Zur Navigation

XAMPP lokal: Sicherheit

1 Steff

Hallo!

Ich bin XAMPP-Anfänger und habe kürzlich in Vista 32 auf D:/ XAMPP installiert, um ein CMS zu testen. Windows-Firewall ist aktiviert, Defender nicht. Außerdem ist F-Secure Anti-Virus 2010 installiert.

Verwendung nur lokal zum CMS-Testen.
Im Moment gehe ich aus Vorsicht immer offline, bevor ich den Apache und MySQL zwecks CMS-Test starte (habe ein älteres Router-Modell und bin nicht ständig online).

Das ist zum Testen natürlich nicht so super praktisch, daher die Frage:
Bringt mir das Offline-Gehen tasächlich mehr Sicherheit oder ist diese Vorsichtsmaßnahme für das lokale Testen eigentlich unbegründet?
(Siehe Aussage unten: "In vielen Fällen reicht hierzu eine Firewall oder einfach eine Internetverbindung über einen externen (NAT-) Router aus. In beiden Fällen ist der Rechner in der Regel nicht von außen erreichbar.")

Betreibe XAMPP lokal wie geliefert:

<Zitat>
Hier eine Liste der Dinge, die an XAMPP absichtlich(!) unsicher sind:

* Der MySQL-Administrator (root) hat kein Passwort.
* Der MySQL-Server ist übers Netzwerk erreichbar.
* phpMyAdmin ist übers Netzwerk erreichbar.
* Das XAMPP Verzeichnis ist nicht geschützt.
* Bekannte Beispiel-Benutzer bei FileZilla FTP und dem Mercury Mail Server.

Alle diese aufgeführten Punkte können zu schwerwiegenden Sicherheitsproblemen führen, wenn der betreffende Rechner schutzlos, und damit für jede außen stehende Person zugänglich, im Internet agiert. Es ist somit jedem selbst überlassen diese Lücken bei Bedarf zu schließen. In vielen Fällen reicht hierzu eine Firewall oder einfach eine Internetverbindung über einen externen (NAT-) Router aus. In beiden Fällen ist der Rechner in der Regel nicht von außen erreichbar.
</Zitat>

Danke im Voraus für alle Sicherheitsinfos zur lokalen Installation!

Gruß, Steff

20.04.2010 22:12 | geändert: 20.04.2010 22:14

2 Jörg

Wenn die Windows-Firewall aktiviert ist und / oder ein NAT-Router vorgeschaltet ist, und dort die Ports für die betreffenden Server nicht explizit freigegeben sind, kann man von Internet aus nicht auf sie zugreifen.

20.04.2010 22:51

3 Steff

Danke fürs Feedback.

In meinen Windows-Firewall-Einstellungen heißt es:
"Die Windows-Firewall blockiert eingehende Netzwerkverbindungen einschließlich der unten ausgewählten Ausnahmen."

Dort angegebene Ausnahmen sind derzeit:
Datei- und Druckerfreigabe,
Kernnetzwerk,
Netzwerkerkennung,
Microsoft Office OneNote.

Sind die beiden Netzwerk-Punkte im Hinblick auf Deine bzw. die XAMPP-Sicherheitsinfos zur Portfreigabe relevant? Hab da zu wenig Ahnung...

Und: Wieso heißt es oben: "einschließlich der unten ausgewählten Ausnahmen"? Gelten die Ausnahmen nur für "rausgehende" Verbindungen oder wie ist das zu verstehen?

20.04.2010 23:56

4 Jörg

In meinen Windows-Firewall-Einstellungen heißt es:
"Die Windows-Firewall blockiert eingehende Netzwerkverbindungen einschließlich der unten ausgewählten Ausnahmen."

Dann sind wohl alle Ports geschlossen. Du kannst dies auch mit einem Portscan überprüfen, z.B. mit dem heise Netzwerkcheck:

http://www.heise.de/security/dienste/Netzwerkcheck-2114.html

Sind die beiden Netzwerk-Punkte im Hinblick auf Deine bzw. die XAMPP-Sicherheitsinfos zur Portfreigabe relevant? Hab da zu wenig Ahnung...

Ich kenne die Firewall unter Windows Vista nicht - ich nehme aber an, dass diese windowsspezifische Dienste betreffen. Unter Windows XP muss man, soweit ich mich entsinne (bin derzeit unter Linux), die Ports für Webserver, FTP-Server u.ä. unter den erweiterten Einstellungen freigeben.

Und: Wieso heißt es oben: "einschließlich der unten ausgewählten Ausnahmen"? Gelten die Ausnahmen nur für "rausgehende" Verbindungen oder wie ist das zu verstehen?

Ich nehme an, dass diese Dienste unter Windows per Default oder häufiger freigegeben sind.

Ausgehende Verbindungen betreffen eher Client-Programme, wie Browser oder Emailprogramm, und werden zumindest unter Windows XP nicht von der Windwos Firewall reglementiert. Hinsichtlich XAMPP ist es wichtig, die eingehenden Verbindungen zu blockieren.

21.04.2010 00:19 | geändert: 21.04.2010 00:22

5 Steff

Danke für den Hinweis auf den Netzwerkcheck.

Er bringt folgende Ergebnisse (alles grün):

Windows Standard:
-----------------
Ihr System antwortet nicht auf ICMP-Pakete.

Port Name Status Erläuterung

25 smtp gefiltert Mail-Server (SMTP)
53 domain gefiltert DNS
80 www gefiltert Web-Server
135 loc-srv gefiltert MS-RPC
137 netbios-ns gefiltert NetBIOS Name Service
138 netbios-dgm gefiltert NetBIOS Datagram Service
139 netbios-ssn gefiltert NetBIOS Session Service
443 https gefiltert Web Server (HTTPS)
445 microsoft-ds gefiltert SMB over TCP
1214 kazaa gefiltert Kazaa Standard-Port
1433 ms-sql-s gefiltert MS SQL Server
1900 nicht reserviert gefiltert Universal PnP
3389 nicht reserviert gefiltert MS Terminal Services
4662 nicht reserviert gefiltert Standard-Port eDonkey
5800 nicht reserviert gefiltert VNC via HTTP
5900 nicht reserviert gefiltert VNC
6667 ircd gefiltert IRC Server
6881 nicht reserviert gefiltert Bittorrent Standard-Port


Router:
-------
Ihr System antwortet nicht auf ICMP-Pakete.

Port Name Status Erläuterung

21 ftp gefiltert FTP-Server
22 ssh gefiltert Secure Shell (SSH)
23 telnet gefiltert Telnet-Server
53 domain gefiltert DNS
69 nicht reserviert gefiltert Trivial FTP
80 www gefiltert Web-Server
113 auth gefiltert identd (Auth)
443 https gefiltert Web Server (HTTPS)
515 printer gefiltert Druck-Server (LPD)
631 ipp gefiltert Druck-Server (IPP/Cups)
1701 l2f gefiltert VPN-Server (L2TP)
1723 nicht reserviert gefiltert VPN-Server (PPTP)
1900 nicht reserviert gefiltert Universal PnP
5000 nicht reserviert gefiltert Universal PnP
8080 http-alt gefiltert HTTP Proxy

Klingt so, als könnte ich auch im Online-Betrieb XAMPP mit Apache und MySQL laufen lassen, oder?

Viele Grüße, Steff

21.04.2010 22:29

6 Jörg

Wenn grün bedeutet, dass alles dicht ist, ist nach außen hin kein Port offen, worüber die aufgeführten Server-Dienste angesprochen werden können. Wenn es sich um einen NAT-Router handelt, reicht der auch schon aus - die Pakete gelangen dann gar nicht erst zum Rechner und somit zur Firewall.

21.04.2010 22:54 | geändert: 21.04.2010 22:55

7 Steff

Hier wird der Farbcode erklärt:
http://www.heise.de/security/dienste/Allgemeines-475216.html

Ob es ein NAT-Router ist, weiß ich nicht genau (älterer Router von der Telekom, T-DSL), vermute es aber, wenn ich mir die folgende Erklärung durchlese:

Router, die ein lokales Netzwerk über eine Einwahlverbindung mit dem Internet verbinden, nennt man NAT-Router ("Network Address Translation", Adressumsetzung in IT-Netzwerken). Sie sind insbesondere als ISDN- und DSL-Router weit verbreitet und sorgen dafür, dass Anfragen aus dem lokalen Netzwerk weitergeleitet werden und die Antwortpakete wieder zurück zum richtigen PC des lokalen Netzes geschickt werden.
Quelle: http://www.dsl-rechner.de/Glossar/DSL+Router,+NAT-Router.html

Viele Grüße, Steff

21.04.2010 23:03

8 Steff

Es ist anscheinend doch kein NAT-Router, sondern ein älteres TDSL-Modem von der Telekom. Damit entfällt leider die Firewall des NAT-Routers, aber nach Deinen und den XAMPP-Angaben reicht ja offenbar auch die Windows-(Vista)-Firewall.
Laut Netzwerkcheck für Windows sind alle im Ergebnisbericht (siehe oben) angegebenen Ports gefiltert (nach dem Muster: 80 http gefiltert Web-Server).

Info hierzu:

Der Test hat auf dem Web-Server-Port 80 keine Antwort erhalten -- vermutlich, weil eine (Personal) Firewall das Paket kommentarlos verworfen hat. Das ist das gewünschte Ergebnis, Sie müssen nichts tun.

_Personal_ Firewall habe ich allerdings keine, sondern Windows-Firewall aktiviert, Defender nicht. Außerdem ist F-Secure Anti-Virus 2010 installiert.
Was mich so ein bisschen iritiert ist der letzte Satz im Kommentar zu meinem Ping-Ergebnis:

"Ihr System antwortet nicht auf ICMP-Pakete."

Erklärung: Hier hat eine Firewall die Ping-Anfrage unterdrückt. Die von Ihnen verwendete IP-Adresse erscheint von außen nicht als aktiv. Sie können das so lassen. Verwirft eine Firewall allerdings alle ICMP-Pakete, kann das dazu führen, dass bestimmte Netzwerkfunktionen wie die Benachrichtigung über nicht erreichbare Rechner nicht korrekt arbeiten.

Und was mir auch nicht so richtig klar ist:
In den Ergebnisberichten (siehe oben) erscheint zwar unter anderem der Port 80 (Web) als gefiltert und damit anscheinend als sicher, aber laut der Port-check.exe in XAMPP belegt MySQL Port 3306 (free), der in den Ergebnisberichten nirgends auftaucht. Ich hoffe, der ist auch sicher.

Hast Du angesichts dieser zusätzlichen Angaben noch etwas zur Sicherheit des lokalen Betriebs von Apache und MySQL im Online-Status des Rechners zu bemerken?

Wahrscheinlich bin ich da übervorsichtig, aber ich wollte vorher mal noch die Meinung eines Profis hören und finde es halt lästig, zum Testen immer offline zu gehen.

Danke für Die Hilfe!





22.04.2010 22:00

9 Jörg

_Personal_ Firewall habe ich allerdings keine, sondern Windows-Firewall aktiviert

Die Windows Firewall würde ich schon als einfache Personal Firewall klassifizieren

Was mich so ein bisschen iritiert ist der letzte Satz im Kommentar zu meinem Ping-Ergebnis:
"Ihr System antwortet nicht auf ICMP-Pakete."

Erklärung: Hier hat eine Firewall die Ping-Anfrage unterdrückt. Die von Ihnen verwendete IP-Adresse erscheint von außen nicht als aktiv. Sie können das so lassen. Verwirft eine Firewall allerdings alle ICMP-Pakete, kann das dazu führen, dass bestimmte Netzwerkfunktionen wie die Benachrichtigung über nicht erreichbare Rechner nicht korrekt arbeiten.

Das heißt, dass der Rechner nicht antwortet, wenn du ihn von einem anderen Rechner anpingst oder eine Traceroute machst. Manche Leute meinen, dass man den Rechner damit "verstecken" kann (was in meinen Augen aber Blödsinn ist - bei einem nicht existierenden Rechner erhält man die Antwort von einem anderen Rechner, dass es die Route zu so einem Rechner nicht gibt, bei einem nicht antwortenden Rechner gibt es dagegen einen Timeout - das hat vom Effekt wohl eher was von "Tot stellen").

Und was mir auch nicht so richtig klar ist:
In den Ergebnisberichten (siehe oben) erscheint zwar unter anderem der Port 80 (Web) als gefiltert und damit anscheinend als sicher, aber laut der Port-check.exe in XAMPP belegt MySQL Port 3306 (free), der in den Ergebnisberichten nirgends auftaucht. Ich hoffe, der ist auch sicher.

Das kannst du ja überprüfen, indem du explizit diesen Port scannst (im heise Scan unter "eigener Test")

22.04.2010 23:41

10 Steff

Vielen Dank für Deine Einschätzungen!

Das kannst du ja überprüfen, indem du explizit diesen Port scannst (im heise Scan unter "eigener Test")

Ah, guter Hinweis!

Ihr Scan-Ergebnis:

Ihr System antwortet nicht auf ICMP-Pakete.
Port Name Status Erläuterung
3306 gefiltert MySQL

Demnach scheint also dieser Port auch geschützt zu sein.

Dann sollte dem lokalen Testen im Online-Status eigentlich nichts mehr im Weg stehen, oder?

Schönen Gruß, Steff



22.04.2010 23:51