View
1
Download
0
Category
Preview:
Citation preview
Einleitung Projektplanung Projektdurchführung Qualitätssicherung Projektabschluss
Konzeption & Kon�guration von Webservern für die
browserbasierte Erreichbarkeit verschiedener
Anwendungen
Sven Grothe
taskit GmbH
PA: FISI_09
20.06.2019
Sven Grothe Webserverkon�guration 20.06.2019 1 / 28
Einleitung Projektplanung Projektdurchführung Qualitätssicherung Projektabschluss
Agenda
1 EinleitungProjektmotivation & -ziele
2 ProjektplanungIst-ZustandSoll-Konzept
3 ProjektdurchführungDNS/NAT-EinstellungenWebserver-Kon�gurationDatensicherheit-Kon�guration
4 Qualitätssicherung
5 ProjektabschlussFazit/Ausblick
Sven Grothe Webserverkon�guration 20.06.2019 2 / 28
Einleitung Projektplanung Projektdurchführung Qualitätssicherung Projektabschluss
Einleitung
Sven Grothe Webserverkon�guration 20.06.2019 3 / 28
Einleitung Projektplanung Projektdurchführung Qualitätssicherung Projektabschluss
Projektumfeld
taskit GmbH � mittelständischer IT-Dienstleister mit 20 Mitarbeitern
Produktion und Vertrieb von eingebetteten Systemen
Sven Grothe Webserverkon�guration 20.06.2019 4 / 28
Einleitung Projektplanung Projektdurchführung Qualitätssicherung Projektabschluss
Projektmotivation
Alice
Bob Carl
Sven Grothe Webserverkon�guration 20.06.2019 5 / 28
Einleitung Projektplanung Projektdurchführung Qualitätssicherung Projektabschluss
Projektmotivation
Alice
Bob
Wir haben dochdieses Chatprogramm.Können wir das nicht
über den Browser nutzen?
Carl
Sven Grothe Webserverkon�guration 20.06.2019 6 / 28
Einleitung Projektplanung Projektdurchführung Qualitätssicherung Projektabschluss
Projektmotivation
Alice
Bob
Wir haben dochdieses Chatprogramm.Können wir das nicht
über den Browser nutzen?
CarlUnd es wäre superwenn wir im Außen-dienst darauf zugrei-
fen könnten
Sven Grothe Webserverkon�guration 20.06.2019 7 / 28
Einleitung Projektplanung Projektdurchführung Qualitätssicherung Projektabschluss
Projektmotivation
Alice
Bob
Wir haben dochdieses Chatprogramm.Können wir das nicht
über den Browser nutzen?
CarlUnd es wäre superwenn wir im Außen-dienst darauf zugrei-
fen könnten
Wir können abernicht wieder neueServer anschaffen
Sven Grothe Webserverkon�guration 20.06.2019 8 / 28
Einleitung Projektplanung Projektdurchführung Qualitätssicherung Projektabschluss
Projektmotivation und -ziele
Motivation: Optimierung von Arbeitsabläufen (Usability,Remote-Zugri�)
Sachziel:
I Anwendungen sollen über den Browser erreichbar sein (LAN, WAN)I Maÿnahmen zum Schutz der Daten (WAN)
Kostenziel: sachmittelkostenneutral
Zeitziel: 35 Arbeitsstunden
Qualitätsziel: Abdeckung der Sachziele durch Testszenarien
Sven Grothe Webserverkon�guration 20.06.2019 9 / 28
Einleitung Projektplanung Projektdurchführung Qualitätssicherung Projektabschluss
Projektplanung
Sven Grothe Webserverkon�guration 20.06.2019 10 / 28
Einleitung Projektplanung Projektdurchführung Qualitätssicherung Projektabschluss
Ist-Zustand
87.138.117.152 10.1.0.1
clara - 10.1.100.48
mail - 10.1.100.56
10.1.0.0/16
Internet
Bob Alice
clara � Hauptserver für diverse Applikationen:I rocketchat � Javascript-Applikation auf Port 3000I xwiki � LAMP-Stack auf Port 8080
mail � autarker Mailserver
Sven Grothe Webserverkon�guration 20.06.2019 11 / 28
Einleitung Projektplanung Projektdurchführung Qualitätssicherung Projektabschluss
Soll-Konzept
Subdomains auf Applikationen au�ösenI chat.taskit.de → rocketchatI wiki.taskit.de → xwikiI mail.ledato.de → roundcubemail
verschlüsselte Kommunikation zwischen Client und Server (HTTPS)I SSL/TLS-Sicherheitszerti�katI Verschlüsselungsparameter
Tests hinsichtlich funktionalen & sicherheitstechnischen Aspekten
Sven Grothe Webserverkon�guration 20.06.2019 12 / 28
Einleitung Projektplanung Projektdurchführung Qualitätssicherung Projektabschluss
Prozessschnittstellen & Zeitplanung
Prozessschnittstellen
Name Tätigkeit
Sven Grothe
(Auszubildender)
Projektumsetzung
(Geschäftsleitung)
Zielde�nition
Projektübergabe
(Entwicklung)
Ansprechpartner
Projektübergabe
Zeitplanung
Sven Grothe Webserverkon�guration 20.06.2019 13 / 28
Einleitung Projektplanung Projektdurchführung Qualitätssicherung Projektabschluss
Projektdurchführung
Sven Grothe Webserverkon�guration 20.06.2019 14 / 28
Einleitung Projektplanung Projektdurchführung Qualitätssicherung Projektabschluss
Au�ösen der Subdomains
87.138.117.152 10.1.0.1
clara - 10.1.100.48
mail - 10.1.100.56
10.1.0.0/16
Internet
Bob
Alice
chat.taskit.de
DNS: chat.taskit.de -> clara
Sven Grothe Webserverkon�guration 20.06.2019 15 / 28
Einleitung Projektplanung Projektdurchführung Qualitätssicherung Projektabschluss
Au�ösen der Subdomains
87.138.117.152 10.1.0.1
clara - 10.1.100.48
mail - 10.1.100.56
10.1.0.0/16
Internet
Bob
Alice
chat.taskit.de
chat.taskit.deIN A 87.138.117.152
dst-nat87.138.117.152TO 10.1.100.48
Sven Grothe Webserverkon�guration 20.06.2019 16 / 28
Einleitung Projektplanung Projektdurchführung Qualitätssicherung Projektabschluss
Reicht DNS nicht? Wozu Webserver
Tra�c auf Port 80/443 beschränkenI rocketchat → Port 3000I xwiki → Port 8080I roundcube → noch nicht kon�guriert für Nutzung im Browser
dst-nat kann nicht gleichen Port auf verschiedene Server weiterleiten
Kon�guration bzgl. Datensicherheit
Sven Grothe Webserverkon�guration 20.06.2019 17 / 28
Einleitung Projektplanung Projektdurchführung Qualitätssicherung Projektabschluss
Webserver-Kon�guration
Bob clara
http://chat.taskit.de (Port 80)
302 moved permanently https://...
https://chat.taskit.de (Port 443)
proxy pass Port 3000
Sven Grothe Webserverkon�guration 20.06.2019 18 / 28
Einleitung Projektplanung Projektdurchführung Qualitätssicherung Projektabschluss
Webserver-Kon�guration
Bob clara
http://mail.ledato.de (Port 80)
302 moved permanently https://...
https://mail.ledato.de (Port 443)
proxy pass 10.1.100.56
FastCGI -> PHP
Sven Grothe Webserverkon�guration 20.06.2019 19 / 28
Einleitung Projektplanung Projektdurchführung Qualitätssicherung Projektabschluss
Datensicherheit � Verschlüsselungsprotokolle
Protokoll Release Status
SSL 3.0 1996 Deprecated
TLS 1.0 1999 Deprecation 2020
TLS 1.1 2005 Deprecation 2020
TLS 1.2 2008
TLS 1.3 2018 aktuelle Version
Sven Grothe Webserverkon�guration 20.06.2019 20 / 28
Einleitung Projektplanung Projektdurchführung Qualitätssicherung Projektabschluss
Datensicherheit � Verschlüsselungsprotokolle
Bob clara
Mallory
Hello. Do you Support TLS 1.2?
Hello. Do you Support TLS 1.1?
Hello. Do you Support TLS 1.0?
Hello. Do you Support SSL 3.0?
No.
No.
No.
Padding Oracle On Downgraded Legacy Encryption (POODLE)
Sven Grothe Webserverkon�guration 20.06.2019 21 / 28
Einleitung Projektplanung Projektdurchführung Qualitätssicherung Projektabschluss
Datensicherheit � Verschlüsselungsprotokolle
Sven Grothe Webserverkon�guration 20.06.2019 22 / 28
Einleitung Projektplanung Projektdurchführung Qualitätssicherung Projektabschluss
Datensicherheit � Verschlüsselungsprotokolle
Deaktivierung veralteter ProtokolleI Kompatibilität gewährleisten
aktuelle Cipher Suites verwendenI ECDH und RSA (dynamisch) für den SchlüsselaustauschI ChaCha20 und AES im GCM für die VerschlüsselungI SHA256 als Hashfunktion
HTTP-HeaderprotectionI Abwehr von Cross-Site-Scripting (XSS)
Forward Secrecy
Sven Grothe Webserverkon�guration 20.06.2019 23 / 28
Einleitung Projektplanung Projektdurchführung Qualitätssicherung Projektabschluss
Qualitätssicherung
Sven Grothe Webserverkon�guration 20.06.2019 24 / 28
Einleitung Projektplanung Projektdurchführung Qualitätssicherung Projektabschluss
Maÿnahmen zur Qualitätssicherung
FunktionalitätI Syntaxkontrolle (Auswertung der log-Dateien des Prozesses)I Verbindungstests für alle Anwendungen (ping, traceroute)
DatensicherheitI Zerti�katserneuerungI automatisierte Sicherheitstests mit SSL Labs
F Zerti�katsüberprüfung & Protokollkon�gurationF Handshake-Simulation für ≈ 50 Browser/OS-KombinationenF Schwachstellen gegen Attacken (POODLE, BEAST, Heartbeat, ...)
Sven Grothe Webserverkon�guration 20.06.2019 25 / 28
Einleitung Projektplanung Projektdurchführung Qualitätssicherung Projektabschluss
Projektabschluss
Sven Grothe Webserverkon�guration 20.06.2019 26 / 28
Einleitung Projektplanung Projektdurchführung Qualitätssicherung Projektabschluss
Projektabschluss
Sachziel: erfolgreiche Umsetzung aller Anforderungen
Kostenziel: keine neue Hardwarebescha�ung. Verwendung von
OpenSource-Software
Zeitziel: 35 Arbeitsstunden nicht überschritten
Qualitätsziel: alle Sachziele hinreichend durch Testfälle abgedeckt
Fazit/Ausblick
Umsetzung wird gut genutzt
fortlaufende Anpassungen notwendig
mögliche Folgeprojekte: Auslagerung der Server in DMZ
Sven Grothe Webserverkon�guration 20.06.2019 27 / 28
Einleitung Projektplanung Projektdurchführung Qualitätssicherung Projektabschluss
Vielen Dank für die Aufmerksamkeit!
Quellen
IETF � diverse RFCs (8446, 7568, 7525, 7457, 5288, 5246)
nginx Wiki: www.nginx.com/resources/wiki
acunetix: www.acunetix.com
SSL Labs: www.ssllabs.com
Wikipedia TLS:en.wikipedia.org/wiki/Transport_Layer_Security
Sven Grothe Webserverkon�guration 20.06.2019 28 / 28
Recommended