein Unterdienst von SSH. Mit anderen Worten: Du verwirrst JOhn gerade durch deine eigene Unwissenheit bezüglich SFTP...

                      SFTP ist übrigens nicht zu verwechseln mit dem sehr seltenen FTPS (FTP via SSL, analog zu HTTPS = HTTP via SSL).

                      Und für Windows ist der Client "WinSCP" empfehlenswert - der macht SCP, SFTP und notfalls auch unverschlüsseltes FTP.

                      - Sven Rautenberg

                      1. Hallo!

                        Ja! Und genau das nutzt dann entweder SCP (Secure Copy) oder SFTP (Secure FTP). SFTP ist ein Unterdienst von SSH. Mit anderen Worten: Du verwirrst JOhn gerade durch deine eigene Unwissenheit bezüglich SFTP...

                        Sorry, mit SFTP kenn ich mich wirklich nicht aus.

                        mfg
                          frafu

              2. Hallo,

                Lauscht auf Port 25 ein SMTP Daemon? Wenn ja, dann darf der nur Mails für die Domain entgegen nehmen die dort gehostet wird. Es darf nicht erlaubt sein über deinen Server zb. Mails an blabla@gmx.net zu schicken. So ein Weiterleiten heißt Relaying und darf maximal nach erfolgreichen Login mit Username/Password oder von Verbindungen von localhost erfolgen.

                Wie? Verstehe ich nicht. Also ich habe Postfix als Smarthost eingerichtet.
                mein PHP Skript verschickt auch an @gmx & co..., allerdings über einen externen SMTP Server(gmail auf port 587). Also dürfte bei mir kein SMTP Server lauschen.

                schau mal hier....
                vielleicht hilft Dir das weiter.

                ==>Relay test result
                ==>All tests performed, no relays accepted.
                sollte das Ergebnis sein!

                Das Problem beim relaying ist das man mit gefaelschten Absender kommen kann und dann sieht der Spam aus als kommt er von Dir!

                bis dann

                Ulli