Mit Sicherheit

Spätestens seit Version 6.0 ist AppleShare IP (ASIP) die wohl gelungenste Kombination aus AppleTalk-, Web-/ftp-, SMB-, EMail-, Print- und Name-Server [1|#lit1]. Doch makellos war das Paket nicht. Mit dem richtigen Usernamen und Paßwort ausgestattet, konnten Eindringlinge auf dem Server beliebig schalten und walten - schon vor drei Monaten kündigte Apple ein Update mitsamt Firewall an. Unabhängig davon ist AppleShare IP anfällig für IP-Torpedos; nach `Winnuke´-Angriffen bricht der Server zusammen [2|#lit2]. Apple hat auch hierfür einen Patch veröffentlicht, doch der ist noch nicht Bestandteil des ASIP-Update. Deshalb sollten Sie beide Dateien besorgen.

`TCP Filter Admin´ ist, wie es sein Name bereits suggeriert, eher ein TCP-Filter als ein Firewall. Die wichtigsten Funktionen zum Abblocken von Angriffen bringt er jedoch mit. Das Programm erlaubt es, einen, mehrere oder alle Ports des Servers für einen, mehrere oder alle Anwender freizuschalten respektive zu sperren. Anders als die bisherigen Administrationstools ist es allerdings nicht vom AppleShare IP Manager aus erreichbar, und als einziger AppleShare-IP-Bestandteil setzt es zwingend MacOS 8.5 voraus.

Das TCP-Filtering ist von Haus aus abgeschaltet. Aktiviert man es per Mausklick, sind zunächst alle Ports für jeden gesperrt. Diese Einstellung läßt sich leider nicht beliebig editieren, sondern lediglich umkehren, so daß daraufhin alle Serverteile für jeden zugänglich sind. Deshalb sollte man auf jeden Fall für alle Ports neue Filter definieren. Sinnvoll wäre es etwa, die Ports 80 (WWW) und 20 (ftp) für alle IP-Adressen (***.***.***.***) zu öffnen (allow access), den Port 548 für AppleShare IP hingegen nur für ein bestimmtes Teilnetz im Haus (z. B. 123.123.123.***) freizuschalten und den Port 311 für Remote-Administration ausschließlich der IP-Adresse des Netzadministrators zugänglich zu machen. Alle anderen Ports sollte man kategorisch sperren, wenn man sie nicht benötigt. Wer nur den DNS-Namen eines Anwenders kennt, kann im Filterprogramm die IP-Adresse auch per Name-Server-Lookup auflösen.

Wo der erste Schritt zu einem vollwertigen Firewall gemacht ist, sollte Apple jetzt noch die lang vermißten Routing-Funktionen für den Internet-Zugang von Arbeitsgruppen nachrüsten - Vicoms Internet Gateway gehört ja bedauerlicherweise nicht mehr zum Lieferumfang. Auch eine NAT-Funktion (Network Address Translation) wäre wünschenswert - das System würde noch sicherer, wenn es interne IP-Adressen, die draußen nicht bekannt werden sollen, in öffentliche umwandelte.

Bis vor kurzem stand `WebAdmin´, ein acgi (asynchronous cgi) zur Fernbedienung des Servers, lediglich in Apples `unsupported´-ftp-Verzeichnis bereit; jetzt gehört es zum Lieferumfang. Seit AppleShare IP das besagte TCP-Filtering beherrscht, spricht wohl nichts mehr gegen die Benutzung dieser praktischen Servererweiterung. Mit ihr erreicht man von jedem Java-fähigen WWW-Browser aus nahezu alle erdenklichen Serverfunktionen, zum Beispiel um Benutzerrechte zu editieren, die geteilten Laufwerke festzulegen oder die Auslastung zu verfolgen.

Noch bequemer

Die seit MacOS 8.5 bekannte Suchmaschine Sherlock ist nun ebenfalls Bestandteil von AppleShare IP - und damit einhergehend auch die Suche nach Textinhalten auf den Laufwerken des Servers. Das aufwendige Indizieren muß dieser jedoch selbst erledigen, es macht also Sinn, die Intervalle an die Bedürfnisse und Arbeitszeiten der Anwender anzupassen. Sobald der Index fertig angelegt ist, taucht das Serverlaufwerk automatisch im Sherlock-Inhalte-Fenster der angeschlossenen Clients auf.

Zusätzlich zu dem Remote- und dem bekannten Upload-Modul findet sich jetzt ein weiteres im Plug-in-Ordner: Multi Domain - seit Version 6.1 ist AppleShare IP in der Lage, bis zu 50 Sites auf einem Server zu `hosten´. Diesen kann man wahlweise eigene IP-Adressen oder Sub-Domain-Namen (etwa ct.heise.de) zuweisen; die tatsächlichen Daten bewahrt der Server in dedizierten Unterverzeichnissen auf. Die Administration ist ganz Apple-untypisch, wenig komfortabel ausgefallen: Für jede Site trägt man Domain-Name, Port und Ordnername einzeln in die Textdatei `Multi Domain Settings´ ein, die passenden IP-Adressen in einer Datei namens `IP Secondary Addresses´. Mit der aktuellen Version unterstützt AppleShare IP auch Multi-Homing, so daß man an bis zu vier Anschlüssen eigene AppleTalk-Segmente betreiben kann.

Ansonsten hat Apple noch einige Kleinigkeiten verbessert. Der Administrator kann nun die Zugriffsrechte aller Anwender überprüfen, indem er sich mit deren Usernamen und seinem Paßwort anmeldet. Der ASIP-Mail-Server beherrscht jetzt Shared IMAP Folders, so daß sich eine Gruppe im Netzwerk bestimmte Nachrichten teilen kann, und der Print-Server kennt einen eigenen Paßwortschutz, damit nicht jeder Client auf jeden Drucker zugreifen kann. Der funktioniert aber erst mit LaserWriter-Treibern jenseits von Version 8.6.1. AppleShare IP First Aid, ein Reparaturtool für ASIP-Dateien, wird mitgeliefert, und last, but not least ist AppleShare IP endlich MacOS-8.5-kompatibel. Die einzelnen Komponenten basieren übrigens weiterhin auf OpenDoc.

Kurzum: Der Download des 14 MByte großen Updaters lohnt sich. Besitzer des deutschen AppleShare IP müssen sich allerdings noch etwas gedulden; zum Redaktionsschluß stand nur das US-Update auf dem Apple-Server. (se)

Literatur

[1] Stephan Ehrmann: Leicht serviert, AppleShare IP 6.0 mit Windows-Unterstützung, c't 19/98, S. 92

[2] Norbert Luckhardt: IP-Torpedos legen Rechner lahm, c't 15/97, S. 47

[3] Update auf AppleShare IP 6.1: ftp://ftp.info.apple.com/Apple_Support_Area/Apple_Software_Updates/
English-North_American/Macintosh/Networking-Communications/
AppleShare_IP/

[4] Patch für IP-Torpedo `Winnuke´: ftp://ftp.info.apple.com/Apple_Support_Area/Apple_Software_Updates/
English-North_American/Macintosh/Networking-Communications/
AppleShare_IP/ASIP_Web+File_Update.smi.bin (ha)