Bei manchen Diensten funktioniert weder eine Absicherung mit stunnel noch durch ein VPN. Dies mag man eigentlich für unmöglich halten, ist aber beispielsweise beim Broadcasting-Server Shoutcast der Fall. Shoutcast ist vor allem deshalb beliebt, weil man kostenlos in die Liste der Shoutcast-Radio-Stationen aufgenommen wird. Diese Liste gilt als das Standard-Verzeichnis für Internet-Radios. Mit virtuellen Servern lassen sich wegen der begrenzten Bandbreite zwar nur kleine Radio-Stationen mit bis zu 30 Zuhörern betreiben, dennoch sei Shoutcast exemplarisch für Hosting-Anwendungen mit Sicherheitsproblemen erwähnt.
Technisch hat Shoutcast eine Reihe von Nachteilen. Insbesondere wird der meist öffentliche Audio-Stream auf dem gleichen Port gestreamt, auf dem das Admin-Interface liegt, siehe Bild 6. Wenn der Server im Useragent-String das Wort Mozilla findet, hält er den Client für einen Browser und zeigt das unverschlüsselte Admin-Interface, andernfalls streamt er die Audio-Quelle. Daher muss man sich disziplinieren und darf das Admin-Interface nur über ein VPN-Interface nutzen, obwohl es aus dem ganzen Internet erreichbar ist. Ansonsten läuft man Gefahr, dass das Password abgehört wird.
Gänzlich verbietet sich jeglicher Mechanismus, gehostete Server per FTP über das Internet mit Dateien zu füttern. Die Gefahr des Abhörens von Passwörtern ist dabei sehr hoch. Mit den abgehörten Passwörtern schleusen Kriminelle Malware auf den Server, die sich die Benutzer herunterladen sollen. Das liegt einfach daran, dass die meisten Hoster für ihre Shared-Hosting-Lösungen einen FTP-Zugang anbieten. Es ist davon auszugehen, dass bei den großen Providern und Carriern illoyale Mitarbeiter Abhörsysteme installiert haben. Anders ist nicht zu erklären, wie man immer wieder Server mit mehreren hunderttausend gültigen FTP-Zugängen findet.
Um einen Server mit Dateien zu versorgen, bieten sich natürlich SSH beziehungsweise SCP und SFTP an. Da der Standardzugang ohnehin per SSH realisiert ist, kann man beispielsweise mit WinSCP als Client leicht Daten kopieren. Andere Möglichkeiten sind über VPN abgesichertes FTP oder Filesharing, wobei wegen der Kernel-Treiber-Problematik meist nur SMB/CIFS-Filesharing mit Samba in Frage kommt.
Neueste Kommentare
2 Kommentare zu Echte Server statt Webspace: Anwendungen sicher betreiben
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
leider nur and er Oberfläche gekratzt
Um sich einen Überblick zu verschaffen ist der Artikel ganz nett, aber mir fehlt der Tiefgang bei den wichtigen sicherheitskritischen Aspekten.
Warum kann man hier nicht ein paar beschreibende Worte darüber verlieren, wie z.B. ein VPN installiert wird. Oder wie man den sftp Zugang nutzt. Nein, man muss diesen Artikel wieder benutzen und googlen um sich weitere tiefere Infos zu beschaffen – irgendwie lästig. Klar findet man alles, aber Ihr hättet die Möglichkeit diese Infos für alle auf einen Blick/Klick verfügbar zu machen…
AW: leider nur and er Oberfläche gekratzt
Habe mir einen vserver bei servcity.org geholt läuft super!