Sicherheit: Unterschied zwischen den Versionen
Rb (Diskussion | Beiträge) KKeine Bearbeitungszusammenfassung |
Rb (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
||
(5 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
[[category: | [[category:fertig]][[category:Webhosting]] | ||
'''Diese Seite befindet sich derzeit in Bearbeitung.''' | '''Diese Seite befindet sich derzeit in Bearbeitung.''' | ||
= Sicherheit = | |||
Das neue Menü im DCP beinhaltet mehrere Sicherheitsfunktionen, um Ihre Webseiten zu schützen. | Das neue Menü im DCP beinhaltet mehrere Sicherheitsfunktionen, um Ihre Webseiten zu schützen. | ||
Zeile 14: | Zeile 11: | ||
== ModSecurity == | == ModSecurity == | ||
Das ModSecurity-Tool ist ein Open-Source-Web Application Firewall (WAF)-Modul, das entwickelt wurde, um Webanwendungen vor verschiedenen Bedrohungen und Angriffen zu schützen. Es arbeitet auf der Ebene des Webservers und überwacht HTTP-Anfragen und -Antworten in Echtzeit. | |||
Unter Sicherheit -> ModSecurity gibt es eine kleine Übersicht mit den Subdomains, für die ModSecurity verwendet wird. | |||
[[Datei:Modsecurity.png]] | |||
Wenn Sie das Ganze einsetzen möchten, können Sie das für jede Subdomain im DCP unter "Domains" -> "Subdomains" einstellen. Für eine ausführliche Erklärung, siehe hier: | |||
https://support.artfiles.de/Subdomains#Subdomain_bearbeiten | |||
== IDS == | == IDS == | ||
{{:Intrusion_Detection_System_(IDS)}} | {{:Intrusion_Detection_System_(IDS)}} | ||
Aktuelle Version vom 21. November 2024, 21:04 Uhr
Diese Seite befindet sich derzeit in Bearbeitung.
Sicherheit
Das neue Menü im DCP beinhaltet mehrere Sicherheitsfunktionen, um Ihre Webseiten zu schützen.
IP-Filter
IP-Filter allgemein
Unser IP-Filter-Tool ist dafür da, den Zugriff von IP-Adressen zu beschränken oder nur von bestimmten IPs zu erlauben. Die Rate Limits und HTTP/HTTPS-Filter werden hier bspw. dafür genutzt, um nur begrenzte Zugriffe einer IP-Adresse zu erlauben und IP-Adressen auszusperren. Der Protokoll-Filter hingegen ermöglicht, das Beschränken auf bestimmte IP-Adressen, sodass man z.B. den Zugriff auf FTP, SSH, DCP und die DCP-API nur für interne IP-Adressen erlauben kann.
Der IP-Filter kann erst ab den "Professional Web"-Tarifen über eine Zusatzvereinbarung dazu gebucht werden und ist danach im DCP unter "Sicherheit" -> "IP-Filter" zu finden.
IP-Filter einrichten
- Beim Rate-Limit können Sie die maximalen parallelen Verbindungen und Verbindungen pro Sekunde für IP-Adressen limitieren. Dies wird üblicherweise verwendet, um Überlastung zu vermeiden und die Sicherheit zu erhöhen.
- Um IP-Adressen hinzuzufügen, müssen Sie auf das grüne + klicken.
- Bei Quell-IPs/Präfix können Sie die IP-Adresse (IPv4/IPv6) mit einem Präfix eintragen.
- Hier können Sie einstellen, auf was Sie die Zugriffe limitieren möchten.
- max. parallele Verbindungen: Das Limit bezieht sich darauf, wie viele aktive Verbindungen ein Benutzer oder System gleichzeitig zu einem Dienst aufbauen darf. Zum Beispiel könnten Sie hier nur fünf gleichzeitige Anfragen von einer IP-Adresse erlauben. Nach der sechsten Verbindung, während die anderen fünf noch aktiv sind, würde diese sechste Anfrage blockiert oder verzögert werden, bis eine der anderen Verbindungen beendet worden ist.
- max. Verbindungen pro Sekunde: Das Limit bezieht sich darauf, wie viele Anfragen ein Benutzer oder System in einer Sekunde an den Dienst senden kann. Angenommen, eine IP-Adresse hat ein Limit von 10 Verbindungen pro Sekunde. Wenn ein Benutzer versucht, mehr als 10 Anfragen in einer Sekunde zu senden, würden die zusätzlichen Anfragen entweder abgelehnt oder in eine Warteschlange gestellt, um später verarbeitet zu werden.
- Um die Regel auf "aktiv" zu setzen, müssen Sie hier den Haken setzen.
- Wenn Sie die Regel löschen möchten, müssen Sie hier auf den "Mülleimer" klicken.
- Der Protokoll-Filter ermöglicht es, den Zugriff verschiedener Dienste auf bestimmte IP-Adressen zu limitieren. Nachdem eine IP-Adresse eingetragen ist, kann nur noch über diese auf den gewählten Dienst zugegriffen werden. Ihre aktuell genutzte IP-Adresse muss hier auch eingetragen sein, damit Sie die Regeln übernehmen können. Das ist eine Sicherheitsvorkehrung, damit Sie sich nicht selbst aussperren.
- Limit: Hier können Sie bei den Diensten zwischen SSH, FTP, DCP, DCP-API wählen.
- Beim Filter (HTTP(S)) können Sie den Zugriff von IP-Adressen auf Ihre Webseiten entweder per DROP sperren oder per ACCEPT erlauben.
- Bei den Aktionen kann demnach zwischen ACCEPT und DROP gewählt werden.
- Falls gewünscht, können Sie noch eine "Default Policy" wählen. Mit der Default Policy können Sie auswählen, ob alle Pakete per Default abgelehnt oder akzeptiert werden sollen. Eine Drop-Default-Policy brauchen Sie bspw., wenn Sie nur einzelne IP-Adressen zulassen möchten. Eine Allow-Default-Policy, wenn Sie nur einzelne IP-Adressen verbieten möchten.
ModSecurity
Das ModSecurity-Tool ist ein Open-Source-Web Application Firewall (WAF)-Modul, das entwickelt wurde, um Webanwendungen vor verschiedenen Bedrohungen und Angriffen zu schützen. Es arbeitet auf der Ebene des Webservers und überwacht HTTP-Anfragen und -Antworten in Echtzeit.
Unter Sicherheit -> ModSecurity gibt es eine kleine Übersicht mit den Subdomains, für die ModSecurity verwendet wird.
Wenn Sie das Ganze einsetzen möchten, können Sie das für jede Subdomain im DCP unter "Domains" -> "Subdomains" einstellen. Für eine ausführliche Erklärung, siehe hier: https://support.artfiles.de/Subdomains#Subdomain_bearbeiten
IDS
IDS-Überwachung allgemein
Sie können über das DCP mehrere Dateien und Verzeichnisse angeben, die mit dem IDS - "Intrusion Detection System" - überwacht werden sollen. Hierbei können Sie einstellen, ob die Dateien oder Verzeichnisse vorhanden sein müssen oder gar nicht existieren dürfen. Sie können auch festlegen, ob sich bestimmte Dateien oder Verzeichnisse verändern dürfen. Wenn das IDS eine Abweichung von den Einstellungen feststellt, werden Sie per E-Mail und/oder SMS an die von Ihnen eingetragene Adresse benachrichtigt. Bevor Sie eine Dateiüberwachung anlegen können, müssen Sie unter Sicherheit->IDS ein IDS angelegt haben.
IDS-Dateien Übersicht
- Hier wird Ihnen angezeigt, für welche Datei/welches Verzeichnis eine IDS-Regel angelegt wurde.
- Hier wird Ihnen angezeigt, ob es sich bei dem unter "1" angegebenen Namen um eine Datei oder ein Verzeichnis handelt.
- Wenn Sie mit der Maus über die Liste gehen, verfärbt sich die Zeile des jeweiligen Eintrages, über dem Sie sich mit dem Mauszeiger befinden, blau. Sie können auf einen Eintrag klicken, um in den "Bearbeiten"-Modus zu gelangen, so dass Sie die Einstellungen einer IDS-Regel bearbeiten, diese löschen oder die Dateiattribute neu einlesen können, falls diese sich geändert haben.
IDS-Dateien/Verzeichnisse anlegen
Dateiinformationen
- Pfad: Wählen Sie hier den Pfad zur Datei/zum Verzeichnis aus, das überwacht werden soll. Beim Anklicken des Buttons "Auswählen" öffnet sich ein Pop-Up-Fenster. Hier können Sie die Datei oder das Verzeichnis auswählen, das überwacht werden soll. Durch einen Klick auf den Radiobutton vor der Datei oder dem Verzeichnis, wählen Sie dieses aus.
- Typ: Stellen Sie hier ein, ob es sich beim Ziel des oben angegebenen Pfades um eine Datei oder ein Verzeichnis handelt.
Berechtigungen
- Datei/Verzeichnis existiert: Stellen Sie hier ein, ob das Ziel existieren muss, existieren kann (es also beliebig ist) oder nicht existieren darf.
- Dateiinhalt darf sich ändern: Stellen Sie hier ein, ob sich der Inhalt der Datei (nicht zwangsläufig die Größe) ändern darf.
- Datei/Verzeichnis darf wachsen: Stellen Sie hier ein, ob die Datei (Größe) oder das Verzeichnis (Inhalt) wachsen darf.
- Datei/Verzeichnis darf schrumpfen: Stellen Sie hier ein, ob die Datei (Größe) oder das Verzeichnis (Inhalt) schrumpfen darf.
- Zugriffsrechte ändern: Stellen Sie hier ein, ob sich die Zugriffsrechte (Lesen, Schreiben, Ausführen) des Zieles ändern dürfen.
- Besitzrechte ändern: Stellen Sie hier ein, ob sich die Besitzrechte (sowohl Eigentümer als auch Gruppe) des Zieles ändern dürfen.
- Wildcard muss zutreffen: Geben Sie hier Wildcards (Reguläre Ausdrücke nach PCRE) für Verzeichnisinhalte an, die zutreffen müssen - es müssen also Dateien im Zielverzeichnis vorhanden sein, die auf die angegebenen Wildcards zutreffen. Mehrere Wildcards sind durch einen Zeilenumbruch/Newline voneinander zu trennen.
- Wildcard darf nicht zutreffen: Geben Sie hier Wildcards (Reguläre Ausdrücke nach PCRE) für Verzeichnisinhalte an, die nicht zutreffen dürfen - es dürfen also keine Dateien im Zielverzeichnis vorhanden sein, die auf die angegebenen Wildcards zutreffen. Mehrere Wildcards sind durch einen Zeilenumbruch/Newline voneinander zu trennen.
Benachrichtigungen
- E-Mail: Geben Sie hier eine E-Mail Adresse an, an die Alarmmeldungen per E-Mail geschickt werden sollen.
- SMS: Geben Sie hier eine Handynummer an, an die Alarmmeldungen per SMS gesendet werden sollen.
IDS-Alarme allgemein
Wenn das IDS-Änderungen an Ihren Dateien oder Verzeichnissen feststellt, die gegen die eingestellten Regeln verstoßen, werden Alarme ausgelöst. Je nachdem was Sie eingestellt haben, werden Sie über die Alarme auch per E-Mail und/oder SMS informiert. Die Alarme bleiben so lange bestehen, bis entweder der alte Zustand wiederhergestellt ist oder Sie die Dateien/Verzeichnisse neu einlesen. Die Neueinlesung können Sie über den Bearbeitendialog der jeweiligen Datei-/Verzeichnisüberwachung beauftragen.
IDS-Alarme Übersicht
In der Alarmübersicht werden sämtliche aktive Alarme von Dateien/Verzeichnissen dargestellt, die zur Überwachung eingetragen wurden. Aktive Alarme werden automatische geschlossen, sobald die aktuellen Datei-/Verzeichnisattribute wieder mit den eingetragenen übereinstimmen. Alarmmeldungen werden standardmäßig alle 30 Minuten an die optional hinterlegte E-Mail Adresse/Handynummer verschickt.
- Schließen: Mit dieser Aktion schließen Sie die ausgewählten Alarme. Beachten Sie jedoch, dass mit einem neuen Prüflauf auch neue Alarme versendet werden, sollten die eingetragenen Datei-/Verzeichnisattribute nicht mit den tatsächlichen übereinstimmen. Um Änderungen an Dateien/Verzeichnissen zu bestätigen, müssen Sie diese neu einlesen. Die Neueinlesung können Sie über den Bearbeitendialog der jeweiligen Datei-/Verzeichnisüberwachung beauftragen.
- Block aufheben: Hiermit heben Sie die Blockierung ausgewählter Alarmmeldungen wieder auf.
- Blocken für "xx" Stunden: Hier können Sie ausgewählte Alarme zeitweise blockieren. Sie erhalten für den entsprechenden Zeitraum dann keine Benachrichtigungen per E-Mail/SMS.
- Letzter Alarm: Der Zeitstempel zeigt Ihnen an, wann das IDS die Veränderung an der Datei/dem Verzeichnis zuletzt festgestellt hat.
- Blocken bis: Zeigt Ihnen an, bis wann die Benachrichtigung des entsprechenden Alarms blockiert ist, Sie also keine weiteren Benachrichtigungen erhalten.
- Datei/Verzeichnis: Zeigt den vollen Pfad der überwachten Datei/Verzeichnis relativ zu Ihrem Accountverzeichnis an.