Einfach sicher tauschen

Mit Hilfe der HTTP-Erweiterung WebDAV lassen sich auch ohne aufwendiges VPN sicher Dateien austauschen.

Artikel erschienen in Swiss IT Magazine 2005/14

     

Müssen Dateien zwischen verschiedenen Orten verschoben werden, die nur über das Internet miteinander verbunden sind, steht man meist vor einer grösseren Konfigurationsaufgabe. Netzwerkdateisysteme wie NFS oder SMB verlangen VPN-Tunnel, deren Konfiguration und Betreuung dank Inkompatibilitäten zwischen den unterschiedlichen Implementierungen nicht gerade einfach ist. Protokolle zum Dateiaustausch wie FTP sind ebenfalls nicht immer das Gelbe vom Ei, da sie nur eine begrenzte Funktionalität bieten und vor allem im Falle von FTP ebenfalls für grössere Probleme bei der Konfiguration der Firewall sorgen können.


Einfache Alternative

Doch es geht auch einfacher: Bereits seit Ende der 90er Jahre steht mit Web-based Distributed Authoring and Versioning, kurz WebDAV, eine konfigurationsarme und administrativ gesehen schmerzlose Alternative über HTTP zur Verfügung, die sich sowohl für den Dateiaustausch als auch als Netzwerkdateisystem eignet. Nach dem anfänglichen Hype wurde es ruhiger um die HTTP-Erweiterung, die aber trotzdem langsam, aber sicher den Weg in ziemlich viele Programme findet.


HTTP aufgebohrt

Die WebDAV-Idee geht auf die Anfänge des World Wide Web zurück. Die ursprüngliche von Tim Berners-Lee entworfene Version des WWW war im Gegensatz zum heutigen Web nicht nur als lesendes, sondern auch als schreibendes Medium gedacht.
So war es mit dem ersten Browser von Berners-Lee möglich, Seiten sowohl zu lesen als auch zu editieren. Allerdings ist diese Funktionalität mit der wachsenden Anzahl Anwender schnell verschwunden. Letzte Zeugnisse dieser Funktionen sind die Request-Methoden PUT und DELETE. 1995 wurde von Jim Whitehead die Idee wieder aufgenommen und zusammen mit dem W3C eine IETF-Arbeitsgruppe (Internet Egineering Task Force) ins Leben gerufen, die das HTTP-Protokoll um Funktionen zur Dateibearbeitung sowie Versionskontrolle erweitern sollte.


So alt wie das WWW

Die Open-Source-Gemeinde kann schon länger auf einen stabile und performante WebDAV-Implementierung zurückgreifen, die, wen wundert es, auf den Apache-Webserver aufsetzt.
Bereits für die betagte 1.3er-Linie existiert seit 2000 ein Modul, und seit der Version 2.0 bringt der Apache-Webserver die nötigen Module sogar standardmässig selber mit. Dies wären einerseits mod_dav, das die WebDAV-Funktionalität zur Verfügung stellt, und andererseits mod_dav_fs, das für mod_dav den Filesystem-Provider spielt.
Mit diesen zwei Modulen verfügt man grundsätzlich bereits über alle nötigen Funktionen für einen Server, der sowohl als Plattform für den Austausch von Daten (FTP) dient als auch ein Netzwerkdateisystem bereitstellt.


Abhörsicher

Allerdings ist es, wenn man nur mod_dav und mod_dav_fs aktiviert hat, noch für jeden Anwender, der den Server erreichen kann, möglich, sowohl Dateien zu schreiben als auch zu lesen. Dies dürfte von den meisten Unternehmen nicht gewünscht werden, zumal auf nicht gesicherten WebDAV-Servern etwa so schnell wie auf anonymen FTP-Servern Warez und andere bedenkliche Inhalte laden. Zur Zugriffsbeschränkung eignen sich die bereits bekannten und in Apache integrierten Authentifizierungsmethoden, die auch bei normalen Webseiten zum Einsatz kommen, bei denen man sich mit Benutzernamen und Passwort anmeldet.


Authentifizierungs-Varianten

Eine sichere Variante ist die Digest-Authentifizierung (mod_auth_digest), bei der das Passwort im Gegensatz zur Basic-Authentifizierung nicht als Base64-verschlüsselter Klartext, sonders als Hash übertragen wird. Obwohl das Modul als experimentell gekennzeichnet ist, funktioniert es zuverlässig. Allerdings hilft dies wenig, da die wenigsten Clients mit der Digest-Authentifizierung umgehen können.
Als Alternative bleibt nur noch die klassische Basic-Authentifizierung, bei der die Passwörter im Klartext übermittelt werden, wobei die Kommunikation von einem SSL-Tunnel geschützt werden sollte. SSL versteht zwar auch nicht jeder Client, so können beispielsweise der Finder von frühen Versionen von MacOS X sowie der Redirector von Windows XP nicht damit umgehen, allerdings existieren in solchen Fällen meist Alternativen. So kann man auf MacOS X beispielsweise auf den Standalone-Client Goliath und bei Windows auf die Netzordner zurückgreifen. Apache bringt mit mod_ssl das nötige Modul für SSL-Verschlüsselung mit.


Benutzer-Accounts einrichten und verwalten

Die Einrichtung der Benutzer-Accounts erfolgt bei nur wenigen Personen und einer einfachen Rechtestruktur am einfachsten über das beim Apache-Webserver mitgelieferte Programm htpasswd. Dieses speichert die Kombinationen aus Benutzernamen und Passwort in einer zentralen Datei. Access Controls lassen sich mit Hilfe der Limit-Direktive und einem einfachen Benutzergruppen-System etablieren.
Die Verbindung zu zentralen Authentifizierungsservern, beispielsweise einem LDAP- oder Datenbank-Server, was sowohl für kleinere als auch für grössere Umgebungen eine effiziente Lösung ist, kann beispielsweise mit den Modulen mod_auth_ldap (Bestandteil von Apache 2) oder mod_auth_mysql realisiert werden.


Komplizierter ohne Passworte

Natürlich ist auch eine passwortlose Authentifizierung, wie man sie bereits von VPN her kennt, möglich. Sie lässt sich mit Hilfe von Client-Zertifikaten und der Konfigurationsdirektive SSLRequire realisieren. Allerdings ist die Konfiguration und Wartung wegen dem Zertifikatmanagement ungleich komplizierter als bei den passwortgestützten Varianten.


WebDAV mit IIS

Auch Microsofts Internet Information Server kann als WebDAV-Server dienen und liegt in einer abgespeckten Form sogar auf jeder Installations-CD von Windows 2000 Professional respektive Windows XP Professional. Um den IIS zum WebDAV-Server aufzurüsten, werden die Komponenten «Internet Informationsdienste (IIS)», «WWW-Dienst», «Gemeinsame
Dateien» und «Snap-In-Internet-
Informationsdienste» benötigt. Das IIS Lockdown Tool hilft bei der korrekten Konfiguration der Sicherheitseinstellungen.


WebDAV überall

Viele Anwender nutzen regelmässig WebDAV und wissen es gar nicht. So basieren die meisten virtuellen Festplatten im Netz von Anbietern wie GMX oder Apples .Mac auf WebDAV. Das Protokoll ist ebenfalls sehr beliebt, wenn es darum geht, Informationen zu synchronisieren und auszutauschen. So existieren beispielsweise für Firefox Extensions, welche das Abgleichen von Bookmarks erlauben. Weiter nutzen Kalender-Programme wie Apples iCal WebDAV, um Präsenzformationen unter mehreren Anwendern auszutauschen. Last but not least wäre das Versionskontrollsystem Subversion zu erwähnen, die mindestens unter Programmierern wohl bekannteste Software, die auf die Fähigkeiten von WebDAV zurückgreift.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER