7
Serverzugang sicher einrichten
Hallo,
ich habe mit einer Synology NAS-Laufwerk für unser Team einen Mail- und Fileserver eingerichtet. Auf dem Server läuft die interne Mailkommunikation und hier werden auch wichtige Arbeitsdocs gespeichert.
Auf jeden Fall musste die ganze Sache sehr sicher sein. Als Backup ist ein zweite NAS zuständig, worauf alle Daten gespiegelt werden.
Um die Daten nicht in einem fremden Rechenzentrum unterbringen zu müssen, wurde der Server im Büro, in einem kleinen Schrank gelagert. Der DSL-Zugang hat ein Upload von 2Mbits. Es reicht also für die 10-12 Mitarbeiter aus.
Das LAN wird von einem Router geschützt. Das Büro hat keine feste IP, der Server wird über eine Dyndns-Adresse erreicht. Die benötigten Ports 25, 443, 80, 993, 5001 werden auf die NAS umgeleitet. Auch die NAS hat einen interne IP-Blockierung. Ausser dieser Ports werden alle andere Ports blockiert. Die von mir erstellten Kennwörter, die die Mitarbeiter nicht ändern dürfen sind ziemlich stark (ca. "Z_mitarb_B_2008_c").
Webzugriff auf den Dateimanager ist nur über HTTPS (inkl. WebDAV) möglich, E-Mail-Postfächer sind über IMAP (SSL/TLS) zugänglich.
Hat jemand noch eine Idee, was man noch für mehr Sicherheit machen könnte? Die Struktur des Teams mach Internetzugang notwendig, Sicherheit ist aber eine große Priorität.
Eine Option wäre auf VPN zu setzen. Dann könnte ich auch den Kreis der externen IPs einschränken. Ich weiß aber nicht, ob der Sicherheitsunterschied wirklich den Aufwand lohnt.
Danke für die Tipps.
Gr. I.
ich habe mit einer Synology NAS-Laufwerk für unser Team einen Mail- und Fileserver eingerichtet. Auf dem Server läuft die interne Mailkommunikation und hier werden auch wichtige Arbeitsdocs gespeichert.
Auf jeden Fall musste die ganze Sache sehr sicher sein. Als Backup ist ein zweite NAS zuständig, worauf alle Daten gespiegelt werden.
Um die Daten nicht in einem fremden Rechenzentrum unterbringen zu müssen, wurde der Server im Büro, in einem kleinen Schrank gelagert. Der DSL-Zugang hat ein Upload von 2Mbits. Es reicht also für die 10-12 Mitarbeiter aus.
Das LAN wird von einem Router geschützt. Das Büro hat keine feste IP, der Server wird über eine Dyndns-Adresse erreicht. Die benötigten Ports 25, 443, 80, 993, 5001 werden auf die NAS umgeleitet. Auch die NAS hat einen interne IP-Blockierung. Ausser dieser Ports werden alle andere Ports blockiert. Die von mir erstellten Kennwörter, die die Mitarbeiter nicht ändern dürfen sind ziemlich stark (ca. "Z_mitarb_B_2008_c").
Webzugriff auf den Dateimanager ist nur über HTTPS (inkl. WebDAV) möglich, E-Mail-Postfächer sind über IMAP (SSL/TLS) zugänglich.
Hat jemand noch eine Idee, was man noch für mehr Sicherheit machen könnte? Die Struktur des Teams mach Internetzugang notwendig, Sicherheit ist aber eine große Priorität.
Eine Option wäre auf VPN zu setzen. Dann könnte ich auch den Kreis der externen IPs einschränken. Ich weiß aber nicht, ob der Sicherheitsunterschied wirklich den Aufwand lohnt.
Danke für die Tipps.
Gr. I.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 168217
Url: https://administrator.de/contentid/168217
Printed on: April 18, 2024 at 14:04 o'clock
7 Comments
Latest comment
Standardmäßig würde ich bei solch einer Kombination immer einen VPN-Zugang bereitstellen. Hierfür wäre ja "Windows-VPN", also pptp völlig ausreichend. Welchen Router hast Du denn? Draytek oder eine selbsgebaute Monowall wären hier preisgünstige Alternativen. Ich habe z.B. einen Lancom-Router als zentrale Firewall und dahinter eine Monowall als VPN-Zentrale, da die Lizensierung hierbei nicht anfällt. Der gre-port wird dann vom Router weitergeleitet.
Gruß, Arch Stanton
Gruß, Arch Stanton
kennwörter sollte man von zeit zu zeit schon wechseln.
Lg
Lg
[...]Hierfür wäre ja "Windows-VPN", also pptp völlig ausreichend.[...]
PPTP und Sicherheit passen jetzt für mein Verständnis nicht wirklich in einen Satz.
Cheers,
jsysde
PPTP und Sicherheit passen jetzt für mein Verständnis nicht wirklich in einen Satz.
na Du Experte, dann kläre mich mal auf.
Gruß, Arch Stanton
http://en.wikipedia.org/wiki/Point-to-Point_Tunneling_Protocol#Security ...
PPTP stellt auf der Sicherheitsskala das absolut untere Ende dar.
L2TP wäre eine weitaus sicherere, aber weitaus schwieriger zu implementierende Lösung, die dennoch ohne separaten Client auf den (Windows) Rechnern auskommt und eingesetzt werden kann.
Aufgrund der einfachen Implementation und der unkomplizierten Bedienung ist PPTP noch immer sehr weit verbreitet, das will ich gar nicht bestreiten. Aber im Kontext dessen, wie der TO seinen Sicherheitsanspruch darlegt, wollte ich nur mal darauf hinweisen, dass PPTP nicht so ganz dazu passt. Sollte keine persönliche Kritik sein.
Cheers,
jsysde
PPTP stellt auf der Sicherheitsskala das absolut untere Ende dar.
L2TP wäre eine weitaus sicherere, aber weitaus schwieriger zu implementierende Lösung, die dennoch ohne separaten Client auf den (Windows) Rechnern auskommt und eingesetzt werden kann.
Aufgrund der einfachen Implementation und der unkomplizierten Bedienung ist PPTP noch immer sehr weit verbreitet, das will ich gar nicht bestreiten. Aber im Kontext dessen, wie der TO seinen Sicherheitsanspruch darlegt, wollte ich nur mal darauf hinweisen, dass PPTP nicht so ganz dazu passt. Sollte keine persönliche Kritik sein.
Cheers,
jsysde
Zitat von @Arch-Stanton:
Standardmäßig würde ich bei solch einer Kombination immer einen VPN-Zugang bereitstellen.
Standardmäßig würde ich bei solch einer Kombination immer einen VPN-Zugang bereitstellen.
Ja, klar, würde ich auch... Die Teammitglieder greifen aber auch mit Handys auf den Server zu. Ich würde diesen Aufwand (für mich) gerne vermeiden, wenn ich den Eindruck habe, dass der Server unter diesen Umständen als sicher eingestuft werden kann. Ich denke, dass die größte Sicherheit dadurch ensteht, wenn wir die Adresse des Servers einfach nicht ausgeben. Ein dyndns-Adresse findet man ja nicht so einfach.
eine weitere Frage hätte ich noch zum Thema Zertifikat:
Ich benutze einfach das des Servers, was von Synology mitgeliefert worden ist. Es verschlüsselt ja den Datenverkehr auch zwischen Server und dem Browser. Was für Sicherheitseinschränkungen bedeutet, wenn man nicht ein Eigenes auf den eigenen Namen / Domain zertifiziertes Zertifikate benutzt.
@Arch-Stanton:
Dies ist ein "Netgear ProSafe"
Zitat von @istike2:
Ich denke, dass die größte Sicherheit dadurch ensteht, wenn wir die Adresse des Servers einfach nicht
ausgeben. Ein dyndns-Adresse findet man ja nicht so einfach.
Ich denke, dass die größte Sicherheit dadurch ensteht, wenn wir die Adresse des Servers einfach nicht
ausgeben. Ein dyndns-Adresse findet man ja nicht so einfach.
Da denkst Du falsch. Die Sicherheit Deines Servers sollte nicht davon abhängen, ob jemand deine dyndns-Adresse weiß oder nicht. Der Server ist auch über seine IP-Adresse erreichbar, auch wenn die täglich wechselt. Und es ist ein leichtes die dyndns-Adresse per social-Engineering herauszufinden, sofern die Anreize große genug sind. Eine probate Methode findet man z.B. hier: http://xkcd.com/538/
Mach lieber ein ordentlichen VPN (IPsec oder SSL mit Zeritifikaten).
