WebShare Zugriffssicherheit auf den Server

Dieses Dokument vergleicht die folgenden Zugriffsarten miteinander: FTP, AFP-Volume, SMB/CIFS-Volume, WebDAV, Xinet WebNative, HELIOS WebShare sowie SSH FTP. Zwar gibt es weitaus mehr Lösungen, jedoch sollen hier nur die genannten mit Schwerpunkt Zugriffssicherheit verglichen werden.

 


Autorisierung

Autorisierung bezeichnet den Anmeldevorgang am Server. Die Tabelle führt auf, auf welche Weise die Kennwortdaten im Netzwerk übertragen werden.

Bei der Übertragung der Kennwortdaten in Klartext oder base64 zeigt ein einfacher „tcpdump“-Befehl im selben Netzwerk das ASCII-Kennwort an. Im Falle einer Apache Basic „htpasswd“-Autorisierung fügt der Browser das Klartext-Kennwort in jeder HTTP-Anfrage der Sitzung ein, was es jedermann erlaubt, Kennwörter im selben Netzwerk jederzeit ausspionieren zu können. Mehr dazu:

http://www.lists.aldigital.co.uk/apache-ssl/msg00146.html

http://httpd.apache.org/docs/howto/auth.html#basic

Standardmäßig werden Kennwörter bei SSH FTP, AFP- oder SMB/CIFS-Volumes und HELIOS WebShare verschlüsselt übertragen.

HELIOS WebShare verwendet JavaScript zum Verschlüsseln von Kennwörtern. Die Verschlüsselung von Kennwörtern ist der einzige Einsatz von JavaScript in WebShare. Ist JavaScript nicht verfügbar oder deaktiviert, wird das Anmeldekennwort unverschlüsselt übertragen.

  Dienst Kennwortübertragung Hinweis
FTP Klartext  
AFP-Volume Verschlüsselt Mit Zufallsziffer für den Server
SMB-/CIFS-Volume Verschlüsselt Mit Zufallsziffer für den Server
WebDAV Verschlüsselt  
Xinet WebNative Klartext Klartextübertragung (base64) in jedem Paket zum Server bis der Browser beendet wird
HELIOS WebShare Verschlüsselt Mit Zufallsziffer für den Server
SSH FTP Verschlüsselt Öffentliche / private Schlüssel

Wie die sichere WebShare Autorisierung funktioniert

Während der Anmeldung an WebShare schickt der Server eine Zufallsziffer über die Anmeldeseite an den Client. Das im Browser laufende JavaScript erzeugt einen MD-5-Hashcode, der auf dem Klartext-Kennwort und der Zufallsziffer basiert. Auf dem Server wird das gleiche Verfahren angewandt – stimmt der empfangene MD-5-Hashcode mit dem auf dem Server erzeugten überein, kann sich der Benutzer am Server anmelden.

Die Zufallsziffer stellt sicher, dass der übertragene MD-5-Hash bei jeder Anmeldung anders aussieht und kein zweites Mal verwendet werden kann. Dadurch ist es unmöglich, ein gültiges Kennwort aus dem Internet, Intranet oder vom WebShare Webserver abzugreifen.

Die Autorisierung für WebShare übertrifft sogar HTTPS-verschlüsselte HTML-Formulare, da jeder einen HTTPS-Server mit einem gültigen Zertifikat aufsetzen kann, um dann die Formulare im Klartext abzugreifen, nachdem die HTTPS-Entschlüsselung stattgefunden hat.


Sicherer Dateizugriff

Die Tabelle zeigt verschiedene Arten der Sicherheit beim Zugriff auf Serverdaten.

Die von den WebNative CGI-Programmen und von Apple AFP-Server verwendeten Autorisierungsformen sind unsicher, da sie die Dateisicherheit des Betriebssystems sowie die Prozesssicherheit umgehen. Die Überwachung verschiedener Benutzerprozesse ist nicht möglich, da sämtliche Aktivitäten als Benutzer „root“ (Administrator) ausgeführt werden.

HELIOS WebShare verwendet sowohl die Datei- als auch die Prozesssicherheit des Hosts. Die Optionen „Lesezugriff immer erzwingen“ oder „Schreib- / Lesezugriff immer erzwingen“ umgehen die Sicherheitsmechanismen des Hosts und können nicht empfohlen werden.

Hinweis: Diese Optionen stehen nur nach Setzen einer bestimmten Präferenz zur Verfügung!

  Dienst Sicherheit Hinweis
FTP Sicherheit des Dateisystems wird vom Host erzwungen UserID bzw. Zugriffsrechte des angemeldeten Benutzers werden verwendet
AFP über Apple File Server Wenig Sicherheit durch Dateiserver Apple AFP-Server läuft immer als „root“!
AFP über HELIOS EtherShare Sicherheit des Dateisystems wird vom Host erzwungen UserID bzw. Zugriffsrechte des angemeldeten Benutzers werden verwendet
SMB-/CIFS- Volume Sicherheit des Dateisystems wird vom Host erzwungen UserID bzw. Zugriffsrechte des angemeldeten Benutzers werden verwendet
WebDAV Sicherheit wird durch HTTP-Server bestimmt  
Xinet WebNative Wenig Sicherheit durch WebNative CGI-Programm Alle WebNative Anwendungen laufen immer als „root“ (Administrator)
HELIOS WebShare Sicherheit des Dateisystems wird vom Host erzwungen WebShare File Server verwendet UserID bzw. Zugriffsrechte des angemeldeten Benutzers

Sicherer Dateiserver

Der direkte Zugriff auf den Dateiserver vom Internet aus sollte tunlichst vermieden werden. Folgende Dienste machen eine direkte Verbindung mit den Dateiservern (Hosts), beispielsweise über die HTTP-, FTP- oder AFP-TCP/IP-Kommunikationsports, erforderlich:

  • FTP
  • AFP-Volume, SMB/CIFS-Volume
  • WebDAV
  • Xinet WebNative
  • SSH FTP 

Alle webbasierten CGI-Lösungen, z. B. Xinet WebNative, welches für jede Anfrage CGI-Anwendungen aufruft, erzeugen eine enorme Datenlast auf dem Hauptserver. Dieses einfache Beispielskript simuliert externe HTTP-Anfragen, ähnlich einem Benutzer, der wiederholt auf „Neu laden“ klickt, und blockiert damit jede auf CGI basierende Serverlösung:

Bash Shell-Skript mit dem Befehl „wget“ oder „curl“

while true do curl --stderr - "http://www.samplehost.com/..." > /dev/null done # end of script

Warum eine Firewall keine ausreichende Sicherheit bietet

Bei der Konfiguration einer Firewall sollten zuerst die Ports, die für bestimmte Dienste erforderlich sind, geöffnet werden. Das bedeutet, dass die oben aufgeführten Dienste, die einen direkten Zugriff vom Internet auf den Dateiserver benötigen, für die relevanten HTTP-, FTP-, AFP- oder SMB TCP/IP-Kommunikationsports geöffnet werden müssen! Dadurch ist ein direkter Zugang aus dem Internet möglich, was den Dateiserver ungeschützt gegen jegliche Form von Attacken lässt – sei es über abgefangene Kennwörter, ausgenutzte Schwächen im Protokoll, Viren auf entfernten VPN-Clients usw. WebShares zweistufiges Serversystem isoliert den Dateiserver vom Internet und unterbricht die Kommunikationskette, selbst wenn die Attacken durch die Firewall gelangen sollten, so dass Angriffe nicht auf den Dateiserver gelangen.

So wird der Dateiserver vom Internet isoliert

Nur der HELIOS WebShare File Server hat keine direkte Verbindung zum Internet. Auf dem separaten WebShare Webserver läuft das WebShare Java. Die gesamte Kommunikation mit dem Internet wird ausschließlich über das WebShare Java abgewickelt. WebShare erlaubt weder einen direkten Zugriff auf den Fileserver noch das Tunneln von Paketen.

Das heißt, dass im Falle einer DoS-Attacke (Denial of Service) alle Dateiserver ihren Dienst einstellen – bis auf HELIOS WebShare, das ja den gesamten Datentransfer mit dem Internet über einen dedizierten WebShare Webserver abwickelt und den Dateiserver nicht dem Internet aussetzt.

Warum auch die Verwendung eines Proxyservers keinen Schutz für Ihr internes Netzwerk bietet

Ein Proxyserver hat zwei wesentliche Aufgaben:

  1. Speichern von Dokumenten und Bildern im Cache, so dass diese beim nächsten Aufruf sofort zur Verfügung stehen
  2. Direkte Internetverbindung von jenseits der Firewall 

Beachten Sie bitte, dass ein Proxyserver lediglich die Daten aus dem Internet durch Ihre Firewall durchschleift; Während er andere Verbindungen abblockt, bleiben die durchgeschleiften Daten unverändert, weshalb Ihre Client-Workstations, beispielsweise gegen Angriffe auf den Webbrowser, ungeschützt sind.

Die in WebShare verwendete zweistufige Serverstruktur leitet keine Daten aus dem Internet weiter. Stattdessen wickelt der WebShare Webserver den gesamten Datenverkehr aus dem Internet ab und nutzt ein vollkommen anderes Protokoll (ein HELIOS eigenes Protokoll) zur Kommunikation mit dem WebShare File Server.

WebShare Datentransfer gegenüber VPNs

Sollen Daten von verschiedenen Orten aus gemeinsam genutzt oder verwaltet werden, kommt häufig ein VPN (Virtual Private Network) zum Einsatz. Allerdings gibt es mit VPNs viele Probleme. Die gemeinsame Nutzung von Dateien über VPNs ist aufgrund von Bandbreitenbegrenzungen beim WAN und Verzögerungen bei den Paketen sowie wegen der großen Netzwerklast, die von Windows- und Mac-Benutzern verursacht werden, langsam. Ein einfacher Klick (z. B. auf den Dialog „Datei öffnen“) kann schnell mehrere Tausend Netzwerkdatenpakete erzeugen. Wird das Netzwerk erweitert, steigt auch die Anfälligkeit des gesamten VPNs mit dem „schwächsten Glied“ – ist nur ein entfernter Benutzer betroffen, gelangen ein Virus und andere Eindringlinge ins Netzwerk .

HELIOS WebShare baut dagegen auf eine zweistufige Serverstruktur. So können Dateien ohne direkten Zugriff verwaltet und übertragen werden. Dies funktioniert nicht nach dem Prinzip eines Proxyservers, der die Pakete nur weiterleitet, sondern WebShare erlaubt angemeldeten Benutzern stattdessen, über einen beliebigen Webbrowser Dateien auf einem Host schneller und sicherer zu übertragen und zu verwalten.


Sicherer Datenaustausch

Die Datenübertragung mit FTP, AFP, SMB/CIFS, WebDAV, Xinet WebNative und HELIOS WebShare läuft unverschlüsselt. Das bedeutet, dass der Inhalt der übertragenen Daten sehr einfach mit dem Befehl „tcpdump“ ausspioniert werden kann. Aus dem heruntergeladenen Archiv ein gültiges Archiv (z. B. ein Zip- oder StuffIt-Archiv) zu bauen ist sehr komplex und kann mit konventionellen Tools nicht bewerkstelligt werden. Es ist jedoch möglich, wenn man über spezielle Tools und tiefgreifende Kenntnisse in Netzwerkprotokollen und Dateiformaten verfügt. Lediglich über SSH FTP oder HTTPS werden alle übertragenen Daten verschlüsselt. Die Verschlüsselung des HTTPS/SSL-Datenstreams kann für Xinet WebNative und HELIOS WebShare angewandt werden, da Apache SSL dies ermöglicht. Standardmäßig werden all diese Produkte ohne HTTPS-Unterstützung installiert. Der Nachteil von HTTPS ist der, dass der Webserver und Downloads aufgrund der intensiven Verschlüsselung eines jeden Pakets merklich verlangsamt werden. Da der WebShare Webserver jedoch vom WebShare File Server getrennt ist, führt die Verwendung von HTTPS hier zu keiner Verlangsamung von Programmen und lokalen Benutzern auf dem Server. Bei Xinet WebNative werden dagegen alle Serverbenutzer und -Programme bei der Verwendung von HTTPS „gebremst“.

Sicheres Dateisystem

FTP, AFP, SMB/CIFS, WebDAV, Xinet WebNative, HELIOS WebShare sowie SSH FTP erlauben das Durchsuchen von Dateien und Verzeichnissen.

Nachteil von entfernten AFP- und SMB/CIFS-Volumes:

  • Die Benutzer haben im gesamten Volume Zugriff auf sämtliche Dateien und Ordner; eine Begrenzung auf bestimmte Ordner ist nicht möglich

Nachteile von FTP und SSH FTP:

  • Die Benutzer haben auf dem gesamten Server Zugriff auf sämtliche Dateien und Ordner; eine Begrenzung auf bestimmte Ordner ist nicht möglich
  • Einige FTP-Server erlauben das Anlegen eines „chroot“-Verzeichnisses für FTP-Benutzer. („chroot“ lässt sich nur für einen Ordner anlegen) 

Lediglich Xinet WebNative und HELIOS WebShare erlauben es, Ordner anzulegen, die nur für bestimmte Benutzer oder Gruppen zugänglich sind.


Fazit

Aufgrund seiner zweistufigen Serverstruktur ist HELIOS WebShare der einzige webbasierte Dateiserver, der sich durch eine extrem sichere Datenübertragung auszeichnet und dennoch einfach zu installieren, verwalten und benutzen ist . Darüber hinaus ist WebShare heuzutage eine der schnellsten Anwendungen für den Dateizugriff über das Internet.

Glossar
AFP

AFP ist die Abkürzung für Apple File Protocol und bezeichnet in diesem Zusammenhang das Mounten bzw. die Benutzung von AFP-Volumes über die „Auswahl“ (Mac OS 9) bzw. den Dialog „Mit Server verbinden“ (Mac OS X).

SMB/CIFS

SMB/CIFS ist das Standardprotokoll für Windows Servervolumes, auf die Windows-Clients über das Netzwerk zugreifen.

WebShare Leistungsvergleich

 


 

Änderungen vorbehalten. Letzte Aktualisierung: 28. Januar 2004

Alle Warenzeichen in diesem Dokument gehören ihren jeweiligen Eigentümern.