Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Serverzugang sicher einrichten

Mitglied: istike2

istike2 (Level 2) - Jetzt verbinden

17.06.2011 um 17:54 Uhr, 4577 Aufrufe, 7 Kommentare

Hallo,

ich habe mit einer Synology NAS-Laufwerk für unser Team einen Mail- und Fileserver eingerichtet. Auf dem Server läuft die interne Mailkommunikation und hier werden auch wichtige Arbeitsdocs gespeichert.

Auf jeden Fall musste die ganze Sache sehr sicher sein. Als Backup ist ein zweite NAS zuständig, worauf alle Daten gespiegelt werden.

Um die Daten nicht in einem fremden Rechenzentrum unterbringen zu müssen, wurde der Server im Büro, in einem kleinen Schrank gelagert. Der DSL-Zugang hat ein Upload von 2Mbits. Es reicht also für die 10-12 Mitarbeiter aus.

Das LAN wird von einem Router geschützt. Das Büro hat keine feste IP, der Server wird über eine Dyndns-Adresse erreicht. Die benötigten Ports 25, 443, 80, 993, 5001 werden auf die NAS umgeleitet. Auch die NAS hat einen interne IP-Blockierung. Ausser dieser Ports werden alle andere Ports blockiert. Die von mir erstellten Kennwörter, die die Mitarbeiter nicht ändern dürfen sind ziemlich stark (ca. "Z_mitarb_B_2008_c").

Webzugriff auf den Dateimanager ist nur über HTTPS (inkl. WebDAV) möglich, E-Mail-Postfächer sind über IMAP (SSL/TLS) zugänglich.

Hat jemand noch eine Idee, was man noch für mehr Sicherheit machen könnte? Die Struktur des Teams mach Internetzugang notwendig, Sicherheit ist aber eine große Priorität.

Eine Option wäre auf VPN zu setzen. Dann könnte ich auch den Kreis der externen IPs einschränken. Ich weiß aber nicht, ob der Sicherheitsunterschied wirklich den Aufwand lohnt.

Danke für die Tipps.

Gr. I.
Mitglied: Arch-Stanton
17.06.2011 um 18:25 Uhr
Standardmäßig würde ich bei solch einer Kombination immer einen VPN-Zugang bereitstellen. Hierfür wäre ja "Windows-VPN", also pptp völlig ausreichend. Welchen Router hast Du denn? Draytek oder eine selbsgebaute Monowall wären hier preisgünstige Alternativen. Ich habe z.B. einen Lancom-Router als zentrale Firewall und dahinter eine Monowall als VPN-Zentrale, da die Lizensierung hierbei nicht anfällt. Der gre-port wird dann vom Router weitergeleitet.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: Byteblizz
17.06.2011 um 18:28 Uhr
kennwörter sollte man von zeit zu zeit schon wechseln.

Lg
Bitte warten ..
Mitglied: jsysde
17.06.2011 um 21:29 Uhr
[...]Hierfür wäre ja "Windows-VPN", also pptp völlig ausreichend.[...]

PPTP und Sicherheit passen jetzt für mein Verständnis nicht wirklich in einen Satz.

Cheers,
jsysde
Bitte warten ..
Mitglied: Arch-Stanton
17.06.2011 um 22:22 Uhr
PPTP und Sicherheit passen jetzt für mein Verständnis nicht wirklich in einen Satz.

na Du Experte, dann kläre mich mal auf.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: jsysde
17.06.2011 um 23:56 Uhr
http://en.wikipedia.org/wiki/Point-to-Point_Tunneling_Protocol#Security ...

PPTP stellt auf der Sicherheitsskala das absolut untere Ende dar.
L2TP wäre eine weitaus sicherere, aber weitaus schwieriger zu implementierende Lösung, die dennoch ohne separaten Client auf den (Windows) Rechnern auskommt und eingesetzt werden kann.

Aufgrund der einfachen Implementation und der unkomplizierten Bedienung ist PPTP noch immer sehr weit verbreitet, das will ich gar nicht bestreiten. Aber im Kontext dessen, wie der TO seinen Sicherheitsanspruch darlegt, wollte ich nur mal darauf hinweisen, dass PPTP nicht so ganz dazu passt. Sollte keine persönliche Kritik sein.

Cheers,
jsysde
Bitte warten ..
Mitglied: istike2
18.06.2011 um 11:47 Uhr
Zitat von Arch-Stanton:
Standardmäßig würde ich bei solch einer Kombination immer einen VPN-Zugang bereitstellen.

Ja, klar, würde ich auch... Die Teammitglieder greifen aber auch mit Handys auf den Server zu. Ich würde diesen Aufwand (für mich) gerne vermeiden, wenn ich den Eindruck habe, dass der Server unter diesen Umständen als sicher eingestuft werden kann. Ich denke, dass die größte Sicherheit dadurch ensteht, wenn wir die Adresse des Servers einfach nicht ausgeben. Ein dyndns-Adresse findet man ja nicht so einfach.

eine weitere Frage hätte ich noch zum Thema Zertifikat:

Ich benutze einfach das des Servers, was von Synology mitgeliefert worden ist. Es verschlüsselt ja den Datenverkehr auch zwischen Server und dem Browser. Was für Sicherheitseinschränkungen bedeutet, wenn man nicht ein Eigenes auf den eigenen Namen / Domain zertifiziertes Zertifikate benutzt.

@Arch-Stanton:

Dies ist ein "Netgear ProSafe"
Bitte warten ..
Mitglied: Lochkartenstanzer
19.06.2011 um 21:17 Uhr
Zitat von istike2:
Ich denke, dass die größte Sicherheit dadurch ensteht, wenn wir die Adresse des Servers einfach nicht
ausgeben. Ein dyndns-Adresse findet man ja nicht so einfach.

Da denkst Du falsch. Die Sicherheit Deines Servers sollte nicht davon abhängen, ob jemand deine dyndns-Adresse weiß oder nicht. Der Server ist auch über seine IP-Adresse erreichbar, auch wenn die täglich wechselt. Und es ist ein leichtes die dyndns-Adresse per social-Engineering herauszufinden, sofern die Anreize große genug sind. Eine probate Methode findet man z.B. hier: http://xkcd.com/538/

Mach lieber ein ordentlichen VPN (IPsec oder SSL mit Zeritifikaten).
Bitte warten ..
Ähnliche Inhalte
Windows 7
Win7-prof. PC sicher einrichten
gelöst Frage von Raven90Windows 76 Kommentare

Hallo zusammen, ich habe einen Win7-prof. PC, der nur über VPN angesprochen werden soll. Sobald sich der Hauptbenutzer (Standarduser) ...

Netzwerkmanagement

Netzwerk sicher und performant einrichten - Grundlagen

Frage von staybbNetzwerkmanagement4 Kommentare

Hallo, ich habe ein paar Allgemeine Fragen hauptsächlich zu Switching und Routing in einem Netzwerk. Welche Vorkehrungen sollte man ...

Hyper-V

Hyper-V Anleitung - Windows Server Sicherung Einrichten - Sichern - Wiederherstellen

Anleitung von sp20ngebobHyper-V1 Kommentar

Hallo liebe Imperatoren :D Hier zeige ich euch in einer Reihe von Videos, wie man die Windows Server Sicherung ...

Exchange Server

Exchange 2010, OWA aus dem Internet einrichten, sichere Lösung gesucht.

Frage von AlbertMinrichExchange Server14 Kommentare

Hallo, wir haben Exchange 2010 SP3 im Einsatz. OWA im LAN funktioniert. Nun möchten wir OWA auch von außen ...

Neue Wissensbeiträge
Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 8 StundenInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 20 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 22 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 23 StundenMicrosoft14 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server35 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1028 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...