Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Webserver aus dem Intranet freigeben

Mitglied: soa

soa (Level 1) - Jetzt verbinden

25.03.2008, aktualisiert 22:00 Uhr, 4267 Aufrufe, 4 Kommentare

Port 80 der Firewall freigeben

Hallo zusammen,

ich habe auf dem Port 80 der Firewall ein Forwarding auf einen Server im Intranet erstellt. Jetzt habe ich bedenken
bezüglich der Sicherheit. Welche Maßnahmen kann ich ergreifen, um das Netzwerk vor Gefahren zu schützen ?

Oder anders gefragt. Was kann alles passieren, wenn jeder über den Port 80 auf den Rechner xy im Netz gelangt.


Vielen Dank im Voraus.


Viele Grüße
SOA
Mitglied: 60734
25.03.2008 um 19:08 Uhr
Also ich hab auch einen kleinen Webserver zu Hause, und ich hab mal gehört, solange ein Dienst bzw. Programm hinter dem Port aktiv ist, kann keiner durch diesen ins Netzwerk gelangen, nur dann wenn dieser einfach so offen ist, ohne dass ein Programm dahinter aktiv ist.
Bitte warten ..
Mitglied: Arch-Stanton
25.03.2008 um 20:52 Uhr
Moin,

solch eine Konstruktion ist nicht sinnvoll. Besser ist es, eine 3-Zonen Firewall, wie z.B. IP-COP einzusetzen. Da hängt dann der Server in de DMZ und das interne Netwerk wird geschützt.

Schaue doch mal unter http://m0n0.ch/wall/ oder www.ipcop.org nach.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: filippg
25.03.2008 um 21:29 Uhr
Also ich hab auch einen kleinen Webserver zu
Hause, und ich hab mal gehört, solange
ein Dienst bzw. Programm hinter dem Port
aktiv ist, kann keiner durch diesen ins
Netzwerk gelangen, nur dann wenn dieser
einfach so offen ist, ohne dass ein Programm
dahinter aktiv ist.
Das ist eher Unsinn. Wenn das Forwarding ins Leere zeigt, dann werden die Pakete vom Router ins Netz gestellt und verfallen bestenfalls einfach (außerdem werden sie nie Acknowledget, weswegen alleine schon der Verbindungsaufbau schwer ist). Wenn ein Dienst dahinter ist, dann wird er sie auch entgegennehmen und bearbeiten. Und da ergibt sich dann wieder das Problem mit Pufferüberläufen, unsaubern Protokollen.... Ist also deutlich gefährlicher.
Andere Frage ist natürlich: was bringt es, ein Forwarding zu haben, wenn kein konsumierender Dienst dahinter ist.

Zurück zur Frage: Das ist sehr relativ.
Sinnvoll ist es sicher, den Server in eine DMZ zu stellen. Letzlich einfach ein Netzbereich, in dem nur er steht, und von wo aus er nicht auf euer Intranet zugreifen kann. Hintergrund: Wenn der Server gehackt ist das Intranet noch geschützt. Das können selbst viele billige Router.
Nächster Schritt wäre dann, noch eine zweite DMZ aufzubauen, in der ein Proxy steht. Nur dieser darf mit dem Webserver sprechen, und nur dieser ist aus dem Internet zu errreichen. Und damit das auch Sinn macht, sollten die Firewall hin zum Internet und hin zur Webserver-DMZ getrennte Geräte sein. Und dann noch der Proxy-Server.. man legt da schon ein paar Euro auf den Tisch. Und natürlich lässt sich das beliebig weit fortsetzen. Das macht aber alles auch nur dann Sinn, wenn man das entsprechende Know-How für die Administration hat.

Also, für dich: Das mit der eigenen DMZ für den Webserver, und den immer auf aktuellem Patchstand halten. Daneben noch aufpassen, das darauf nur sichere Skripte laufen (SQL-Injection...). Und natürlich sicherstellen, dass wirklich nur Port 80 ins Netz geht. Damit hast du ein gutes Preis-/Leistungs-Verhältnis.
Wenn's was kosten darf dich nochmal wegen einer ordentlichen Firewall beraten lassen.

Gruß

Filipp
Bitte warten ..
Mitglied: soa
25.03.2008 um 22:00 Uhr
Hallo,

allen erst einmal ein herzliches Dankeschön. Vielen Dank für die Antworten.
@Filipp : Sehr schön erklärt mit der DMZ. Das Netz läuft also z.B.

Intranet: 192.168.0.1 - 192.168.0.255
Firewall : 192.168.2.1 ?!
Webserver: z.B. 192.168.178.1

Die Firewall verbindet zum WebServer . Der WebServer kann nur über die Firewall ins Intranet.

Es soll ein Webserver mit Tomcat oder ein Tomcat Server als Standalone implementiert werden.
Das Servlet soll dann eine Verbindung zur DB bekommen. Ein Dienst also. Der darauf implementierte Server wird über ein POST aktiviert.

In Sachen Sicherheit des Tomcat wollte ich mich hieran halten :

www.bsi.de/literat/studien/tomcat/konfiguration.pdf


VG
SOA
Bitte warten ..
Ähnliche Inhalte
DNS

Subdomain für Intranet Webserver oder DNS Eintrag - Umsetzung?

gelöst Frage von derinderinderinDNS4 Kommentare

Hallo Zusammen, Wir haben im Intranet einen Webserver. Beispiel 192.168.1.20 Diesen kann ich natürlich über den Webbrowser erreichen. Auf ...

Informationsdienste

Informationsaustausch im Intranet

gelöst Frage von netzwerkschlumpfInformationsdienste13 Kommentare

Hallo Leute! Ich war lange Zeit stummer Mitleser hier im Forum, viele Fragestellungen und Themen halfen mir das ein ...

CMS

Intranet aufsetzen?!

gelöst Frage von lil-acCMS11 Kommentare

Hallo, ich möchte gerne bei uns in der Firma ein Intranet aufsetzen, wir nutzen Endgeräten Macbook´s, Tablettes, Windows Rechner ...

Datenbanken

Datenbank im Intranet

gelöst Frage von abuelitoDatenbanken7 Kommentare

Hallo an Alle, ich habe folgendes Problem Zudem bin ich in Sachen Datenbank noch ziemlich grün hinter den Ohren ...

Neue Wissensbeiträge
Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 3 StundenSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 3 StundenMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 3 StundenHardware6 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

MikroTik RouterOS

Mikrotik Advisory: Vulnerability exploiting the Winbox port

Information von colinardo vor 3 StundenMikroTik RouterOS

Brand aktuell: Eine Schwachstelle im Winbox-Port bei Mikrotik Routern erlaubt das Auslesen der User-Datenbank der Router. Patch ist aktuell ...

Heiß diskutierte Inhalte
Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux22 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

Netzwerkgrundlagen
VLAN - Offene Fragen
Frage von KnettenbrechNetzwerkgrundlagen17 Kommentare

Hallo zusammen, ich befasse mich derzeit mit dem Thema VLAN. Hierzu habe ich schon einige Guides gelesen, einschließlich des ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL13 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...

Windows Server
Domänencontroller trennen
Frage von Akit57Windows Server13 Kommentare

Hallo, ich hoffe das mir hier jemand meine Frage trotz der spärlichen Informationen die ich geben kann beantworten kann: ...