Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

DMZ einrichten - Lancom 1711 - Sicherheit

Frage Netzwerke

Mitglied: Carlos03

Carlos03 (Level 1) - Jetzt verbinden

04.05.2010 um 12:45 Uhr, 8919 Aufrufe, 4 Kommentare

Hallo,

ich möchte gerne unseren Außendienstlern den Zugriff auf einen im LAN befindlichen IIS gewähren.
Das Ganze habe ich derzeit per VPN gelöst.

Nun bekommen wir seitens der Außendienstler immer wieder negatives über die VPN Verbindung gemeldet.

Wir haben im Netz zwei Server (A, B), Server A ist DC, DNS und Datenbankserver für unsere WaWi.
Auf Server B läuft der IIS, der auf die DB von Server 1 zugreift.

Nun spiele ich mit dem Gedanken, den Server B in einer DMZ zu platzieren und damit die VPN Einwahl für die Techniker abzulösen.
Als Router verwenden wir einen Lancom 1711.

Die Weboberfläche der WaWi bietet einen SSL- basierten Login.

Nun würde mich eure Meinung dazu interessieren. Besonders in Bezug auf die Sicherheit.

Lässt sich mit dem Lancom eine "echte" DMZ einrichten?

Vielen Dank.

mfg
Carlos03
Mitglied: Aufmuckn
04.05.2010 um 13:12 Uhr
eine DMZ kannst du eigentlich mit jeden popeligen router einrichten .. also auch sicherlich mit einem lancom - aber in keinsterweise zu empfehlen - da eine DMZ ja bewirkt dass alle anfragen die der Router nicht über Regeln oder Firewalleinträge abhandeln kann auf die IP der DMZ weiterschickt .. also somit sagt dein IIS relativ ungeschütz "hallo" zum internet ...

warum machst du nicht dementsprechende port forwards auf den IIS ? port 80 zb .. würd ich aber auch ned umbedingt machen .. da es ja ein standard port ist .. SSL brauchst du natürlich auch noch ..


ich würd mir einen xbeliebigen port aussuchen und den forwarden .. (gehört natürlich dann auch beim iis angepasst .. und die clients müssen den port natürlich auch dann angeben - aber den link kannst ja unter fav. speichern .. .) ...

mfg
Mike
Bitte warten ..
Mitglied: aqui
04.05.2010 um 17:20 Uhr
Port 80 wär ja Unsinn wenn die WaWi einen schon SSL Port 443 Zugang hat. Dann Port Verschleierung damit nicht jedes Script Kiddie den Server findet wäre schon ein gangbarer Weg wenn einem die Meckerei fauler Kollegen wichtiger ist als die Durchsetzung einer Sicherheits Policy.
Das musst du mit dir selber ausmachen...
Eine DMZ ist normalerweise ein eigenes IP Segment getrennt vom lokalen Netz...was du da machst ist eine "Bastel DMZ", also keine wirkliche DMZ !

Port Forwarding mit Verschleierung/Translation geht dann so geht dann so:
Im Lancom unter Port Forwarding eintragen:
Eingehender TCP Port 53443 geht auf die lokale IP Adresse des Servers mit dem TCP Port 443

Wenn die remoten Kollegen dann nun https://<dsl_ip_lancom>:53443 eingeben landen sie auf deinem Server. Wenn sie den URL bookmarken auch mit einem Mausklick... Das wäre einigermassen sicher, da Ports üner 50000 normalerweise nicht von Portscannern und anderen Schnüffelinstrumenten erfasst werden.

Falls du keine feste IP hast für den Lancom empfiehlt es sich dort natürlich noch einen DynDNS Client zu aktivieren dann können die Kollegen statt der wechselnden DSL IP immer https://carlos-wawi.homeip.net:53443 eingeben.
Bitte warten ..
Mitglied: Carlos03
04.05.2010 um 18:20 Uhr
Vielen Dank für die Antworten.

Das einzige Problem sehe ich daran, dass sich jemand dann unendlich daran versuchen kann ohne gesperrt zu werden.
Ich habe ja keine Möglichkeit die Fehlversuche beim Login abzufangen.

Mir ist das Thema Sicherheit schon sehr wichtig.
Auf der anderen müssen die Mitarbiter mit der Software auch arbeiten können.

Wenn sich der VPN Tunnel häufig aufgrund eines schlechten UMTS SIgnals verabschiedet, ist das nicht praktikabel.

mfg
Carlos03
Bitte warten ..
Mitglied: Aufmuckn
06.05.2010 um 15:32 Uhr
na wenn das problem ne schlechte internetverbindung ist - dann nützt dir die umstellung auf ssl ja auch nicht besonders viel ...

läuft ja auch übers netzt - zwar etwas schneller denk ich - aber down & upload bleibt dir nicht ersparrt ...

anderer netzbetreiber ? der da besser verfügbar ist .. ?
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Netzwerkmanagement
gelöst Port Sicherheit verbessern Lancom Switch GS-23xx (13)

Frage von Hipstertown zum Thema Netzwerkmanagement ...

Netzwerkmanagement
Problem mit DLNA Server in DMZ (4)

Frage von haye81 zum Thema Netzwerkmanagement ...

Router & Routing
3 AVM-Fritzboxen 4040 hinter Lancom Router 1781VAW (2)

Frage von skorpion-54 zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst Verständnisfrage DMZ, warum nicht LAN2 Interface? (4)

Frage von Bytedreher zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
DSL, VDSL
gelöst DSL 200m verlängern (15)

Frage von Angela44 zum Thema DSL, VDSL ...

LAN, WAN, Wireless
Per Script auf UniFi-controller zugreifen und WPA2-Key ändern (11)

Frage von Winfried-HH zum Thema LAN, WAN, Wireless ...

Windows Server
SBS 2011 Standard virtualisieren (11)

Frage von HeinrichM zum Thema Windows Server ...

Exchange Server
gelöst DHCP Sever MS Server 2012 Problem (10)

Frage von Florian86 zum Thema Exchange Server ...