Verinice - Übung: Webserver mit WAF und Firewall

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Organisation anlegen

Organisation anlegen

Schritte

  • Starte verinice.EVAL
  • Menüleiste: Modernized IT Baseline Protection
  • Klicke oben auf das Symbol New Information Network (Blatt mit Stern)
  • Es öffnet sich die Eingabemaske für ein neues Information Network
  • Fülle die Felder wie folgt aus:
Feld Wert
Title kit GmbH
Abbreviation KIT
Organization KIT Dresden
Tags Demo, IT-Grundschutz
Number of employees 12
Scope Testverbund für ISMS und IT-Grundschutz
  • Speichern mit Symbol Diskette oben in der Toolbar

IT-System anlegen

IT-System anlegen

Webserver01

  • Im Object Browser auf IT System Group klicken (unterhalb von KIT kit GmbH)
  • Rechtsklick → Add IT System... auswählen
  • Es öffnet sich die Eingabemaske für ein neues IT-System
  • Felder ausfüllen wie folgt:
Feld Wert
Abbreviation WEB01
Title Webserver01
Tags Debian 12, Apache
Description Öffentlicher Webserver für Internetauftritt der kit GmbH
Platform / Module Virtuelle Maschine auf Proxmox

Baustein zuordnen

Schritte

  • Im linken Bereich im Catalogs den gewünschten Baustein auswählen (z. B. SYS.1.1 Allgemeiner Server)
  • Mit der Maus auf das Zielobjekt im Object Browser ziehen (z. B. Webserver01 in der IT System Group)
  • Fallenlassen (Drop)

Ergebnis

  • Der Baustein ist direkt dem IT-System zugeordnet
  • Im IT-System erscheint nun die Verbindung zum Baustein

Zugeordnete Bausteine für Webserver01

Baustein Zweck
SYS.1.1 Allgemeiner Server Basisanforderungen an jeden Server (Patchen, Logging, Monitoring, Absicherung)
SYS.1.3 Server unter Linux und Unix Spezifische Anforderungen für Linux-Server (Rechte, sudo, SSH-Konfiguration)
APP.3.2 Webserver Anforderungen für Apache/NGINX/IIS (TLS, Konfiguration, Module, Logging, Schutz vor Angriffen)

Anwendung anlegen

Feld Wert
Abbreviation SHOP
Title Webshop
Tags E-Commerce, Kundenportal
Description Öffentliche Webanwendung für Bestellungen der kit GmbH

Baustein zuordnen (Webshop)

Schritte

  • Im linken Bereich im Catalogs den Baustein APP.3.1 Webanwendungen auswählen
  • Mit der Maus auf das Objekt Webshop in der Application Group ziehen
  • Fallenlassen (Drop)

Ergebnis

  • Der Baustein APP.3.1 Webanwendungen ist jetzt mit der Anwendung Webshop verknüpft
  • Im Objekt Webshop erscheinen die Anforderungen und Maßnahmen aus dem Baustein

Maßnahmenumfang für Webserver01

Einleitung

  • Im BSI-Grundschutz müssen für alle zugeordneten Bausteine die Maßnahmen (Controls) bewertet werden.
  • BASIC-Maßnahmen sind immer verpflichtend – sie bilden den Kernschutz.
  • STANDARD-Maßnahmen sind für normalen Schutzbedarf erforderlich und ebenfalls umzusetzen.
  • HIGH-Maßnahmen müssen nur dann dokumentiert werden, wenn der Schutzbedarf als „hoch“ oder „sehr hoch“ eingestuft ist (z. B. KRITIS, besonders sensible Daten).
  • Für Webserver01 (Debian Apache) werden daher alle BASIC- und STANDARD-Maßnahmen aus den zugeordneten Bausteinen bewertet:
    • SYS.1.1 Allgemeiner Server
    • SYS.1.3 Server unter Linux und Unix
    • APP.3.2 Webserver

SYS.1.1 Allgemeiner Server

A1 Geeignete Aufstellung (BASIC)

Webserver01 steht im Serverraum des KIT Dresden. Zutritt nur per Chipkarte für Administratoren. → Status: erfüllt

A2 Benutzerauthentisierung an Servern (BASIC)

Individuelle Accounts, Root-Login via SSH deaktiviert, Nutzung von sudo. → Status: erfüllt

A5 Schutz von Schnittstellen (BASIC)

Nur Netzwerkschnittstellen aktiv, keine USB-Nutzung. → Status: erfüllt

A6 Deaktivierung nicht benötigter Dienste (BASIC)

Nur Apache und SSH laufen, unnötige Dienste wurden entfernt. → Status: erfüllt

A9 Einsatz von Virenschutz-Programmen (BASIC)

ClamAV installiert, ergänzt durch IDS auf Netzebene. → Status: teilweise

A10 Protokollierung (BASIC)

System- und Apache-Logs zentral gesammelt, Rotation aktiv. → Status: erfüllt

A11 Festlegung einer Sicherheitsrichtlinie (STANDARD)

Interne IT-Sicherheitsrichtlinie vorhanden, gilt auch für Webserver. → Status: erfüllt

A12 Planung des Server-Einsatzes (STANDARD)

Servereinsatz dokumentiert (VM auf Proxmox, DMZ). → Status: erfüllt

A13 Beschaffung von Servern (STANDARD)

Debian-Server aus definiertem Beschaffungsprozess, genehmigt durch IT-Leitung. → Status: erfüllt

A15 Unterbrechungsfreie und stabile Stromversorgung (STANDARD)

VM-Host an USV, zusätzlich Monitoring der Stromversorgung. → Status: erfüllt

A16 Sichere Grundkonfiguration für Server (STANDARD)

Minimale Debian-Installation, CIS-Hardening umgesetzt. → Status: erfüllt

A19 Einrichtung lokaler Paketfilter (STANDARD)

nftables konfiguriert: nur Ports 22, 80, 443 offen. → Status: erfüllt

A21 Betriebsdokumentation für Server (STANDARD)

Dokumentation in Confluence/IT-Handbuch gepflegt. → Status: erfüllt

A22 Einbindung in die Notfallplanung (STANDARD)

Backup-Konzept vorhanden, Wiederanlaufplan getestet. → Status: erfüllt

A23 Systemüberwachung und Monitoring (STANDARD)

Checkmk überwacht Verfügbarkeit, Ressourcen und Dienste. → Status: erfüllt

A24 Sicherheitsprüfungen für Server (STANDARD)

Regelmäßige Nessus-Scans, Ergebnisse dokumentiert. → Status: teilweise

A25 Geregelte Außerbetriebnahme eines Servers (STANDARD)

Prozess definiert: Daten löschen, Zertifikate zurückziehen. → Status: erfüllt

A35 Erstellung und Pflege eines Betriebshandbuchs (STANDARD)

Betriebshandbuch für Webserver erstellt, enthält Installations- und Recovery-Schritte. → Status: erfüllt

A37 Kapselung von sicherheitskritischen Servern (STANDARD)

Webserver in DMZ isoliert, keine direkte Verbindung ins interne Netz. → Status: erfüllt

SYS.1.3 Server unter Linux und Unix

A2 Sorgfältige Vergabe von IDs (BASIC)

Keine doppelten UID/GID, Service-Accounts (www-data, backup). → Status: erfüllt

A3 Kein automatisches Einbinden von Wechselaufwerken (BASIC)

Automount deaktiviert, keine Nutzung von USB. → Status: erfüllt

A5 Sichere Installation von Software-Paketen (BASIC)

Nur Debian-Repositories eingebunden, Signaturprüfung aktiv. → Status: erfüllt

A6 Verwaltung von Benutzern und Gruppen (STANDARD)

Zentrale Nutzerverwaltung via Ansible, regelmäßige Prüfung. → Status: erfüllt

A8 Verschlüsselter Zugriff über Secure Shell (STANDARD)

Nur SSH mit Schlüssel-Authentisierung, Root-Login deaktiviert. → Status: erfüllt

APP.3.2 Webserver

A1 Absicherung der Webserver-Software (BASIC)

Apache aus offiziellem Debian-Repo, regelmäßig gepatcht. → Status: erfüllt

A2 Konfiguration der Protokolle (BASIC)

Nur TLS 1.2/1.3 aktiviert, HTTP auf HTTPS umgeleitet. → Status: erfüllt

A3 Trennung von Webinhalten und Betriebssystem (STANDARD)

Webinhalte liegen in /var/www, getrennt vom Systembereich. → Status: erfüllt

A4 Protokollierung von Webserver-Ereignissen (STANDARD)

Apache Access/Error-Logs aktiv, Weiterleitung an zentrales Logging. → Status: erfüllt

A5 Minimierung von Modulen und Erweiterungen (STANDARD)

Nur benötigte Apache-Module geladen (ssl, rewrite, headers). → Status: erfüllt

A6 Schutz vor bekannten Schwachstellen (STANDARD)

Regelmäßige Security-Scans, Nutzung von OWASP CRS mit ModSecurity. → Status: teilweise

Ergebnis der Bearbeitung

  • Alle BASIC- und STANDARD-Maßnahmen aus den relevanten Bausteinen wurden für Webserver01 dokumentiert.
  • Für jede Maßnahme ist ein Umsetzungsstatus gesetzt (erfüllt / teilweise / nicht erfüllt) und eine kurze Begründung/Nachweis hinterlegt.
  • Damit entsteht für den Webserver01 ein vollständiges Sicherheitsprofil nach IT-Grundschutz.
  • Auswertung in verinice:
    • Ampel-Ansicht → zeigt auf einen Blick den Erfüllungsgrad der Maßnahmen.
    • Reports → Erstellung von Übersichten (z. B. Maßnahmenplan, Umsetzungslücken).
    • Risikoanalyse → für nicht erfüllte Maßnahmen kann eine Risikoentscheidung getroffen und dokumentiert werden.
  • Ergebnis für die Organisation:
    • Klarer Überblick: welche Anforderungen erfüllt sind.
    • Offene Punkte: Maßnahmenplan für „teilweise“ oder „nicht erfüllt“.
    • Grundlage für Audits: Exportierbare Dokumentation für ISO 27001 / BSI-Prüfungen.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Verinice_-_Übung:_Webserver_mit_WAF_und_Firewall&oldid=64674