Tag Archives Security

Ich wollte letztens aus eine BigIP Web Application Firewall von F5 Networks HTTP Strict Transport Security aktivieren und haben vergeblich nach einer entsprechenden Option im TMUI gesucht. Nach einer kurzen Recherche im Internet habe ich auch einige iRules gefunden, die HSTS aktivieren. Diese waren aber meist recht lang und kompliziert. Daher habe ich einfach eine klein, einfach iRule geschrieben. Hier ist sie:

when HTTP_RESPONSE {
HTTP::header insert Strict-Transport-Security "max-age=31536000 ; includeSubDomains"
}

1. Ausgangssituation

Out-of-the-box liefert nginx und PHP die eingesetzte Softwareversion mit jedem HTTP Response aus. Das ist nicht sonderlich klug, da man so einem potentiellen Angreifer ungewollt eine Angriffsfläche bietet. Hier einmal ein normaler HTTP Response. Die zu deaktivierenden HTTP Header Werte habe ich rot gekennzeichnet.

$ curl -I http://192.168.1.1
HTTP/1.1 200 OK
Server: nginx/1.8.1
Date: SAT, 13 Feb 2016 08:20:36 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
Vary: Accept-Encoding
X-Powered-By: PHP/5.3.3
...

2. Deaktivierung der NGINX Version

Die Deaktivierung der Nginx Version ist recht simpel.

Hierzu ist nur die nginx.conf zu öffnen und der Parameter server_tokens off in dem Bereich „http“ in der nginx.conf hinzuzufügen. (mehr …)

Je weniger Informationen einem potentiellen Angreifer zu Verfügung stehen desto besser. Wenn man möglichst wenige Informationen preis gibt, verringert man auch die Angriffsfläche.

Die Webseite ssllabs.com ist quasi schon ein Standard für die Überprüfung von TLS Einstellungen eines Webservers. Um die Security Header einer Webseite prüfen zu können, empfiehlt sich das Online-Tool securityheaders.io. Wer ssllabs.com bereits kennt wird sich auf securityheaders.io schnell zurecht finden.

 

screen_securityheaders.io

 

So sieht das Ergebnis für meine Owncloud Installation aus. Nur weil eine Webseite kein A+ erhält, heißt es noch lange nicht das sie unsicher ist. Der Test gibt aber einen Hinweis darauf, wie man die Sicherheit noch weiter erhöhen kann.

Close