3
Mal n Netz absichern
Hallo zusammen.
Ich habe folgende Situation vorgefunden, und habe ein paar Ideen zu den ich gern Eure Meinung hätte.
Ist-Zustand:
[img]http://www.fotos-hochladen.net/uploads/nwist2x5jlnv41s.jpg[/img][/url]
Ein Zentrale mit einem Win2k3-Server der neben AD- und File-Server auch Datenbank-Server ist, die im Intranet für eine Software das Backend ist.
Gleichzeitig läuft ein Apache-Webserver, der eine Website zur Verfügung stellt, die ebenfalls auf die Datenbank zugreift.
„Geschützt“ ist die ganze Angelegenheit nur durch eine Fritzbox mit Portfreigabe:80 auf den Server.
(Der Zugriff auf die Website selbst ist Passwortgeschützt (htaccess) und dann wird noch zusätzlich eine Benutzerlogin im System benötigt.)
Zusätzlich gibt es noch eine Filiale, die per VPN angebunden ist.
Den Tunnel graben sich die beiden AVM FBs.
Da die Mitarbeiter zwischen allen Plätzen wechseln, also auch mal in der Filiale arbeiten, sind Roaming Profile eingerichtet.
Die DSL-Anbindung ist beidseitig 16/1, das Roaming in die Filiale entsprechend langsam. Hoffe da kann bald 50/10.
Ist-Zustand ENDE
Mein angedachter erster Schritt: Firewalls & DMZ für Webserver
[img]http://www.fotos-hochladen.net/uploads/nwsoll964biofv5d.jpg[/img][/url]
Hinter den beiden FBs je eine Firewall (Cisco ASA 5505), die das VPN zueinander aufbauen.
An der DMZ hänge ich einen dedizierten Webserver.
Dann müsste ich doch in die Firewall nur ein Loch kloppen, damit der Webserver auf die DB zugreifen kann, oder?
Die FBs fungieren weiter als Modem-Router und NATs, daher wäre weiter ein Freigabe des Port 80 auf den Webserver von nöten, den die Firewall so auch durchlässt, ge?
Des Weiteren wäre ein Freigabe den VPN auf die Firewalls von nöten, oder?
Macht das so ein wenig Sinn oder bin ich aufm Holzweg?
Mit Dank im Voraus für jeden Input,
Aranha
Ich habe folgende Situation vorgefunden, und habe ein paar Ideen zu den ich gern Eure Meinung hätte.
Ist-Zustand:
[img]http://www.fotos-hochladen.net/uploads/nwist2x5jlnv41s.jpg[/img][/url]
Ein Zentrale mit einem Win2k3-Server der neben AD- und File-Server auch Datenbank-Server ist, die im Intranet für eine Software das Backend ist.
Gleichzeitig läuft ein Apache-Webserver, der eine Website zur Verfügung stellt, die ebenfalls auf die Datenbank zugreift.
„Geschützt“ ist die ganze Angelegenheit nur durch eine Fritzbox mit Portfreigabe:80 auf den Server.
(Der Zugriff auf die Website selbst ist Passwortgeschützt (htaccess) und dann wird noch zusätzlich eine Benutzerlogin im System benötigt.)
Zusätzlich gibt es noch eine Filiale, die per VPN angebunden ist.
Den Tunnel graben sich die beiden AVM FBs.
Da die Mitarbeiter zwischen allen Plätzen wechseln, also auch mal in der Filiale arbeiten, sind Roaming Profile eingerichtet.
Die DSL-Anbindung ist beidseitig 16/1, das Roaming in die Filiale entsprechend langsam. Hoffe da kann bald 50/10.
Ist-Zustand ENDE
Mein angedachter erster Schritt: Firewalls & DMZ für Webserver
[img]http://www.fotos-hochladen.net/uploads/nwsoll964biofv5d.jpg[/img][/url]
Hinter den beiden FBs je eine Firewall (Cisco ASA 5505), die das VPN zueinander aufbauen.
An der DMZ hänge ich einen dedizierten Webserver.
Dann müsste ich doch in die Firewall nur ein Loch kloppen, damit der Webserver auf die DB zugreifen kann, oder?
Die FBs fungieren weiter als Modem-Router und NATs, daher wäre weiter ein Freigabe des Port 80 auf den Webserver von nöten, den die Firewall so auch durchlässt, ge?
Des Weiteren wäre ein Freigabe den VPN auf die Firewalls von nöten, oder?
Macht das so ein wenig Sinn oder bin ich aufm Holzweg?
Mit Dank im Voraus für jeden Input,
Aranha
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 187110
Url: https://administrator.de/contentid/187110
Printed on: April 24, 2024 at 04:04 o'clock
3 Comments
Latest comment
Servus,
also davon abgesehen, dass ich mir nicht sicher bin, ob man den Bereich des Webservers in deiner Planung wirklich noch DMZ nennen kann, nachdem er hinter NAT-Router und Firewall hängt, denke ich ferner, dass du die Fritzboxen ersetzen oder umkonfigurieren solltest.
Meiner Meinung nach sollte die Cisco Appliance das erste Gerät hinter dem Modem sein, die Fritzbox also lediglich Modem spielen oder verschwinden. Ansonsten führt es -wenn nicht zu größeren Problemen- zumindest dazu, dass du ständig doppelt konfigurieren musst, nämlich in der Appliance sowie in der Fritzbox. Die Fritzbox in ihrer jetzigen Funktion empfinde ich nach deinen Umbauplänen als technisch überflüssig, denn das Cisco-Gerät sollte ja eigentlich sowieso all das tun (plus noch einiges mehr), was die FB kann.
also davon abgesehen, dass ich mir nicht sicher bin, ob man den Bereich des Webservers in deiner Planung wirklich noch DMZ nennen kann, nachdem er hinter NAT-Router und Firewall hängt, denke ich ferner, dass du die Fritzboxen ersetzen oder umkonfigurieren solltest.
Meiner Meinung nach sollte die Cisco Appliance das erste Gerät hinter dem Modem sein, die Fritzbox also lediglich Modem spielen oder verschwinden. Ansonsten führt es -wenn nicht zu größeren Problemen- zumindest dazu, dass du ständig doppelt konfigurieren musst, nämlich in der Appliance sowie in der Fritzbox. Die Fritzbox in ihrer jetzigen Funktion empfinde ich nach deinen Umbauplänen als technisch überflüssig, denn das Cisco-Gerät sollte ja eigentlich sowieso all das tun (plus noch einiges mehr), was die FB kann.
Hallo Datenreise.
Vielen Dank für deine Antwort.
Genau an diesem Punkt bin ich auch unsicher: Ist die Fritzbox eine weitere Hürde, die zu nehmen ist, oder stellt sie eher ein Sicherheitsrisiko dar?
Keine Frage, dass die Cisco das alles besser macht.
Das mit der Doppel-Konfig ist auch nen echtes Argument.
Die DMZ versteh ich ohnehin net so richtig:
Warum soll ich meinen Webserver in eine Zone stellen, die keinerlei Schutz hat, wenn ich doch nen eigener Netz aufmachen kann, das nur die definierten Ports offen hat.
Auf dem Webserver selbst kann ich ja immernoch mit IP-Tables meinen Spaß haben, doch dass die eine Hardware-Firewall nicht ersetzt meine ich mittlerweile zuhauf gelesen zu haben.
(Gott, hoffe ich mache hier jetzt nicht zum hundertsten mal die Büchse der Pandora auch)
Greetz,
Aranha
Vielen Dank für deine Antwort.
Genau an diesem Punkt bin ich auch unsicher: Ist die Fritzbox eine weitere Hürde, die zu nehmen ist, oder stellt sie eher ein Sicherheitsrisiko dar?
Keine Frage, dass die Cisco das alles besser macht.
Das mit der Doppel-Konfig ist auch nen echtes Argument.
Die DMZ versteh ich ohnehin net so richtig:
Warum soll ich meinen Webserver in eine Zone stellen, die keinerlei Schutz hat, wenn ich doch nen eigener Netz aufmachen kann, das nur die definierten Ports offen hat.
Auf dem Webserver selbst kann ich ja immernoch mit IP-Tables meinen Spaß haben, doch dass die eine Hardware-Firewall nicht ersetzt meine ich mittlerweile zuhauf gelesen zu haben.
(Gott, hoffe ich mache hier jetzt nicht zum hundertsten mal die Büchse der Pandora auch)
Greetz,
Aranha
^^Zitat von @Aranha:
(Gott, hoffe ich mache hier jetzt nicht zum hundertsten mal die Büchse der Pandora auf)
(Gott, hoffe ich mache hier jetzt nicht zum hundertsten mal die Büchse der Pandora auf)
Guten Abend Aranha,
keine Sorge, ich bin da weitestgehend leidenschaftslos.
Also, es gibt sehr viele Aspekte und Facetten bei dieser Thematik. Prinzipiell ist die Fritzbox natürlich eine weitere Hürde. Und zwar für Leute außerhalb wie auch innerhalb eures Netzes...
Und meine Einschätzung ist hier, dass diese Hürde die "Inneren" mehr behindert, als sie noch erweitert und effektiv vor den "Äußeren" beschützt. Weiterhin ist so eine Fritzbox ein Heimanwender-Produkt und in nahezu allen Heimanwender-Routern wurden in den letzten Jahren Sicherheitslücken entdeckt. Kann jemand so eine Lücke ausnutzen, ist er möglicherweise in der Lage, sich zumindest in eurem Netzwerk umzusehen...
Letztlich sehe ich also deutlich mehr Nach- als Vorteile.
Das Prinzip von DMZ lasse ich dir mal lieber durch Wikipedia näherbringen: http://de.wikipedia.org/wiki/Demilitarized_Zone
Die Abwägung zwischen Hardwarefirewall und bspws. IPtables ist ebenfalls sehr facettenreich.
Gute Hardwarefirewalls gibt's nicht für ganz kleines Geld, dafür kommen sie in der Regel quasi einsatzbereit zu dir, bieten sehr viele Möglichkeiten zur Netzwerkadministration und sind mehr oder weniger übersichtlich zu konfigurieren. Weiterhin besitzen sie oftmals zumindest signaturbasierende Virenerkennung.
Software-Firewall auf dem Server kann man sicherlich machen, wenn es nicht die Verteidigungslinie gegen das Internet darstellt. Denn wenn jemand fast automatisch deinen Server übernimmt, "nur" weil er in deine Firewall eingedrungen ist, siehst du ganz deutlich den Nachteil, wenn die Firewall eben kein eigenständiges Gerät ist.
