6
SBS 2011, IIS Absicherung - Nur den Zugriff auf OWA bzw. RWA erlauben
Hallo zusammen,
kurz zur Situation:
- SBS 2011 in einer kleinen Firma (6 Benutzer)
- Exchange und IIS laufen, OWA und RWA funktionieren im lokalen Netz bzw. per VPN
- auf dem IIS ist zusätzlich ein Webinterface für die interne Kundendatenbank sowie phpmyadmin für eine mysql DB gehostet
- feste IP ist vorhanden, Nameserver Eintrag beim Webhoster "remote.firma.de" ist vorhanden
Jetzt möchte ich RWA und OWA auch über das Internet erreichbar machen. Bevor ich die entsprechenden Ports im Router (fritzbox 7170) öffne bzw. an den Server weiterleite will ich jedoch sicher sein, dass die Kundendatenbank bzw. phpmyadmin sauber von RWA/OWA getrennt und keinesfalls über das Internet erreichbar sind. D.h. ich möchte auch keine Passwort geschützten Bereiche.
Ich habe mich nun schon eine Weile mit dem Thema befasst, learn.iis.net etc. konnte aber noch keine Wasserdichte Strategie aufstellen. Reicht es zum Beispiel aus den Zugriff mit den "IP und Domain Restrictions" auf das lokale Netzwerk, also die 192.168.0.x zu begrenzen? Lässt sich mit den "bindings" in Kombination mit der Portweiterleitung im Router noch etwas erreichen? Kann ich die Dateien für die oben genannten Websites unterhalb der "Default Website" unterbringen oder muss jede eine eigene Website bekommen?
Wie gehen die Profis unter euch an so etwas ran?
Viele Grüße
kurz zur Situation:
- SBS 2011 in einer kleinen Firma (6 Benutzer)
- Exchange und IIS laufen, OWA und RWA funktionieren im lokalen Netz bzw. per VPN
- auf dem IIS ist zusätzlich ein Webinterface für die interne Kundendatenbank sowie phpmyadmin für eine mysql DB gehostet
- feste IP ist vorhanden, Nameserver Eintrag beim Webhoster "remote.firma.de" ist vorhanden
Jetzt möchte ich RWA und OWA auch über das Internet erreichbar machen. Bevor ich die entsprechenden Ports im Router (fritzbox 7170) öffne bzw. an den Server weiterleite will ich jedoch sicher sein, dass die Kundendatenbank bzw. phpmyadmin sauber von RWA/OWA getrennt und keinesfalls über das Internet erreichbar sind. D.h. ich möchte auch keine Passwort geschützten Bereiche.
Ich habe mich nun schon eine Weile mit dem Thema befasst, learn.iis.net etc. konnte aber noch keine Wasserdichte Strategie aufstellen. Reicht es zum Beispiel aus den Zugriff mit den "IP und Domain Restrictions" auf das lokale Netzwerk, also die 192.168.0.x zu begrenzen? Lässt sich mit den "bindings" in Kombination mit der Portweiterleitung im Router noch etwas erreichen? Kann ich die Dateien für die oben genannten Websites unterhalb der "Default Website" unterbringen oder muss jede eine eigene Website bekommen?
Wie gehen die Profis unter euch an so etwas ran?
Viele Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 182677
Url: https://administrator.de/contentid/182677
Printed on: April 24, 2024 at 05:04 o'clock
6 Comments
Latest comment
Da ist eigentlich schon die Bastellösung "FritzBox Portforwarding" das Killerkriterium ! Wenn du schon so nachfragst, dann gehört das mit einer stateful Firewall abgesichert. Billiges Konsumer Equipment hat eigentlich in Firmen nichts zu suchen, aber letztlich deine Entscheidung.
Allein weitere Fragen erübrigen sich schon mit dem Thema Port Forwarding.
Wenn du so oder so ein VPN hast ist ja generell fraglich warum du dann willentlich überhaupt Löcher in deine NAT Firewall bohrst.
Vermutlich ist die Faulheit der User wieder die treibende Kraft.... Wasch mich aber mach mich nicht naß.
Was erwartest du denn wirklich für eine Antwort auf deine Frage ??
Allein weitere Fragen erübrigen sich schon mit dem Thema Port Forwarding.
Wenn du so oder so ein VPN hast ist ja generell fraglich warum du dann willentlich überhaupt Löcher in deine NAT Firewall bohrst.
Vermutlich ist die Faulheit der User wieder die treibende Kraft.... Wasch mich aber mach mich nicht naß.
Was erwartest du denn wirklich für eine Antwort auf deine Frage ??
Hallo aqui,
als Antwort hätte ich gerne einen Vorschlag für eine geeignete Konfiguration des IIS um den Zugang zum Webinterface der Kundendatenbank bzw. phpmyadmin von außerhalb nicht zu ermöglichen. D.h. wie richte ich die beiden Seiten auf dem IIS ein, dass sie für Anfragen von Außen überhaupt nicht exisitieren. Alle Anfragen von außen über den weitergeleiteten https Port sollen nur auf der OWA bzw. RWA Seite landen können und nirgends sonst. Die korrekte Anwendung der "Bindings" oder auch "IP Restrictions" ist mir noch nicht so richtig klar.
Zum Thema stateful Firewall mache ich mich mal schlau. Für einen Schubser in die richtige Richtung wäre ich dir dankbar.
Grüße
als Antwort hätte ich gerne einen Vorschlag für eine geeignete Konfiguration des IIS um den Zugang zum Webinterface der Kundendatenbank bzw. phpmyadmin von außerhalb nicht zu ermöglichen. D.h. wie richte ich die beiden Seiten auf dem IIS ein, dass sie für Anfragen von Außen überhaupt nicht exisitieren. Alle Anfragen von außen über den weitergeleiteten https Port sollen nur auf der OWA bzw. RWA Seite landen können und nirgends sonst. Die korrekte Anwendung der "Bindings" oder auch "IP Restrictions" ist mir noch nicht so richtig klar.
Zum Thema stateful Firewall mache ich mich mal schlau. Für einen Schubser in die richtige Richtung wäre ich dir dankbar.
Grüße
Hallo,
Für den SBS 2011 brauchst du nicht viel.
- Wenn du eingehende (alles immer aus sicht des SBS) Mails an den TCP Port 25 durch deinen Exchange 2010 annehmen willst, muss dieser TCP Port vom Router an deinen SBS weitergeleitet werden.
- Für das OWA und RWA reicht es den TCP Port 443 an den SBS weiterzuleiten. Damit ist auch ein https://remote.deinserveroderso.de/remote vom Internet aus machbar.
Das war es schon. Mehr als diese 2 TCP Ports werden für den Normalbetrieb nicht benötig.
Zusätzliche Ports:
- Sollen deine Anwender ein http://remote.deinserveroderso.de/remote machen können / dürfen / müssen weil ein https zu umständlich ist, so ist der TCP Port 80 zusätzlich ebenfalls an den SBS weiterzuleiten.
- Sollen / wollen / müssen Anwender vom Internet direkt auf das Companyweb (Sharepoint) zugreifen müssen /sollen / wollen so ist der TCP Port 987 auch an den SBS weiterzuleiten.
- Für das PPTP VPN direkt am SBS ist noch der TCP port 1723 und das GRE Protokoll an den SBS weiterzuleiten. Falls die Benutzer VPN nutzen, wird ein Port 443 und oder 987 (und auch ein Port 80) dann noch gebraucht?
Ports für andere Applikationen wie PHPMyAdmin musst du dir selbst suchen.
Stelle sicher das deine hinzugefügten WebSites / Webinterfaces etc. dir keine Löcher aufreisen und sich den weitergeleiteten Port(s) nehmen. Dein PHPMyAdmin Seite z.B. hört dioch bestimmt nicht auf Port 80 / 443 / 987 usw. Wenn du es dir nicht zutraust das zu gewährleisten oder kontroliieren zu können dann haben diese Produkte nichts auf deinen SBS zu suchen oder du bezahlst einen Dienstleister deines vertrauens dem du zutraust dir eine klare Aussage zu deiner Konfiguration nach durchsicht aller Konfigurationseinstellungen auf deinem SBS geben zu können. Sicherheit hier bedeutet zu Wissen wie was Konfiguriert ist und welche auswirkung das hat.
Gruß,
Peter
Nachtrag
http://en.wikipedia.org/wiki/Stateful_firewall
Für den SBS 2011 brauchst du nicht viel.
- Wenn du eingehende (alles immer aus sicht des SBS) Mails an den TCP Port 25 durch deinen Exchange 2010 annehmen willst, muss dieser TCP Port vom Router an deinen SBS weitergeleitet werden.
- Für das OWA und RWA reicht es den TCP Port 443 an den SBS weiterzuleiten. Damit ist auch ein https://remote.deinserveroderso.de/remote vom Internet aus machbar.
Das war es schon. Mehr als diese 2 TCP Ports werden für den Normalbetrieb nicht benötig.
Zusätzliche Ports:
- Sollen deine Anwender ein http://remote.deinserveroderso.de/remote machen können / dürfen / müssen weil ein https zu umständlich ist, so ist der TCP Port 80 zusätzlich ebenfalls an den SBS weiterzuleiten.
- Sollen / wollen / müssen Anwender vom Internet direkt auf das Companyweb (Sharepoint) zugreifen müssen /sollen / wollen so ist der TCP Port 987 auch an den SBS weiterzuleiten.
- Für das PPTP VPN direkt am SBS ist noch der TCP port 1723 und das GRE Protokoll an den SBS weiterzuleiten. Falls die Benutzer VPN nutzen, wird ein Port 443 und oder 987 (und auch ein Port 80) dann noch gebraucht?
Ports für andere Applikationen wie PHPMyAdmin musst du dir selbst suchen.
wie richte ich die beiden Seiten auf dem IIS ein,
Welche beiden Seiten?sollen nur auf der OWA bzw. RWA Seite landen können und nirgends sonst.
Durch benutzen des SBS Asisstenten ist dieses auch sichergestellt.Stelle sicher das deine hinzugefügten WebSites / Webinterfaces etc. dir keine Löcher aufreisen und sich den weitergeleiteten Port(s) nehmen. Dein PHPMyAdmin Seite z.B. hört dioch bestimmt nicht auf Port 80 / 443 / 987 usw. Wenn du es dir nicht zutraust das zu gewährleisten oder kontroliieren zu können dann haben diese Produkte nichts auf deinen SBS zu suchen oder du bezahlst einen Dienstleister deines vertrauens dem du zutraust dir eine klare Aussage zu deiner Konfiguration nach durchsicht aller Konfigurationseinstellungen auf deinem SBS geben zu können. Sicherheit hier bedeutet zu Wissen wie was Konfiguriert ist und welche auswirkung das hat.
Zum Thema stateful Firewall mache ich mich mal schlau.
Eine FritzBox ist es jedenfalls nicht. Hier kommen Home Use Geräte mit ihren auf den Heimbedarf zugeschinttenen Funktion an ihren grenzen. Dein SBS ist per Port 25 und 443 Permanent dem Internet ausgesetzt. Eine leichte übenung den Exchange dort festzustellen (telnet deineip 25). Auch das OWA oder RWA wird sofort ersichtlich. Jetzt eine Firewall die mehr als nur Ports weiterleitet und deine Nächte sind viel ruhiger. Astaro, Checkpoint, Watchguard, Juniper . . . Wenn dein SBS übernommen / geknackt wurde und dir nicht mehr gehorcht oder das tut was er soll, was sind die Konsequenzen daraus (Arbeitsausfall usw)? Wenn dein Privater PC zuhause beim Filme schauen es nicht mehr tut, was sind die Konsequenzen daraus? Die Entscheidung ist einfach (wenn die Firma steht wird kein Geld verdient....)Gruß,
Peter
Nachtrag
http://en.wikipedia.org/wiki/Stateful_firewall
Hallo Pjordorf,
danke dir für die ausführliche Beschreibung der SBS Konfiguration. Ich hätte vielleicht etwas weiter ausholen sollen.
Da ich nicht unvorbereitet an die Realisierung des SBS rangehen wollte, habe ich mir durch Literatur und vorheriges Üben an Testinstallationen schon einige Grundlagen angeeignet, bevor ich mich an die produktive Umgebung gewagt habe. Nur mit dem IIS bin ich nicht ganz so fit und bis ich an die passende Literatur komme dauert es noch, deshalb diese Frage.
Eben das möchte ich verhindern.
PHPMyAdmin wie auch das Webinterface der Kundendatenbank sind bisher beide über den Standardport 80 ansprechbar.
So nun zurück zu meinem eigentlichen Anliegen. Die Struktur im IIS-Manager sieht folgendermaßen aus:
Sites
- Companyweb
- Default Web Site --> Bindung: *:80(http); *:443(http); ...
-- owa
-- Remote
-- ...
- SBS Client Deployment Applications --> Bindung: connect on *:80(http)
- SBS SharePoint
- SharePoint Central Administration v4
- SharePoint web services
- WSUS-Verwaltung
- Intranet --> Bindung: intranet on *:80(http)
-- PHPMyAdmin
-- Webinterace Kunden DB
Gesetzt den Fall, dass der Router Port 80 an den SBS weiterleitet, so führt remote.firma.de auf die "Default Web Site" des IIS bzw. remote.firma.de/owa auf Outlook Web Access.
Ist es nun mit irgendwelchen Mitteln möglich von außerhalb auch auf die Seite "Intranet" zuzugreifen, da diese ja ebenfalls auf Port 80 aber mit dem Hostnamen "intranet" hört? Sprich, müssen zusätzliche Einschränkungen wie IP Restriktionen umgesetzt werden?
Ich hoffe mein Anliegen ist nun etwas klarer.
Zum Thema Firewall, auf die ruhigen Nächte will ich natürlich nicht verzichten.
Bitte nicht über die folgende Frage aufregen und ich will auch keine Diskussion lostreten, aber ich brauche einen Anhaltspunkt. Welche Lösung ist denn in meinem Fall angemessen (Aufwand <-> Preis <-> Garantie für ruhige Nächte)? Besser geht natürlich immer.
Vielen Dank!
danke dir für die ausführliche Beschreibung der SBS Konfiguration. Ich hätte vielleicht etwas weiter ausholen sollen.
Da ich nicht unvorbereitet an die Realisierung des SBS rangehen wollte, habe ich mir durch Literatur und vorheriges Üben an Testinstallationen schon einige Grundlagen angeeignet, bevor ich mich an die produktive Umgebung gewagt habe. Nur mit dem IIS bin ich nicht ganz so fit und bis ich an die passende Literatur komme dauert es noch, deshalb diese Frage.
Zitat von @Pjordorf:
Stelle sicher das deine hinzugefügten WebSites / Webinterfaces etc. dir keine Löcher aufreisen und sich den weitergeleiteten Port(s) nehmen.
Stelle sicher das deine hinzugefügten WebSites / Webinterfaces etc. dir keine Löcher aufreisen und sich den weitergeleiteten Port(s) nehmen.
Eben das möchte ich verhindern.
Dein PHPMyAdmin Seite z.B. hört doch bestimmt nicht auf Port 80 / 443 / 987 usw.
PHPMyAdmin wie auch das Webinterface der Kundendatenbank sind bisher beide über den Standardport 80 ansprechbar.
So nun zurück zu meinem eigentlichen Anliegen. Die Struktur im IIS-Manager sieht folgendermaßen aus:
Sites
- Companyweb
- Default Web Site --> Bindung: *:80(http); *:443(http); ...
-- owa
-- Remote
-- ...
- SBS Client Deployment Applications --> Bindung: connect on *:80(http)
- SBS SharePoint
- SharePoint Central Administration v4
- SharePoint web services
- WSUS-Verwaltung
- Intranet --> Bindung: intranet on *:80(http)
-- PHPMyAdmin
-- Webinterace Kunden DB
Gesetzt den Fall, dass der Router Port 80 an den SBS weiterleitet, so führt remote.firma.de auf die "Default Web Site" des IIS bzw. remote.firma.de/owa auf Outlook Web Access.
Ist es nun mit irgendwelchen Mitteln möglich von außerhalb auch auf die Seite "Intranet" zuzugreifen, da diese ja ebenfalls auf Port 80 aber mit dem Hostnamen "intranet" hört? Sprich, müssen zusätzliche Einschränkungen wie IP Restriktionen umgesetzt werden?
Ich hoffe mein Anliegen ist nun etwas klarer.
Zum Thema Firewall, auf die ruhigen Nächte will ich natürlich nicht verzichten.
Bitte nicht über die folgende Frage aufregen und ich will auch keine Diskussion lostreten, aber ich brauche einen Anhaltspunkt. Welche Lösung ist denn in meinem Fall angemessen (Aufwand <-> Preis <-> Garantie für ruhige Nächte)? Besser geht natürlich immer.
Vielen Dank!
Hallo,
TCP Port 80 wird nur benötigt wenn du deinen Mitarbeitern eine Eingabe mit HTTPS nicht zumuten willst / kannst / darfst. Eine Eingabe von HTTPS und dagegen keinen geöffneten Port 80 ist mir das Wert und den Mitarbeitern dieses klar zu machen auch. Du willst Sicherheit haben. Also lasse das mit den Port 80. Du willst bequemlichkeit, dann erhöht sich das Risiko. Entscheide was du willst. Und was machst du mit jemanden (oder auch eine Prgroamm auf irgendeinen Rechner irgendwo in den weiten des Internet mit OS unbekannt) der jetzt alle möglichen zulässigen Buchstabenkombinationen bei dir durchgeht? Irgenwann (und es hängt nur von der Rechengeschwindigkeit ab) hat der auch ein http://remote.deineserveripoderwasauchimmer.de/remote oder ein http://intranet.deineserveripoderwasauchimmer.de usw. Verhindern kannst du das nicht. Versuche mit TCP port 25 und TCP Port 443 auszukommen. Alles weitere sollte gut überlegt und vor allem Überwacht werden. Was machst du wenn dein IIS mal hustet und nicht das tut was er soll? Dein IIS läuft auf dein SBS 2011. Das ist dein DC (Normalerweise soll kein DC ins Internet gestellt werden usw.) je weniger Gund dein SBS zum Husten hat je zufriedener wirst du und deine Mitarbeiter sein. Und versuche Grundsätzlich so wenig wie möglich an Drittprogramme auf einem SBS zu installieren. Da laufen schon genug Programme Interaktiv untereinander. Ein SBS ist sehr stabil, aber wenn der mal ein Fehler durch einen Dritthersteller hat dann kann es dir deine Geschäfte verhageln. Und der IIS ist nunmal beim SBS ein teil ohne den es nunmal kein SBS wäre. Wenn also dein PHPMyAdmin sauber installiert und vor allem Konfiguriert ist, sollte es keine Problem mit dem SBS geben.
Gruß,
Peter
TCP Port 80 wird nur benötigt wenn du deinen Mitarbeitern eine Eingabe mit HTTPS nicht zumuten willst / kannst / darfst. Eine Eingabe von HTTPS und dagegen keinen geöffneten Port 80 ist mir das Wert und den Mitarbeitern dieses klar zu machen auch. Du willst Sicherheit haben. Also lasse das mit den Port 80. Du willst bequemlichkeit, dann erhöht sich das Risiko. Entscheide was du willst. Und was machst du mit jemanden (oder auch eine Prgroamm auf irgendeinen Rechner irgendwo in den weiten des Internet mit OS unbekannt) der jetzt alle möglichen zulässigen Buchstabenkombinationen bei dir durchgeht? Irgenwann (und es hängt nur von der Rechengeschwindigkeit ab) hat der auch ein http://remote.deineserveripoderwasauchimmer.de/remote oder ein http://intranet.deineserveripoderwasauchimmer.de usw. Verhindern kannst du das nicht. Versuche mit TCP port 25 und TCP Port 443 auszukommen. Alles weitere sollte gut überlegt und vor allem Überwacht werden. Was machst du wenn dein IIS mal hustet und nicht das tut was er soll? Dein IIS läuft auf dein SBS 2011. Das ist dein DC (Normalerweise soll kein DC ins Internet gestellt werden usw.) je weniger Gund dein SBS zum Husten hat je zufriedener wirst du und deine Mitarbeiter sein. Und versuche Grundsätzlich so wenig wie möglich an Drittprogramme auf einem SBS zu installieren. Da laufen schon genug Programme Interaktiv untereinander. Ein SBS ist sehr stabil, aber wenn der mal ein Fehler durch einen Dritthersteller hat dann kann es dir deine Geschäfte verhageln. Und der IIS ist nunmal beim SBS ein teil ohne den es nunmal kein SBS wäre. Wenn also dein PHPMyAdmin sauber installiert und vor allem Konfiguriert ist, sollte es keine Problem mit dem SBS geben.
müssen zusätzliche Einschränkungen wie IP Restriktionen umgesetzt werden?
Welche IP aus dem Internet möchtest du den gerne ausklammern?Anhaltspunkt. Welche Lösung ist den in meinem Fall angemessen (Aufwand <-> Preis <-> Garantie für ruhige Nächte)? Besser geht natürlich immer.
Ich nehme gerne Astaro oder auch einen ISA 2006 / TMG. Aber zum Glück ist der Markt ja groß.Gruß,
Peter
Hallo,
das mit Port 80 war eher als Beispiel gedacht. Der bleibt natürlich dicht -> nur Port 25 und 443 wie von dir erwähnt.
Mir ging es darum ob "Intranet" von außen überhaupt ansprechbar ist. Da es ja kein Unterverzeichnis von "Default Web Site" und der DNS (Port 53) auf meinem SBS ja von außen nicht erreichbar ist kann der Name ja nicht auf ein Ziel auf meinem SBS aufgelöst werden. Am Beispiel der "connect" Seite des SBS: " http://connect.serverIP " bzw. " http://connect.localhost " liefern ja selbst auf dem SBS Server kein Resultat. Da muss ich mich wohl noch etwas genauer mit DNS beschäftigen.
PHPMyAdmin und das Webinterface sollen ja nur lokal zu erreichen sein. D.h. ich hätte alle IP-Netze außer das lokale 192.168.0.x gesperrt bzw. nur den verwendeten IP-Bereich der lokalen Clients zugelassen.
Danke für die Unterstützung
Gruß
das mit Port 80 war eher als Beispiel gedacht. Der bleibt natürlich dicht -> nur Port 25 und 443 wie von dir erwähnt.
Mir ging es darum ob "Intranet" von außen überhaupt ansprechbar ist. Da es ja kein Unterverzeichnis von "Default Web Site" und der DNS (Port 53) auf meinem SBS ja von außen nicht erreichbar ist kann der Name ja nicht auf ein Ziel auf meinem SBS aufgelöst werden. Am Beispiel der "connect" Seite des SBS: " http://connect.serverIP " bzw. " http://connect.localhost " liefern ja selbst auf dem SBS Server kein Resultat. Da muss ich mich wohl noch etwas genauer mit DNS beschäftigen.
Welche IP aus dem Internet möchtest du den gerne ausklammern?
PHPMyAdmin und das Webinterface sollen ja nur lokal zu erreichen sein. D.h. ich hätte alle IP-Netze außer das lokale 192.168.0.x gesperrt bzw. nur den verwendeten IP-Bereich der lokalen Clients zugelassen.
Danke für die Unterstützung
Gruß
