Grundlagen

Server-Sicherheit

In unserer Grundlagen-Rubrik erklären wir wichtige Aufgaben und Technologien aus dem Arbeitsalltag eines Netzwerk- und Systemadministrators. Hier erfahren Sie anhand prägnanter Erklärungen zu den wichtigsten Begriffen des jeweiligen Themenfeldes Hintergründe und Zusammenhänge in kompakter, praxisnaher Form.

Isoliert lässt sich das Thema Server-Sicherheit kaum mehr betrachten, da die Server natürlich in ein Netzwerk eingebunden sind und zahlreiche Clients von innen und außen darauf zugreifen. Auch spielt die Virtualisierung eine zunehmenden Rolle in Fragen der Server-Sicherheit. Und was nützen Firewall und Co., wenn sich einfach User dank Admin-Rechten im Netzwerk schnell mal zum Domänen-Admin ernennen können?
Virtuelle Gefahren
In virtuellen Umgebungen verstärken sich Sicherheitsprobleme relativ leicht. Die Ursache dafür liegt im Bedienkomfort, der viele Vorgänge für den Admin vereinfacht. So erfordert es nur wenige Mausklicks, um eine virtuelle Maschine (VM) zu vervielfältigen. Auf diese Weise ist schnell ein neuer Server oder sind zusätzliche Clients eingerichtet, was früher Stunden oder Tage dauerte. Oft jedoch werden dadurch unbedacht auch Konfigurationen und Zugänge mitkopiert, die auf dem neuen System eigentlich gar nichts zu suchen haben. Das fängt bei Diensten und Komponenten an, die in der Vorlage nötig waren, anderswo aber nicht, und hört bei dem Administratorkonto noch lange nicht auf, das nun auf allen Klonen dasselbe Kennwort besitzt.

Ähnlich gefährlich ist die gängige Praxis, VM-Server mal eben durch das Kopieren der virtuellen Festplattendatei zu sichern. Ein solches Backup braucht natürlich Platz, und wenn dieser knapp ist, landet die Kopie schnell irgendwo im Netzwerk. Und dort bleibt sie dann – ohne Rücksicht, wer noch alles darauf zugreifen kann. Bei Sicherheits-Checks finden Consultants immer wieder vagabundierende VM-Images mit sensiblen Daten an ungeschützten Orten. Warum soll ein Angreifer sich da noch die Mühe machen, den Server zu hacken, wenn er ihn einfach mitnehmen kann?

Admin-Konten außer Kontrolle
Eng verwandt mit dem Problem des universalen Kennworts ist die so genannte "Königsfamilie". Immer noch gibt es in den meisten Netzwerken nur Herrscher, aber keine Anwender. Der Grund: Alle Benutzer verfügen über Administratorrechte auf ihren Computern. Dabei ist es längst kein Geheimwissen mehr, dass in einer Windows-Domäne ein lokaler Admin sich selbst mit wenig Aufwand zum Domänen-Admin machen kann. Ähnliches gilt übrigens auch für andere Betriebssysteme.

Übrigens sind die Windows-Hauptbenutzer, auf die viele Admins gern ausweichen, wenn sie ihre User nicht zu Admins machen wollen, nichts weiter als Administratoren im Wartestand. Die Angriffe, mit denen ein Hauptbenutzer zum uneingeschränkten Admin wird, sind ebenso simpel wie bekannt. Immerhin hat Microsoft dem mit Windows 7 und Vista einen Riegel vorgeschoben, denn dort gibt es die Gruppe zwar noch, aber sie besitzt keine erweiterten Rechte mehr.

Noch einfacher machen es viele Administratoren den Angreifern, wenn sie das vordefinierte Administrator-Konto verwenden, das Windows immer vorhält – für Rechner unter Linux und Mac gilt dasselbe, nur heißt das Konto dort "root". Neben seinen Adminrechten hat es noch ein paar weitere attraktive Eigenschaften, die es sehr bequem machen – es wird in den meisten Umgebungen auch nach falscher Kennworteingabe nicht gesperrt, es unterliegt nicht der User Account Control (UAC) und es darf EFS-verschlüsselte Daten entziffern.

Immer noch finden sich in Unternehmen zahlreiche Dienste, die sich mit dem Administratorkonto anmelden, weil der Systemverwalter es versäumt hat, ein eigenes Dienstkonto zu erzeugen. Kennt ein Einbrecher Lücken in solchen Diensten, hält er den Generalschlüssel zum Netz praktisch schon in der Hand.

Sicherheit ganzheitlich denken
IT-Sicherheitsprobleme sind nur zu einem sehr geringen Anteil technischer Natur. Der Löwenanteil entfällt auf Nachlässigkeit und Bequemlichkeit im Betrieb der Systeme. Die Lücken, die auf diese Weise entstehen, sind oft so gravierend, dass technisches Aufrüsten an anderer Stelle sinnlos wird. Es gibt Berater, die daher Firewalls für tot erklären. Das ist natürlich nur als Provokation zu verstehen, doch es lohnt darüber nachzudenken, ob die klassische Fokussierung auf technische Lösungen nicht oft den Blick auf die Grundlagen verstellt und damit der Sicherheit einen Bärendienst erweist.

Das gilt umso mehr im aktuellen Cloud-Hype, in dem herkömmliche Sicherheitstechniken versagen und die Vorstellung von einem guten Inneren und dem bösen Äußeren zerstören. Solchen neuen Herausforderungen kann nur begegnen, werden Blick auf IT-Sicherheit ausbreitet und sich dem Thema ganzheitlich nähert. Und wie man es dreht oder wendet: Ohne große Sorgfalt lässt sich kein IT-System sicher betreiben. Die größte Gefahr besteht nicht in irgendwelchen Programmfehlern, sondern in der Art, wie wir unsere Netzwerke betreiben.

Mehr zum Thema "Server-Sicherheit" finden Sie in der Oktober-Ausgabe des IT-Administrator.
28.09.2012/dr/Nils Kaczenski

Nachrichten

Automatisierter Rundumschutz [20.01.2020]

Check Point veröffentlicht mit "Fast Track Network Security" eine neue Sicherheits-Suite. Sie verspricht zuverlässigen Schutz, hohe Skalierbarkeit, umfangreiche Kontrolle und einfache Implementierung. Die Suite umfasst fünf neue Check-Point-Quantum-Security-Gateways für Zweigstellen und mittelständische Unternehmen, außerdem ein Gateway, das für Maestro-Hyperscale-Umgebungen großer Unternehmen und Rechenzentren entwickelt wurde. [mehr]

Kritische Citrix-Schwachstellen werden ausgenutzt [17.01.2020]

Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) liegen zahlreiche Meldungen vor, nach denen Citrix-Systeme erfolgreich angegriffen werden. Das BSI ruft Anwender erneut dringend auf, die vom Hersteller Citrix bereitgestellten Workaround-Maßnahmen umgehend auszuführen und nicht auf die Sicherheitsupdates zu warten. [mehr]

Einfallstor VPN [15.01.2020]

Tipps & Tools

Vorschau November 2019: Container & Anwendungsserver [21.10.2019]

Das Bereitstellen von Anwendungen ist eine zentrale Administrationsaufgabe und Fehler hierbei fallen Mitarbeitern wie Kunden unmittelbar auf. Eine wichtige Rolle spielt das Fundament für Applikationen, die Serverlandschaft. In der November-Ausgabe beleuchtet IT-Administrator das Thema "Container & Anwendungsserver". Darin lesen Sie etwa, welche Best Practices Sie bei Microsofts IIS nutzen sollten und wie Sie Container-Logdaten mit Fluentbit auswerten. Außerdem werfen wir einen Blick auf die Orchestrierung von Containern und die Kubernetes-Alternative Nomad. In den Tests tritt der Solarwinds Server & Application Monitor an. [mehr]

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Buchbesprechung

Handbuch Online-Shop

von Alexander Steireif, Rouven Rieker, Markus Bückle

Anzeigen