Informations/Telekommunikations- Dienstleistungen Christian Freter

Partner von AVM und Seagate

1&1 Premiumpartner 

 

Zum kostenlosen Virenscan von

F- Secure bitte 1x klicken!

 

In diesem Blog findet ihr Informationen zu Sicherheitsbedrohungen bei ausgewählten Produkten, Hintergrundinformationen und Links zu wichtigen Webseiten für das Internet. Ich kann keine direkte Aktualität in diesem Blog gewährleisten. Deshalb schaut auch mal öfters bei Webseiten von PC Zeitschriften oder Anbietern von Virenschutz oder bei den Herstellern selber (oft Englisch und benötigt Fachkenntnisse). 

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt vor der Verwendung der Antivirusprogramme von Kaspersky!

 

Kaspersky ist ein russischer Sicherheitsexperte und könnte von der russischen Regierung als Werkzeug für Angriffe ausgenutzt werden.

 

 

 

   

 

NGINX ist ein Open Source Hochleistungs- Webserver und ist ursprünglich eine russische Entwicklung. Durch die Open Source Lizenz wird der Server allen kostenlos zur Verfügung gestellt. Er ist unter anderem eine wichtige Komponente in der Synology Netzwerktechnik, welche auch von mir verwendet wird.

Bereits am Anfang des Krieges gab es eine Untersuchung der US Sicherheitsbehörden zur kritischen IT- Infrastruktur. Natürlich kam der NGINX dabei mit in den Fokus der Gutachter (etwa 10% der IT in den größeren Ländern verwendet diesen Server). Da der NGINX bzw. sein kommerzieller Teil, durch den die Sache auch finanziert wird, von einem US Unternehmen übernommen wurde und der russische Erfinder aus dem gewerblichen Teil des Projektes ausstieg, gab es keine akute Bedrohungssituation. Und es war auch tatsächlich so, dass russische Büros wegen angeblicher Steuerhinterziehung von der russischen Polizei durchsucht wurden.  

Mit dem fortschreitenden Krieg muss man sich natürlich weitere Gedanken machen. Aktuell sind wohl russische Entwickler vorerst aus dem gewerblichen Projekt ausgeschlossen worden. Dadurch geht natürlich viel russisches IT Know- How  verloren, aber das Projekt wird wahrscheinlich überleben. Wegen all dieser Aspekte werde ich zu diesem Zeitpunkt auch nicht auf die Synology Technik verzichten.       

   

Im Sicherheitsblog habe ich auf einen Angriff auf die Microsoft Cloud hingewiesen. Es gab zwei Vorfälle mit Microsoft. Das erste Problem mit der Microsoft Cloud, das zu Ausfällen auf den Flughäfen führte, war kein Angriff, sondern wurde durch ein fehlerhaftes Update verursacht. Eine Woche später erfolgte der eigentliche Angriff. Microsoft benötigte einen Tag, um die Situation unter Kontrolle zu bringen, und einen weiteren Tag, um den Dienst wieder vollständig zur Verfügung zu stellen. Die Wucht des Angriffs muss enorm gewesen sein, da Microsoft ein renommiertes Unternehmen ist, das selbst hochwertige Serverprodukte entwickelt. Welche Maßnahmen können ergriffen werden, um solche Angriffe zu verhindern oder zumindest zu verlangsamen?

 

Ein Ansatz sind Proxyserver. Ein Proxyserver ist im Wesentlichen ein Programm, das auf einem sehr leistungsstarken Computer ausgeführt wird. Natürlich kann auch ein kleiner Raspberry PI in einen Proxyserver umfunktioniert werden, aber in der Regel handelt es sich um deutlich größere Systeme, z. B. ein großes NAS oder ein großer Server-PC (nicht unbedingt mit den PCs bei uns zu Hause vergleichbar, aber ähnlich).

 

Der Proxyserver wird am Netzwerkrand eingesetzt. Dabei ist der Begriff "Netzwerkrand" relativ zu verstehen. Ein Proxy kann mit dem Internetzugang eines Unternehmens verbunden sein, aber auch in das Netzwerk eines Internet Service Providers (ISP) integriert sein. ISPs sind Unternehmen wie die Telekom, 1&1 oder andere Dienstleister, die Serverkapazitäten bereitstellen und sich auf solche Dinge spezialisiert haben.

 

Grundsätzlich unterscheidet man 2 Arten von Proxys: der Reverseproxy und der Forwardproxy. Diese beiden Varianten können unterschiedliche Konfigurationen zu Grunde gelegt haben, wodurch es zu weiteren Anwendungsbereichen kommen kann.

 

Ein Forwardproxy kommt zum Beispiel am Internetzugang eines Unternehmens zum Einsatz. Der Proxy leitet Netzwerkverkehr aus dem Unternehmen in das Internet und letztlich auch wieder zurück. Aber eine andere wichtige Aufgabe ist die Zwischenspeicherung von Webseiten. Die Zwischenspeicherung verringert die Zugriffszeit auf eine Webseite, weil Teile der Webseite bereits im Unternehmensnetzwerk bzw. auf dem Proxy vorhanden sind und nicht mehr über das Internet abgerufen werden müssen. Beispiel Büro PC: Der Büro PC ruft eine Webseite aus dem Internet auf. Der Proxy analysiert den Webseitenaufruf, prüft ob der Zugriff erlaubt ist und prüft ob Teile der Webseite im Zwischenspeicher vorhanden sind.

 

Ein Reverseproxy dreht die Sache um. Dieser Proxy würde eingehenden Internetverkehr verarbeiten, z.Bsp. den Internetverkehr einer Unternehmenswebseite. Also ein Unternehmen hat einen eigenen Webserver auf dem die Unternehmenswebseite bereitgestellt wird. Blöderweise hat die Webseite dermaßen viele Zugriffe, dass der Webserver dieses nicht verarbeiten kann. Jetzt könnte man einen Proxy vor den Webserver schalten, der sämtliche Webseitenaufrufe verarbeitet, um den Webserver zu entlasten. Man könnte es auch als "vorkauen" betiteln. Das geht soweit, dass der Proxy die SSL Verbindungen der Client PC verarbeitet und die Aktualisierung des Caches nur über HTTP Verbindungen zum Webserver erfolgen muss. Zusätzlich kann der Reverseproxy als eine Art "Firewall" agieren, d.h. der Proxy filtert und würde bei einigen Angriffen wahrscheinlich als Erstes in die "Schußlinie" geraten.

 

Wenn ihr mehr über Proxys erfahren wollt, dann schaut mal nach dem "Apache Trafficserver". Der Server kann etwas mehr, z.Bsp. Routing zu einer anderen Serverinstanz über TCP mit Tunnel (Layer 4 Routing). Der Server ist Open Source und wurde ursprünglich von "Yahoo" entwickelt. "Yahoo" ist ein großes Unternehmen im Internetgeschäft von Webdiensten und wurde vor einer Weile aufgekauft (glaube Microsoft wars). Da kann ich aber auch falsch liegen. Jedenfalls musste der Server bei "Yahoo" viel Arbeit leisten und war sehr vielen Angriffen ausgesetzt. Irgendwann entschloss sich "Yahoo", den Server an "Apache" zu übergeben und damit unter "Open Source" Lizenz zu stellen. Die genauen Gründe sind mir nicht bekannt. Ansonsten findet ihr auf den Synology NAS einen kleinen Proxyserver. Es ist ein kleiner Proxy mit Zugriffsregeln über die Lightweigth Directory (LDAP), Microsoft Active Directory und IP basierte Filter. Dazu kommt eine Protokollierung, die bei Bedarf aktiviert werden kann. Im Zwischenspeicher können ausschließlich HTTP Webseiten gehalten werden. In einer HTTPS Verbindung würden die Zugriffsrechte geprüft werden, aber die Webseite bzw. Teile einer Webseite werden nicht in den Zwischenspeicher kopiert.