Category Archives Security

Ich betreibe seit einiger Zeit einen zensurfreien öffentlich zugänglichen DNS Server – auch Open Resolver genannt. Normalerweise beantwortet mein DNS Server im unteren zweistelligen Bereich. Am 07.02.2017 habe ich allerdings eine Warnmeldung erhalten, dass die Anzahl der DNS Requests auf knapp einhundert Anfrage pro Sekunde angestiegen lag.

Weiterlesen>>>>

Manchmal möchte man mit Sicherheit nicht preisgeben das man über einen Proxy Server auf das Internet zugreift und wie dieser heißt. Noch schwerer wiegt die Tatsache, das mittels der X_FORWARDED_FOR und VIA Header unter Umständen auch die interne Client IP Adresse herausgefunden werden kann.

Synology bietet seit der DSM Version 5.0 offiziell auch ein Proxy Server Paket zur Installation an. Dieser Proxy Server basiert auf dem weit verbreiteten Squid Proxy. Daher kann man die nachfolgenden Änderungen an der squid.conf natürlich ebenfalls an jeder anderen squid.conf (also bei einer NON-Synology Installation) vornehmen.

(mehr …)

Ich wollte letztens aus eine BigIP Web Application Firewall von F5 Networks HTTP Strict Transport Security aktivieren und haben vergeblich nach einer entsprechenden Option im TMUI gesucht. Nach einer kurzen Recherche im Internet habe ich auch einige iRules gefunden, die HSTS aktivieren. Diese waren aber meist recht lang und kompliziert. Daher habe ich einfach eine klein, einfach iRule geschrieben. Hier ist sie:

when HTTP_RESPONSE {
HTTP::header insert Strict-Transport-Security "max-age=31536000 ; includeSubDomains"
}

Je weniger Informationen einem potentiellen Angreifer zu Verfügung stehen desto besser. Wenn man möglichst wenige Informationen preis gibt, verringert man auch die Angriffsfläche.

Die Webseite ssllabs.com ist quasi schon ein Standard für die Überprüfung von TLS Einstellungen eines Webservers. Um die Security Header einer Webseite prüfen zu können, empfiehlt sich das Online-Tool securityheaders.io. Wer ssllabs.com bereits kennt wird sich auf securityheaders.io schnell zurecht finden.

 

screen_securityheaders.io

 

So sieht das Ergebnis für meine Owncloud Installation aus. Nur weil eine Webseite kein A+ erhält, heißt es noch lange nicht das sie unsicher ist. Der Test gibt aber einen Hinweis darauf, wie man die Sicherheit noch weiter erhöhen kann.

Es wird empfohlen bei SSL verschlüsselten Verbindungen HTTP Strict Transport Security (kurz: HSTS) zu aktivieren. Falls HSTS nicht aktiviert ist generiert owncloud im Administrationsmenü folgende Meldung:

Ich setze auf den Webserver nginx. Bei diesem ist die Behebung dieses Fehlers wirklich simpel. Zuerst ist die Konfigurationsdatei für die entsprechende Webseite zu öffnen:

sudo nano /etc/nginx/sites-enabled/datei

Dort ist in dem Abschnitt

server {
    listen 1.1.1.1 ssl;

folgender Eintrag hinzuzufügen

add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";

In meiner Konfigurationsdatei sieht der Abschnitt dann so aus

server { 
    listen 1.1.1.1 ssl;
    server_name domainname.de;
    ssl_certificate /etc/nginx/cert/certificate.cer;
    ssl_certificate_key /etc/nginx/cert/certificate.key;
    add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";
    }

Jetzt nur noch die geänderten Konfigurationsdateien in nginx einlesen und fertig sind wir!

sudo /etc/init.d/nginx reload
Close