Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Bereitstellung von Dateien auf einem Fileserver

Frage Sicherheit

Mitglied: David777

David777 (Level 1) - Jetzt verbinden

24.02.2009, aktualisiert 26.02.2009, 10901 Aufrufe, 13 Kommentare

Hallo Community,

Folgende Situation:
In unserer Firma ist es oft so, dass Kollegen groessere Dateien ueber das Internet bereitstellen muessen.
Das wird bisher von mir so gehandhabt, indem ich diese Dateien einfach auf unseren Webserver hochlade,
und sie dann zum Download bereitstelle.
Das ist allerdings keine sonderlich gute Loesung, da somit die Kollegen immer zu mir rennen muessen,
wenn sie das tun wollen.
Jetzt habe ich hier eine zweite Firewall installiert (IpCop) und dahinter einen Webserver gehaengt, der auch
von aussen zu erreichen ist.
Eine DMZ habe ich nicht gebaut, da ich das nicht so ohne weiteres hier machen darf, und auch ehrlich gesagt
weder das Knowhow unserer Firebox und auch keine Zeit dafuer haette.

Meine Idee ist es nun folgendes zu tun:

Wir haben zwei externe IP-Adressen. An beiden haengt eine Firewall. (IpCop und Firebox)
Hinter der Firebox haengt unser Firmeninternes Netzwerk. Hinter dem IpCop der Webserver.
Ich moechte jetzt, dass die Kollegen vom Firmeninternen Netz schnell Daten auf den Webserver
hochladen koennen.
Die Idee ist es in den Webserver einfach noch eine zweite Netzwerkkarte einzubauen, welche dann
im Firmennetz steht.
Die andere Netzwerkkarte wuerde am IpCop haengen.
Ich werde dann den Kollegen einfach ein Netzlaufwerk auf den Webserver mappen, was direkt auf das
Verzeichnis zeigt, was vom Webserver nach aussen hin zu erreichen ist.
Das bedeutet: Sobald ein Kollege auf sein Netzlaufwerk eine Datei kopiert, taucht diese Automatisch im Webinterface auf.

Meine Frage ist jetzt, ob ihr Bedenken bei dieser Loesung haettet.
Was Sicherheit angeht in erster Linie, und ob es ueberhaupt so funktionieren kann?
Natuerlich will ich von aussen ausschliesslich Lesezugriff erlauben, sodass eigentlich keiner
durch den IpCop kommen duerfte. (Der auch nur ein Portforwarding fuer HTTP hat).

Dennoch wollte ich vor dem Durchfuehren dieser Aktion mal eure Meinung hoeren.

Bis bald

David
Mitglied: Dani
24.02.2009 um 22:02 Uhr
Hi David,
diese Struktur kannst du kaum online stellen. Du hast in diesem Moment ein Problem, wo dein Webserver eine Lücke aufweißt bzw. erfolgreich angegriffen wird. Denn Somit ist dein Netz dahinter auch gefährt. Warum meinst du, bauen Firmen für sowas DMz's auf? Genau aus diesem Grund. Der IPCop fängt schon mal das Meiste ab aber eben nichts auf Port 80 o.ä.

Natuerlich will ich von aussen ausschliesslich Lesezugriff erlauben, sodass eigentlich keiner durch den IpCop kommen duerfte.
Du meinst so kannst du Hackerangriffe abwehren? Holzweg....

Baue eine DMZ, stell den Server dort rein und alles ist sauber gelöst und Du kannst Nachts ruhiger schlafen.


Grüße,
Dani
Bitte warten ..
Mitglied: David777
24.02.2009 um 22:19 Uhr
Ich hatte schon befuerchtet, dass ihr mir zur DMZ ratet, aber ist es wirklich nicht bombensicher, wenn ich den Zugriff nur von Intern auf den Webserver ermoegliche, und nicht umgekehrt?
Welche Sicherheitsluecken gaebe es genau? Die DMZ werde ich nicht genehmigt bekommen...
Bitte warten ..
Mitglied: Dani
25.02.2009 um 07:55 Uhr
Hi,
ich Frage mich wo das Problem ist? So eine DMZ ist doch kein Beinbruch...schau mal bei Wiki nach. Es gibt 2 Varianten...aber wir bevorzugen eben immer die Erste. Das hat einfach den positivien Nebeneffekt, sollte das 1. Gerät mal ausfallen, bestehht weiterhin ein Schutz für das LAN und genau das ist bei einem 2-stufigen System der Sinn. Außerdem gelten für Internet->DMZ ganz andere Regeln als für DMZ<- LAN.


Grüße,
Dani
Bitte warten ..
Mitglied: alex53842
25.02.2009 um 08:24 Uhr
Hallo,

ich kann meinen Vorrednern nur beipflichten. Eine DMZ ist der einzig gangbare weg. Wir haben hier das Problem das einige Kollegen mit Riesigen Dateien hantieren und diese bereitstellen bzw. empfangen müssen. Zu diesem zweck hab ich einen FTP Server in die DMZ gestellt. In unserem Catalyst 4506 hab ich dann nur Schreibzugriff vom LAN in die DMZ gegeben, und nicht umgekehrt. Die entsprechenden User bekommen dann ein Netzlaufwerk gemappt und können Ihre Daten dort hinein kopieren. Da wir immer mit den gleichen Firmen Daten austauschen bekommen die einen FTP-User und gut ist.

Gruß

Alex
Bitte warten ..
Mitglied: David777
25.02.2009 um 23:09 Uhr
Also ihr habt mich jetzt zur DMZ ueberredet, und ich will die hier realisieren. Jetzt habe ich ja nicht wirklich Erfahrung damit.
Da ich wirklich keine Ahnung habe, wo dieser Bilderupload Button ist (kann mir das auch noch jemand sagen ^^) muss ich leider wieder einen externen Link posten:

76cc6e8b1f0bcf6af31a347f48973463-dmz - Klicke auf das Bild, um es zu vergrößern

Das ist meine geplante Struktur.
Frage ist nur, ob es so geht. Welche IP sollte der Webserver haben? Eine aus dem Ethernetpool, oder einen komplett neuen Addressbereich, denn dann die Firewalls von Innen auch noch bekommen. (Wie auf meinem Bild)
Und dann ein Portforwarding aller Anfragen an die erste Firewall an die zweite, wenns kein Port 80 ist?

Wieso ist diese Variante ueberhaupt sicherer, als meine erstgenannte looservariante? Weil bei der Looservariante duerfen die Kollegen den Webserver ja auch nur in eine Richtung aendern.
Ist das nicht das selbe in gruen?
Bitte warten ..
Mitglied: Dani
26.02.2009 um 08:19 Uhr
Moin,
das wollte ich hören...und wieder ein Netz sicherer...

Ich nehme mal der IPCop bekommt eine feste IP-Adresse und somit könntest du dem Webserver auch eine Verpassen. Aber du kannst das auch über Transfernetze bauen - ist eigentich egal. Wichtig ist eben nur, dass du nur den Port 80 auf dem IPCop auf den Webserver forwardest. Warum willst du den Rest ins LAN bzw. Firebox forwarden? Macht doch keinen Sinn.

Wichtig ist eben, dass die Firebox den Zugriff aus dem LAN heraus erlaubt (Outgoing). Denn sobald ein Client eine Anfrage in die DMZ bzw. Internet stellt, findet das Paket auch den Weg wieder zurückt. D.h. an der Firebox müssen nur die entsprechenden Protkolle freigeschalten sein. Zusätzlich noch eine Regel LAN<- Webserver Port 21- Fertig.


Grüße,
Dani
Bitte warten ..
Mitglied: David777
26.02.2009 um 15:25 Uhr
Nunja - es gibt ja durchaus ein paar Ports, die ich auch von external nach internal an der Firebox freigeschaltet habe.
Da waere zum Beispiel ein Branchoffice VPN Tunnel aus unserer Firma in Ohio.
Die Kollegen dahinten sollen auf unseren E-Mail server kommen, und das tuen sie von aussen.
Der IpCop muss diese Anfragen natuerlich durchlassen - daher das Portforwarding? Warum macht das keinen Sinn?

Zudem muss ich ja auch alle Ports am IpCop freischalten, die von innen nach aussen erlaubt werden.
Zum Beispiel HTTP/HTTPS/FTP fuer die Kollegen.
Genau diese Ports muessen in beiden Firewalls freigeschaltet werden.

Sehe ich also richtig, dass Regeln auf beiden Firewalls identisch sind, mit der ausnahme, dass der IpCop noch ein Portforwarding auf den Webserver hat?!?
Bitte warten ..
Mitglied: Dani
26.02.2009 um 15:43 Uhr
Die Kollegen dahinten sollen auf unseren E-Mail server kommen, und das tuen sie von aussen.
Du hast den Sinn einer DMZ nicht ganz verstanden. Genau sowas stellt man in die DMZ.

Sehe ich also richtig, dass Regeln auf beiden Firewalls identisch sind, mit der ausnahme, dass der IpCop noch ein Portforwarding auf den Webserver hat?!?
Für Outgoing oder Incoming?!


Grüße,
Dani
Bitte warten ..
Mitglied: David777
26.02.2009 um 16:56 Uhr
Der verschluesselte VPN Tunnel macht die DMZ bei unseren Mailserver ueberfluessig.
Der Webserver soll aber auch ohne den VPN zu erreichen sein - von der ganzen Welt von Kunden. Daher brauche ich die DMZ nur fuer ihn.

Zitat von Dani:
Für Outgoing oder Incoming?!

Natuerlich fuer alle, denn es soll ja alles so wie zuvor funktionieren.
Es macht ja keinen Sinn, wenn ich auf der FireBox HTTP von Innen nach Aussen erlaube, und
das im IpCop sperre.
Die einzige ausnahme waere doch der Port 80, oder nicht?

Bis dann

David
Bitte warten ..
Mitglied: Dani
26.02.2009 um 17:09 Uhr
Hi,
Der verschluesselte VPN Tunnel macht die DMZ bei unseren Mailserver ueberfluessig.
klar, aber wo steht der VPN-Server, doch im LAN oder? Wenn du als VPN-Server den IPCOp als VPN nimmst, kannst du den Mailserver in die DMZ stellen. Vorallem frage ich mich gerade, wie du Mails abrufst (per POP oder SMTP)? Das zieht alles einen Raten### hinter sich her.

Es macht ja keinen Sinn, wenn ich auf der FireBox HTTP von Innen nach Aussen erlaube, und das im IpCop sperre.
Logo, aber es sind nur beide Outgoing-Filter auf den Firewalles gleich - Incomging sieht anders aus - Port 80 für Webserver.


Grüße,
Dani
Bitte warten ..
Mitglied: David777
26.02.2009 um 17:30 Uhr
Klaaa sicher. Aber die Ausnahme hatte ich ja oben schon erwaehnt:

Sehe ich also richtig, dass Regeln auf beiden Firewalls identisch sind, mit der ausnahme, dass der IpCop noch ein Portforwarding auf den Webserver hat?!?

Oder gibt es noch eine weiter Ausnahme?
Also einen VPN-Server haben wir nicht.
Aber die Firebox ist auch ganz gut darin, und hinter der folgt dann gleich unser RADIUS.
Die E-Mails liegen alle auf einem GroupWise Server, und wir holen die E-Mails garnicht ab.
Es laeuft ueber IMAP
Bitte warten ..
Mitglied: kopie0123
27.02.2009 um 13:03 Uhr
Hallo!

Warum nutzt nicht den IPCop in seinem vollen Umfang?
Rote NIC = Internet
Grüne NIC = Firmennetz
Orange NIC = DMZ

Ich selber habe den IPCop an verschiedenen Standorten im Einsatz und bin rundum zufrieden (Proxy, URL-Filter, VPN, usw)

Bei Interesse kann ich nur das IPCop Forum empfehlen: http://www.ipcop-forum.de/forum
Dort findest auch viele Anleitungen zu dem Thema.

Und zu deinem Problem: Mit DMZ Schlupflöchern kannst du dein Problem recht schnell lösen.

Gruß Stinger
Bitte warten ..
Mitglied: David777
27.02.2009 um 15:40 Uhr
Daran habe ich auch bereits gedacht, und somit wird die DMZ jetzt ins Orangene Netz gehangen. Allerdings wird auf den IpCop komplett verzichtet.
Unsere FireBox hat auch noch ein paar Ethernetanschluesse....
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows 7
Kopierte Dateien im Hintergrund anzeigen (1)

Frage von MichiBLNN zum Thema Windows 7 ...

Festplatten, SSD, Raid
Reallocated sectors count: Welche Dateien befinden sich in den beschädigten Sektoren? (9)

Frage von DunkleMaterie zum Thema Festplatten, SSD, Raid ...

VB for Applications
VBS Script zum versenden mehrerer Verknüpfungen zu Dateien per Lotus Notes

Frage von Sentinel87 zum Thema VB for Applications ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...