Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Webserver mit W2k3 und Apache von LAN trennen

Mitglied: alexkunze

alexkunze (Level 1) - Jetzt verbinden

12.04.2005, aktualisiert 15.04.2005, 6123 Aufrufe, 9 Kommentare

Momentan sind alle Serverdienste auf einem Windows-Server vereint. Sowohl LAN als auch Webserver... Jetzt soll der Webserver auf eine eigene Maschine umgezogen werden.

Hallo,

ich soll obige Aufgabe umsetzen und versuche gerade die technische Umsetzung und den Aufwand zu kalkulieren. Chef will natürlich möglichst wenig...

Momentan ist das LAN über eine Cisco 575 LRE Bridge mit dem Rechenzentrum verbunden (Leitung nach draussen und Public IPs). Danach folgt eine Cisco PIX 506E Firewall und dann LAN.

Jetzt soll für den Webserver eine eigene Maschine angeschafft werden und diese aus dem LAN ausgegliedert werden. Leider muss ich gestehen, dass ich nicht sicher bin, wie hier die sinnvollste Lösung aussieht. Der Webserver soll natürlich am besten vom LAN aus administrierbar sein, aber die Sicherheit nach Aussen hat Prio.

Ich bräuchte Tips, wie der neue Server am besten integriert wird, um einen öffentlichen Webserver zu bieten, das LAN nach aussen abzusichern und möglichst den Apache trotzdem von Clients aus warten zu können (hat nicht Prio - kann zur Not auch am Server direkt gemacht werden).

Bitte gebt mir einen Ansatz wie das am besten aufgebaut wird und in welche Richtung wir planen sollen.

Danke & Gruß,
Alex
Mitglied: meinereiner
12.04.2005 um 11:38 Uhr
ich würde die PIX 506E gegten eine PIX 515E austauschen und den Server dann ans dritte Interface in die DMZ hängen.
Bitte warten ..
Mitglied: alexkunze
12.04.2005 um 12:28 Uhr
Hallo meinereiner,

danke für den Tip - DMZ, da horchen meine gequälten Ohren auf!

Ich frag jetzt mal ganz doof:
Die PIX 515E hat drei Ports - davon ist einer LAN und einer WAN bzw Bridge zum RZ (soweit wie die 506) und einen dritten an den direkt der neue PC kommt. DMZ heißt dann für mich die PIX verwaltet den Verkehr je nach IP so, dass entweder LAN oder Webserver angesprochen werden? Halbwegs richtig? Ich hab mit DMZ leider noch nichts zu tun gehabt und nur theoretisches Halbwissen...

Danke & GRuß,

Alex
Bitte warten ..
Mitglied: meinereiner
12.04.2005 um 12:52 Uhr
Eigentlich verwaltest du Netze.
Über den WAN Port die des Internets, über den Lan Port deine internen und am dritten, das für die DMS dann ein neues. Da kann dann natürlich nur ein Server drin stehen.

Das schöne an der DMZ ist, das sie vom internen Lan genau so getrennt ist wie das Internet und die DMZ vom Internet wie das Lan vom Internet. Die DMZ klemmt sich genau dazwischen.

Deine Regeln vom Internet ins Lan bleiben wie sie sind. Aufmachen musst du nur die Ports
in die DMZ. Deine Sicherheit zum Internet bleibt komplett erhalten udn wenn einer den Web Server hacken sollte ändert sich auch nichts, da der Weg ins Lan gesperrt ist.
Bitte warten ..
Mitglied: alexkunze
12.04.2005 um 18:27 Uhr
Danke!
Bitte warten ..
Mitglied: alexkunze
14.04.2005 um 11:48 Uhr
Hallo meinereiner,

jetzt hat sich Chef die Sache anders überlegt und lehnt die Neuanschaffung einer PIX 515 ab... Hast Du noch eine andere Idee, wie man das halbwegs vernünftig lösen könnte?
Mir fällt da nichts sicheres ein.

Danke & Gruß,
Alex
Bitte warten ..
Mitglied: meinereiner
14.04.2005 um 14:06 Uhr
Dann wird er wohl auch keine andere hardware kaufen wollen?!

Somit wirst du wohl den Web Server in dein Normales LAN hängen müssen. Auf der Pix eine Regel definieren, die die passenden Ports aufmacht und dann eine Umleitung für die Ports auf den Webserver definieren.
Bitte warten ..
Mitglied: alexkunze
14.04.2005 um 22:28 Uhr
Na ich höre ihn schon jetzt jammern... Das Sicherheit nie was kosten darf... Was hättest Du an anderer Hardware vorgeschlagen? Alles teuer oder gibt's was unterhalb 2,5k?

Danke für Deine Tips!
Bitte warten ..
Mitglied: meinereiner
14.04.2005 um 23:12 Uhr
naja, die Pix krigste billiger:
http://www.mercateo.com/p/173-1071177/CISCO_PIX_515_Firewall_2x10_100_B ...


aber überlegen wir mal Alternativen:

Die 506 kann in der aktuellen Softwareversion Vlans. Dementsprechend könnte man einen Switch zwischen pix, Web Server und internen Netz hängen und das Ganze über Vlans trennen. Da könnte man auch einen älteren Switch für nehmen, der nur 10Mbit kann. Mehr gibt das Internet bei euch eh nicht her!?!

Oder man nimmt an Stelle des Switches und Vlans einen Router. Damit könntest du auch eine DMZ aufbauen. Hinter er 506 baust du dann ein kleines Netz in dem der Web Server und ein Interface vom Router steht...
Zeichenversuch:

Internet
|
Pix
|
-----Web Server
|
Router
|
internes Netz

Wie sicher das Ganze wird hängt dann von den Möglichkeiten des Routers ab und wie gut er konfiguriert ist. Anstelle des Routers könntest du auch eine weitere Pix 506 nehmen.

Oder du setzt erst den Router hin und dann die Pix. Damit wäre dein internes Netz besser geschützt und der Web Server angreifbarer.

Aber da kommen wir so langsam an die Grenzen meines Know Hows..sorry..
Ich bin eher ein Windows Mensch. Nit Routern, Firewalls, etc. habe ich mich nur das letzte Jahr ein bischen beschäftigt und das auch sehr Cisco lastig.
Bitte warten ..
Mitglied: alexkunze
15.04.2005 um 01:01 Uhr
Danke!

Ich werd mir wohl das mit den Vlans näher ansehen müssen...

Mein Hirn scheitert gerade an der Uhrzeit. Ich versuche es Morgen früh wieder zu aktivieren und mir Deine Vorschläge mal in der Theorie basteln...
Bitte warten ..
Ähnliche Inhalte
HTML

Seitenaufbau beschleunigen - Apache Webserver

gelöst Frage von mabue88HTML5 Kommentare

Hallo, und schon wieder habe ich eine Frage, die ich selbst nicht beantworten kann. Ich habe einen Apache-Server. Eine ...

LAN, WAN, Wireless

LAN und WLAN trennen

gelöst Frage von kugelschreiberLAN, WAN, Wireless16 Kommentare

Hallo Miteinander, ich habe bereits mehrere Einträge zu diesem Thema hier gelesen, doch entweder nicht das auf mich passende ...

Firewall

Apache Webserver hinter ASA Firewall nicht zu erreichen

Frage von BuuuurakFirewall5 Kommentare

Hallo Zusammen, folgendes Problem, mein Arbeitskollege hat einen Apache Webserver auf seinem Rechner laufen, auf welchem Banken zugreifen sollen ...

Apache Server

Apache 2.2 und SSL Probleme auf Webserver

gelöst Frage von atomiqueApache Server16 Kommentare

Guten Abend zusammen! Es geht hier um meinen Webserver der unter Debian 7 und mit Apache 2.2 läuft. Um ...

Neue Wissensbeiträge
Datenschutz

Die Datenkrake Google verlängert ihr Arme mal wieder ein wenig, automatische Anmeldung

Tipp von magicteddy vor 17 StundenDatenschutz2 Kommentare

Benutzer mit einem Google Account und gespeicherten Zugangsdaten werden von chrome 69 automatisch bei Google angemeldet, natürlich alles zum ...

Verschlüsselung & Zertifikate
Meine Wissenssammlung zu Bitlocker
Erfahrungsbericht von DerWoWusste vor 1 TagVerschlüsselung & Zertifikate3 Kommentare

Die Motivation für diesen Beitrag waren die vielen Posts rund um dieses Thema, die deutlich machen, wie viele Einzelaspekte ...

E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 3 TagenE-Mail11 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 3 TagenHyper-V1 Kommentar

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Heiß diskutierte Inhalte
Hardware
Sophos SG135 - Routing
gelöst Frage von Xaero1982Hardware22 Kommentare

Moin Zusammen, ich ersetze gerade nen alten Cisco DualWAN Router durch eine SG 135. Ich muss bestimmte Ziele über ...

E-Mail
Welche ist die beste E-Mail Groupware für die Zukunft?
Frage von ITCrowdSupporterE-Mail18 Kommentare

Guten Tag allerseits :) Ich möchte mich mit einer Frage heute mal an die Schwarmintelligenz wenden. Aktuell befasse ich ...

Windows Server
In-Place Upgrade von Windows Server 2008 R2 Datacenter zu Windows Server 2016 Datacenter (Zwischenschritt über 2012 R2)
gelöst Frage von TowerpleaseWindows Server16 Kommentare

Hallo Administratoren, Wir haben uns vor ein paar Monaten Windows Server 2016 Datacenter Lizenzen gekauft und wollen nun unsere ...

Windows 7
Mit gpedit gesetzte Richtlinien in rsop.msc nicht definiert und ausgegraut
gelöst Frage von 137006Windows 715 Kommentare

Hallo zusammen, anfangs verweise ich fairerweise daruf dass ich dieses Thema bereits im Forum angeschnitten habe, nachdem ich hier ...