Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mal n Netz absichern

Mitglied: Aranha

Aranha (Level 1) - Jetzt verbinden

26.06.2012 um 22:33 Uhr, 4105 Aufrufe, 3 Kommentare

Hallo zusammen.

Ich habe folgende Situation vorgefunden, und habe ein paar Ideen zu den ich gern Eure Meinung hätte.

Ist-Zustand:
[img]http://www.fotos-hochladen.net/uploads/nwist2x5jlnv41s.jpg[/img][/url]

Ein Zentrale mit einem Win2k3-Server der neben AD- und File-Server auch Datenbank-Server ist, die im Intranet für eine Software das Backend ist.
Gleichzeitig läuft ein Apache-Webserver, der eine Website zur Verfügung stellt, die ebenfalls auf die Datenbank zugreift.

„Geschützt“ ist die ganze Angelegenheit nur durch eine Fritzbox mit Portfreigabe:80 auf den Server.
(Der Zugriff auf die Website selbst ist Passwortgeschützt (htaccess) und dann wird noch zusätzlich eine Benutzerlogin im System benötigt.)

Zusätzlich gibt es noch eine Filiale, die per VPN angebunden ist.
Den Tunnel graben sich die beiden AVM FBs.

Da die Mitarbeiter zwischen allen Plätzen wechseln, also auch mal in der Filiale arbeiten, sind Roaming Profile eingerichtet.

Die DSL-Anbindung ist beidseitig 16/1, das Roaming in die Filiale entsprechend langsam. Hoffe da kann bald 50/10.

Ist-Zustand ENDE

Mein angedachter erster Schritt: Firewalls & DMZ für Webserver
[img]http://www.fotos-hochladen.net/uploads/nwsoll964biofv5d.jpg[/img][/url]

Hinter den beiden FBs je eine Firewall (Cisco ASA 5505), die das VPN zueinander aufbauen.
An der DMZ hänge ich einen dedizierten Webserver.
Dann müsste ich doch in die Firewall nur ein Loch kloppen, damit der Webserver auf die DB zugreifen kann, oder?
Die FBs fungieren weiter als Modem-Router und NATs, daher wäre weiter ein Freigabe des Port 80 auf den Webserver von nöten, den die Firewall so auch durchlässt, ge?
Des Weiteren wäre ein Freigabe den VPN auf die Firewalls von nöten, oder?

Macht das so ein wenig Sinn oder bin ich aufm Holzweg?

Mit Dank im Voraus für jeden Input,
Aranha
Mitglied: Datenreise
27.06.2012 um 00:10 Uhr
Servus,

also davon abgesehen, dass ich mir nicht sicher bin, ob man den Bereich des Webservers in deiner Planung wirklich noch DMZ nennen kann, nachdem er hinter NAT-Router und Firewall hängt, denke ich ferner, dass du die Fritzboxen ersetzen oder umkonfigurieren solltest.
Meiner Meinung nach sollte die Cisco Appliance das erste Gerät hinter dem Modem sein, die Fritzbox also lediglich Modem spielen oder verschwinden. Ansonsten führt es -wenn nicht zu größeren Problemen- zumindest dazu, dass du ständig doppelt konfigurieren musst, nämlich in der Appliance sowie in der Fritzbox. Die Fritzbox in ihrer jetzigen Funktion empfinde ich nach deinen Umbauplänen als technisch überflüssig, denn das Cisco-Gerät sollte ja eigentlich sowieso all das tun (plus noch einiges mehr), was die FB kann.
Bitte warten ..
Mitglied: Aranha
27.06.2012 um 13:47 Uhr
Hallo Datenreise.

Vielen Dank für deine Antwort.
Genau an diesem Punkt bin ich auch unsicher: Ist die Fritzbox eine weitere Hürde, die zu nehmen ist, oder stellt sie eher ein Sicherheitsrisiko dar?
Keine Frage, dass die Cisco das alles besser macht.
Das mit der Doppel-Konfig ist auch nen echtes Argument.

Die DMZ versteh ich ohnehin net so richtig:
Warum soll ich meinen Webserver in eine Zone stellen, die keinerlei Schutz hat, wenn ich doch nen eigener Netz aufmachen kann, das nur die definierten Ports offen hat.
Auf dem Webserver selbst kann ich ja immernoch mit IP-Tables meinen Spaß haben, doch dass die eine Hardware-Firewall nicht ersetzt meine ich mittlerweile zuhauf gelesen zu haben.
(Gott, hoffe ich mache hier jetzt nicht zum hundertsten mal die Büchse der Pandora auch)

Greetz,
Aranha
Bitte warten ..
Mitglied: Datenreise
27.06.2012 um 21:50 Uhr
^^Zitat von Aranha:
(Gott, hoffe ich mache hier jetzt nicht zum hundertsten mal die Büchse der Pandora auf)

Guten Abend Aranha,

keine Sorge, ich bin da weitestgehend leidenschaftslos.

Also, es gibt sehr viele Aspekte und Facetten bei dieser Thematik. Prinzipiell ist die Fritzbox natürlich eine weitere Hürde. Und zwar für Leute außerhalb wie auch innerhalb eures Netzes...
Und meine Einschätzung ist hier, dass diese Hürde die "Inneren" mehr behindert, als sie noch erweitert und effektiv vor den "Äußeren" beschützt. Weiterhin ist so eine Fritzbox ein Heimanwender-Produkt und in nahezu allen Heimanwender-Routern wurden in den letzten Jahren Sicherheitslücken entdeckt. Kann jemand so eine Lücke ausnutzen, ist er möglicherweise in der Lage, sich zumindest in eurem Netzwerk umzusehen...

Letztlich sehe ich also deutlich mehr Nach- als Vorteile.

Das Prinzip von DMZ lasse ich dir mal lieber durch Wikipedia näherbringen: http://de.wikipedia.org/wiki/Demilitarized_Zone

Die Abwägung zwischen Hardwarefirewall und bspws. IPtables ist ebenfalls sehr facettenreich.
Gute Hardwarefirewalls gibt's nicht für ganz kleines Geld, dafür kommen sie in der Regel quasi einsatzbereit zu dir, bieten sehr viele Möglichkeiten zur Netzwerkadministration und sind mehr oder weniger übersichtlich zu konfigurieren. Weiterhin besitzen sie oftmals zumindest signaturbasierende Virenerkennung.

Software-Firewall auf dem Server kann man sicherlich machen, wenn es nicht die Verteidigungslinie gegen das Internet darstellt. Denn wenn jemand fast automatisch deinen Server übernimmt, "nur" weil er in deine Firewall eingedrungen ist, siehst du ganz deutlich den Nachteil, wenn die Firewall eben kein eigenständiges Gerät ist.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Vlan1 absichern?
Frage von Herbrich19LAN, WAN, Wireless3 Kommentare

Hallo, Ich habe mehrere vlans und jetzt stellt sich die Frage was ich am besten mit den vlan1 machen ...

Batch & Shell
Cursor Focus mal da - mal nicht
Frage von PeterzBatch & Shell7 Kommentare

Hallo, ich habe ein Powershell Script, welches mir AD-Benutzer anlegt. Die Eingabe von Benutzernamen erfolgt durch eine TextBox, wobei ...

Microsoft
GPO werden mal gezogen und mal nicht?!?
Frage von rurotilMicrosoft2 Kommentare

Hallo, wir haben vertrauenswürdige Seiten in der GPO eingestellt. Mal habe ich die "richtige" liste und mal habe ich ...

Switche und Hubs
Mal geht ping - mal wieder nicht
Frage von jensgebkenSwitche und Hubs10 Kommentare

hallo gemeinschaft haben einen w10 rechner und eine easybox 602 seit zwei tagen funktioniert das filezilla und andere ftp ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 10 StundenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 10 StundenSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 1 TagDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 1 TagSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
Exchange Server
Exchange Postfach Einbindung Betriebs-rat -Arzt, Bewerbung .
gelöst Frage von YellowcakeExchange Server22 Kommentare

Hey ich habe da mal eine Denksport Aufgabe bekommen Genutzt wird ein Exchange Server 2010. hier gibt es den ...

Datenschutz
Telematikinfrastruktur Erfahrungsaustausch
Frage von MOS6581Datenschutz12 Kommentare

Moin, unter meinen Kunden befinden sich auch einige Ärzte, welche sich künftig mit der Telematikinfrastruktur-Geschichte der Gematik herumärgern dürfen. ...

Windows Server
Delgegierte OU via RDP verwalten - Objektverwaltung zuweisen
gelöst Frage von TOAOICEWindows Server12 Kommentare

Hallo, ich habe folgendes Problem. Ich möchte in meiner Domäne (Server2016), einer Gruppe (OUAdmin) Berechtigungen auf die OU Test ...

Windows Server
Downgrade von Windows Server 2016 auf 2012 - Wie vorgehen?
Frage von EstefaniaWindows Server12 Kommentare

Guten Ich habe eine Frage an Erfahrene unter euch. Durch einen InPlace Upgrade wurde Windows Server 2012 auf die ...