Security Scans: Webserver-Konfiguration auf Schwachstellen prüfen

Regelmäßige Security Scans sind essenziell, um Webserver auf Schwachstellen in der Konfiguration zu prüfen und potenzielle Angriffsflächen zu reduzieren. Angreifer nutzen Fehlkonfigurationen, unsichere Protokolle oder ungeschützte Ports aus, um Zugang zu Systemen zu erhalten. In diesem Leitfaden erfahren Einsteiger, IT-Studierende und Junior Network Engineers praxisnah, wie Webserver überprüft, analysiert und gesichert werden.

Grundlagen von Webserver-Security Scans

Security Scans analysieren den Webserver auf bekannte Schwachstellen, unsichere Header, Protokollversionen und Konfigurationsfehler. Wichtige Aspekte sind:

• Offene Ports und Dienste
• Veraltete Softwareversionen
• SSL/TLS-Konfiguration und Zertifikate
• HTTP Security Header
• Directory-Listing oder exposed Files
• Brute-Force oder Default-Passwort-Schwächen

Tools für Security Scans

Es gibt diverse Tools, die automatisierte Sicherheitsprüfungen durchführen:

• Nmap: Port-Scan und Service-Erkennung
• OpenVAS: Umfangreiche Schwachstellenanalyse
• OWASP ZAP: Web Application Scanner
• SSL Labs: Prüfung der SSL/TLS-Konfiguration
• Nikto: Webserver-Scanner für bekannte Sicherheitslücken

Nmap verwenden

Nmap ist ein Netzwerk-Scanner zur Erkennung offener Ports und Dienste.

# TCP-Portscan
nmap -sS 192.168.400.10

# Service- und Versionsscan
nmap -sV 192.168.400.10

# Skript-Scan auf bekannte Schwachstellen
nmap --script vuln 192.168.400.10

OpenVAS einsetzen

OpenVAS bietet eine detaillierte Schwachstellenanalyse für Webserver und Netzwerkdienste.

# Installation auf Ubuntu
sudo apt update
sudo apt install openvas
sudo gvm-setup
sudo gvm-check-setup

# Scan starten über Webinterface
https://localhost:9392

OWASP ZAP für Web-Apps

OWASP ZAP erkennt Webanwendungs-Schwachstellen wie XSS, SQL Injection oder unsichere Cookies.

# Starten von ZAP
zap.sh

# Ziel konfigurieren
Target URL: https://example.com

# Scan durchführen und Bericht exportieren

SSL/TLS prüfen

SSL Labs ermöglicht die Bewertung der SSL/TLS-Konfiguration eines Webservers.

# Prüfung via Browser oder CLI
openssl s_client -connect example.com:443

# Alternativ Webbrowser aufrufen
https://www.ssllabs.com/ssltest/

Nikto verwenden

Nikto prüft Webserver auf bekannte Sicherheitslücken, Directory-Listing und veraltete Software.

# Grundscan
nikto -h https://example.com

# Detaillierter Scan mit SSL
nikto -h https://example.com -ssl

Netzwerk- und Subnetzplanung für Scans

Vor der Durchführung von Scans in Multi-Server-Umgebungen sollte die Netzwerktopologie beachtet werden.

IPv4 Subnetz

<math>
Server-IP = 192.168.400.10/24
Subnetzadresse = 192.168.400.10 & 255.255.255.0 = 192.168.400.0
Broadcastadresse = 192.168.400.0 | ~255.255.255.0 = 192.168.400.255
</math>

IPv6 Subnetz

<math>
Server-IP = 2001:db8:abcd:400::10/64
Subnetzadresse = 2001:db8:abcd:400:: & ffff:ffff:ffff:ffff:: = 2001:db8:abcd:400::0
Broadcastadresse = 2001:db8:abcd:400:ffff:ffff:ffff:ffff
</math>

Best Practices für Security Scans

• Regelmäßige Scans mindestens einmal pro Quartal durchführen
• Alle offenen Ports dokumentieren und unnötige Dienste deaktivieren
• SSL/TLS-Protokolle und Cipher Suites aktuell halten
• HTTP Security Header prüfen und konfigurieren (HSTS, CSP, X-Frame-Options)
• Webserver-Software regelmäßig patchen und aktualisieren
• Scan-Berichte archivieren und Änderungen nachvollziehen
• Interne Testumgebung vor Live-Scans verwenden
• Bursts von automatisierten Scans außerhalb der Geschäftszeiten planen
• Fehlalarme prüfen und legitime Requests nicht blockieren
• Integration mit Monitoring-Tools zur kontinuierlichen Sicherheitsüberwachung

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.