Konzeption & Kon guration von Webservern für die ... · EinleitungProjektplanungProjektdurchführungQualitätssicherungProjektabschluss Konzeption & Kon guration von Webservern für

Einleitung Projektplanung Projektdurchführung Qualitätssicherung Projektabschluss

Konzeption & Kon�guration von Webservern für die

browserbasierte Erreichbarkeit verschiedener

Anwendungen

Sven Grothe

taskit GmbH

PA: FISI_09

20.06.2019

Sven Grothe Webserverkon�guration 20.06.2019 1 / 28


Agenda

1 EinleitungProjektmotivation & -ziele

2 ProjektplanungIst-ZustandSoll-Konzept

3 ProjektdurchführungDNS/NAT-EinstellungenWebserver-Kon�gurationDatensicherheit-Kon�guration

4 Qualitätssicherung

5 ProjektabschlussFazit/Ausblick



Einleitung



Projektumfeld

taskit GmbH � mittelständischer IT-Dienstleister mit 20 Mitarbeitern

Produktion und Vertrieb von eingebetteten Systemen



Projektmotivation

Alice

Bob Carl



Projektmotivation

Alice

Bob

Wir haben dochdieses Chatprogramm.Können wir das nicht

über den Browser nutzen?

Carl



Projektmotivation

Alice

Bob



CarlUnd es wäre superwenn wir im Außen-dienst darauf zugrei-

fen könnten



Projektmotivation

Alice

Bob



CarlUnd es wäre superwenn wir im Außen-dienst darauf zugrei-

fen könnten

Wir können abernicht wieder neueServer anschaffen



Projektmotivation und -ziele

Motivation: Optimierung von Arbeitsabläufen (Usability,Remote-Zugri�)

Sachziel:

I Anwendungen sollen über den Browser erreichbar sein (LAN, WAN)I Maÿnahmen zum Schutz der Daten (WAN)

Kostenziel: sachmittelkostenneutral

Zeitziel: 35 Arbeitsstunden

Qualitätsziel: Abdeckung der Sachziele durch Testszenarien



Projektplanung



Ist-Zustand

87.138.117.152 10.1.0.1

clara - 10.1.100.48

mail - 10.1.100.56

10.1.0.0/16

Internet

Bob Alice

clara � Hauptserver für diverse Applikationen:I rocketchat � Javascript-Applikation auf Port 3000I xwiki � LAMP-Stack auf Port 8080

mail � autarker Mailserver



Soll-Konzept

Subdomains auf Applikationen au�ösenI chat.taskit.de → rocketchatI wiki.taskit.de → xwikiI mail.ledato.de → roundcubemail

verschlüsselte Kommunikation zwischen Client und Server (HTTPS)I SSL/TLS-Sicherheitszerti�katI Verschlüsselungsparameter

Tests hinsichtlich funktionalen & sicherheitstechnischen Aspekten



Prozessschnittstellen & Zeitplanung

Prozessschnittstellen

Name Tätigkeit

Sven Grothe

(Auszubildender)

Projektumsetzung

(Geschäftsleitung)

Zielde�nition

Projektübergabe

(Entwicklung)

Ansprechpartner

Projektübergabe

Zeitplanung



Projektdurchführung



Au�ösen der Subdomains

87.138.117.152 10.1.0.1

clara - 10.1.100.48

mail - 10.1.100.56

10.1.0.0/16

Internet

Bob

Alice

chat.taskit.de

DNS: chat.taskit.de -> clara



Au�ösen der Subdomains

87.138.117.152 10.1.0.1

clara - 10.1.100.48

mail - 10.1.100.56

10.1.0.0/16

Internet

Bob

Alice

chat.taskit.de

chat.taskit.deIN A 87.138.117.152

dst-nat87.138.117.152TO 10.1.100.48



Reicht DNS nicht? Wozu Webserver

Tra�c auf Port 80/443 beschränkenI rocketchat → Port 3000I xwiki → Port 8080I roundcube → noch nicht kon�guriert für Nutzung im Browser

dst-nat kann nicht gleichen Port auf verschiedene Server weiterleiten

Kon�guration bzgl. Datensicherheit



Webserver-Kon�guration

Bob clara

http://chat.taskit.de (Port 80)

302 moved permanently https://...

https://chat.taskit.de (Port 443)

proxy pass Port 3000



Webserver-Kon�guration

Bob clara

http://mail.ledato.de (Port 80)

302 moved permanently https://...

https://mail.ledato.de (Port 443)

proxy pass 10.1.100.56

mail

FastCGI -> PHP



Datensicherheit � Verschlüsselungsprotokolle

Protokoll Release Status

SSL 3.0 1996 Deprecated

TLS 1.0 1999 Deprecation 2020

TLS 1.1 2005 Deprecation 2020

TLS 1.2 2008

TLS 1.3 2018 aktuelle Version




Bob clara

Mallory

Hello. Do you Support TLS 1.2?



Hello. Do you Support SSL 3.0?

No.

No.

No.

Padding Oracle On Downgraded Legacy Encryption (POODLE)







Deaktivierung veralteter ProtokolleI Kompatibilität gewährleisten

aktuelle Cipher Suites verwendenI ECDH und RSA (dynamisch) für den SchlüsselaustauschI ChaCha20 und AES im GCM für die VerschlüsselungI SHA256 als Hashfunktion

HTTP-HeaderprotectionI Abwehr von Cross-Site-Scripting (XSS)

Forward Secrecy



Qualitätssicherung



Maÿnahmen zur Qualitätssicherung

FunktionalitätI Syntaxkontrolle (Auswertung der log-Dateien des Prozesses)I Verbindungstests für alle Anwendungen (ping, traceroute)

DatensicherheitI Zerti�katserneuerungI automatisierte Sicherheitstests mit SSL Labs

F Zerti�katsüberprüfung & Protokollkon�gurationF Handshake-Simulation für ≈ 50 Browser/OS-KombinationenF Schwachstellen gegen Attacken (POODLE, BEAST, Heartbeat, ...)



Projektabschluss



Projektabschluss

Sachziel: erfolgreiche Umsetzung aller Anforderungen

Kostenziel: keine neue Hardwarebescha�ung. Verwendung von

OpenSource-Software

Zeitziel: 35 Arbeitsstunden nicht überschritten

Qualitätsziel: alle Sachziele hinreichend durch Testfälle abgedeckt

Fazit/Ausblick

Umsetzung wird gut genutzt

fortlaufende Anpassungen notwendig

mögliche Folgeprojekte: Auslagerung der Server in DMZ



Vielen Dank für die Aufmerksamkeit!

Quellen

IETF � diverse RFCs (8446, 7568, 7525, 7457, 5288, 5246)

nginx Wiki: www.nginx.com/resources/wiki

acunetix: www.acunetix.com

SSL Labs: www.ssllabs.com

Wikipedia TLS:en.wikipedia.org/wiki/Transport_Layer_Security


www.nginx.com/resources/wiki

www.acunetix.com

www.ssllabs.com

en.wikipedia.org/wiki/Transport_Layer_Security

Documents

Konzeption & Kon guration von Webservern für die ... · EinleitungProjektplanungProjektdurchführungQualitätssicherungProjektabschluss Konzeption & Kon guration von Webservern für