Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Intranet Server von aussen zugänglich machen

Mitglied: Cubic83

Cubic83 (Level 2) - Jetzt verbinden

10.01.2014 um 14:48 Uhr, 4452 Aufrufe, 9 Kommentare

Wir haben zurzeit ein selbstprogrammiertes Intranet in unserem lokalen Netzwerk (Win2008R2 / IIS mit PHP und Active Directory Anbindung).

Der IIS ist mit ist foldendermassen abgesichert:
- Anonymous Authentification [Disabled]
- ASP.NET Impersonation [Disabled]
- Basic Authentication [Disabled]
- Forms Authentication [Disabled]
- Windows Authentication [Enabled - HTTP 401 Challenge]

Die Webseite selbst übernimmt das Login vom IIS und prüft ob der Benutzer Zugang hat (hab ja dann den Loginnamen).

Dieser Webserver soll nun aus dem Internet erreichbar sein. Das ist im Prinzip kein Problem (NAT + Routing) aber da es sich um sensible Daten handelt möchte ich natürlich sicher stellen dass die grösstmögliche Sicherheit gewährleistet ist. Ich kann und will nicht garantieren dass es kein Sicherheitsrisiko in der Webseite selbst gibt.

Folgende Möglichkeiten sind uns eingefallen:

1. NAT + Routing

Internet Webserver erreichbar über intranet.website.com. Sicherheit übernimmt der IIS mit seiner Windows Authentification. Ich traue dieser Lösung nicht ganz (unbegründet??)

2. Proxy

Alternativ könnte man einen Proxy in die DMZ stellen der zuerst eine Passwortabfrage vornimmt und bei Erfolg dann den Intranetserver frei gibt. Der Webserver wäre nicht direkt ereichbar. Der Proxy wäre nur über Port 443 ereichbar. Was könnte man da "hacken"? Man könnte den Proxy abschiessen. Es gibt aber keinen direkten Zugriff von aussen auf den Webserver. Kann Squid so was? Wäre wünschenswert wenn man 2 verschiedene Plattformen (1. den IIS mit Win2008 und dann eventuell ein Linux als Proxy) hätte.


Hatt vielleicht noch jemand eine Idee. Was sind die Vor und Nachteile beider Systeme.

Ich hoffe, man versteht was ich sagen möchte ;)

Vielen Dank
Mitglied: SlainteMhath
10.01.2014 um 15:08 Uhr
Moin,

sicher stellen dass die grösstmögliche Sicherheit gewährleistet ist
Damit kommt nur VPN in Frage

NAT + Routing scheidet vollkommen aus, da du damit den Webserver jeder erdenklichen Attacke aus dem Internet preisgibst. Ist der Server dann erstmal übernommen, steht der Angriffer mitten in deinem LAN.

Ein (Reverse-)Proxy steht und fällt mit der Qualität eurer Passwörter - hier kommt imo nur Linux/Squid (oder eine Hardware Appliance) in Frage

Auf jeden Fall solltest Du bereits ab dem Webserver HTTPS einsetzen.

lg,
Slainte
Bitte warten ..
Mitglied: certifiedit.net
10.01.2014 um 15:10 Uhr
Hallo Cubic,

deine Absicherung ist nur ein Passwortschutz. Eine Absicherung ist bspw ein WebApplGW ovgl.

Wie ist die App denn prinzipiell aufgebaut? Und hier ist eben die Sache: Ist die APp so gehärtet, dass man sie auf die weite Welt los lassen kann? Das kann man bei einer public App eben besser beantworten und hier wirst du für eine wirklich solide Aussage auch nicht um ein dediziertes Audit drum herum kommen.

Eine klare Aussage daher: Lass dies, je nach Kompetenz vom Programmierer oder einem dritten gegenprüfen.

Beste Grüße,

Christian
Bitte warten ..
Mitglied: Cubic83
10.01.2014 um 15:20 Uhr
Hallo,

VPN habe ich vergessen aufzuzählen. VPN fällt flach. Wir sind eine Schule - es handelt sich also um Lehrer. VPN Verbindung einrichten kanns Du denen nicht beibringen. Das geht einfach nicht. Das werden die nicht checken. Passwort eingeben geht gerade noch so.

Also bei einer NAT Lösung würde natürlich nur der Port 443 freigegeben werden. Wie gesagt ich habe bei der Lösung auch meine Zweifel. Wenn er dann über 443 am Server landet kommt er ja auf die Passwortabfrage vom IIS. Die Frage ist jetzt: Wie sicher ist die Windows Authentification vom IIS. Ich würde ja davon ausgehen dass Microsoft sich da schon Gedanken gemacht hat. Und selbst wenn die nicht sicher ware. Und ich stelle mir auch gerade die Frage was es eigentlich bedeutet "ist er im LAN". Er hat keinen Remote zugriff oder kann sonst irgendwelche Dienste nutzen. Er könnte höchstens den IIS abschiesen oder per eventuellen Sicherheitslücken in der Webseite die Datenbank per SQL Injections hacken.


Reverse Proxy -> Die Passwörter sind Top. Mindestens 8 Zeichen. Davon 2 Sonderzeichen, Zahlen und Buchstaben müssen enthalten sein. Ich werde mich also wieder mal in Squid einlesen. Ist lange her, dass ich den mal benutzt habe.

Vielen Dank,
Bitte warten ..
Mitglied: certifiedit.net
10.01.2014 um 15:23 Uhr
Wenn sich jemand einhackt kann er über eine Schwachstelle direkt den ganzen Server übernehmen. Gerade auf Windows Server.
Bitte warten ..
Mitglied: SlainteMhath
10.01.2014 um 15:28 Uhr
Er könnte höchstens den IIS abschiesen oder per eventuellen Sicherheitslücken in der Webseite die Datenbank per SQL Injections hacken.
Oder beliebigen Code auf dem Webserver ausführen, die Seiten verändern und jedem Client Trojaner(/Bots unterjubeln, oder gleich KiPos /Warez von eurem Server aus verteilen....
Bitte warten ..
Mitglied: Cubic83
10.01.2014 um 15:29 Uhr
Hallo,

der Schutz meiner Webseite baut auf dem übergebenen Loginnamen vom IIS auf (NTLM). Ich überprüfe ob die Person im AD steht und ob sie ein Lehrer ist. Wenn nicht kommst du nicht weiter. Meine Programmierfähigkeiten sind schon nicht schlecht. Aber: ich kann und will die Garantie nicht geben dass nicht irgendwo im Script ein Fehler ist (ist inzwischen eine Webseite aus 200 Dateien)

"WebApplGW" kenne ich nicht. Ich schaue mir das mal an.

Vielen Dank
Bitte warten ..
Mitglied: Cubic83
10.01.2014 um 15:31 Uhr
Genau. Habe daran nicht gedacht. Ich habe ja jetzt schon mal 2 gute Hinweise erhalten. WebApplGW & Squid schaue ich mir an.

Ein schönes Wochenende
Bitte warten ..
Mitglied: aqui
11.01.2014, aktualisiert um 16:12 Uhr
VPN Verbindung einrichten kanns Du denen nicht beibringen. Das geht einfach nicht.
Na ja mal ehrlich ganz so solltest du die Pädagogen nicht unterschätzen ! Verwende einfach ein VPN was jedes Betriebssystem inkl. Smartphone mit an Bord haben wie z.B. L2TP.
Da ist ein VPN mit 3 Mausklicks eingerichtet, was auch wirklich jeder Erstklässler kann der Lesen und Schreiben gerlent hat...Pädagogen allemal.
Dein Vorteil ist das das absolut wasserdicht ist, was die Sicherheit anbetrifft. Schule bedeutet oft persönliche Daten und damit bewegst du dich im nicht mehr rechtsfreien Raum der Verpflichtung zur Datensicherheit !
Wie man solch einfache VPNs mit einfachen Mitteln realisiert kannst du hier nachlesen:
https://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
Mit etwas Zugeständnissen an die VPN Sicherheit auch PPTP:
https://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html
IPsec oder L2TP sollten aber das Mittel der Wahl sein. Das nur mal so als Alternative. Sicherheit ist wie du ja selber weisst immer ein Balanceakt zwischen Bequemlichkeit und Vorschriften. Da ist dann immer die Frage was man erreichen will.

Was das öffentliche Freigeben von Port TCP 80 und/oder TCP 443 ins Internet anbetrifft kann man dir nur mal raten einen Wireshark Sniffer an dem Rechner mal testweise laufen zu lassen !
Das wird dir dann recht schnell die Augen öffnen mit welchen Dimensionen von Port Scan Angriffen, DoS Attacken und Einbruchsversuchen du rechnen musst.
Zweifelsohne ist hier eine dann absolute Sicherheit gefordert und das endet dann wieder beim Tip "Eine klare Aussage daher: Lass dies, je nach Kompetenz vom Programmierer oder einem dritten gegenprüfen."
Dem muss man eigentlich nichts mehr hinzufügen.... Du hast die Wahl....
Bitte warten ..
Mitglied: Cubic83
11.01.2014 um 16:56 Uhr
Moien Aqui,

Wir haben ein VPN Gate stehen. Das benutzen aber nur wir admins und einige ausgewählte Lehrer. Es ginge sogar noch einfacher. Wir benutzen Citrix XenApp und haben das Secured Gateway am laufen. Laut Direktion ist das alles zu kompliziert und die Lehrer kommen nicht damit klar. Ich weiss nicht ob du Citrix kennst. Du musst da nur den Client runterladen und installieren. Viele scheitern da dran!

Mit den Attacken stimmt. Ich habe gar nicht daran gedacht dass unter Umständen Code ausgeführt werden kann. Ich sah nur den Teil dass man sich am Login vorbei schummeln könnte.

Ich habe aber auch gerade daran gedacht dass unsere Lehrer eine Smart Card benutzen um das Notenprogramm vom Ministerium zu benutzen. Eventuell kann man einen Proxy hochziehen der zum Passwort noch die Smart card Abfrage macht. Die beiden anderen Vorschläge habe ich noch nicht nachgelesen.

Es ist auf jeden Fall klar: Da wird nichts übers Knie gebrochen. Wir lassen uns Zeit und lassen uns beraten.

Danke und schönes Wochenende!
Bitte warten ..
Ähnliche Inhalte
TK-Netze & Geräte

FAX an Mailadresse oder von außen zugänglichen Ordner umleiten

gelöst Frage von JuweeeTK-Netze & Geräte6 Kommentare

Hallo, hab bei einem Bekannten folgendes Szenario: Er hat auf der einen Seite einen HP Officejet Pro 6830 und ...

Hosting & Housing

Server von außen erreichen

gelöst Frage von BromBariumHosting & Housing3 Kommentare

Hallo am Sonntagmorgen, mein Problem ist folgendens: Ich habe einen Windows-Server auf dem ich gerne versch. Dienste anbieten würde, ...

Windows Server

Intranet auf anderen Server umziehen

gelöst Frage von MaceWinduWindows Server8 Kommentare

Hallo Leute, Ich möchte das bestehende in ASP-NET programmierte Intranet durch Sharepoint Foundation 2013 ersetzen. Der (virtuelle) Server heißt ...

Windows Server

Win 2003 Server von außen nicht erreichbar

Frage von Fighter89Windows Server9 Kommentare

Hallo, ich habe gestern einen Windows 2003 Server SP2 aufgesetzt. Dieser soll als Webserver dienen. Das Problem was ich ...

Neue Wissensbeiträge
Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 10 StundenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 16 StundenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Microsoft Office

MS Office 2019 ohne OneNote - OneNote App speichert nur in Cloud

Information von Deepsys vor 1 TagMicrosoft Office4 Kommentare

Microsoft zeigt deutlich wohin alles bei Ihnen geht, OneNote 2019 wird es nicht mehr geben, und die Windows 10 ...

Humor (lol)

Warum man sein Gast-WLAN nicht beliebig nennen sollte

Erfahrungsbericht von Henere vor 2 TagenHumor (lol)5 Kommentare

Servus, mal was aus dem Alltag. Zu Hause. Eigentlich wollte ich nur einen weiteren WLAN-AP ins Netz bringen, damit ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Server SSD: NVMe PCIe 3.0 RAID?
Frage von bouneeFestplatten, SSD, Raid15 Kommentare

Hallo liebe Admins, mir stellt sich gerade die Frage, ob ein neuer Server mit SSD NVMe PCIe 3.0 Sinn ...

Sonstige Systeme
Wie Normenkataloge im Unternehmen bereit stellen?
Frage von MuzzepuckelSonstige Systeme14 Kommentare

Hallo Kollegen, ich lese schon lange hier mit, nun mein ersrer Beitrag, bzw. Frage. :-) Wir benötigen für unsere ...

Windows 10
Windows 10 Startmenü-Einstellungen Systemweit festlegen
Frage von flotautWindows 1013 Kommentare

Guten Morgen liebe Admins, wir möchten bei uns am Lehrstuhl demnächst auf Windows 10 umsteigen. Wir installieren unsere PC's ...

LAN, WAN, Wireless
OpenVPN Client Fehlermeldungen
Frage von chris84LAN, WAN, Wireless12 Kommentare

Hallo Zusammen, wir nutzen seit kurzem einen neuen Router und den OpenVPN Client. Die VPN Verbindung klappt; allerdings kommen ...