PROSOZ Bau online - BauPortaldownload.prosoz.de/bauen/xmlservice/info/PROSOZ Bau online -...

18
& PROSOZ Bau online - BauPortal notwendige Einstellungen für die Verwendung Dokumentversion 1.2 vom 3. Mai 2018 GFD Bauen

Transcript of PROSOZ Bau online - BauPortaldownload.prosoz.de/bauen/xmlservice/info/PROSOZ Bau online -...

&

PROSOZ Bau online - BauPortal

notwendige Einstellungen für die Verwendung

Dokumentversion 1.2 vom 3. Mai 2018

GFD Bauen

PROSOZ Bau online - BauPortal, Dokumentversion 1.2

Seite 2 von 18 Schreibweisen

PROSOZ Bau online - BauPortal, Dokumentversion 1.2

Schreibweisen Seite 3 von 18

Inhaltsverzeichnis

1 Schreibweisen................................................................................................................. 4

2 Übersicht ......................................................................................................................... 5

2.1 Sicherheitsvoraussetzungen .................................................................................. 5

2.2 Anforderungen ....................................................................................................... 5

2.3 BauPortal ............................................................................................................... 5

2.4 Service Controller unter Apache Tomcat ................................................................ 5

3 Anforderungen umsetzen ................................................................................................ 6

3.1 Anfragen auf HTTPS umleiten ............................................................................... 6

3.2 Bindung an Port 80 entfernen ................................................................................ 8

3.3 schwache Verschlüsselungsalgorithmen deaktivieren .......................................... 10

3.4 Session-Verhalten in PHP anpassen ................................................................... 12

3.5 eigene Fehlerseiten konfigurieren ........................................................................ 13

4 BauPortal ...................................................................................................................... 14

4.1 Dateien aktualisieren ........................................................................................... 14

4.2 Konfiguration aktualisieren ................................................................................... 15

5 Service Controller unter Apache Tomcat ....................................................................... 16

5.1 ProsozServices.jar aktualisieren .......................................................................... 16

5.2 Konfiguration ergänzen ........................................................................................ 16

6 Abbildungsverzeichnis .................................................................................................. 17

PROSOZ Bau online - BauPortal, Dokumentversion 1.2

Seite 4 von 18 Schreibweisen

1 Schreibweisen

Wir verwenden in diesem Text folgende Schreibweisen:

Funktion

[Schaltfläche] Der in eckige Klammern gesetzte Begriff findet sich als Schaltfläche auf

der Softwareoberfläche wieder. Ein Klick darauf löst eine Aktion aus.

{Feld/Begriff} Ein in geschweifte Klammern gesetzter Begriff findet sich als

Feldbezeichnung, Beschreibung eines Optionsfeldes oder einfach als

Begriff auf der gerade beschriebenen Softwareoberfläche wieder.

»Karteireiter, -

karte«

Der in Dreiecksklammern gesetzte Begriff ist der Titel eines

Karteireiters. Wir strukturieren umfangreiche Programmpunkte (ein

Beispiel: Stammdatenaufnahme) dadurch übersichtlich, dass wir sie auf

mehrere „Bildschirmseiten“ verteilen. Allein durch einen Klick auf eine

der anderen Reiterbezeichnungen erfolgt der Wechsel auf diese andere

Maske.

<Taste> Taste auf der Tastatur

Tabelle 1: vereinbarte Schreibweisen

Wichtige oder besondere Hinweise heben wir so hervor.

Dieses Symbol im Text weist Sie immer auf etwas ganz besonderes hin.

In der Regel verlangt es von Ihnen eine Handlung.

PROSOZ Bau online - BauPortal, Dokumentversion 1.2

Übersicht Seite 5 von 18

2 Übersicht

2.1 Sicherheitsvoraussetzungen

Ab sofort wird der Zugriff auf das BauPortal nur noch über HTTPS

unterstützt.

Die Verwendung des BauPortals setzt ab der Version vom Februar 2018 voraus, dass den

Endanwendern eine gesicherte Ende-zu-Ende verschlüsselte Verbindung via HTTPS gebo-

ten wird.

Bitte beachten Sie, dass daher auf dem verwendeten Webserver bzw. auf dem Reverse-

Proxy ein gültiges SSL-Zertifikat eingesetzt werden muss.

2.2 Anforderungen

Im Folgenden Kapitel 3 demonstrieren wir anhand des Microsoft-Webservers IIS8 eine

Beispielkonfiguration, die die folgenden Anforderungen umsetzt:

1. Anfragen auf HTTPS umleiten

2. Bindungen an Port 80 entfernen

3. schwache Verschlüsselungsalgorithmen deaktivieren

4. Session-Verhalten in PHP anpassen

5. eigene Fehlerseiten konfigurieren

Wenn Sie einen anderen Webserver einsetzen, müssen Sie diese Anforderungen dement-

sprechend umsetzen. Nachdem Sie die Anforderungen umgesetzt haben, sind noch diese

folgenende Schritte durchzurühren:

2.3 BauPortal

Die Dateien der Webseite müssen Sie aktualisieren. Siehe hierzu Kapitel 4.

2.4 Service Controller unter Apache Tomcat

ProsozServices.jar aktualisieren und Konfiguration ergänzen. Siehe hierzu Kaptiel 5.

PROSOZ Bau online - BauPortal, Dokumentversion 1.2

Seite 6 von 18 Anforderungen umsetzen

3 Anforderungen umsetzen

Wir zeigen Ihnen an einem Beispiel, wie Sie die Anforderung umsetzen können.

Wir setzen dabei voraus, dass auf Ihrem Webserver PHP in der Version 5.6 installiert ist.

3.1 Anfragen auf HTTPS umleiten

Wir setzen voraus, dass bereits ein SSL-Zertifikat installiert ist und eine Bindung an Port 443

für die Webseite eingerichtet wurde.

Alternativ können Sie die Umleitung auch durch andere Maßnahmen umsetzen. Dann sollten

Sie jedoch die Bindung an Port 80 entfernen. Auch dies erläutern wir.

Eine einfache Möglichkeit, alle eingehenden Anfragen auf HTTPS umzuleiten, ist die Ver-

wendung des URL Rewrite Moduls, das ab IIS7 verwendet werden kann. Sie können das

Modul hier herunterladen:

http://www.iis.net/downloads/microsoft/url-rewrite

Nach der Installation des Moduls und einem Neustart des Serverdienstes ist das Modul im

IIS-Manager verfügbar:

Abbildung 1: URL Rewrite Modul

PROSOZ Bau online - BauPortal, Dokumentversion 1.2

Anforderungen umsetzen Seite 7 von 18

Anschließend muss in der zur Webseite gehörenden Datei web.config der Abschnitt

<rewrite> hinzugefügt werden. Eine Standard-Datei würde dann insgesamt so aussehen:

C:\inetpub\wwwroot\web.config

<?xml version="1.0" encoding="UTF-8"?>

<configuration>

<system.webServer>

<rewrite>

<rules>

<rule name="HTTP/S to HTTPS Redirect" enabled="true" stopProcessing="true">

<match url="(.*)" />

<conditions logicalGrouping="MatchAny">

<add input="{SERVER_PORT_SECURE}" pattern="^0$" />

</conditions>

<action type="Redirect" url="https://{HTTP_HOST}{REQUEST_URI}"

appendQueryString="true" redirectType="Permanent" />

</rule>

</rules>

</rewrite>

</system.webServer>

</configuration>

Sie können den Abschnitt <rewrite> aus dem obigen Beispiel einfach übernehmen. Nach

dem Speichern der Datei ist die Regel umgehend aktiv und eingehende Anfragen werden

fortan auf das Protokoll HTTPS umgeleitet.

Nachdem Sie diesen Punkt umgesetzt haben, können Sie Punkt 3.2 überspringen.

PROSOZ Bau online - BauPortal, Dokumentversion 1.2

Seite 8 von 18 Anforderungen umsetzen

3.2 Bindung an Port 80 entfernen

Falls Sie keine Weiterleitung einrichten können oder möchten, stellen Sie bitte sicher, dass

für die Seite auf der sich das BauPortal befindet ausschließlich Bindungen an den Port 443

vorhanden sind.

Markieren Sie hierzu die entsprechende Webseite im IIS-Manager und klicken auf

[Bindungen]:

Abbildung 2: Aufrufen der Site Bindungen

Bitte entfernen Sie hier die Bindung an Port 80 und alle evtl. vorhandenen sonstigen

Bindungen, außer der zu Port 443:

Abbildung 3: Server Bindungen entfernen

Sollte in diesem Fenster noch keine Bindung zu Port 443 vorhanden sein, müssen Sie sie

hinzufügen (siehe nächste Seite).

Nach dem Entfernen der Bindung an Port 80 ist die Seite nur noch über HTTPS erreichbar. Eine Umleitung von HTTP auf HTTPS müssen Sie dan ggf. mit externen Mitteln umsetzen.

PROSOZ Bau online - BauPortal, Dokumentversion 1.2

Anforderungen umsetzen Seite 9 von 18

Falls noch keine Bindung an Port 443 vorhanden ist, klicken Sie auf [Hinzufügen]. Im

folgenden Fenster wählen Sie oben den Typ {https} und wählen unten das SSL-Zertifikat

aus:

Abbildung 4: https-Bindung

Falls Sie hier kein SSL-Zertifikat auswählen können, ist auf dem Server kein gültiges SSL-

Zertifikat installiert.

PROSOZ Bau online - BauPortal, Dokumentversion 1.2

Seite 10 von 18 Anforderungen umsetzen

3.3 schwache Verschlüsselungsalgorithmen deaktivieren

Es empfiehlt sich, mindestens die folgenden Verschlüsselungsalgorithmen unter Windows

Server zu deaktivieren:

DES und RC4 Stromverschlüsselung:

- RC4 128/128

- RC4 40/128

- RC4 56/128

- Triple DES 168

- Triple DES 168/168

SSL v3

Im Folgenden ist eine Beispieldatei angegeben, die die Deaktivierung der erwähnten Algo-

rithmen umsetzt.

Sie können diesen Text z. B. in eine Datei mit der Dateinamenserweiterung „reg“ kopieren

und sie durch Rechtsklick -> [Zusammenführen] automatisch in die Windows-Registry

übernehmen.

Bitte prüfen Sie im Anschluss, ob die Werte wirklich in die Registrierung übernommen wur-

den, indem Sie sich die entsprechenden Pfade mittels Regedit ansehen. Natürlich können

Sie alternativ dort die Schlüssel und Werte auch manuell eingeben.

Bitte bedenken Sie, dass auch andere Algorithmen, die heute als sicher gelten, in Zukunft als

unsicher eingestuft werden können. Daher erheben diese Liste und die im Anschluss vorge-

stellte Datei keinen Anspruch auf Vollständigkeit!

PROSOZ Bau online - BauPortal, Dokumentversion 1.2

Anforderungen umsetzen Seite 11 von 18

Beispiel für die Umsetzung:

Windows Registry Editor Version 5.00

; Deaktivieren von DES und RC4 Stromverschlüsselung

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168/168]

"Enabled"=dword:00000000

; SSLv3 deaktivieren

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]

"DisabledByDefault"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]

"Enabled"=dword:00000000

PROSOZ Bau online - BauPortal, Dokumentversion 1.2

Seite 12 von 18 Anforderungen umsetzen

3.4 Session-Verhalten in PHP anpassen

Wir empfehlen, die Einstellungen für den Garbage-Collector in PHP an das Anfrageauf-

kommen auf dem Webserver anzupassen.

Es gibt in der PHP.ini hierzu drei Einstellungen, die angepasst werden können:

session.gc_maxlifetime = 3600

session.gc_probability = 1

session.gc_divisor = 100

Diese Einstellungen besagen, dass bei jedem 100. Aufruf der Garbage-Collector in PHP

startet und Session-Dateien löscht, die unbenutzt und älter als 3600 Sekunden (= 1 Stunde)

sind.

Da die Garbage-Collection einerseits verhältnismäßig viele Ressourcen benötigt, anderer-

seits aber aus Sicherheitsgründen unbenutzte Session-Dateien entfernen sollte, empfiehlt

sich eine Anpassung. Besonders dann, wenn das BauPortal unverhältnismäßig lange zum

Laden benötigt oder falls sich unverhältnismäßig viele Session-Dateien ansammeln.

Grundsätzlich muss diese Einschätzung auf dem Anfrageaufkommen basieren, das der

Webserver bewältigen muss. Daher ist es ratsam, die Einstellung anzupassen, wenn im Lauf

der Zeit die Webseite häufiger besucht wird.

PROSOZ Bau online - BauPortal, Dokumentversion 1.2

Anforderungen umsetzen Seite 13 von 18

3.5 eigene Fehlerseiten konfigurieren

Die in Microsoft IIS enthaltenen Standardfehlerseiten lassen Rückschlüsse auf die verwen-

dete Webserverversion zu. Wir empfehlen daher, diese auszutauschen. Sie sollten entweder

zum übrigen Design des Internetauftritts passende Fehlerseiten verwenden oder auf völlig

neutrale Varianten zurückgreifen.

In einer unveränderten Installation des deutschsprachigen IIS befinden sich die Fehlerseiten

hier:

C:\inetpub\custerr\de-DE

Die Definition der Fehlerseiten und der entsprechenden Speicherorte kann über den IIS-

Manager bearbeitet werden, indem man für die Webseite einen Doppelklick auf

[Fehlerseiten] macht:

Abbildung 5: Modul Fehlerseiten

Beispiel für eigene Fehlerseite

Hier am Beispiel der Meldung für den Fehler 404 – Datei nicht gefunden:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"

"http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">

<html xmlns="http://www.w3.org/1999/xhtml">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"/>

<title>404 - Datei oder Verzeichnis wurde nicht gefunden.</title>

</head>

<body>

<h2>404 - Datei oder Verzeichnis wurde nicht gefunden.</h2>

</body>

</html>

PROSOZ Bau online - BauPortal, Dokumentversion 1.2

Seite 14 von 18 BauPortal

4 BauPortal

4.1 Dateien aktualisieren

Bitte laden Sie sich die aktuelle Version von BauPortal hier herunter:

http://download.prosoz.de/bauen/xmlservice/misc/updates/updates.html

Das Archiv enthält Dateien und Ordner. Folgende Ordner und ihre Inhalte müssen Sie auf

Ihrem vorhandenen Webserver durch die neuen Versionen ersetzen:

BauPortal\ajax

BauPortal\includes

BauPortal\lib

Die Inhalte des Ordners

BauPortal\conf\muster_beispiel

werden Ihrem kundenspezifischen Ordner hinzugefügt, ohne dabei bereits vorhandene

Dateien zu überschreiben. Der kundenspezifische Ordner befindet sich auf Ihrem Webserver

immer im Verzeichnis „conf“ und entspricht in den meisten Fällen Ihrem Verwaltungsnamen.

Beispiel:

1. Sie löschen aus Ihrem Webserververzeichnis die Ordner ajax, includes und lib.

2. Sie kopieren die Ordner ajax, includes und lib aus dem heruntergeladenen Archiv

in Ihr Webserververzeichnis.

3. Sie kopieren die Inhalte aus dem Ordner conf\muster_beispiel in den

Ordner conf\herten – und erhalten einen Dialog, dass die Dateien bereits vorhanden

sind. Dort wählen Sie für alle Dateien überspringen aus.

4. Kopieren Sie die Dateien index.php, getParameter.php und init_ids.php aus dem

heruntergeladenen Archiv in den Ordner BauPortal und ersetzen Sie die bereits

vorhandenen Dateien.

PROSOZ Bau online - BauPortal, Dokumentversion 1.2

BauPortal Seite 15 von 18

4.2 Konfiguration aktualisieren

Nun müssen Sie einige Zeilen in der zentralen Konfigurationsdatei in Ihrem

Webserververzeichnis anpassen.

Diese Datei heißt:

BauPortal\conf\main.php

1. Öffnen Sie die Datei mit einem Texteditor und fügen Sie im Abschnitt {globale

Variablen} die folgende Zeile hinzu:

$conf_cookie_secure=1;

2. Suchen Sie nach der Zeile, die mit $DEBUGMODE beginnt und ändern Sie sie ggf. in:

$DEBUGMODE = false;

Bitte sorgen Sie zudem dafür, dass die Ordner

BauPortal\upload

BauPortal\log

BauPortal\lib\IDS\tmp

für den Webserver beschreibbar sind. Unter IIS müssen Sie dazu – je nach Konfiguration –

dem zugewiesenen Application Pool bzw. dem IUSR-Benutzer das Ändern-Recht erteilen.

Im Fall des Default App Pools heißt dieser so:

IIS AppPool\DefaultAppPool

PROSOZ Bau online - BauPortal, Dokumentversion 1.2

Seite 16 von 18 Service Controller unter Apache Tomcat

5 Service Controller unter Apache Tomcat

5.1 ProsozServices.jar aktualisieren

Bitte laden Sie sich die Datei ProsozServices.zip hier herunter:

http://download.prosoz.de/bauen/xmlservice/misc/updates/updates.html

Die Datei enthält die aktuellen Versionen von ProsozServices.jar und vbabgv1.jar.

Um die Dateien einzuspielen, stoppen Sie bitte zunächst den Dienst des Apache Tomcat.

Extrahieren Sie dann die neuen Dateien an diesen Ort:

C:\Program Files\Apache Software Foundation\Tomcat 8.5\webapps\ProsozServices\WEB-INF\lib

Bitte benennen Sie die alten Dateien nicht einfach um! Falls Sie diese sichern möchten,

verwenden Sie dazu bitte einen Ordner außerhalb des lib-Verzeichnisses.

5.2 Konfiguration ergänzen

Öffnen Sie nun die Datei XMLService.ini mit einem Texteditor. Die Datei finden Sie hier:

C:\Program Files\Apache Software Foundation\Tomcat 8.5\webapps\ProsozServices\WEB-INF\conf

Bitte ersetzen Sie den bisherigen Inhalt der Datei durch diese Zeilen:

[Property]

MinPasswordSize=8

HTMLConvert=J

UsePasswordSpezialChar=J

PasswordSpezialChars=_%$#+*”

Bitte starten Sie den Dienst des Apache Tomcat abschließend wieder.

Damit ist die Aktualisierung des BauPortals abgeschlossen.

Bitte testen Sie im Anschluss alle Zugriffe und den Login über die die Portalseite.

Hierzu ist es notwendig, zunächst den Cache Ihres Browsers zu löschen, damit der Test

eindeutig ist.

PROSOZ Bau online - BauPortal, Dokumentversion 1.2

Abbildungsverzeichnis Seite 17 von 18

6 Abbildungsverzeichnis

Abbildung 1: URL Rewrite Modul ........................................................................................... 6 Abbildung 2: Aufrufen der Site Bindungen ............................................................................. 8 Abbildung 3: Server Bindungen entfernen .............................................................................. 8 Abbildung 4: https-Bindung .................................................................................................... 9 Abbildung 5: Modul Fehlerseiten .......................................................................................... 13

PROSOZ Bau online - BauPortal, Dokumentversion 1.2

Seite 18 von 18 Abbildungsverzeichnis

Impressum

PROSOZ Herten GmbH

Ewaldstraße 261, 45699 Herten

www.prosoz.de

Alle Rechte vorbehalten.

Dieses Dokument darf ausschließlich für interne

Zwecke entsprechend der vertraglich eingeräumten

Nutzungsrechte genutzt werden. Insbesondere ist die

Weitergabe dieses Dokumentes an Dritte – auch

auszugsweise - ohne schriftliche Genehmigung von

PROSOZ Herten untersagt. Für vorgenommene

Änderungen durch den Auftraggeber besteht keine

Haftung oder Prüfungspflicht der PROSOZ Herten.

Geschlechterneutrale Formulierungen gemäß

Europäischer Charta

In diesem Dokument wird für alle Personen die

männliche Sprachform verwendet. Hierin sollen keine

Bevorzugung des Männlichen und keine

Diskriminierung des Weiblichen zum Ausdruck

kommen, die gewählte Form dient allein der besseren

Übersichtlichkeit und Verständlichkeit des Textes.