Peterzz 11 Geschrieben 10. Dezember 2014 Melden Geschrieben 10. Dezember 2014 Hallo, ich muss für eine Art internes "Lastenheft" ein Kapitel über die technischen/sicherheitsrelevanten Anforderungen einer neuen Webapplikation schreiben und benötige mal ein paar Infos von euch. Das komplette System besteht aus einem Webserver inklusive einer Applikation (Frontend auf einem Windows Server) welcher zunächst nur im internen Netz verfügbar sein soll. Der Webserver (mit der Applikation) soll aber so konzipiert werden, dass er später auch im Internet verfügbar gemacht werden kann, so dass User sich auf diesen Webserver anmelden können. Der Webserver hat eine Verbindung zu einer MS-SQL Datenbank (auf einem Windows Server), die ausschließlich nur im internen Netz zur Verfügung steht. An was muss ich bei einer Beschreibung dieses Szenarios denken? Klar ist mir, dass die Verbindung zum Webserver nur mit https von statten gehen darf, und dass der Webserver mit der Applikation in einer DMZ stehen muss (zumindest wenn er aus dem Internet erreichbar sein soll). Es muss eine rollenbasierte Benutzerverwaltung auf dem Applikationsserver geben, der die Zugriffe bestimmt. Der Webserver muss natürlich gehärtet sein, aber auf was achtet man da im Allgemeinen? Wie sollte aber der Zugriff von der Applikation auf den Webserver sein? Immer über einen Dienst oder gibt es andere Möglichkeiten? Gibt es Standards für die Kommunikation von Applikation und SQL-Server die eingehalten werden müssen um Angriffen wie z.B. SQL-Injection, Cross Site Scripting (XSS) oder Diebstahl von Zugangs- und Sitzungsinformationen (Session Tokens) entgegen zu wirken. Ich hoffe es mir jemand ein paar Stichpunkte zukommen lassen, auf was man bei so einem Konstrukt noch achten muss. Viele Grüße Peter
Dukel 468 Geschrieben 10. Dezember 2014 Melden Geschrieben 10. Dezember 2014 Den Applikationsserver muss man nicht unbedingt in die DMZ stellen. Dort stellt man i.d.R. einen Reverse Proxy und / oder Web Applikation Firewall.
Peterzz 11 Geschrieben 10. Dezember 2014 Autor Melden Geschrieben 10. Dezember 2014 Es ist aber sicherer, denke ich und die Veröffentlichung soll auch über eine Web Applikation Firewall passieren.
Dukel 468 Geschrieben 10. Dezember 2014 Melden Geschrieben 10. Dezember 2014 Mit einem Reverse Proxy lässt man nur http(s) Verbindungen von der DMZ ins Netzwerk zu, wenn man den Applikationsserver in die DMZ stellt mindestens SQL und wenn nicht noch viel mehr Verbindungen (z.B. Authentifizierung).
Peterzz 11 Geschrieben 11. Dezember 2014 Autor Melden Geschrieben 11. Dezember 2014 Für die, die auch Informationen dieser Art benötigen, habe ich was beim BSI gefunden: https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/ISi-Reihe/ISi-Web-Server/web_server_node.html
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden