Abhörsicher

Datenablage auf Webserver

Praxis & Tipps | Praxis

Seite 5: Abhörsicher

Die Datenübertragung zum WebDAV-Server lässt sich mit SSL ohne zusätzlichen Aufwand sicher verschlüsseln. Damit der Server als Gegenstelle für SSL-Verbindungen dienen kann, muss man ein Serverzertifikat installieren. Für einen professionellen Internet-Server würde man ein Zertifikat verwenden, das von einer vertrauenswürdigen CA signiert ist, etwa von VeriSign oder Thawte. Bei einem privaten Server reicht aber ein einfaches, selbst signiertes Zertifikat aus. Der Client warnt dann zwar beim ersten Aufbau der Verbindung, dass das Serverzertifikat nicht von einer vertrauenswürdigen Stelle signiert ist; das stört aber nicht weiter. Verschlüsselt wird genauso gut. Lediglich für Man-in-the-Middle-Attacken ist die Verbindung anfälliger: Wenn man den Inhalt der Zertifikate nicht bei jedem Zugriff genau prüft, könnte ein Spion ein gefälschtes Zertifikat unterschieben und sich selbst als Server ausgeben.

Früher war es recht kompliziert, ein selbst signiertes Zertifikat für den IIS zu erstellen und es zu installieren. Mit dem Microsoft-Werkzeug SelfSSL aus dem IIS 6.0 Resource Kit geht das jetzt ganz leicht; das Werkzeug funktioniert auch mit dem IIS 5.1 von Windows XP Professional und sogar mit Windows 2000.

Nach der Installation im vorgegebenen Zielpfad finden Sie das Programm unter C:\Programme\IIS Resources\SelfSSL. Öffnen Sie in diesem Verzeichnis eine Eingabeaufforderung und starten Sie SelfSSL mit dem Befehl selfssl /V:1825. Damit stellt das Werkzeug ein Zertifikat auf den Computernamen aus, das 1825 Tage, sprich 5 Jahre lang gültig ist. Wenn Sie die Frage "Do you want to replace the SSL settings for site 1" bejahen, importiert SelfSSL das Zertifikat automatisch für die Standard-Website (ID 1) in den IIS.

Ähnlich wie normale SMB-Freigaben kann man eine WebDAV-Freigabe nach der Installation des IIS in den Eigenschaften des freizugebenden Ordners per Mausklick erstellen.

Für einen Server im Internet nimmt man als "Common Name" besser den vollständigen Domain-Namen, unter dem der Rechner erreichbar ist. Der lässt sich mit dem Parameter /N:CN=name vorgeben. selfssl /? verrät noch ein paar weitere Optionen. In der Managementkonsole des IIS lässt sich das neue Zertifikat einsehen: Drücken Sie in den Eigenschaften der Standard-Website auf dem Reiter "Verzeichnissicherheit" den Knopf "Zertifikat anzeigen…". Jetzt sind die Web-Freigaben per HTTP und HTTPS erreichbar, für einen sicheren Server sollten Sie den unverschlüsselten Zugriff unterbinden. Diese Einstellung können Sie in der Managementkonsole für die Standard-Website oder eine bestimmte Freigabe vornehmen. In den Eigenschaften einer Freigabe klicken Sie auf dem Reiter "Verzeichnissicherheit" unter "Sichere Kommunikation" auf "Bearbeiten…". Mit den Checkboxen "Sicheren Kanal verlangen (SSL)" und "128-Bit-Verschlüsselung erforderlich" akzeptiert der IIS nur noch HTTPS-Verbindungen.

Beim Zugriff auf den Server wird der Client vor dem unsicheren Zertifikat warnen. Diese Warnung erscheint auch, wenn der Common Name des Zertifikats nicht der Serveradresse entspricht oder das Zertifikat abgelaufen ist. Unter Windows empfiehlt es sich, das Zertifikat des eigenen Servers auf dem Client zu installieren. Dazu klicken Sie im Warndialog auf "Zertifikat anzeigen" und rufen die Funktion "Zertifikat installieren…" auf. Danach erscheint für dieses Zertifikat kein Warnhinweis mehr; sollte aber ein Spion versuchen, sich als Server auszugeben, bemerkt Windows den Unterschied.

Wenn auf dem Server-PC eine Personal Firewall läuft, muss man hier noch den Zugriff auf den Webserver freischalten. Bei der neuen Firewall des Service Pack 2 von Windows XP rufen Sie dazu das Firewall-Icon der Systemsteuerung auf und fügen bei den Ausnahmen für das TCP-Protokoll Port 80 hinzu; für SSL-Verbindungen öffnen Sie zusätzlich den Port 443.

Eine WebDAV-Freigabe lässt sich fast so einfach wie eine herkömmliche Netzwerkfreigabe einrichten: Klicken Sie mit der rechten Maustaste auf den Ordner, den Sie übers Netz zugänglich machen möchten. Wenn der IIS installiert ist, erscheint dort der Reiter "Webfreigabe". Hier ruft die Option "Diesen Ordner freigeben" eine Dialogbox auf, in der Sie als "Alias" den Namen angeben, unter der die Freigabe auf dem Server via HTTP erreichbar sein soll (http://servername/alias/). Geben Sie ausschließlich Verzeichnisse auf NTFS-Laufwerken frei, nur hier kann der IIS die Zugriffsrechte kontrollieren.

In der Management-Konsole des IIS tauchen die freigegebenen Verzeichnisse unterhalb der Standardwebsite auf.

Unter "Zugriffsberechtigungen" wählen Sie "Lesen", "Schreiben" und "Verzeichnis durchsuchen" aus. Auch die Option "Skriptzugriff" sollte eingeschaltet sein, sonst lassen sich auf der Freigabe keine Dateien mit Skriptendungen (etwa .asp) speichern. Unter "Anwendungsberechtigungen" wählen Sie "keine", um die Ausführung von Skripten zu deaktivieren – das ist für WebDAV nicht nötig. IIS-Administratoren mit den nötigen Berechtigungen können auch mit der IIS-Management-Konsole virtuelle Verzeichnisse anlegen. Sobald man in ihren Eigenschaften das Recht "Schreiben" einräumt, ist WebDAV aktiviert.

Anzeige