htw saar
Zurück zur Hauptseite

Version des Moduls auswählen:
XML-Code

Sichere Webserver

Modulbezeichnung: Sichere Webserver
Studiengang: Wirtschaftsinformatik, Bachelor, ASPO 01.10.2021
Code: DBWINFO-240
SWS/Lehrform: -
ECTS-Punkte: 5
Studienjahr: 2
Pflichtfach: ja
Arbeitssprache:
Deutsch
Prüfungsart:
Klausur (120 Minuten, davon je 60 Minuten für Linux und für Webprotokolle und Websicherheit)
Pro Bearbeitungsminute ist ein Punkt zu vergeben.

[letzte Änderung 06.10.2021]
Verwendbarkeit / Zuordnung zum Curriculum:
DBWINFO-240 Wirtschaftsinformatik, Bachelor, ASPO 01.10.2021, 2. Semester, Pflichtfach
Arbeitsaufwand:
Der Gesamtaufwand des Moduls beträgt 150 Arbeitsstunden.
Empfohlene Voraussetzungen (Module):
Keine.
Als Vorkenntnis empfohlen für Module:
Modulverantwortung:
Prof. Dr. Dieter Hofbauer
Dozent: Prof. Dr. Dieter Hofbauer

[letzte Änderung 01.09.2021]
Lernziele:
Linux:
 
Die Studierenden haben die Grundvoraussetzungen für die Arbeit mit Linux-basierten Systemen
erworben. Sie kennen das Potential des Betriebssystems GNU/Linux und können Einsatzfelder und
Anwendungsbereiche aufzeigen. Sie sind in der Lage, eine Linux-Installation vorzubereiten und
durchzuführen und sie können grundlegende administrative Aufgaben übernehmen, insbesondere
die Administration von Benutzern und Benutzergruppen sowie die Administration von Ressourcen,
Festplatten und sonstigen Hardwarekomponenten. Die Studierenden bewegen sich sicher im Linux-Dateisystem und sind in der Lage, typische Softwareinstallationen durchzuführen. Sie sind mit der
Arbeitsweise und Konfiguration einer Shell vertraut, und sie kennen eine Vielzahl grundlegender
Kommandos und Werkzeuge, die sie effektiv anwenden und zur Bewältigung komplexerer Aufgaben auch geeignet verknüpfen können. Auch sind sie in der Lage, grundlegende Shell-Skripte zu
erstellen. Die Studierenden können einen Linux-Rechner in ein bestehendes TCP/IP-Netzwerk aufnehmen. Die erworbenen Fähigkeiten sind unabhängig von einer bestimmten Distribution.
 
Webprotokolle und Websicherheit:
 
Die Studierenden sind mit dem Einsatz des Apache Webservers unter Linux vertraut. Sie kennen
die Funktionsweise des aktuellen HTTP-Protokolls und dessen Zusammenspiel mit Proxy-Servern.
Sie können die Vor- und Nachteile des HTTP-Protokolls in den unterschiedlichen Versionen
erklären und die Authentifizierungsmöglichkeiten innerhalb des Protokolls aufzeigen. Die
Studierenden beherrschen die Einbindung von CGI-Programmen, die Einbindung virtueller Hosts
(IP-basiert, namensbasiert) und die Verwendung und Auswertung von Logdateien. Sie kennen das
SSL-Protokoll und dessen Einsatz bei einem Secure Web Server, und sie sind in der Lage,
Zertifikate zu beantragen und zu erstellen sowie den Ablauf einer gesicherten Kommunikation via
HTTPS zu erklären. Die Studierenden kennen aktuelle Angriffsszenarien, die die Sicherheit eines
Webservers gefährden können, sowie entsprechende Abwehrmaßnahmen.

[letzte Änderung 06.10.2021]
Inhalt:
Linux:
 
1. Einführung: Entstehungsgeschichte; Installation; Struktur
2. Erste Schritte: Anmeldung; Kommandozeile (Shell); Hilfe
3. Benutzerverwaltung
  3.1. Systemverwalter
  3.2. Benutzerkonto; Benutzerumgebung; Benutzerkommunikation
 
4. Dateisystem
  4.1. Partitionen
  4.2. Dateisystemtypen
 
5. Verzeichnisstruktur 41
  5.1. Inhalt des Wurzelverzeichnisses
  5.2. Adressierung von Dateien und Verzeichnissen
 
6. Dateiverwaltung
  6.1. Dateitypen
  6.2. Zugriffsberechtigungen
 
7. Kommandoverarbeitung
  7.1. Kommandoarten
  7.2. Verknüpfen von Kommandos
  7.3. Bedingte Ausführung von Kommandos
  7.4. Kommandosubstitution
  7.5. Umlenkung der Ein- und Ausgabe
 
8. Prozessverarbeitung
  8.1. Der Init-Prozess
  8.2. Vorder- und Hintergrundprozesse
  8.3. Prozessüberwachung; Prozesse ansprechen und beenden
 
9. Shellprogrammierung
  9.1. Genereller Aufbau
  9.2. Bedingte Ausführung; for- und while-Schleifen
 
Webprotokolle und Websicherheit:
 
1. Historische Entwicklung; Internet; World Wide Web
2. Hypertext Transfer Protocol (HTTP): Ablauf HTTP-Verbindung; Cookies; Proxy Server
3. Authentifizierung: Basic Authentication; Digest Authentication
4. Kontrolle von Server: Verzeichnisse und Dateien schützen; Verzeichnisoptionen
5. Einführung in die Kryptologie: Ausgewählte Verschlüsselungsverfahren
6. Secure Web Server
  6.1. Problembeschreibung
  6.2. Secure Socket Layer
  6.3. Zertifikate
  6.4. Fehler beim Aufbau einer HTTPS-Verbindung
 
7. Common Gateway Interface (CGI)
8. Log-Dateien
9. Webserver-Sicherheit
  9.1. Problembeschreibung
  9.2. Angriffsszenarien
  9.3. Abwehrmaßnahmen
  9.4. Web Application Firewall
 
10. Integrierte Projektarbeit
  10.1. Webserver: Server-Reaktionen kontrollieren; Umsetzung auf eigenem Webserver;
        Verhalten beobachten
  10.2. Secure Webserver: Pro Kleingruppe übernimmt ein Teilnehmer die Rolle einer CA
        (Certificate Authority); die anderen Teilnehmer erstellen einen CSR (Certificate Signing Request) für ihre
        Webserver und übergeben diese an die CA zur Zertifikatserstellung; CA unterschreibt CSR und gibt das Zertifikat
        zurück, das die anderen Gruppenmitglieder in ihren Webserver einbinden und testen.
  10.3. Angriffe auf Webserver: Sicherheitslücken mit Hilfe des WebGoat-Projekts finden und ausnutzen

[letzte Änderung 06.10.2021]
Weitere Lehrmethoden und Medien:
Vorlesung mit integrierten praktischen Übungen.

[letzte Änderung 06.10.2021]
Literatur:
Linux:
 
• Kofler, Michael: Linux – Das umfassende Handbuch; Rheinwerk Computing; Bonn
• Kofler, Michael: Linux Kommandoreferenz – Shell-Befehle von A bis Z; Rheinwerk Computing; Bonn
• Ward, Brian: How Linux works – What every superuser should know; No Starch Press; San Francisco
• Maaßen, Harald: LPIC-1 – Sicher zur erfolgreichen Linux-Zertifizierung; Rheinwerk Computing; Bonn
• Wolf, Jürgen/Wolf, Klaus-Jürgen: Linux-Unix-Programmierung – Das umfassende Handbuch; Rheinwerk Computing; Bonn
 
Webprotokolle und Websicherheit:
 
• Eckert, Claudia: IT-Sicherheit – Konzepte, Verfahren, Protokolle; De Gruyter Oldenbourg; Berlin/Boston
• Eilers, Carsten: You’ve been hacked! Alles über Exploits gegen Webanwendungen; Rheinwerk Computing; Bonn
• Rohr, Matthias: Sicherheit von Webanwendungen in der Praxis; Springer Vieweg; Wiesbaden
• Schäfers, Tim Philipp: Hacking im Web; Franzis; Haar bei München
• Ziegler, Manuel: Web Hacking – Sicherheitslücken in Webanwendungen; Carl Hanser; München

[letzte Änderung 06.10.2021]
[Wed Aug 10 10:16:42 CEST 2022, CKEY=asw, BKEY=aswwinf, CID=DBWINFO-240, LANGUAGE=de, DATE=10.08.2022]