Zentrale Systeme wie der Load Balancer, der für die Kommunikation zwischen Client und Server verantwortlich ist, werden oft Ziel von Angriffen aus dem Internet. Um aktuelle und bekannte Sicherheitslücken zu schließen, können einige Maßnahmen getroffen werden. Diese werden folgend kurz beschrieben und diskutiert.
Halten Sie Ihr Betriebssystem immer auf dem aktuellsten Stand. Führen Sie regelmäßig notwendige Sicherheitsaktualisierungen durch.
Halten Sie Ihre Produktinstallation immer auf dem aktuellsten Stand. Führen Sie in regelmäßigen Abständen Prüfungen durch, ob neue Fixes für Ihre Installation verfügbar sind und installieren Sie diese.
Verwenden Sie kein selbst signiertes Zertifikat für den Load Balancer, sondern lassen Sie Ihren Schlüsselspeicher von einer autorisierten Stelle signieren.
Um die sogenannte „Logjam" Sicherheitslücke zu schließen, ist es notwendig eine sogenannte „Diffie-Hellman" Gruppe für den Load Balancer zu erzeugen. Dies kann mit den folgenden Schritten erreicht werden:
Wechseln Sie in das Verzeichnis
<Installationsverzeichnis>\server\bin\agentLocalRepo\.unpacked\<Installationszeit>_httpd-run-prod-<Version>-runnable.zip\httpd\bin.
Ersetzen Sie dabei <Installationsverzeichnis> mit dem Pfad zu Ihrer PPM-Installation und <version> mit der bei Ihnen installierten Version.
Öffnen Sie eine Kommandozeile und geben folgenden Befehl ein:
openssl dhparam -out dhparams.pem 2048
Dies wird eine benutzerdefinierte DH-Gruppe in einer Datei dhparams.pem im gleichen Verzeichnis erzeugen.
Nun müssen Sie den Inhalt dieser Datei an das TLS-Zertifikat des Servers anhängen, das in folgendem Verzeichnis liegt.
<Installationsverzeichnis>\server\bin\work\work_<loadbalancerInstanceId>\httpd\conf
Starten Sie den Load-Balancer neu, damit die Änderungen wirksam werden.