ikurs12 (WEB/FTP-Server)

Kurs: Internet/Intranet
Administration eines Internet-Dienstes

Kleine Historie der Webserver
Hersteller	Jahr	verfügbare Webserver
Conseil Europeen pour la Recherche Nucleaire (CERN) Europäisches Zentrum für Teilchenphysik in der Schweiz bei Genf	1990 1992	Der erste seiner Art Es existieren 26 CERN-Webserver
National Center for Supercomputing Applications (NCSA) Browser/Server-Weiterentwicklung in den USA	1993 1994	Es existieren > 200 Webserver Der NCSA-Webserver hat den CERN-Webserver verdrängt
Marc Andreessen gründet die Firma Mosaic Communications (später Netscape)	1994	Start mit Netscape-Commerce, Netscape-Communications, Netsite-Commerce & Netsite-Communications, Netscape-FastTrack, Netscape-Enterprise, iPlanet-Enterprise, SunONE und heute Sun Java Enterprise System
Die Apache Group (Apache Software Foundation) wird gegründet	1995 1996	Die erste Version wird im April veröffentlicht Der Apache wird zum führenden Webserver
Microsoft-Internet-Information-Server siehe: Tabelle unten	1995	Microsoft erwirbt den FrontPage Personal Web Server der Fa. Vermeer Microsoft Personal Web Server(PWS-95 und Microsoft-PWS) Microsoft Internet Information Server (IIS NT-Server) (ab IIS 5.0 Internet-Information-Services) Microsoft Peer Web Services (IIS-W NT-Workstations)
NGINX ist eine Webserver, Lastverteiler und reverser (http,ftp,POP3 und IMAP) Proxy	2004	NGINX (engine-ex oder engine x) wurde von Igor Sysoev entwickelt. Er unterliegt der BSD-Lizenz. Konfigurationsbeispiele sind auf dem Wikiserver verfügbar - https://www.nginx.com/resources/wiki/start/
Andere		Zeus, Rapidsite, thttpd, WebSitePro, Stronghold, WebSTAR, WebLogic, tigershark, AOLserver, WebSitePro, Jetty-Java, nhttpd usw.

Unterschiede der verschiedenen MS-Web-Server

	FrontPage PWS	Microsoft PWS (Win9x)	IIS 3 (Win-NT4)	IIS 4 (NT 4 Update) IIS 5 (Win2000) IIS 5.1 (WinXP) IIS 6.0 (WinServer 2003)	IIS 7.0 (WinVista) IIS 7.5 (WinServer2008) IIS 8.0 (WinServer2012) - ASP.net Einbindung - modular installierbar - HTTP-Pipelines - XML-Datei Konfiguration
Vorhandener Dienst	WWW	WWW, FTP	WWW, FTP, GOPHER	WWW, FTP, SMTP, NNTP	WWW, FTP, SMTP, POP3, WebDAV und Index-Dienste
Datenbankzugriff	nein	ja	ja	ja	ja
ASP	nein	ja	ja	ja	ja

Internet-Server Plattformen

Wer liefert und wer holt Daten im Internet? (Betriebssysteme client-bzw. serverseitig)
- http://w3schools.com/browsers/browsers_os.asp, http://gs.statcounter.com/
Marktanteile im Internetserverbereich (am Beispiel Web-Server)
mit Abfragemöglichkeit verwendeter Betriebssysteme und Serversoftwarefür beliebige Webadressen
- http://news.netcraft.com/archives/web_server_survey.html
TOP500 Supercomputing Sites
- https://www.top500.org/lists/2018/06/

Konfiguration des Apache-Webservers

Das Apache-HTTPD-Projekt
- http://httpd.apache.org/
Die ca. 300 Stiftungsmitglieder der Apache-Organisation
- http://apache.org/foundation/members.html
SuSE-Installationsquellen für aktuelle Apacheversionen hinzufügen:
```
zypper ar --repo http://download.opensuse.org/repositories/Apache/[IhreDistribution]Apache.repo
oder
zypper ar --repo http://ftp5.gwdg.de/pub/opensuse/repositories/Apache/[IhreDistribution]/Apache.repo
```
Bei zahlreichen Distributionen liefert der Apache seine eigene Dokumentation mit
- http://127.0.0.1/manual/
Im Web befindet sich diese Dokumentation unter:
- http://httpd.apache.org/docs-2.4/ (Apache 2.4)
Änderungen beim Umstieg von der Version 2.2.x auf eine 2.4.x Version
- http://httpd.apache.org/docs-2.4/ (Apache 2.4 Einstieg)
- http://httpd.apache.org/docs/2.4/new_features_2_4.html (neue Funktionen)
- http://httpd.apache.org/docs/2.4/upgrading.html (Umstieg auf 2.4)
- http://www.netbreaker.de/mediawiki/index.php/Apache (Unterschiede der event-, prefork-, worker- und ITK-Multi-Processing-Module)
- http://mpm-itk.sesse.net/ (Das ITK-MPM erlaubt ein generelles Userswitching)
WebDAV (Web Distributed Authoring and Versioning)
- http://archive.apache.org/dist/cocoon/events/acd2003/12_GuidoCasper_CocoonAndWebdav.pdf
Free WebDAV-Space bei gmx.de (Anmeldung unter: http://service.gmx.net/de/cgi/nreg)
- https://www.gmx.net/mediacenter/
- webdavs://webdav.mc.gmx.net/

Apache Module im Eigenbau
- http://httpd.apache.org/docs-2.0/de/programs/apxs.html

Das Hasso-Plattner-Institute analysiert und beschreibt den Apache Aufbau
- http://f-m-c.org/projects/apache/

Apache DOS Attacken erschweren mit mod_evasive
- http://spielwiese.la-evento.com/xelasblog/archives/56-Apache-DOS-Attacken-erschweren-mit-mod_evasive.html
Sicherheit für den Apachen
- http://www.pl-berichte.de/work/server/www/apache-sicherheit.html
Webserver Apache: Admin-Skripte mit CGI selbst erstellen
- http://www.zdnet.de/magazin/41558491/webserver-apache-admin-skripte-mit-cgi-selbst-erstellen.htm

Firewalls

Firewalls und iptables
- http://netfilter.samba.org

Konfiguration des SQUID-Proxyservers

Die Heimatadresse des Squid-Proxyservers
- http://www.squid-cache.org/
Administrationshandbuch zum Proxyserver
- http://www.squid-handbuch.de/hb/index.html
SQUID Frequently Asked Questions
- http://wiki.squid-cache.org/SquidFaq/
Proxy-Einstellungen automatisch verändern
- http://de.wikipedia.org/wiki/Proxy_Auto-Config, http://de.wikipedia.org/wiki/WPAD
Filtern mit dem Redirector SquidGuard
- http://www.squidguard.org/ (die offizielle Website)

Verschlüsselung

HTTPS das sichere Hypertext-Übertragungsprotokoll
- Wikipedia, Wie funktioniert HTTPS?
Freeware CrypTool zum anwenden und analysieren kryptographischer Verfahren
- http://www.cryptool.de/
Know-how (Krypto-Festplattengehäuse ausgehebelt)
- https://heise.de/-270058 (verschusselt statt verschluesselt)

Zertifikatserstellung (X509-V3)

SSL-Apache/OpenSSL/SSLeay Handbücher vom DFN
- http://www.dfn-pca.de/certify/ssl/handbuch/ossl095/ossl095.html
OpenSSL command line tool
- http://www.mkssoftware.com/docs/man1/openssl.1.asp
OpenSSL (ohne Vorlagendateien)
- http://www.werthmoeller.de/doc/microhowtos/openssl/
Apache mit SSL
- http://www.pl-berichte.de/work/server/www/apache-sicherheit.html#ToC7
Client Authentifizierung (Login mit Zertifikat) unter Apache
- http://www.a-trust.at/Anleitungen/client_authentification_apache_V104.pdf
Aufbau einer eigenen CA (bzw. eines Zertifikatsservers)
- http://www.openca.org/

Maildienste (smtp, pop3 u. imap4)

Cyrus System Administration
- https://de.wikipedia.org/wiki/Cyrus_(Server)

Mailverschlüsselung mit SMIME (Secure Multipurpose Internet Mail Extensions)

	Public-Key Zugriff für Sender	Public-Key Zugriff (firmenintern)	Private-Key des Empfängers
hausinterne Mails	kein Problem (Empfänger sind in zentraler DB verfügbar)	bereits im Mailclient eingetragen - ldap://al.Siemens.com	im Firmenausweis
Mail von intern an externe User	Problem für int. Sender, da die User in verschiedenen öffentl. Datenbanken liegen	über signierte Mail von ext. an int. da kein ext. ldap-Zugriff möglich z.B. http://trust.web.de/	z.B. im externen Mailclient
Mail von extern an interne User	behebbares Problem für ext. Sender	per LDAP -> ldap://al.Siemens.com	im MA-Ausweis
ist das Trustcenter (beim Enpfänger) bekannt?	Externe sind häufig von öffentlichen TC signiert und Interne sind nur intern gültig signiert	https://new.siemens.com/global/de/general/legal/ca-certificates.html

siehe auch: ikurs3#n2 (Suche im Intranet) und http://www.Siemens.com/corp/de/index/digital_id.htm (E-Mail-Verschlüsselung PDF-Downloads)

Das Firmen Trustcenter

Firmen stellen für ihre Mitarbeiter, Geschäftspartner und Firmen-Web-Server Zertifikate nach dem "Public Key Infrastructure Disclosure Statement" aus.
In Organisationen (mit eigener PKI) sollte man (wegen der enormen Schutzbedürftigkeit des privaten Schlüssels der Stammzertifizierungsstelle) mindestenes eine "zweistufige Architektur" zur Zertifikatsverwaltung installieren. In einer solchen Organisation existieren eine Stammzertifzierungsstelle (ROOT CA) und eine oder mehrere untergeordnete Zertifzierungsstellen (ISSUING CA). Die Ausstellung der Zertifikate erfolgt dann ausschließlich von den "untergeordneten Zertifzierungsstellen. Firmen stellen die TC-Zertifikate der Issuing-CA(s) zum Download bereit. Neben der (internen) Root CA betreiben Firmen weitere Sub-CAs, welche von der öffentlichen "Baltimore CyberTrust Root" zertifiziert sind, um eine externe Annerkennung (Trust) sicherzustellen.
Eine Übersicht über die Struktur und die verschiedenen CA Zertifikate befindet sich in der Siemens PKI CA Hierarychy (PDF).

Das Firmen Zertifikatsverzeichnis

Die SMIME/PGP-Zertifikate der Firmen-PKI sind in einem öffentliches Zertifikatsverzeichnis (Certificate Repository) gespeichert.
Das Zertifikatsverzeichnis ist im Internet verfügbar, um den Austausch von sicheren E-Mails mit Firmen zu ermöglichen.
Um Zertifikate aus dem Zertifikatsverzeichnis zu beziehen, kann dieses als LDAP-Verzeichnis im E-Mail-Pprogramm konfiguriert werden.

Zugang	Domain Name	IP-Addresse	Port	Suchbasis
Firma	cl.Siemens.com al.Siemens.com	194.138.20.37	389	o=trustcenter

Der folgende Linux-Befehl läd (wenn vorhanden) das Mail-Zertifikat von "max.mustermann@Siemens.com"
- ldapsearch -x -H ldap://al.Siemens.com:389 "(mail=max.mustermann@Siemens.com)"
Alternativ bieten Firmen eine Online Suche nach Zertifikaten.

Die European Bridge CA

Zahlreiche Firmen sind Mitglied der European Bridge CA, die einen virtuellen Verzeichnisdienst betreibt.
Über diesen Verzeichnisdienst können die Zertifikate der beteiligten Organisationen in ihrem E-Mail-Programm (per LDAP) abgerufen werden.
Die LDAP-Anfragen werden dann von der Bridge CA an die angeschlossenen Organisationen weitergeleitet.
Zugang Domain Name IP-Addresse Port Suchbasis
EBCA dir.ebca.de 93.92.132.137 389 o=ebca
Die European Bridge CA bietet eine Online-Suche (mit kompletter qualifizierter E-Mail-Adresse) nach Zertifikaten an.

Der LDAP-Server

The World's Finest Ldap Browser (JAVA)
- http://pegacat.com/jxplorer/
LDAP address book – field mapping in OpenOffice.org
- http://dba.openoffice.org//FAQ/LDAP_field_mapping.html
OpenLDAP-Adressbuch für Thunderbird
- http://www.pro-linux.de/t_office/openldap-adressbuch.html

Der News-Server

INN-Newsserver Konfiguration
- http://www.eyrie.org/~eagle/faqs/inn.html, lokale INN-FAQs /usr/share/doc/packages/inn/faq.html

Der NTP-Server (Network Time Protocol)

Timeserver Konfiguration
- http://www.meinberg.de/german/info/ntp.htm

Betriebssysteme härten

Ein sicheres Linux System aufsetzen Teil 2.0 - Linux mit /proc härten
- http://www.online-tutorials.net/security/ein-sicheres-linux-system-aufsetzen-teil-20-linux-mit-proc-hrten/tutorials-t-69-219.html#top

Kurs: Internet/Intranet Administration eines Internet-Dienstes