ITSEC: Revision von Webservern

KURSZIEL
ITSEC: Revision von Webservern:

_x000D_


• Mitarbeiter der IT-Revision
_x000D_


• Datenschutzbeauftragte
_x000D_

_x000D_

Dieses Seminar vermittelt unter anderem:
_x000D_

_x000D_


• Grundbegriffe und Protokolle
_x000D_


• Generische Abläufe bei der Kommunikation mit Webservern
_x000D_


• Betrachtung von Lotus Notes, MS Internet Information Server und Apache
_x000D_


• Analyse des Zusammenspiels in einer Three-Tier-Architektur
_x000D_


• Erarbeiten von systematischen Checklisten
_x000D_


• Betrachten der Randbedingungen wie Proxyketten und Webcluster
_x000D_

ZIELGRUPPE

_x000D_


• Mitarbeiter der IT-Revision
_x000D_


• Datenschutzbeauftragte
_x000D_

_x000D_

Dieses Seminar vermittelt unter anderem:
_x000D_

_x000D_


• Grundbegriffe und Protokolle
_x000D_


• Generische Abläufe bei der Kommunikation mit Webservern
_x000D_


• Betrachtung von Lotus Notes, MS Internet Information Server und Apache
_x000D_


• Analyse des Zusammenspiels in einer Three-Tier-Architektur
_x000D_


• Erarbeiten von systematischen Checklisten
_x000D_


• Betrachten der Randbedingungen wie Proxyketten und Webcluster
_x000D_

KURSINHALT
Effiziente Revision von Webservern und Ausblick auf e-Commerce Applikationen
Der Webauftritt eines Unternehmens ist heute oft mehr als die pure Visitenkarte gegenüber den Kunden. Viele Anwendungen sind heute webfähig oder werden mit großem Enthusiasmus aufgebaut und auch von den Kunden angenommen. Das beginnt beim Online-Banking und endet bei der Online-Abstimmung zur Hauptversammlung einer Aktiengesellschaft.
Durch diesen Wandel vom rein passiven Informationssystem hin zur aktiven Anwendungsschnittstelle steigt auch das Interesse von Angreifern. Jetzt kann man als erfolgreicher Cracker nicht nur Webseiten verunstalten, sondern auch aktiven Einfluss auf Unternehmenstransaktionen nehmen.
Die große Problematik bei der systematischen Prüfung solcher Systeme ist die wechselseitige Abhängigkeit der Dienste untereinander: http/s auf Webfrontend kommuniziert mit dem Application Server und dieser wiederum mit dem Database Backend. Hier wirkt sich erschwerend die alte Weisheit Es ist alles nur so sicher wie das schwächste Glied aus, denn selbst der sicherste Webserver wird unsicher, wenn schlecht programmierte Anwendungen darauf betrieben werden.
Aus diesem Grund verfolgen wir in diesem Training zwei Schwerpunkte: Die technische Sicherheit des Webservers muss gegeben sein und zusätzlich müssen die Schnittstellen zur Außenwelt ebenfalls gesichert werden.
Inhalte
Grundlagen und Theorie

• HTTP
• HTTPS
• SSL und Zertifikate
• HTML
• Aktive und dynamische Inhalte
• Aufbau von Requests und Responses

Abläufe

• HTTP/S Kommunikation
• Authentisierung
• Einsatz von Zertifikaten
• Interne Schnittstellen der Webserver

Webserver

• Lotus Notes
• MS Internet Information Server
• Apache

Checklisten

• Erarbeiten und Zusammenstellen von Checklisten für obige Systeme

Randbedingungen

• Proxy-Kaskaden
• Betrieb in einer e-Commerce Umgebung
• Erweiterte Schutzmaßnahmen

VORRAUSSETZUNG
Betriebssystem- und Netzwerkkenntnisse (TCP/IP)