Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Webserver aus dem Intranet freigeben

Mitglied: soa

soa (Level 1) - Jetzt verbinden

25.03.2008, aktualisiert 22:00 Uhr, 4275 Aufrufe, 4 Kommentare

Port 80 der Firewall freigeben

Hallo zusammen,

ich habe auf dem Port 80 der Firewall ein Forwarding auf einen Server im Intranet erstellt. Jetzt habe ich bedenken
bezüglich der Sicherheit. Welche Maßnahmen kann ich ergreifen, um das Netzwerk vor Gefahren zu schützen ?

Oder anders gefragt. Was kann alles passieren, wenn jeder über den Port 80 auf den Rechner xy im Netz gelangt.


Vielen Dank im Voraus.


Viele Grüße
SOA
Mitglied: 60734
25.03.2008 um 19:08 Uhr
Also ich hab auch einen kleinen Webserver zu Hause, und ich hab mal gehört, solange ein Dienst bzw. Programm hinter dem Port aktiv ist, kann keiner durch diesen ins Netzwerk gelangen, nur dann wenn dieser einfach so offen ist, ohne dass ein Programm dahinter aktiv ist.
Bitte warten ..
Mitglied: Arch-Stanton
25.03.2008 um 20:52 Uhr
Moin,

solch eine Konstruktion ist nicht sinnvoll. Besser ist es, eine 3-Zonen Firewall, wie z.B. IP-COP einzusetzen. Da hängt dann der Server in de DMZ und das interne Netwerk wird geschützt.

Schaue doch mal unter http://m0n0.ch/wall/ oder www.ipcop.org nach.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: filippg
25.03.2008 um 21:29 Uhr
Also ich hab auch einen kleinen Webserver zu
Hause, und ich hab mal gehört, solange
ein Dienst bzw. Programm hinter dem Port
aktiv ist, kann keiner durch diesen ins
Netzwerk gelangen, nur dann wenn dieser
einfach so offen ist, ohne dass ein Programm
dahinter aktiv ist.
Das ist eher Unsinn. Wenn das Forwarding ins Leere zeigt, dann werden die Pakete vom Router ins Netz gestellt und verfallen bestenfalls einfach (außerdem werden sie nie Acknowledget, weswegen alleine schon der Verbindungsaufbau schwer ist). Wenn ein Dienst dahinter ist, dann wird er sie auch entgegennehmen und bearbeiten. Und da ergibt sich dann wieder das Problem mit Pufferüberläufen, unsaubern Protokollen.... Ist also deutlich gefährlicher.
Andere Frage ist natürlich: was bringt es, ein Forwarding zu haben, wenn kein konsumierender Dienst dahinter ist.

Zurück zur Frage: Das ist sehr relativ.
Sinnvoll ist es sicher, den Server in eine DMZ zu stellen. Letzlich einfach ein Netzbereich, in dem nur er steht, und von wo aus er nicht auf euer Intranet zugreifen kann. Hintergrund: Wenn der Server gehackt ist das Intranet noch geschützt. Das können selbst viele billige Router.
Nächster Schritt wäre dann, noch eine zweite DMZ aufzubauen, in der ein Proxy steht. Nur dieser darf mit dem Webserver sprechen, und nur dieser ist aus dem Internet zu errreichen. Und damit das auch Sinn macht, sollten die Firewall hin zum Internet und hin zur Webserver-DMZ getrennte Geräte sein. Und dann noch der Proxy-Server.. man legt da schon ein paar Euro auf den Tisch. Und natürlich lässt sich das beliebig weit fortsetzen. Das macht aber alles auch nur dann Sinn, wenn man das entsprechende Know-How für die Administration hat.

Also, für dich: Das mit der eigenen DMZ für den Webserver, und den immer auf aktuellem Patchstand halten. Daneben noch aufpassen, das darauf nur sichere Skripte laufen (SQL-Injection...). Und natürlich sicherstellen, dass wirklich nur Port 80 ins Netz geht. Damit hast du ein gutes Preis-/Leistungs-Verhältnis.
Wenn's was kosten darf dich nochmal wegen einer ordentlichen Firewall beraten lassen.

Gruß

Filipp
Bitte warten ..
Mitglied: soa
25.03.2008 um 22:00 Uhr
Hallo,

allen erst einmal ein herzliches Dankeschön. Vielen Dank für die Antworten.
@Filipp : Sehr schön erklärt mit der DMZ. Das Netz läuft also z.B.

Intranet: 192.168.0.1 - 192.168.0.255
Firewall : 192.168.2.1 ?!
Webserver: z.B. 192.168.178.1

Die Firewall verbindet zum WebServer . Der WebServer kann nur über die Firewall ins Intranet.

Es soll ein Webserver mit Tomcat oder ein Tomcat Server als Standalone implementiert werden.
Das Servlet soll dann eine Verbindung zur DB bekommen. Ein Dienst also. Der darauf implementierte Server wird über ein POST aktiviert.

In Sachen Sicherheit des Tomcat wollte ich mich hieran halten :

www.bsi.de/literat/studien/tomcat/konfiguration.pdf


VG
SOA
Bitte warten ..
Ähnliche Inhalte
DNS

Subdomain für Intranet Webserver oder DNS Eintrag - Umsetzung?

gelöst Frage von derinderinderinDNS4 Kommentare

Hallo Zusammen, Wir haben im Intranet einen Webserver. Beispiel 192.168.1.20 Diesen kann ich natürlich über den Webbrowser erreichen. Auf ...

Informationsdienste

Informationsaustausch im Intranet

gelöst Frage von 121016Informationsdienste13 Kommentare

Hallo Leute! Ich war lange Zeit stummer Mitleser hier im Forum, viele Fragestellungen und Themen halfen mir das ein ...

CMS

Intranet aufsetzen?!

gelöst Frage von lil-acCMS11 Kommentare

Hallo, ich möchte gerne bei uns in der Firma ein Intranet aufsetzen, wir nutzen Endgeräten Macbook´s, Tablettes, Windows Rechner ...

Datenbanken

Datenbank im Intranet

gelöst Frage von abuelitoDatenbanken7 Kommentare

Hallo an Alle, ich habe folgendes Problem Zudem bin ich in Sachen Datenbank noch ziemlich grün hinter den Ohren ...

Neue Wissensbeiträge
Datenschutz

Die Datenkrake Google verlängert ihr Arme mal wieder ein wenig, automatische Anmeldung

Tipp von magicteddy vor 1 TagDatenschutz2 Kommentare

Benutzer mit einem Google Account und gespeicherten Zugangsdaten werden von chrome 69 automatisch bei Google angemeldet, natürlich alles zum ...

Verschlüsselung & Zertifikate
Meine Wissenssammlung zu Bitlocker
Erfahrungsbericht von DerWoWusste vor 2 TagenVerschlüsselung & Zertifikate3 Kommentare

Die Motivation für diesen Beitrag waren die vielen Posts rund um dieses Thema, die deutlich machen, wie viele Einzelaspekte ...

E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 4 TagenE-Mail11 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 4 TagenHyper-V1 Kommentar

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Heiß diskutierte Inhalte
E-Mail
Welche ist die beste E-Mail Groupware für die Zukunft?
Frage von ITCrowdSupporterE-Mail20 Kommentare

Guten Tag allerseits :) Ich möchte mich mit einer Frage heute mal an die Schwarmintelligenz wenden. Aktuell befasse ich ...

Windows Server
In-Place Upgrade von Windows Server 2008 R2 Datacenter zu Windows Server 2016 Datacenter (Zwischenschritt über 2012 R2)
gelöst Frage von TowerpleaseWindows Server16 Kommentare

Hallo Administratoren, Wir haben uns vor ein paar Monaten Windows Server 2016 Datacenter Lizenzen gekauft und wollen nun unsere ...

Windows 7
Mit gpedit gesetzte Richtlinien in rsop.msc nicht definiert und ausgegraut
gelöst Frage von 137006Windows 715 Kommentare

Hallo zusammen, anfangs verweise ich fairerweise daruf dass ich dieses Thema bereits im Forum angeschnitten habe, nachdem ich hier ...

Firewall
Wesyb Offline
Frage von DkuehlbornFirewall14 Kommentare

Hallo Kollegen, ein Kunde hat von Wesyb die Sicherheitslösung im Einsatz. Seit August scheint deren Internetseite nicht mehr verfügbar ...