IT-Sicherheit

Die IT-Sicherheit gilt für die Kommunikation und Vernetzung von Diensten, M2M (Machine-Machine) Kommunikation und eigenen Systemen. Das Ziel der Sicherheit ist, die Unternehmen und deren Informationen vor Schäden zu Schützen.

Durch Konzepte und Massnahmen wird das Sicherheitsrisiko und die womöglich eintretenden Schäden analysiert und die Schwachstellen durch technische Massnahmen geschützt.

Geschäftsbereiche für vertrauenswürdige Anwendungen:

  • Gesundheit
  • Automotive
  • Smart…
    • Cities
    • Grid
    • Factory
    • Health

Besonders bei Steuerungen für Transport, Produktion oder Kraftwerken ist die elektronische Überwachung des Betriebs aber auch die Sicherheit enorm wichtig.

Apache – Berechtigungen

Auf einem Apache-Webserver lassen sich Berechtigungen geben. Sei dies mit der Konfiguration oder dem .htaccess-File.

Achtung: Es muss unter Umständen konfiguriert werden, dass die .htaccess-Datei die Berechtigungen steuern kann.

Ein Beispiel für einen Unterordner, der in jedem vhost enthalten ist:

<Directory /var/www/virtualhosts/*/download/>
...
</Directory>

(Fast) Dasselbe gilt auch für Files: (Beispielsweise eine Adminseite, die nur mit entsprechenden Rechten aufrufbar sein soll)

<Files /var/www/virtualhosts/*/admin.php> 
     AuthName “Admin-Seite” 
     AuthType Basic
     AuthUserFile /apache2/passwords/admin.passwd 
     AuthGroupfile /apache2/passwords/admin.groups 
     Require Group webpage-admin
 </Files>

So müsste man sich mit dem entsprechenden Benutzer anmelden.

Location

Dies lässt zu, Verzeichnisse zu steuern, obwohl sie beim Dateisystem nicht vorhanden sind.

<Location /nothinghere>
</Location>

Reihenfolge

  • <Directory>
  • <Files>
  • <Location>

Authentifizierung

Benutzerdatei erstellen

Benutzer, die verwendet werden, um Zugriffe auf Webseiten zu steuern müssen mit htpasswd unter /usr/local/apache2/bin diese dort erstellt werden.

hostname:~ # /usr/local/apache2/bin/htpasswd -c  \
>/usr/local/apache2/passwords/.htpasswd testuser
New password:****
Re-type new password:****

Standardmässig sind diese Benutzer mit Crypt verschlüsselt.

AuthTypes

  • Basic
    • Funktioniert bei allen Browsern
    • Ist verfügbar, wenn das Modul mod-auth aktiv ist
    • Nicht verschlüsselt
  • Digest
    • benötigt das Modul mod_auth_digest
    • Wird mit md5-Hash verschlüsselt
    • Realm&Zufallswert werden gesendet, damit – auch wenn der Realm bekannt ist, noch Sicherheit da ist.
    • Digest wird noch nicht von allen Browsern unterstützt
#AuthName
AuthName Realm
#AuthUserFile
AuthUserFile Dateiname #Verweis auf entsprechende Passwortdatei (meist .htpasswd)
#AuthGroupFile
AuthGroupFile Dateiname #Gruppendatei, meist .htgroup
#require
Require Nutzerart (Nutzernamel][Nutzername2] #Legt fest, wer zugreifen darf
#user
require user benutzer1, benutzer2 #Benutzer, die nach PW-Eingabe Zugriff haben
#group
require group gruppe1
#valid-user
require valid-user #es werden alle berücksichtigt, die in der entsprechenden Passwortdatei vorhanden sind.

Deny, Allow

Deny from all | host
Allow from all | host
Order [Sortierung]
Allow from www.ichdarf.com
Allow from 192.168.1.10

Satisfy

Macht nur Sinn, wenn Benutzer und Deny, Allow verwendet werden.
Beispiele:

Order deny, allow 
Deny from all
Allow from localhost 
AuthType Basic
AuthName "Ordner Bezeichnung"
AuthUserFile /usr/local/apache2/passwords/.htpasswd 
Require user testuser
Satisfy any

Bei Satisfy any kann ein Benutzer von localhost ohne Zugangscheck zugreifen. Von einer anderen Domain muss die Zugangskontrolle durchgeführt werden. Bei Satisfy all müssen Benutzer von localhost auch den Zugangscheck machen, alle andern dürfen dann gar nicht mehr.

Benutzermanagement

Bei wenigen Benutzern macht es sinn, nur Benutzerdateien zu haben. Bei grösseren Mengen, ist es eher geeignet, dafür Datenbanken zu verwenden.

  • DBM
    • DBM-Datenbanken sind eigentlich nur Dateien, die über Unix vorhanden sind
    • Apache bietet das Modul mod_auth_dbm
    • Beispieltool: dbmmanage
  • MySQL
    • Zugriffsgeschwindigkeit ist höher als bei Textdateien
    • Modul mod_auth_mysql
  • LDAP
    • Grosser Verzeichnisdienst
    • Verwaltung von diversen Informationen
    • Wird auch sonst als zentrale Login-Möglichkeit verwendet
    • Modul mod_auth_ldap

Handler

  • Server-Status
  • Server-Info
SetHandler NameHandler
#Beispiel Serverstatus
SetHandler server-status

#Beispiel Zugriff auf Server-Info
<Location /server-info>
     AuthType Basic 
     AuthName "Server-Info" 
     AuthUserfile /usr/local/apache2/passwords/admin.passwd 
     Require Valid-User
     SetHandler server-info 
 </Location>

 

 

 

httpd.conf

Pfad: /usr/local/apache2/conf/httpd.conf

ServerRoot

ServerRoot "/usr/local/apache2"

PidFile

Hier ist definiert, wo die Verzeichnisse conf  & logs zu finden sind:

PidFile logs/httpd.pid

In dieser Datei ist auch die aktuelle ProzessID. So kann die Prozessnummer ausgelesen und “gekillt” werden:

Kill -USR1 ’cat /usr/local/apache2/httpd.pid'

Listen

Hier lässt sich die Portnummer des HTTP-Servers angeben. Wenn eine andere Portnummer unter 1024 genommen wird, muss der Server mit root-Rechten neu gestartet werden.

Listen 80
Listen 192.170.2.1:80
Listen 192.170.2.5:8000

ServerName

ServerName localhost:80

User, Group

Sobald der Apache startet, muss er mit Benutzerrechten auf die Serverdaten zugreifen. Diese User heissen meist wwwrun, www-data, httpd, apache usw.

User daemon
Group daemon

DocumentRoot

DocumentRoot /usr/local/apache/htdocs

ErrorDocument

ErrorDocument 404 "<h1>Ups, nothing found</h1>"
ErrorDocument 404 /error/404.php
ErrorDocument 404 http://404.com/

IndexOptions

IndexOrderDefault Descending Size

IndexIgnore *.php .?? #Dateien wie .php oder .htaccess nicht anzeigen

AddIcon

AddIcon /srv/icon.ico *.png

Weitere Varianten:

#DefaultIcon
Defaulticon /srv/icon.ico
#AddIconByEncoding
AddIconByEncoding (CMP, /srv/icon.gif) x-compress x-gzip
#AddIconByType
AddIconByType (SND,/srv/soundicon.gif) audio/
#AddAlt
AddAlt TXT *.txt
#AddDescription
AddDescription "theseareimages" *.jpg

 

LAnguage

LanguagePriority de en fr
AddLanguage de de
AddLanguage en en
AddLanguage fr fr
Options +MultiViews
DefaultLanguage de

<Directory> -Tag

Durch Beschränkungen von Richtlinien auf einzelne Ordner können Indizes und Icons besser gesteuert werden. Dies funktioniert auch mit <Files> und <Location>.

<Directory /folderuwant/download>
IndexOptions ...
AddIconByType ...
</Directory>

Datensicherheitskonzept

Zu sichernde Daten

  • Wo sind die Daten?
  • Welche Daten werden gesichert?
  • Welche Art Daten sind es?
  • Wie steht es um die Vertraulichkeit?
  • Wie steht es um die Wichtigkeit?
  • Wie stark werden die Daten wachsen?
  • Wie oft werden die Daten geändert?

Sicherungsmodalitäten

  • Wann soll gesichert werden?
  • Wie oft soll gesichert werden?
  • Wie lange müssen Sicherungen aufbewahrt werden?

Speichermedien

  • Worauf sollen die Daten abgespeichert werden?
  • Wie sind…
    • Geschwindigkeit?
    • Sicherheit?
    • Kapazität?
    • Kosten?

Sicherungssoftware

  • Wie soll die Sicherung durchgeführt werden?
  • Was muss die Sicherungsmöglichkeit bieten?
  • Was darf es kosten?

Aufbewahrung

  • Wo werden die Daten abgelegt?
  • Was sollte beim Lagern alles kontrolliert werden?
  • Wie sieht es mit Datenschutz aus?

Verantwortung

  • Verantwortungen definieren
  • eine sinnvolle Rollenverteilung
  • Wer wäre bei einem Restore erreichbar?
  • Wer führt Backups durch?
  • Wer überprüft Backups?

FCAPS (Network Management)

Fault Management

Ziel des FM ist es sicherzustellen eines fehlerfreien Betriebs und im Störfall die rasche und Nachhaltige Behebung der Störung.

  • Umsetzen organisatorischer Vorbeugemassnahmen
  • Umsetzen technischer Vorbeugemassnahmen
  • Einrichten von Fehler-Erkennungs-Massnahmen
  • Störung identifizieren, Ursache erkennen und Störung beheben
  •  Massnahmen treffen um Wiederholungen zu vermeiden

Configuration Management

Ziel des CM ist das Sicherstellen von aktuellen Konfigurationsinformationen der Netzwerkkomponenten. Die soll so erreicht werden:

  • Alle Geräte (Konfigurationseinheiten) katalogisieren
  • Richtigkeit kontrollieren (Daten sollen der Wirklichkeit entsprechen)
  • Status überwachen (z.B. falls Komponente nicht mehr in Betrieb ist)
  • Neue Konfigurationsdaten aufnehmen und dokumentieren

Accounting Management

Ziel des AM ist es, die Kapazitäten und Kosten der genutzten Netzres. auf die Benutzer verteilen zu können. Die soll so erreicht werden:

  • Nutzung der Ressourcen pro Benutzer quantifizieren (wer hat wann was genutzt)
  • Führen von Nutzungs-Statistiken
  • Führen von Benutzerdatenbanken
  • Festlegen von Ressourcenbeschränkungen (Quotas, maximale Bandbreiten, …)

Performance Management

Ziel des PM ist das Sicherstellen der Leistungsfähigkeit des Netzwerks. Dies soll mit folgenden Aktivitäten erreicht werden:

  • Bestimmung der Leistungsindikatoren, Messgrössen und Grenzwerte
  • Messprogramm festlegen (wie wird gemessen?)
  • Messung durchführen
  • Messresultate analysieren
  • Massnahmen treffen

Security Management

Ziel des SM ist das Sicherstellen aller Sicherheitsmassnahmen, damit die Benutzung des Netzwerks und der Transport der Daten den Sicherheitsrichtlinien entspricht.

  • Schutzmassnahmen gemäss Sicherheitsrichtlinie umsetzen
  • Sicherheitschecks durchführen und Resultate analysieren
  • Resultate bewerten und sicherheitsrelevante Ereignisse ermitteln