zaccharias schrieb:
[…] ich bin, was Netzwerksicherheit angeht, leider nicht so der Held.
Wenn das so ist, solltest Du in eigenem Interesse keinerlei Verantwortung für etwas übernehmen, für das entsprechende Kenntnisse Voraussetzung sind. Anderenfalls geht es garantiert schief.
Ubuntu 14.04.2 LTS
Apache 2
PHP 5.5.9
MySQL 5.2––
Der Server steht in einer DMZ mit einer Firewall und einem Reverse Proxy vorgeschaltet.
Generell gilt: Jeder Rechner, der – egal wie – mit dem Internet verbunden ist, ist grundsätzlich auch aus dem Internet angreifbar. Jeder. – Eine andere Frage ist, wie schwer oder wie einfach ein solcher Angriff wäre.
Alles, was man als verantwortlicher Betreiber eines Rechners im Internet an technischen Maßnahmen wie Firewall, Proxy usw. vorsieht, hat „nur“ den Zweck, einem potentiellen Angreifer sein Tun zu erschweren. Wenn für einen Angreifer die Kosten höher liegen ein möglicher Nutzen, wird er möglicherweise, vernünftigerweise von einem Angriff absehen. Destruktive Leute, die ihren Nutzen daraus ableiten, dass sie anderen schaden, kann man dagegen nur hindern, indem man die für einen Angriff benötigten Hilfsmittel so hoch hängt, dass diese Leute nicht darüber verfügen. Und gegen destruktive Leute in staatlichem Auftrag hilft auch das nicht.
Ein Rechner im Internet ist also niemals sicher, sondern bestenfalls für Angreifer unattraktiv.
Ein Rechner im Internet mit veralteter Software, insbesondere seit einiger Zeit ohne Sicherheitsupdates ist dagegen eine Einladung für Angreifer. Konkret:
Ubuntu 14.04 erhält keine Sicherheitsupdates mehr, es sei denn, ihr bezahlt Canonical für den Extended Support.
PHP 5.5.9 schon länger tot als Ubuntu 14.04. Mit dieser Software kommt jeder Besucher eures Servers in Kontakt, da hilft kein Firewall und kein Proxy. Also jeder Angreifer kann trotz Firewall und Proxy Schachstellen im ungepflegten PHP 5.5.9 benutzen.
Ich habe meinem Vorgesetzten ja gesagt, ich würde das gerne aktualisieren, aber er meinte nur, das bleibt so, weil da durch den Proxy und die Firewall nichts passieren kann.
Kann Dein Vorgesetzter diese Komponenten technisch beurteilen? Wenn ja, wozu benötigt er Dich? (Vielleicht nur als Sündenbock im Katastrophenfall?) Wenn nein, dann bist Du der Sündenbock im Katastrophenfall!
Wenn Du für diesen Server verantwortlich sein sollst, dann lasse Dich für diese Aufgabe ausbilden bzw. fortbilden und aktualisiere den Server. Wenn Dein Vorgesetzter das so nicht bezahlen will, erwäge den Vorgesetzten zu wechseln.