Im Internet öffentlich erreichbare Webserver sind oft Ziel von Angriffen, welche versuchen, den Webserver zu kompromittieren und/oder nicht verfügbar zu stellen. Diese Angriffe können in der Regel auf folgende Muster reduziert werden:
Denial of Service (DoS) und DDoS
Cross-Site-Scripting (XSS)
Dieser Artikel beschränkt sich auf die Sicherung des Webservers Apache 2.x und setzt entsprechend einen laufenden und funktionierenden Webserver voraus.
Generell helfen spezifische Firewalls, wie sie innerhalb von großen Unternehmen auch betrieben werden. Diese aufwendig konstruierten Deep Paket Inspection Firewalls oder auch Intrusion-Prevention-Systeme wie z.B. SNORT lesen direkt an der Netzwerkhardware den gesamten vorbeikommenden Netzwerk-Datenverkehr mit. Der Inhalt des Stroms an Datenpaketen wird mit charakteristischen Mustern von bekannten Angriffen verglichen. Diese Muster werden allgemein Signaturen genannt, die bei z.B. mit SNORT, ModSecurity
, mod_evasive
und mod_spamhaus
in "Rules" (Regeln) festgehalten werden. Da international gesehen ständig neue Angriffsmethoden auf Computer und Netzwerke bekannt werden, sollte die Sammlung der Signaturen (ähnlich wie bei Virenscannern) regelmäßig aktualisiert werden. Basierend auf diesen "Rules" wird entschieden, ob der Netzwerkverkehr aktiv zugelassen oder blockiert wird.
Wie im Artikel Apache beschrieben, ist der Webserver über Module erweiterbar. Über die offiziellen Paketquellen werden vier Module zur Sicherung des Webservers zur Verfügung gestellt, welche in ihrer Summe eine starke Verteidigung darstellen.
Module zur Sicherung des Apache Webservers | ||
Name | Zweck | |
mod_security | Dieses Modul arbeitet ähnlich einem Intrusion Prevention System (IPS) und durchsucht Anfragen an den Webserver nach sicherheitsrelevanten Mustern. Anleitung für Ubuntu 12.04 oder neuer. | |
mod_security_lucid | Dieses Modul arbeitet ähnlich einem Intrusion Prevention System (IPS) und durchsucht Anfragen an den Webserver nach sicherheitsrelevanten Mustern. Anleitung für Ubuntu 10.04. | |
mod_evasive | Dieses Modul konzentriert sich auf Denial of Service (DoS) über das Protokoll HTTP, DDoS und Brute-Force-Attacken. | |
mod_spamhaus | Dieses Modul verwendet eine DNS-based Blackhole List (DNSBL), um Spam-Relay über Web-Formulare zu blockieren, URL-Injektion zu verhindern, DDoS-Angriffe von Bots über das Protokoll HTTP zu blockieren und den Zugang von einer bekannten IP-Adresse, die in der DNSBL von Spamhaus ![]() | |
mod_geoip2 | Dieses Modul ermöglicht die Bearbeitung der Clientzugriffe basierend auf ihrem Ursprungsland. |