Frühjahrsputz Server: Windows Server 2012 R2, Ubuntu Server & Apache2
Unser Frühjahrsputz nähert sich dem Ende: Nachdem wir Desktop-Systeme in neuem Glanz erstrahlen ließen, haben wir uns um Mobil-Systeme und nun um Server gekümmert. Dabei möchten wir der Frage nachgehen, ob Antivirenlösungen noch zeitgemäß sind oder ob Antivirus tatsächlich tot ist. Schon im Desktop- und Mobil-Sektor kamen wir nicht umhin, Ihnen eine Antiviren-Suite dringend ans Herz zu legen. Wie aber ist es bei Servern?
Windows Server, Ubuntu oder Apache2: Gibt es sichere Server?
Server haben andere Sicherheitsanforderungen als etwa der Mobil-Bereich: mobile Endgeräte haben für gewöhnlich keinen festen Standort, weshalb wir uns nicht mit Standortfragen, sehr wohl allerdings mit Diebstahlsicherungen befasst haben. Server hingegen finden für gewöhnlich in einem Serverraum Platz – zumindest sollte dies der Fall sein. Um im Serverraum geeignete Bedingungen zu schaffen, informieren Sie sich bitte im Frühjahrsputz-Artikel über Windows Server 2012 R2, in dem wir uns dem Thema unter dem Absatz „Server-Standort & Zugangskontrollen“ gewidmet haben. Werfen wir einen kurzen Blick auf die Sicherheitsfeatures der einzelnen Server-Systeme:
Windows Server 2012 R2
Windows Server 2012 R2 bringt interessante Bordmittel mit, die Ihnen das Automatisieren erleichtern. Daraus folgend wird vor allem das regelmäßige Reinigen Ihres Servers erleichtert: Skripte zum Automatisieren regelmäßig anfallender Arbeiten erleichtern Administratoren die Arbeit ungemein. Im Internet finden Sie zahlreiche Skriptvorlagen, mit denen Sie Prozesse automatisieren können. Windows Server kann für etliche Einsatzszenarien verwendet werden. Aufgrund dieser Tatsache war es uns leider nicht möglich, Ihnen eine pauschale Konfiguration vorzuschlagen. Nichtsdestotrotz konnten wir Ihnen im Hauptartikel aufzeigen, wie Sie zu Ihrer individuellen Idealkonfiguration kommen.
Um sicher mit externen Mitarbeitern, weiteren Firmenstandorten oder sonstigen Partnern zu kommunizieren, können Sie auf VPN-Verbindungen sowie SSL-verschlüsselte Kommunikationswege setzen. Oftmals offerieren Provider eigene Backbones mit Verbindungsqualitäts-Garantien oder Pakete für die VPN-Nutzung. Sie können so mit wenigen Handgriffen die Sicherheit Ihres Windows-Servers wesentlich erhöhen. Dass sich Sicherheitsgedanken oftmals nach außen richten, kann insbesondere bei Servern relevant werden, wo es nicht nur darum gehen darf, ob die Firewall wirklich alle Angreifer draußen lässt, sondern eben auch darum, welche Mitarbeiter physischen und virtuellen Zugriff auf welche Daten erhalten. Mit Windows Server 2012 R2 haben Sie sämtliche Mittel, die Sie dafür benötigen, inklusive.
Mit dem Encrypting File System (EFS) haben Sie zudem ein Bordmittel an der Hand, dass Ihre Dateien verschlüsselt im Dateisystem abspeichert. Die Frage, ob Sie für Ihren Windows-Server eine Security-Suite benötigen, beantwortet sich just in dem Moment, in dem Sie über den Zweck eines Servers nachdenken: In Unternehmen sind Server sozusagen das Großhirn. Auf eine Security-Suite zu verzichten, hätte etwa denselben Wert, als würden Sie ohne Helm und Gurt mit dem Kopf voraus gegen einen Baum fahren. Vermutlich würden Sie nicht nur Ihrem Großhirn, sondern auch Ihrem restlichen Körper schaden.
Glücklicherweise haben Sie unter Windows Server die freie Wahl, denn Security-Suiten werden für Microsofts Server-System in rauen Mengen angeboten. Achten Sie zunächst auf einen grundlegenden Schutz vor Mal- und Spyware, auf einen Zugriffe kontrollierenden Wächter sowie auf eine Server-Verwaltung, die physisch, virtuell und Cloud-basiert implementieren kann. Auch kann es effizient für die Sicherheit sein, wenn die Suite das Definieren und Überwachen von Sicherheitsregeln beherrscht. Whitelistings schützen vor Zero-Day-Bedrohungen, Änderungskontrollen überprüfen Server auf das Einhalten gesetzlicher Sicherheitsbestimmungen. Eine Firewall in der Suite ist unnötig, da Windows Server 2012 R2 bereits eine effiziente Firewall mitbringt.
Ubuntu Server Edition
Mit der Ubuntu Server Edition installieren Sie sich ein Portfolio verschiedener Serverdienste. Wie auch die Desktop-Version von Ubuntu überzeugt die Server-Edition mit einer grundsätzlich sichereren Systemarchitektur. Das bedeutet jedoch keinesfalls, dass Sie keinen zusätzlichen Schutz benötigen – im Gegenteil: Denken Sie nur an ShellShock oder Ghost! Blicken wir auf die Details:
Fernzugriffe sind unter Ubuntu Server via SSH-Server sicher zu realisieren, da sämtliche Login-Informationen verschlüsselt werden. Das Aufsetzen eines SSH-Servers gestaltet sich einfach; eine Anleitung dazu finden Sie im Ubuntu Server-Hauptartikel. Da OpenVPN Bestandteil der Ubuntu-Paketquellen ist, tauschen Sie mithilfe der vorhandenen Bordmittel Informationen abhörsicher aus.
Wie bereits unter Windows Server ist es auch unter Ubuntu Server relevant, wer, wann und warum auf welche Daten des Servers zugreift. Zugriffsrechte richten Sie unter Ubuntu Server recht zügig mit Bordmitteln ein. Sowohl das Bearbeiten ganzer Gruppen als auch das einzelner User ist schnell umgesetzt.
Dass Malware auch unter Linux ein großes Thema ist, zeigt diese Bilderserie auf networkworld.com. Wenngleich Sie unter Ubuntu aufgrund der Systemarchitektur weniger gefährdet sind, sind Sie jedoch nicht unverwundbar – kein System der Welt ist das. Da auch unter Ubuntu Server eines der größten Sicherheitsrisiken vor dem Gerät sitzt, nämlich sein Anwender, gelten hier dieselben Auswahlkriterien wie für die Security-Suite unter Windows Server.
Apache2
Die Apache Software Foundation hat das Server-System Apache quelloffen und frei gestaltet. Apache zählt zu den am häufigsten genutzten Webservern und der modulare Aufbau des Systems erlaubt schier unendliche Einsatzszenarien. Wie Sie die einzelnen Module aufräumen können und was dafür nötig ist, Systembremsen aufzuspüren, lesen Sie bitte im Hauptartikel über Apache Server nach.
Im Hauptartikel lesen Sie zudem, wie Sie Apache härten und damit sicherer machen. Der Apache Server kann auf verschiedenen Betriebssystemen Einsatz finden, weshalb sich die Auswahl der passenden Security-Suite auch danach richtet, welches OS Sie verwenden. Auch hier bleiben die oben erwähnten Kriterien für Ihre Antiviren-Lösung gleich; etwaige benötigte Features können jedoch je nach Einsatzzweck Ihres Servers abweichen. Vergleichen Sie sehr ausführlich und prüfen Sie, ob die Features dem Einsatzzweck Ihres Apache-Servers entsprechen.
Fazit Server-Systeme
Ausgangspunkt unserer Frühjahrsputzserie war Brian Dyes Aussage, dass kommerzielle Antiviren-Lösungen tot seien. Der Kampf gegen Malware sei laut Dye noch immer lohnenswert, jedoch würden sich Hacker mit oder ohne Security-Suite den Weg ins System bahnen. Können Sie nun also getrost auf Antiviren-Software verzichten? Ein klares Nein – und das gilt plattform- und systemübergreifend, denn weder im Desktop- noch im Mobil- sowie Server-Sektor darf auf Malware- und Spyware-Scans sowie weiterführende Features verzichtet werden.
Während Sie im Desktop- und Mobilbereich lediglich für sich selbst verantwortlich sind, greifen Server noch deutlich tiefer: Sensible Daten, von denen ganze Konzerne abhängig sein können, wollen physisch und virtuell geschützt werden. Nichtsdestotrotz muss der Zugriff von außen aufs System spätestens dann sicher realisiert werden, wenn externe Mitarbeiter, verbundene Dienstleister oder Kunden auf bestimmte Daten zugreifen müssen, um ihrer Arbeit nachzugehen. Server bedürfen also physikalischen Schutz vor Feuer, Wasser und anderen Katastrophen, sind idealerweise in einem geschlossenen Serverraum aufgestellt und erlauben durch Zugriffskontrollen und -rechtevergabe nur bestimmten Personen das Zugreifen auf bestimmte Informationen.
Je nach Einsatzzweck können weitere Anforderungen gestellt werden. Am Beispiel des Webservers seien Webseiten genannt, die von allen Ecken und Enden aus kompromittiert werden können: WordPress-Sicherheitslücken fallen immer wieder auf und auch andere CM-Systeme wie TYPO3 oder Drupal sind nicht vor Schwachstellen gefeit. Anwendungsumgebungen, etwa PHP, sind ebenfalls anfällig. Warum sollte es den weitverbreiteten Apache-Webservern anders gehen? Und bedenken Sie: Serverbetreiber haften in aller Regel für Hackerattacken!
Sichern Sie Ihr System mit vorhandenen Bordmitteln ab, unsere Hauptartikel weisen Ihnen den Weg dorthin. Besorgen Sie sich zusätzlich eine Security-Suite, deren Features genau abdecken, was Sie benötigen. Antivirus ist nicht tot und wird auch so schnell nicht aussterben – im Gegenteil: Die Bedrohungen werden immer komplexer. Deshalb ist eine Software, die es ausschließlich auf Malware abgesehen hat, keinesfalls zielführend. Sie benötigen Rundum-Schutz, der idealerweise auch zukunftsfähig ist. In unseren Hauptartikeln erfahren Sie die jeweiligen Schwachstellen jedes Systems. Ihre Aufgabe ist es nun, diese mithilfe einer entsprechenden Security-Suite möglichst umfassend auszugleichen. Sind Sie an der einen oder anderen Stelle unsicher, können Sie unsere Kommentarfunktion gerne für Ihre Fragen nutzen. Wir wünschen Ihnen allzeit sicheres Arbeiten – unterwegs genauso wie stationär!
Schreibe einen Kommentar