Erklärung Sicherheitsstandards - Managed Hosting Produkte

All unsere Server unterstützen die aktuellen Sicherheitsmechanismen um Ihren Geschäftsprozessen einen maximalen Schutz vor unbefugten Zugriffen zu gewährleisten. Sicherheits-Tools überwachen im Hintergrund alle Ihre Projekte und sorgen so für den Schutz und die Sicherheit Ihrer Daten.

1) SSL-/TLS-Verschlüsselung:

SSL (Secure Sockets Layer) und TLS (Transport Layer Security) sind kryptografische Sicherheitsprotokolle. Sie werden verwendet, um sicherzustellen, dass die Netzwerkkommunikation sicher ist. Ihre Hauptziele sind die Gewährleistung von Datenintegrität und Datenschutz. Das SSL-Protokoll war das erste für diesen Zweck entwickelte Protokoll, und TLS ist sein Nachfolger. SSL gilt heute als veraltet und unsicher (auch die neueste Version). Moderne Browser wie Chrome oder Firefox verwenden stattdessen TLS.

SSL und TLS werden im Allgemeinen von Webbrowsern zum Schutz von Verbindungen zwischen Webanwendungen und Webservern verwendet. Viele andere TCP-basierte Protokolle verwenden ebenfalls TLS / SSL, einschließlich E-Mail (SMTP / POP3), Instant Messaging (XMPP), FTP, VoIP, VPN und andere. Wenn ein Dienst eine sichere Verbindung verwendet, wird der Buchstabe S normalerweise an den Protokollnamen angehängt, beispielsweise HTTPS, SMTPS, FTPS, SIPS. In den meisten Fällen basieren SSL- / TLS-Implementierungen auf der OpenSSL-Bibliothek.

SSL und TLS sind Frameworks, die viele verschiedene kryptografische Algorithmen verwenden, beispielsweise RSA und verschiedene Diffie-Hellman-Algorithmen. Die Parteien einigen sich darauf, welchen Algorithmus sie bei der Erstkommunikation verwenden sollen. Die neueste TLS-Version (TLS 1.3) ist im IETF-Dokument RFC 8446 (Internet Engineering Task Force) und die neueste SSL-Version (SSL 3.0) im IETF-Dokument RFC 6101 angegeben.

Datenschutz & Integrität

SSL / TLS-Protokolle ermöglichen die Verschlüsselung der Verbindung zwischen zwei Medien (Client-Server). Durch die Verschlüsselung können Sie sicherstellen, dass kein Dritter die Daten lesen oder manipulieren kann. Bei der unverschlüsselten Kommunikation können vertrauliche Daten wie Benutzernamen, Kennwörter, Kreditkartennummern usw. angezeigt werden. Wenn wir eine unverschlüsselte Verbindung verwenden und ein Dritter unsere Verbindung mit dem Server abfängt, können alle Informationen in Klartext angezeigt werden. Wenn wir beispielsweise ohne SSL auf das Webseiten-Verwaltungsfenster zugreifen und ein Angreifer den lokalen Netzwerkverkehr erfasst, werden folgende Informationen angezeigt.

2) HSTS  (HTTP Strict Transport Security)

HSTS ist der kleine Antwortheader, der einem Browser mitteilt, immer SSL / TLS für die Kommunikation mit Ihrer Site zu verwenden. Es spielt keine Rolle, ob der Benutzer oder ein Link, auf den er klickt, HTTP angibt. HSTS entfernt die Fähigkeit eines kompatiblen Browsers, HTTP zu verwenden, und erzwingt die Verwendung von HTTPS.

HSTS Preloading ist ein Mechanismus, bei dem eine Liste von Hosts, die die Verwendung von SSL / TLS auf ihrer Site erzwingen möchten, in einen Browser integriert ist. Diese Liste wird von Google erstellt und von Chrome, Firefox und Safari verwendet. Diese Sites sind nicht von der Ausgabe des HSTS-Antwortheaders abhängig, um die Richtlinie durchzusetzen. Stattdessen ist dem Browser bereits bewusst, dass der Host SSL / TLS benötigt, bevor eine Verbindung oder Kommunikation überhaupt stattfindet. Dadurch entfällt die Möglichkeit eines Angreifers, Umleitungen, die über HTTP stattfinden, abzufangen und zu manipulieren. Dies bedeutet nicht, dass der Host den HSTS-Antwortheader nicht mehr ausgeben muss. Dies muss für die Browser beibehalten werden, die keine vorab geladenen HSTS-Listen verwenden.

3) DKIM, SPF und DMARC

DomainKeys Identified Mail (DKIM) ist ein technischer Standard, der dazu dient, E-Mail-Absender und -Empfänger vor Spam, Spoofing und Phishing zu schützen. Hierbei handelt es sich um eine Form der E-Mail-Authentifizierung, mit der eine Organisation die Verantwortung für eine Nachricht in einer Weise geltend machen kann, die vom Empfänger überprüft werden kann. Insbesondere wird ein Ansatz namens "Public-Key-Kryptographie" verwendet, um zu überprüfen, ob eine E-Mail-Nachricht von einem autorisierten E-Mail-Server gesendet wurde, um Fälschungen zu erkennen und die Zustellung schädlicher E-Mails wie Spam zu verhindern. Es ergänzt SMTP, das Basisprotokoll zum Senden von E-Mails, da es selbst keine Authentifizierungsmechanismen enthält.

Wie hängt es mit SPF, DMARC oder anderen Standards zusammen?

  • DKIM, SPF und DMARC sind Standards, die verschiedene Aspekte der E-Mail-Authentifizierung ermöglichen. Sie behandeln komplementäre Fragen.
  • Mit SPF können Absender definieren, welche IP-Adressen E-Mails für eine bestimmte Domäne senden dürfen.
  • DKIM bietet einen Verschlüsselungsschlüssel und eine digitale Signatur, mit der sichergestellt wird, dass eine E-Mail-Nachricht weder gefälscht noch geändert wurde.
  • DMARC vereint die SPF- und DKIM-Authentifizierungsmechanismen in einem gemeinsamen Rahmen und ermöglicht Domänenbesitzern, anzugeben, wie E-Mails von dieser Domäne behandelt werden sollen, wenn ein Autorisierungstest fehlschlägt.

DNSBL (DNS Blacklist)

Grundlegendes zur DNSBL-Filterung

Eine DNSBL (im Allgemeinen als "Blocklist" bezeichnet) ist eine Datenbank, die von Internet-Mail-Servern in Echtzeit abgefragt wird, um eine Stellungnahme zum Ursprung eingehender E-Mails zu erhalten. Die Rolle einer DNSBL, wie beispielsweise Spamhaus SBL / XBL / Das PBL Advisory-System gibt jedem, der anfragt, eine Stellungnahme dazu ab, ob eine bestimmte IP-Adresse den eigenen Richtlinien von Spamhaus hinsichtlich der Annahme eingehender E-Mails entspricht.

Die Richtlinie des Empfängers bestimmt, ob eine Nachricht blockiert ist oder nicht

Jedes Internet-Netzwerk, das sich für die Spam-Filterung entscheidet, entscheidet auf diese Weise über die Annahme und Handhabung eingehender E-Mails. Der Empfänger entscheidet einseitig, ob DNSBLs verwendet werden sollen, welche DNSBLs verwendet werden sollen und was mit einer eingehenden E-Mail zu tun ist, wenn die Ursprungs-IP-Adresse der E-Mail-Nachricht in der DNSBL "aufgelistet" ist. Die DNSBL selbst kann wie alle Spam-Filter nur beantworten, ob eine Bedingung erfüllt ist oder nicht.

Zu beachten sind:

  1. Der Empfänger trifft eine Richtlinienentscheidung, um die Nachricht zu akzeptieren, zu kennzeichnen oder abzulehnen, unter anderem basierend darauf, ob die IP-Adresse des Absenders in einer Spamhaus-DNSBL aufgeführt ist.
  2. Der Empfänger fragt Spamhaus eine Frage ("Ist diese IP in einer Spamhaus-Datenbank aufgeführt?"). Spamhaus antwortet automatisch auf die Frage des Empfängers.
  3. Spamhaus hat keinen Einfluss darauf, wie der Empfänger eingehende E-Mails von IPs behandelt, die in einer Spamhaus-Datenbank aufgeführt sind.
  4. Anstatt Nachrichten abzulehnen, die den Spamhaus-Test nicht bestehen, markieren viele Empfänger solche Nachrichten. Markierte Nachrichten werden dann entweder in eine "Junk" -Mailbox gestellt oder durch weitere, prozessorintensivere Spamfilter (wie SpamAssassin usw.) geleitet.
  5. Spamhaus empfiehlt jedoch, dass Netzwerke, die Spamhaus-DNSBLs verwenden, eingehende E-Mails von IP-Adressen, die in einer Spamhaus-Datenbank aufgeführt sind, nicht einfach verwerfen. Der Grund dafür ist, dass das Ablehnen von E-Mails (mit einem harten '5 **' während der SMTP-Phase und bevor der E-Mail-Text akzeptiert wird) die Grundregel der E-Mail-Zustellbarkeit einhält: Wenn eine E-Mail nicht zugestellt werden kann, informieren Sie den Absender immer *.

Die Rechte eines Absenders - die Rechte eines Empfängers

Das Internet ist ein Netzwerk privater Netzwerke. Jedes Netzwerk legt seine eigenen Richtlinien für die E-Mail fest, die es akzeptiert oder nicht akzeptiert. In der folgenden Abbildung sind das Ende des privaten Netzwerks des Senders und der Beginn des privaten Netzwerks des Empfängers mit (A) und (B) markiert. Dieses Diagramm zeigt, dass keine "Blockierung" von E-Mails erfolgt, weder beim Ausgang des Absendernetzwerks, bei der Verbindung des Absenders zum öffentlichen Internet noch beim Eingang des empfangenden Netzwerks. DNSBLs werden vom privaten Mail-Server des Empfängers und aus dem privaten Netzwerk des Empfängers verwendet.

Ein weit verbreitetes Missverständnis ist, dass ein E-Mail-Absender, dessen IP-Adresse in einer DNSBL aufgeführt ist, das Senden von E-Mails blockiert. In der Tat werden Absender in keiner Weise durch das Senden von E-Mails durch DNSBLs verhindert. Die Spamhaus-DNSBLs werden nur von empfangenden Mailsystemen in privaten Netzwerken verwendet und werden freiwillig verwendet.

Spamhaus teilt einem E-Mail-System eines Drittanbieters nicht mit, was mit einer E-Mail zu tun ist, das E-Mail-System eines Drittanbieters fragt Spamhaus nach einer Stellungnahme und Spamhaus antwortet auf diese Anfrage mit seiner Stellungnahme. Der empfangende Mail-Server fragt die Spamhaus-DNSBL tatsächlich nach "Gibt es die IP-Adresse dieses Absenders in der Spamhaus-Datenbank?", Antwortet die Spamhaus-DNSBL einfach mit "Ja", falls vorhanden oder, falls nicht vorhanden, überhaupt nicht (keine Antwort bedeutet) "Wir haben keine Meinung zu dieser IP - Adresse").

DDOS  (Distributed Denial of Service)

DDoS-Angriffe sind als verteilte Denial-of-Service-Angriffe bekannt. DDoS-Angriffe sind Angriffe, bei denen DoS-Angriffe mit mehreren Opfersystemen verwendet werden, die von einem Schadprogramm infiziert werden. DoS-Angriffe sind Cyber-Angriffe, bei denen der Angreifer einen Server angreift und eine enorme Menge Datenverkehr anstößt, um den Server für die Benutzer auszuschalten. Bei einem DDoS-Angriff wird der Angriff aus verschiedenen Quellen platziert und das Ergebnis ist massiver Schaden. Die Computer des Opfers werden als Zombies bezeichnet. Der Angreifer sorgt für mehr Datenverkehr hunderte und Tausende gleichzeitige Zugriffe auf eine Website / Server. Der Server kann diese Last nicht mehr bewältigen und wird somit in die Knie gezwungen.  

Arten von DDoS-Angriffen:

  1. Anzahl Clients: Dieser Angriff sendet riesige Pakete wie TCP und UDP an das Ziel. Dadurch wird der Server angegriffen. Dieser Angriff wird von der Ausbeutung durch Malware begleitet.
  2. Bandbreitenangriff: Bei diesem Angriff lädt der Angreifer das Ziel mit einer Menge Junk-Daten. Dies führt zu einem Verlust der Netzwerkbandbreite und zu einem Denial-of-Service.
  3. Anwendungsangriff: Es greift die Anwendungsebene des Opfers an und dadurch stehen keine Ressourcen mehr zur Verfügung.

FIREWALL 

Eine Firewall ist ein System, das Netzwerksicherheit bietet, indem ein- und ausgehender Netzwerkverkehr basierend auf benutzerdefinierten Regeln gefiltert wird. Im Allgemeinen besteht der Zweck einer Firewall darin, das Auftreten unerwünschter Netzwerkkommunikationen zu reduzieren oder zu eliminieren, während alle legitimen Kommunikationen frei fließen können. In den meisten Serverinfrastrukturen bieten Firewalls eine wesentliche Sicherheitsebene, die Angreifer zusammen mit anderen Maßnahmen daran hindert, auf bösartige Weise auf Ihre Server zuzugreifen. 

 

 

  • Sicherheit, Managed Web-Hosting, SSL, TLS, Schutz, Datensicherheit
  • 0 Benutzer fanden dies hilfreich
War diese Antwort hilfreich?