9
Intranet Server von aussen zugänglich machen
Wir haben zurzeit ein selbstprogrammiertes Intranet in unserem lokalen Netzwerk (Win2008R2 / IIS mit PHP und Active Directory Anbindung).
Der IIS ist mit ist foldendermassen abgesichert:
- Anonymous Authentification [Disabled]
- ASP.NET Impersonation [Disabled]
- Basic Authentication [Disabled]
- Forms Authentication [Disabled]
- Windows Authentication [Enabled - HTTP 401 Challenge]
Die Webseite selbst übernimmt das Login vom IIS und prüft ob der Benutzer Zugang hat (hab ja dann den Loginnamen).
Dieser Webserver soll nun aus dem Internet erreichbar sein. Das ist im Prinzip kein Problem (NAT + Routing) aber da es sich um sensible Daten handelt möchte ich natürlich sicher stellen dass die grösstmögliche Sicherheit gewährleistet ist. Ich kann und will nicht garantieren dass es kein Sicherheitsrisiko in der Webseite selbst gibt.
Folgende Möglichkeiten sind uns eingefallen:
1. NAT + Routing
Internet Webserver erreichbar über intranet.website.com. Sicherheit übernimmt der IIS mit seiner Windows Authentification. Ich traue dieser Lösung nicht ganz (unbegründet??)
2. Proxy
Alternativ könnte man einen Proxy in die DMZ stellen der zuerst eine Passwortabfrage vornimmt und bei Erfolg dann den Intranetserver frei gibt. Der Webserver wäre nicht direkt ereichbar. Der Proxy wäre nur über Port 443 ereichbar. Was könnte man da "hacken"? Man könnte den Proxy abschiessen. Es gibt aber keinen direkten Zugriff von aussen auf den Webserver. Kann Squid so was? Wäre wünschenswert wenn man 2 verschiedene Plattformen (1. den IIS mit Win2008 und dann eventuell ein Linux als Proxy) hätte.
Hatt vielleicht noch jemand eine Idee. Was sind die Vor und Nachteile beider Systeme.
Ich hoffe, man versteht was ich sagen möchte ;)
Vielen Dank
Der IIS ist mit ist foldendermassen abgesichert:
- Anonymous Authentification [Disabled]
- ASP.NET Impersonation [Disabled]
- Basic Authentication [Disabled]
- Forms Authentication [Disabled]
- Windows Authentication [Enabled - HTTP 401 Challenge]
Die Webseite selbst übernimmt das Login vom IIS und prüft ob der Benutzer Zugang hat (hab ja dann den Loginnamen).
Dieser Webserver soll nun aus dem Internet erreichbar sein. Das ist im Prinzip kein Problem (NAT + Routing) aber da es sich um sensible Daten handelt möchte ich natürlich sicher stellen dass die grösstmögliche Sicherheit gewährleistet ist. Ich kann und will nicht garantieren dass es kein Sicherheitsrisiko in der Webseite selbst gibt.
Folgende Möglichkeiten sind uns eingefallen:
1. NAT + Routing
Internet Webserver erreichbar über intranet.website.com. Sicherheit übernimmt der IIS mit seiner Windows Authentification. Ich traue dieser Lösung nicht ganz (unbegründet??)
2. Proxy
Alternativ könnte man einen Proxy in die DMZ stellen der zuerst eine Passwortabfrage vornimmt und bei Erfolg dann den Intranetserver frei gibt. Der Webserver wäre nicht direkt ereichbar. Der Proxy wäre nur über Port 443 ereichbar. Was könnte man da "hacken"? Man könnte den Proxy abschiessen. Es gibt aber keinen direkten Zugriff von aussen auf den Webserver. Kann Squid so was? Wäre wünschenswert wenn man 2 verschiedene Plattformen (1. den IIS mit Win2008 und dann eventuell ein Linux als Proxy) hätte.
Hatt vielleicht noch jemand eine Idee. Was sind die Vor und Nachteile beider Systeme.
Ich hoffe, man versteht was ich sagen möchte ;)
Vielen Dank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 226327
Url: https://administrator.de/contentid/226327
Printed on: April 23, 2024 at 21:04 o'clock
9 Comments
Latest comment
Moin,
NAT + Routing scheidet vollkommen aus, da du damit den Webserver jeder erdenklichen Attacke aus dem Internet preisgibst. Ist der Server dann erstmal übernommen, steht der Angriffer mitten in deinem LAN.
Ein (Reverse-)Proxy steht und fällt mit der Qualität eurer Passwörter - hier kommt imo nur Linux/Squid (oder eine Hardware Appliance) in Frage
Auf jeden Fall solltest Du bereits ab dem Webserver HTTPS einsetzen.
lg,
Slainte
sicher stellen dass die grösstmögliche Sicherheit gewährleistet ist
Damit kommt nur VPN in FrageNAT + Routing scheidet vollkommen aus, da du damit den Webserver jeder erdenklichen Attacke aus dem Internet preisgibst. Ist der Server dann erstmal übernommen, steht der Angriffer mitten in deinem LAN.
Ein (Reverse-)Proxy steht und fällt mit der Qualität eurer Passwörter - hier kommt imo nur Linux/Squid (oder eine Hardware Appliance) in Frage
Auf jeden Fall solltest Du bereits ab dem Webserver HTTPS einsetzen.
lg,
Slainte
Hallo Cubic,
deine Absicherung ist nur ein Passwortschutz. Eine Absicherung ist bspw ein WebApplGW ovgl.
Wie ist die App denn prinzipiell aufgebaut? Und hier ist eben die Sache: Ist die APp so gehärtet, dass man sie auf die weite Welt los lassen kann? Das kann man bei einer public App eben besser beantworten und hier wirst du für eine wirklich solide Aussage auch nicht um ein dediziertes Audit drum herum kommen.
Eine klare Aussage daher: Lass dies, je nach Kompetenz vom Programmierer oder einem dritten gegenprüfen.
Beste Grüße,
Christian
deine Absicherung ist nur ein Passwortschutz. Eine Absicherung ist bspw ein WebApplGW ovgl.
Wie ist die App denn prinzipiell aufgebaut? Und hier ist eben die Sache: Ist die APp so gehärtet, dass man sie auf die weite Welt los lassen kann? Das kann man bei einer public App eben besser beantworten und hier wirst du für eine wirklich solide Aussage auch nicht um ein dediziertes Audit drum herum kommen.
Eine klare Aussage daher: Lass dies, je nach Kompetenz vom Programmierer oder einem dritten gegenprüfen.
Beste Grüße,
Christian
Hallo,
VPN habe ich vergessen aufzuzählen. VPN fällt flach. Wir sind eine Schule - es handelt sich also um Lehrer. VPN Verbindung einrichten kanns Du denen nicht beibringen. Das geht einfach nicht. Das werden die nicht checken. Passwort eingeben geht gerade noch so.
Also bei einer NAT Lösung würde natürlich nur der Port 443 freigegeben werden. Wie gesagt ich habe bei der Lösung auch meine Zweifel. Wenn er dann über 443 am Server landet kommt er ja auf die Passwortabfrage vom IIS. Die Frage ist jetzt: Wie sicher ist die Windows Authentification vom IIS. Ich würde ja davon ausgehen dass Microsoft sich da schon Gedanken gemacht hat. Und selbst wenn die nicht sicher ware. Und ich stelle mir auch gerade die Frage was es eigentlich bedeutet "ist er im LAN". Er hat keinen Remote zugriff oder kann sonst irgendwelche Dienste nutzen. Er könnte höchstens den IIS abschiesen oder per eventuellen Sicherheitslücken in der Webseite die Datenbank per SQL Injections hacken.
Reverse Proxy -> Die Passwörter sind Top. Mindestens 8 Zeichen. Davon 2 Sonderzeichen, Zahlen und Buchstaben müssen enthalten sein. Ich werde mich also wieder mal in Squid einlesen. Ist lange her, dass ich den mal benutzt habe.
Vielen Dank,
VPN habe ich vergessen aufzuzählen. VPN fällt flach. Wir sind eine Schule - es handelt sich also um Lehrer. VPN Verbindung einrichten kanns Du denen nicht beibringen. Das geht einfach nicht. Das werden die nicht checken. Passwort eingeben geht gerade noch so.
Also bei einer NAT Lösung würde natürlich nur der Port 443 freigegeben werden. Wie gesagt ich habe bei der Lösung auch meine Zweifel. Wenn er dann über 443 am Server landet kommt er ja auf die Passwortabfrage vom IIS. Die Frage ist jetzt: Wie sicher ist die Windows Authentification vom IIS. Ich würde ja davon ausgehen dass Microsoft sich da schon Gedanken gemacht hat. Und selbst wenn die nicht sicher ware. Und ich stelle mir auch gerade die Frage was es eigentlich bedeutet "ist er im LAN". Er hat keinen Remote zugriff oder kann sonst irgendwelche Dienste nutzen. Er könnte höchstens den IIS abschiesen oder per eventuellen Sicherheitslücken in der Webseite die Datenbank per SQL Injections hacken.
Reverse Proxy -> Die Passwörter sind Top. Mindestens 8 Zeichen. Davon 2 Sonderzeichen, Zahlen und Buchstaben müssen enthalten sein. Ich werde mich also wieder mal in Squid einlesen. Ist lange her, dass ich den mal benutzt habe.
Vielen Dank,
Wenn sich jemand einhackt kann er über eine Schwachstelle direkt den ganzen Server übernehmen. Gerade auf Windows Server.
Er könnte höchstens den IIS abschiesen oder per eventuellen Sicherheitslücken in der Webseite die Datenbank per SQL Injections hacken.
Oder beliebigen Code auf dem Webserver ausführen, die Seiten verändern und jedem Client Trojaner(/Bots unterjubeln, oder gleich KiPos /Warez von eurem Server aus verteilen....
Hallo,
der Schutz meiner Webseite baut auf dem übergebenen Loginnamen vom IIS auf (NTLM). Ich überprüfe ob die Person im AD steht und ob sie ein Lehrer ist. Wenn nicht kommst du nicht weiter. Meine Programmierfähigkeiten sind schon nicht schlecht. Aber: ich kann und will die Garantie nicht geben dass nicht irgendwo im Script ein Fehler ist (ist inzwischen eine Webseite aus 200 Dateien)
"WebApplGW" kenne ich nicht. Ich schaue mir das mal an.
Vielen Dank
der Schutz meiner Webseite baut auf dem übergebenen Loginnamen vom IIS auf (NTLM). Ich überprüfe ob die Person im AD steht und ob sie ein Lehrer ist. Wenn nicht kommst du nicht weiter. Meine Programmierfähigkeiten sind schon nicht schlecht. Aber: ich kann und will die Garantie nicht geben dass nicht irgendwo im Script ein Fehler ist (ist inzwischen eine Webseite aus 200 Dateien)
"WebApplGW" kenne ich nicht. Ich schaue mir das mal an.
Vielen Dank
Genau. Habe daran nicht gedacht. Ich habe ja jetzt schon mal 2 gute Hinweise erhalten. WebApplGW & Squid schaue ich mir an.
Ein schönes Wochenende
Ein schönes Wochenende
VPN Verbindung einrichten kanns Du denen nicht beibringen. Das geht einfach nicht.
Na ja mal ehrlich ganz so solltest du die Pädagogen nicht unterschätzen ! Verwende einfach ein VPN was jedes Betriebssystem inkl. Smartphone mit an Bord haben wie z.B. L2TP.Da ist ein VPN mit 3 Mausklicks eingerichtet, was auch wirklich jeder Erstklässler kann der Lesen und Schreiben gerlent hat...Pädagogen allemal.
Dein Vorteil ist das das absolut wasserdicht ist, was die Sicherheit anbetrifft. Schule bedeutet oft persönliche Daten und damit bewegst du dich im nicht mehr rechtsfreien Raum der Verpflichtung zur Datensicherheit !
Wie man solch einfache VPNs mit einfachen Mitteln realisiert kannst du hier nachlesen:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Mit etwas Zugeständnissen an die VPN Sicherheit auch PPTP:
VPNs einrichten mit PPTP
IPsec oder L2TP sollten aber das Mittel der Wahl sein. Das nur mal so als Alternative. Sicherheit ist wie du ja selber weisst immer ein Balanceakt zwischen Bequemlichkeit und Vorschriften. Da ist dann immer die Frage was man erreichen will.
Was das öffentliche Freigeben von Port TCP 80 und/oder TCP 443 ins Internet anbetrifft kann man dir nur mal raten einen Wireshark Sniffer an dem Rechner mal testweise laufen zu lassen !
Das wird dir dann recht schnell die Augen öffnen mit welchen Dimensionen von Port Scan Angriffen, DoS Attacken und Einbruchsversuchen du rechnen musst.
Zweifelsohne ist hier eine dann absolute Sicherheit gefordert und das endet dann wieder beim Tip "Eine klare Aussage daher: Lass dies, je nach Kompetenz vom Programmierer oder einem dritten gegenprüfen."
Dem muss man eigentlich nichts mehr hinzufügen.... Du hast die Wahl....
Moien Aqui,
Wir haben ein VPN Gate stehen. Das benutzen aber nur wir admins und einige ausgewählte Lehrer. Es ginge sogar noch einfacher. Wir benutzen Citrix XenApp und haben das Secured Gateway am laufen. Laut Direktion ist das alles zu kompliziert und die Lehrer kommen nicht damit klar. Ich weiss nicht ob du Citrix kennst. Du musst da nur den Client runterladen und installieren. Viele scheitern da dran!
Mit den Attacken stimmt. Ich habe gar nicht daran gedacht dass unter Umständen Code ausgeführt werden kann. Ich sah nur den Teil dass man sich am Login vorbei schummeln könnte.
Ich habe aber auch gerade daran gedacht dass unsere Lehrer eine Smart Card benutzen um das Notenprogramm vom Ministerium zu benutzen. Eventuell kann man einen Proxy hochziehen der zum Passwort noch die Smart card Abfrage macht. Die beiden anderen Vorschläge habe ich noch nicht nachgelesen.
Es ist auf jeden Fall klar: Da wird nichts übers Knie gebrochen. Wir lassen uns Zeit und lassen uns beraten.
Danke und schönes Wochenende!
Wir haben ein VPN Gate stehen. Das benutzen aber nur wir admins und einige ausgewählte Lehrer. Es ginge sogar noch einfacher. Wir benutzen Citrix XenApp und haben das Secured Gateway am laufen. Laut Direktion ist das alles zu kompliziert und die Lehrer kommen nicht damit klar. Ich weiss nicht ob du Citrix kennst. Du musst da nur den Client runterladen und installieren. Viele scheitern da dran!
Mit den Attacken stimmt. Ich habe gar nicht daran gedacht dass unter Umständen Code ausgeführt werden kann. Ich sah nur den Teil dass man sich am Login vorbei schummeln könnte.
Ich habe aber auch gerade daran gedacht dass unsere Lehrer eine Smart Card benutzen um das Notenprogramm vom Ministerium zu benutzen. Eventuell kann man einen Proxy hochziehen der zum Passwort noch die Smart card Abfrage macht. Die beiden anderen Vorschläge habe ich noch nicht nachgelesen.
Es ist auf jeden Fall klar: Da wird nichts übers Knie gebrochen. Wir lassen uns Zeit und lassen uns beraten.
Danke und schönes Wochenende!
