Apache Friends Support Forum

[EselMetaller]

Hallo auch

Vor einigen Tagen hab ich das erste Mal XAMPP installiert (unter Win2k Server SP4) und in Zeiten von Würmern, Trojanern und Co. mache ich mir natürlich ein wenig Gedanken um die Sicherheit.

Also wie sicher ist Apache bzw. was kann alles passieren wenn ich eine kleine HP unter Apache laufen lasse?
Mein kleiner Server sitzt im Netzwerk hinter einem IPCop Router und hat ansonsten keine weitere Firewall o.ä.
Servicepacks und Patches für Windows sind natürlich alle installiert.

Danke schonmal

[deepsurfer]

Willst du das der XAMPP (Apache) von aussen zu sehen ist ?
Wenn nicht ist dein LAN ja durch IpCop schon bestens geschützt.

Prizipiell ist der Apache in seiner Grundinstallation schon ein recht Sicheres Produkt, der unsicherheits Faktor ist dein Betriebssystem selber.
Das bedeutet, wenn dein System von aussen angegriffen werden kann/konnte/wurde so ist das nicht zwangsläufig auf den Apachen zurück zu führen.

Willst du nun auch Pages nach aussen hin zeigen, so ist schon im IpCOP der Port 80 (unter Firewall -> Port Weiterleitung) auf die LAN-IP deiner Windowskiste ein zu stellen.
Was nun dann unsicher sein kann wäre zum einen das HTML/PHP/JAVA script das du Anwendest um nach aussen hin in Erscheinung zu treten.

[EselMetaller]

Ja, die Website ist nach aussen offen, also per dyndns ganz normal erreichbar.
Ports (80 sowie 443) sind auf den Server weitergeleitet.

Die Frage die ich mir nun stelle ist eben ob mit diesen beiden sperrangeloffenen Ports nun irgendetwas angestellt werden kann um sich Zugriff zum Server zu verschaffen.

Meinetwegen den Apache manipulieren.

Oder ist es sinnvoll zusätzlich noch eine Software Firewall zu installieren?
Eigentlich sollte Windows 2000 in all seinen Derivaten ja mittlerweile ausgereift sein, aber - ist und bleibt eben M$ und da weiss man ja nie

[deepsurfer]

Die Frage die ich mir nun stelle ist eben ob mit diesen beiden sperrangeloffenen Ports nun irgendetwas angestellt werden kann um sich Zugriff zum Server zu verschaffen.

Grundsätzlich erstmal "Nein", denn wenn keine andere Software auf Port 80 oder 443 sich einklinkt kann nur der Apache antworten.

Hierbei ist deine Frage dahingehend zu beantworten das du kein Windows2000 Server benutzt sondern eine Otto-Normal-Version.
Diese Version ist im Grundsatz für Angriffe anfällig, zumal ich davon ausgehe das du mit diesem PC auch arbeitest, soll heissen, das du an diesem Sitzt und etliche Tools und Programme benutzt.

Eben diese Tools und Programme sind wiederrum sehr anfällig auf Angriffe die auch über den Port 80 gestartet werden könnten.

Meinetwegen den Apache manipulieren.

Nicht nötig, siehe erste Antwort

Oder ist es sinnvoll zusätzlich noch eine Software Firewall zu installieren?
Eigentlich sollte Windows 2000 in all seinen Derivaten ja mittlerweile ausgereift sein, aber - ist und bleibt eben M$ und da weiss man ja nie Wink

Wie du schon zutrefflich geschrieben hast, "Man weiss ja nie", wobei es sich auch nicht undebingt um ein Microsoft Programm handeln muss, es gobt unzählige kleine Programme und Tools von anderen Authoren die aufgrund der Schnittstellen Problematiken von Microsoft anfällig für Angriffe sein können.

Eine Zusätzliche Firewall zu installieren ist ein zweischneidiges Schwert, denn 100%ige Sicherheit bieten zwei Firewall auch nicht.

Beim IpCOP nur regelmässig an die "IDS" (Dienste --> Einbruchsdektierung) Updaten, also am besten wie beschrieben ein Account bei snort.org machen und darüber die IDS updaten lassen.
(Kannst dir ja auch ein CRONJOB dafür einrichten dann ist es Automatisiert)
Dadurch hast du eine gewisse Sicherheit das -wenn- ein Trojaner oder dergleichen bei dir vorhanden ist das diese nicht "nach Hause" Telenieren können, da die snort regeln den IpCOP-NAT-Regeln dahingehend ergänzend unterstützen.

Hinweis mit IpCOP:
Ich weiss nicht wie du es bei dir aufgebaut hast, es wäre zur weiteren Sicherheit zu erwähnen eine Dritte Netzwerkkarte in den IpCOP einzubauen (kannste dann Orange oder Blau nennen), und an diese neue Netzwerkkarte den PC mit XAMPP hängen. Dementsprechend hat diese Netzwerkkarte eine ganz andere IPrange als dein LAN und der Forward wird somit auch nicht in das -Green- laufen.

Dein LAN (Green) hat weiterhin vollen zugang auf -Orange/Blue- und der XAMPP-PC darf zu -Green- schonmal nix machen,
hat aber zugang ins Internet über -Red-, ergo ist dein LAN geschützt falls jemand deinen XAMPP PC von aussen Übernimmt.

[EselMetaller]

Danke, damit nimmst Du mir schonmal einiges an "Angst"

Und ja, es ist tatsächlich Windows 2000 Server Standart Edition.
Und nein, es wird nicht daran gearbeitet, bisher sind bloss die allernötigsten Programme drauf, also eigentlich ausser XAMPP nur noch ein VNC Client und ein paar Monitoring Tools um die "Gesundheit" der Hardware im Auge behalten zu können.
Ein Antivir kommt noch drauf, da bin ich aber noch am suchen da ich normalerweise Kaspersky nutze, das aber für den "Kleinen" zu ressourcenfressend ist.

Und danke mit den IPCop Tipps.
Ne dritte Lankarte für abgeschottete Netze werd ich zwar nicht brauchen, aber ich hab mich mal eben bei Snort registriert


So dann erstmal danke für die schnelle und hilfreichen Antworten die sogar einem Noob weitergeholfen haben, und man liest sich spätestens wieder wenn ich soweit bin ein Forum aufzusetzen