Der Sicherheit eines Servers wird häufig erst dann eine hohe Priorität eingeräumt, nachdem es schon zu spät ist. Allerdings lässt sich ein Server mit vergleichsweise simplen Mitteln vor unbefugtem Zugriff schützen. In diesem Eintrag stellen wir euch einige Möglichkeiten vor, mit denen ihr die Sicherheit eurer Server grundlegend erhöhen können.
Passwörter
Zuerst solltet ihr dafür sorgen, dass ihr nur Passwörter verwendet, die gewissen Standards folgen, um ein erraten der Passwörter zu erschweren. Passwörter sollten mindestens 16 Zeichen erhalten, keine Wörter oder wiederholten Sequenzen (z.B. „asdfasdf“) enthalten und sowohl aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen bestehen. Ebenfalls sollte ein Passwort lediglich für einen Zweck verwendet werden und nicht mehrfach genutzt werden. Diese Standards lassen sich komfortabel mit einem Passwortgenerator und einem Passwortmanager durchsetzen.
Updates und Dienste
Eines der häufigsten Probleme, die Angreifern den Zugriff auf einen Server ermöglichen, ist das Ausnutzen von Sicherheitslücken in Diensten oder Betriebssystemen. Daher sind regelmäßige Updates essentiell für einen sicheren Server. Sicherheitsupdates sollten so schnell wie möglich eingespielt werden.
Auf euren Servern sollten sich weiterhin nur Dienste befinden, die ihr auch benötigt. Überprüft daher die installierte Software auf euren Servern und deinstalliert unbekannte und nicht benötigte Dienste. Wichtig ist auch, dass Dienste immer von einem eigenen User mit eingeschränkten Rechten ausgeführt werden und nicht vom root-Benutzer.
Remotezugangsbeschränkung
Den Zugang zu euren Servern über SSH oder RDP solltet ihr so beschränkt wie möglich halten.
Bei SSH sollte der direkte Login als root-Benutzer verboten werden und stattdessen ebenfalls ein Benutzer ohne besondere Berechtigungen genutzt werden. Zur Administration des Servers können diesem Benutzer zum Beispiel mit dem Programm sudo vorübergehend höhere Rechte zugewiesen werden. Auch ist zu empfehlen den Zugang mit Passwörtern zu verbieten und nur Zertifikate zu nutzen. Hierfür wird ein sogenanntes Public-Key-Verfahren eingesetzt. Dies bedeutet, dass jeder Client und jeder Server sowohl einen öffentlich Schlüssel besitzen muss, mit dem Andere Nachrichten an den Client oder Server verschlüsseln können, als auch einen privaten Schlüssel, mit dem diese Nachrichte wieder entschlüssselt werden können. Den privaten Schlüssel solltet ihr unbedingt immer sicher verwahren. Im Falle der SSH-Authentifizierung ohne Passwort wird der öffentliche Schlüssel jedes Clients, der sich mit dem Server verbinden dürfen soll, auf dem Server hinterlegt.
Bei RDP solltet ihr nur sichere Verbindungen akzeptieren. Dies sorgt dafür, dass das Network Level Authentication-Protokoll (NLA) genutzt wird, welches die Authentifizierung des Clients schon vor dem aufbauen einer Session überprüft.
Wo möglich empfiehlt sich auch die Nutzung von einer Zwei-Wege-Authentifizierung, bei der zusätzlich zu den eigentlichen Zugangsdaten ein Zugangscode für die Authentifizierung verwendet, der an ein authorisiertes Gerät versendet wird, häufig zum Beispiel ein Smartphone.
Sicherung gegen Bruteforce
Mit dem Dienst fail2ban lassen sich Broteforce-Angriffe, also Angriffe, bei denen der Zugang zu einem System durch häufiges ausprobieren verschiedener Kombinationen verschafft werden soll, für einzelne Dienste erkennen und blockieren. Dies empfiehlt sich besonders für SSH, lässt sich auf alle Dienste anwenden, die fehlgeschlagene Loginversuche in Logs festhalten.
Firewall
Abschließend könnt ihr mit einer Firewall ein- und ausgehende Verbindungen beschränken. Dafür ist eine Softwarefirewall ausreichend, wie z.B. iptables oder die Windowsfirewall. Im Normalfall sollten nur eingehende Verbindungen zugelassen werden, die benötigt werden und alle anderen Verbindungen blockiert werden.
Mit diesen einfachen Schritten können Sie Ihren Server und Ihre Daten vor Missbrauch und unbefugtem Zugriff schützen. Weiterfolgende Schritte sind abhängig von der Verwendung des Servers und können zum Beispiel die spezielle Konfiguration einzelner Dienste oder die Erkennung von Einbrüchen beinhalten.
No Comments