Nextcloud Sicherheit prüfen
Einer der wichtigsten Punkte, wenn man eine eigene Cloud-Plattform betreiben möchte, ist natürlich die Sicherheit. Mit Nextcloud hat sich ein OpenSource-Anbieter auf dem Markt etabliert, der es Unternehmen relativ leicht und sicher ermöglicht, ihre eigene Cloud aufzusetzen, ohne auf Anbieter wie Dropbox oder Office 365 (respektive OneDrive) setzen zu müssen. Wenn man seine eigene Cloud-Umgebung stets auf dem aktuellen Stand hält, dann ist man – nach dem aktuellen Wissensstand der Entwickler – sicher. Absolute Sicherheit kann es nirgendwo geben. Schließlich kann es Fehler geben, die niemand veröffentlicht und ausnutzt. Aber soweit man sich an die offiziellen Empfehlungen hält, ist prinzipiell immer alles in Ordnung.
Wie macht man seine eigene Nextcloud-Umgebung sicher?
Eigentlich ist es so wie bei allen Produkten: Haltet Nextcloud auf dem aktuellen Stand. Solltet ihr Nextcloud über einen Managed Service beziehen, dann wird euer Provider bzw. euer Dienstleister für euch erledigen. Dabei muss man nicht zwangsläufig sofort jede Version installieren. Insbesondere Firmenkunden warten kleinere Updates erst einmal ab um schwerere Fehler zu vermeiden.
Nextcloud Sicherheit online prüfen
Nextcloud bietet eine Online-Plattform an, auf der man seine Cloud-Instanz prüfen kann. Auf https://scan.nextcloud.com gibt man seine Adresse ein und kann dann nachschauen, was Nextcloud ausspuckt.
Sicherheitsscan von Nextcloud zeigt falsche Version
Wenn der Sicherheitsscan die falsche Version anzeigt (z.B. 17.x obwohl ihr schon 18x installiert habt), dann lohnt es sich übrigens, rechts unten auf das Scandatum zu schauen. Oft findet man dort ein Datum, welches etwas weiter in die Vergangenheit zurückreicht und nur das gecachte Ergebnis zeigt.
Mit einem Klick auf „trigger re-scan“ kann man den Server anweisen, die Seite neu zu crawlen. Hat man das gemacht, bekommt man 5-10 Minuten später eine aktuelle Version angezeigt.
Zeigt Nextcloud „NOT on latest patch level“ an, dann bedeutet es, dass es bereits eine neue Version von Nextcloud gibt, ihr euch aber nicht auf dem aktuellsten Patch-Level befindet. Solange ihr aber „relativ“ aktuell seid und es keine Sicherheitsprobleme gibt (das würde euch Nextcloud mitteilen), ist das aber kein Problem.
Nextcloud Server sicherer machen
Nextcloud gibt selber einige Tipps, wie man die Nextcloud-Installation sicherer machen kann z.B. durch einige Funktionen auf dem Server:
Bruteforce-Schutz
Bruteforce-Schutz verlangsamt die Geschwindigkeit, mit der Kennwörter versucht werden können, und schützt so vor Angreifern, die versuchen, ein Kennwort zu erraten. Es gab Bruteforce-Angriffe auf eigene Cloud-/Nextcloud-Systeme.
CSPv3
CSP ist eine HTTP-Funktion, die es dem Server ermöglicht, spezifische Einschränkungen für eine Ressource festzulegen, wenn diese in einem Browser geöffnet wird. So können beispielsweise nur Bilder oder JavaScript von bestimmten Zielen geladen werden. Durch die Verwendung von CSP wird es für Angreifer viel schwieriger, eine Cross-Site-Scripting-Schwachstelle auszunutzen. Dies liegt daran, dass Ressourcen, die von einem Angreifer eingefügt wurden, nicht in der Whitelist der Richtlinie aufgeführt sind, so dass der Browser eine Injektion bemerken und die Ausführung verweigern kann.
CSP v3.0 macht es möglich, eine noch strengere Policy zu haben. Anstatt die JavaScript-Einschlusspolitik auf ’self‘ zu beschränken, kann man Nonces verwenden, was auch „Mime Confusion Attacks“ verhindert. Siehe den CSP-Evaluator, um die CSP-Politik einer Anwendung zu bewerten.
Gleiche-Site-Cookies
Same-Site-Cookies sind eine von modernen Browsern unterstützte Sicherheitsmaßnahme, die CSRF-Schwachstellen verhindern und Ihre Privatsphäre weiter schützen.
Browser, die Same-Site-Cookies unterstützen, können so eingestellt werden, dass ein Cookie nur dann gesendet wird, wenn die Anfrage von der ursprünglichen Domain stammt. Dadurch wird das Ausnutzen von CSRF-Schwachstellen aus anderen Domains zu einem Nichtproblem. Auch Timing-Angriffe, wie z.B. die Aufzählung, ob eine bestimmte Datei oder ein bestimmter Ordner existiert, sind nicht mehr durchführbar. Nextcloud erzwingt, dass die Cookies der gleichen Website bei jeder Anfrage vorhanden sind, indem dies innerhalb der Middleware der Anfrage erzwungen wird.
Bestätigung des Passworts
Wenn ein Administrator oder normaler Benutzer versucht, eine potenziell sensible Einstellung zu ändern (z. B. die Berechtigungen eines Benutzers zu ändern), muss er sein Passwort ein zweites Mal eingeben, um die Aktion zu überprüfen. Die Überprüfung des Passworts ist nur einmal alle 30 Minuten erforderlich. Nach Ablauf von 30 Minuten nach der letzten Verifizierung muss der Benutzer seine Identität erneut verifizieren, wenn er eine sicherheitsrelevante Änderung vornimmt.
Überprüft Passwörter anhand der HaveIBeenPwned-Datenbank
In Nextcloud 13.0.1 wurde ein Abgleich mit der HaveIBeenPwned-Datenbank des Sicherheitsforschers Troy Hunt hinzugefügt. Dadurch wird sichergestellt, dass Benutzer keine Passwörter wählen können, die als unsicher bekannt sind.
__Host-Präfix
Das __Host-Präfix mildert Cookie-Injektions-Schwachstellen innerhalb potenzieller Drittanbieter-Software, die dieselbe Second-Level-Domain nutzt. Es handelt sich um eine zusätzliche Härtung zusätzlich zu „normalen“ Cookies derselben Website.
App-Passwörter können eingeschränkt werden
Wenn die Zwei-Faktor-Authentifizierung verwendet wird, können Nextcloud-Benutzer Tokens anstelle ihres Passworts verwenden. Sie werden für Anwendungen verwendet, die 2FA noch nicht unterstützen. Durch spezifische Einschränkungen für Dinge wie den Zugriff auf das Dateisystem für Anwendungen, die dies nicht benötigen, können Benutzer ihre potenziell weniger vertrauenswürdigen Drittanbieter-Clients (z.B. eine Handy-Kalenderanwendung) verbinden, ohne den Zugriff auf alle ihre Daten freizugeben.
Aktivierung aller notwendigen HTTP Security Header
Hierzu habe ich bereits einen anderen Blog-Beitrag geschrieben. Mit HTTP Security Headern könnt ihr eure Website weiter härten.
Ich hoffe, dieser Artikel war hilfreich. Ich freue mich über jeden Kommentar. Benötigt ihr Hilfe bei der Implementierung von Nextcloud? Schreibt es uns in die Kommentare oder nutzt unser Kontaktformular.