Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Webserver aus dem Intranet freigeben

Mitglied: soa

soa (Level 1) - Jetzt verbinden

25.03.2008, aktualisiert 22:00 Uhr, 4277 Aufrufe, 4 Kommentare

Port 80 der Firewall freigeben

Hallo zusammen,

ich habe auf dem Port 80 der Firewall ein Forwarding auf einen Server im Intranet erstellt. Jetzt habe ich bedenken
bezüglich der Sicherheit. Welche Maßnahmen kann ich ergreifen, um das Netzwerk vor Gefahren zu schützen ?

Oder anders gefragt. Was kann alles passieren, wenn jeder über den Port 80 auf den Rechner xy im Netz gelangt.


Vielen Dank im Voraus.


Viele Grüße
SOA
Mitglied: 60734
25.03.2008 um 19:08 Uhr
Also ich hab auch einen kleinen Webserver zu Hause, und ich hab mal gehört, solange ein Dienst bzw. Programm hinter dem Port aktiv ist, kann keiner durch diesen ins Netzwerk gelangen, nur dann wenn dieser einfach so offen ist, ohne dass ein Programm dahinter aktiv ist.
Bitte warten ..
Mitglied: Arch-Stanton
25.03.2008 um 20:52 Uhr
Moin,

solch eine Konstruktion ist nicht sinnvoll. Besser ist es, eine 3-Zonen Firewall, wie z.B. IP-COP einzusetzen. Da hängt dann der Server in de DMZ und das interne Netwerk wird geschützt.

Schaue doch mal unter http://m0n0.ch/wall/ oder www.ipcop.org nach.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: filippg
25.03.2008 um 21:29 Uhr
Also ich hab auch einen kleinen Webserver zu
Hause, und ich hab mal gehört, solange
ein Dienst bzw. Programm hinter dem Port
aktiv ist, kann keiner durch diesen ins
Netzwerk gelangen, nur dann wenn dieser
einfach so offen ist, ohne dass ein Programm
dahinter aktiv ist.
Das ist eher Unsinn. Wenn das Forwarding ins Leere zeigt, dann werden die Pakete vom Router ins Netz gestellt und verfallen bestenfalls einfach (außerdem werden sie nie Acknowledget, weswegen alleine schon der Verbindungsaufbau schwer ist). Wenn ein Dienst dahinter ist, dann wird er sie auch entgegennehmen und bearbeiten. Und da ergibt sich dann wieder das Problem mit Pufferüberläufen, unsaubern Protokollen.... Ist also deutlich gefährlicher.
Andere Frage ist natürlich: was bringt es, ein Forwarding zu haben, wenn kein konsumierender Dienst dahinter ist.

Zurück zur Frage: Das ist sehr relativ.
Sinnvoll ist es sicher, den Server in eine DMZ zu stellen. Letzlich einfach ein Netzbereich, in dem nur er steht, und von wo aus er nicht auf euer Intranet zugreifen kann. Hintergrund: Wenn der Server gehackt ist das Intranet noch geschützt. Das können selbst viele billige Router.
Nächster Schritt wäre dann, noch eine zweite DMZ aufzubauen, in der ein Proxy steht. Nur dieser darf mit dem Webserver sprechen, und nur dieser ist aus dem Internet zu errreichen. Und damit das auch Sinn macht, sollten die Firewall hin zum Internet und hin zur Webserver-DMZ getrennte Geräte sein. Und dann noch der Proxy-Server.. man legt da schon ein paar Euro auf den Tisch. Und natürlich lässt sich das beliebig weit fortsetzen. Das macht aber alles auch nur dann Sinn, wenn man das entsprechende Know-How für die Administration hat.

Also, für dich: Das mit der eigenen DMZ für den Webserver, und den immer auf aktuellem Patchstand halten. Daneben noch aufpassen, das darauf nur sichere Skripte laufen (SQL-Injection...). Und natürlich sicherstellen, dass wirklich nur Port 80 ins Netz geht. Damit hast du ein gutes Preis-/Leistungs-Verhältnis.
Wenn's was kosten darf dich nochmal wegen einer ordentlichen Firewall beraten lassen.

Gruß

Filipp
Bitte warten ..
Mitglied: soa
25.03.2008 um 22:00 Uhr
Hallo,

allen erst einmal ein herzliches Dankeschön. Vielen Dank für die Antworten.
@Filipp : Sehr schön erklärt mit der DMZ. Das Netz läuft also z.B.

Intranet: 192.168.0.1 - 192.168.0.255
Firewall : 192.168.2.1 ?!
Webserver: z.B. 192.168.178.1

Die Firewall verbindet zum WebServer . Der WebServer kann nur über die Firewall ins Intranet.

Es soll ein Webserver mit Tomcat oder ein Tomcat Server als Standalone implementiert werden.
Das Servlet soll dann eine Verbindung zur DB bekommen. Ein Dienst also. Der darauf implementierte Server wird über ein POST aktiviert.

In Sachen Sicherheit des Tomcat wollte ich mich hieran halten :

www.bsi.de/literat/studien/tomcat/konfiguration.pdf


VG
SOA
Bitte warten ..
Ähnliche Inhalte
DNS

Subdomain für Intranet Webserver oder DNS Eintrag - Umsetzung?

gelöst Frage von derinderinderinDNS4 Kommentare

Hallo Zusammen, Wir haben im Intranet einen Webserver. Beispiel 192.168.1.20 Diesen kann ich natürlich über den Webbrowser erreichen. Auf ...

Informationsdienste

Informationsaustausch im Intranet

gelöst Frage von 121016Informationsdienste13 Kommentare

Hallo Leute! Ich war lange Zeit stummer Mitleser hier im Forum, viele Fragestellungen und Themen halfen mir das ein ...

Datenbanken

Datenbank im Intranet

gelöst Frage von abuelitoDatenbanken7 Kommentare

Hallo an Alle, ich habe folgendes Problem Zudem bin ich in Sachen Datenbank noch ziemlich grün hinter den Ohren ...

Datenschutz

WLAN im Intranet ??

Frage von 20152015Datenschutz2 Kommentare

Hallo, seit ein paar Monaten haben wir in den Standorten WLAN. Die Mobilrechner können beim Besuch nun unabhängig von ...

Neue Wissensbeiträge
Windows 10
Windows 10 Oktober 2018 Update: Es ist wieder da
Tipp von Bowsette vor 6 StundenWindows 10

Ein neuer Versuch von Microsoft das Windows 10 Oktober 2018 Update, auch bekannt als 1809, an den Mann zu ...

Windows Server

Windows Server 2016: Achtung - ab heute gibt es wieder Express Updates

Information von kgborn vor 17 StundenWindows Server1 Kommentar

Kurze Info für Administratoren, die Windows Server 2016 per WSUS/SCCM mit Updates betanken. Ab heute gibt es für Windows ...

Windows Netzwerk
Windows Admin Center - Sagt was ihr braucht!
Tipp von Juanito vor 2 TagenWindows Netzwerk18 Kommentare

Hallo zusammen, der ein- oder andere hat sicherlich schon vom Windows Admin Center gehört. - Microsoft's neue Adminkonsole welche ...

Verschlüsselung & Zertifikate

Bitlocker-Verschlüsselung und -Monitoring ohne MBAM

Tipp von DerWoWusste vor 2 TagenVerschlüsselung & Zertifikate

Der Folgende Tipp beschreibt, wie man ohne MBAM die Verschlüsselung erzwingt und monitort. MBAM ist ein Enterprise-Benefit und somit ...

Heiß diskutierte Inhalte
Entwicklung
Meine Nachbarn sehen meinen Internet Trafic
gelöst Frage von beatnguEntwicklung51 Kommentare

Hallo Also ich wohne in einem Mehrparteien Haus mit 24 wohnungen. Meine nachbaren im letzten stock fummeln immer an ...

Microsoft Office
Lizenzierung
Frage von opc123Microsoft Office29 Kommentare

Hallo, eventuell ein oft bekanntes Thema. Office 365 ist mir zu teuer, da wir als Bildungsträger andere Konditionen beim ...

Windows 10
Windows 10 mit CRITICAL PROCESS DIED
Frage von liquidbaseWindows 1028 Kommentare

Das aktuelle Problem was ich habe steht bereits im Threadtitel. Etwas mehr zum Hintergrund soll nun folgen. Problemkind ist ...

Voice over IP
Andere Rufnummer bei abgehenden Gesprächen vom All-IP-Anschluß der Telekom anzeigen
Frage von vafk18Voice over IP19 Kommentare

Ich möchte bei abgehenden Gesprächen vom All-IP-Anschluß der Telekom meine Handynummer hinterlegen, damit ich Rückrufe jederzeit empfangen kann. Derzeit ...