Apache-Webserver müssen im Bereich Sicherheit besser werden

logo apache software foundationApache ist auch nach 20 Jahren die unangefochtene Nummer Eins unter den Webservern. Der modulare Aufbau der Serversoftware ist zweifelsohne maßgeblich an diesem Erfolg beteiligt, denn Anwender können ihren Apache-Server sehr individuell konfigurieren und einsetzen.

»Obwohl bereits in der Standardinstallation recht sicher konfiguriert, sollten Anwender im Bereich der Sicherheit dennoch aktiv werden. CRIME-Attacken oder die Poodle-Sicherheitslücke vom Herbst letzten Jahres zeigen, dass Anwender die Sicherheit ihres Webservers durch Anpassung der Konfiguration sowie eine zusätzliche, umfassende Security Suite deutlich steigern können und dies auch tun sollten. Schließlich haften Serverbetreiber in der Regel für Hackerattacken«, rät Christian Heutger, Geschäftsführer der PSW GROUP (www.psw-group.de).

Um gegen Malware, Spyware und Cyberkriminelle gerüstet zu sein, sollte das System deshalb so angepasst werden, dass Angreifer schwer oder idealerweise gar nicht darauf zugreifen können. Wie Anwender ihren Apache-Webserver absichern und welche Parameter innerhalb der Apache-Konfiguration angepasst werden sollten, hat das Expertenteam der PSW GROUP zusammengestellt:

SSLv3 blockieren

Zwar veraltet, wird das Protokoll SSLv3 nach wie vor als Fallback-Option von nahezu allen Servern und Browsern unterstützt. Der Fallback lässt sich mit dem Befehl »SSLProtocol All -SSLv2 -SSLv3« unterbinden. Alternativ können sämtliche Protokolle bis auf TLS deaktiviert werden. Ein Minus vor dem Parameter blockiert zunächst alle, das Plus vor dem jeweils gewünschten Protokoll erlaubt es: »SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2«.

SSL-Kompression

Um Schutz vor Angriffen wie der CRIME-Attacke zu erfahren, sollte die SSL-Kompression deaktiviert werden: »SSLComression off«

Verschlüsselungsvorgaben

Eigentlich entscheidet der Client darüber, welche Verschlüsselung verwendet werden darf. Wer möchte, dass der Server die Vorgabe trifft, nutzt den Befehl »SSLHonorCipherOrder On«

Cipher-Suites

Anwender haben die Möglichkeit, Cipher-Suites konkret vorzugeben und ungewollte zu blockieren.

HTTPS aktivieren

Mit HSTS ist es beispielsweise nicht mehr möglich, Anwender auf unsichere HTTP-Seiten umzuleiten, um Session Cookies abzufischen. Eigentümer von Apache teilen ihrem Server dafür mit, dass er über einen fest definierten Zeitraum hinweg ausschließlich HTTPS-Verbindungen zulässt. Die Installation des Apache-Moduls »a2enmod headers« ist dafür notwendig.

OCSP aktivieren

Das Online Certificate Status Protcol, kurz: OCSP, verfolgt den Zweck, Zertifikate während des Aufbaus der SSL-/TLS-Verbindung auf ihre Echtheit zu überprüfen. Diese Sicherheitsfunktion macht jedoch nur bei offiziellen Zertifikaten von CAs Sinn, nicht bei selbstsignierten Zertifikaten. Dieses Sicherheitsfeature nützt allerdings nicht jedem Server-Admin, weshalb diese sich vorher mit den Vor- und Nachteilen befassen sollten. Wer das Feature aktiveren möchte, nutzt den Befehl »SSLUseStapling on SSLStaplingCache »shmcb:logs/stapling-cache(150000)«

Da Cyberkriminelle jedwede Komponenten einer Website angreifen können, ist nach Einschätzung des IT-Sicherheitsexperten eine zusätzliche Antiviren-Lösung für Apache-Server unabdingbar. Diese richtet sich danach, welches Betriebssystem Anwender verwenden. So unterstützt Apache beispielsweise Unix, Linux, NetWare, Win32 und zahlreiche weitere Betriebssysteme. »CM-Systeme wie WordPress und Joomla sind genauso anfällig wie Anwendungsumgebungen wie PHP und eben die allgegenwärtigen Apache Webserver. Deshalb muss jeder Webserver mit einer Antiviren-Software ausgestattet sein und darüber hinaus idealerweise auch mit einer Firewall«, sagt Christian Heutger nachdrücklich.

Ein Vergleich der verschiedenen auf dem Markt befindlichen Security-Suites für Webserver lohnt. Besonderes Augenmerk sollte bei der Auswahl auf den Einsatzzweck und den angebotenen Features der Suite liegen. »Eine preiswerte Security-Suite bringt gar nichts, wenn sie nicht genau die Funktionen abdeckt, die benötigt werden. Deshalb sollte nicht der Preis das ausschlaggebende Kriterium sein, sondern vorrangig die Ausstattung der Antiviren-Lösung«, so Heutger.