Internetsicherheit, Datenübertragung, TLS, SSL, Managed Server

Heutzutage in Zeiten von Internetspionage, Identitätsraub und unzähligen Fällen von Entwendung von Mailpasswörtern zur kriminellen Übernehme fremder Mailserver ist es unabdingbar, für die sichere Übertragung von sicherheitsrelevanten Daten zu sorgen. Passwörter werden oft unverschlüsselt übertragen, und jeder, der Zugang zur Infrastruktur bekommt, ist in der Lage geheime Daten auszuspionieren. Dazu ist nur ein ungeschütztes WLAN-Netzwerk (z.b. auf Flughäfen, in Internet-Cafe-Netzen, oder ein unsicher aufgesetztes Heim-Netzwerk) nötig, in dem Mailpasswörter, Kontenzugriffsdaten und ähnliches einfachst mit einem Packetsniffer ausgespäht werden können.

(Fast) alle modernen Serverplattformen verwenden bereits SSH für sichere Administrationsverbindungen und SCP für gesicherte Datenübertragungen. Trotzdem gibt es viele Systeme für Mailversand, einfache Webserver oder ähnliche Konfigurationen, wo aufgrund von Defaulteinstellungen Mailpasswörter, FTP-Passwörter oder CMS-Webseitenzugänge im Klartext übertragen werden.

Es gibt zwar für Mailserver die Möglichkeit, mit dem SASL-Protokoll die Mailpasswörter zu verschlüsseln, um auch über unverschlüsste Leitungen eine Sicherheit gegen Ausspähung zu gewährleisten. CRAM-MD5, DIGEST-MD5 sind Verschlüsselungstechniken, mit denen man Passwörter einigermassen sicher übertragen kann. Mailprogramme wie MS-Outlook unterstützen diese Verschlüsselung jedoch NICHT, weshalb sehr viele Mailuser ihr Outlook mit Plantext Passwörtern betreiben. NTLM2, die von Microsoft eingeführte Sicherheitsverschlüsselung funktioniert nur mit dem teuren Exchange Server, nicht jedoch mit kostengünstigen Hostinglösungen.

Outlook und andere Mailprogramme unterstützen jedoch TLS/SSL über Sicherheitszertifikate für die Verschlüsselung der Verbindung vom Client zum Server, wo auch problemlos Klartext-Passwörter übertragen werden können -Vorausgesetzt natürlich, man kann sicherstellen, daß es sich bei dem verbundenen Mailserver tatsächlich um den richtigen Server handelt, um eine Man-in-the-Middle Attacke auszuschliessen.

ede Mailserver-Installation kommt standardmässig mit einem Test-Zertifikat, das nicht von einer vertrauenswürdigen Austellungsstelle zertifiziert ist, und daher mit relativ einfachen Mitteln gefälscht werden kann. Man muss nämich bestätigen, daß man dem Zertifikat „vertraut“, bevor man sich mit der Gegenstelle verbindet. Und genau hier liegt die Schwachstelle. Es gibt zwar viele kostenlose Zertifizierungsstellen, die jeoch alle einigermassen fragwürdig sind, da nicht ausgeschlossen ist, daß nicht unbefugte Dritte trotzdem Zugang erhalten. Ausserdem muss die Zertifizierungsstelle dem Mailprogramm bekannt sein, damit die Verbindung automatisch vertrauenswürdig ist. Ansonsten öffnen sich immer wieder Bestätigungsfenster, ob sie dem Zertifikat trauen wollen.

SSL-Zertifikate werden von vielen renommierten Firmen angeboten, denen es ein Anliegen ist, die Sicherheit im Internet zu erhöhen. Unter anderem können sie SSL-Zertifikate auch bei unserer Partneragentur internex.at erwerben.

Managed Server, Root-Server, wenn von Laien aufgesetzt, sind sehr gefährdet, von feindlichen Hackern übernommen zu werden. Selbst der geringste Fehler im Server-Setup kann zu einer Sicherheitslücke führen, die, wenn Ihr Server nicht von Profis laufend aktualisiert und auf Sicherheitslücken überprüft wird, sehr schnell zu großen Problemen führen kann, die von der Blockierung seitens Blacklists (wenn sie zu einem Spam-Relay geworden sind) oder Sperre ihres Servers bis zu hohen Kosten führen kann (tausende Euros im schlimmsten Fall für z.b. Telefonverbindungen nach Übersee, wenn Sie dort z.b. eine ungenügend gesicherte Telefonanlage wie Asterisk betreiben).

Kein Meister ist vom Himmel gefallen – gehen Sie kein Risiko ein! Im Rahmen unserer monatlichen Administrationspauschalen kümmern wir uns um Ihre Serverlandschaft, auch wenn sie bei Fremdagenturen gehostet sind – wir stellen sicher, daß die Software sich immer auf aktuellem Stand befindet, und Ihr Server gegen unerwünschte Eindringlinge gesichert ist.

 

Comments are closed.