Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Intranet Server von aussen zugänglich machen

Frage Internet Server

Mitglied: Cubic83

Cubic83 (Level 2) - Jetzt verbinden

10.01.2014 um 14:48 Uhr, 3598 Aufrufe, 9 Kommentare

Wir haben zurzeit ein selbstprogrammiertes Intranet in unserem lokalen Netzwerk (Win2008R2 / IIS mit PHP und Active Directory Anbindung).

Der IIS ist mit ist foldendermassen abgesichert:
- Anonymous Authentification [Disabled]
- ASP.NET Impersonation [Disabled]
- Basic Authentication [Disabled]
- Forms Authentication [Disabled]
- Windows Authentication [Enabled - HTTP 401 Challenge]

Die Webseite selbst übernimmt das Login vom IIS und prüft ob der Benutzer Zugang hat (hab ja dann den Loginnamen).

Dieser Webserver soll nun aus dem Internet erreichbar sein. Das ist im Prinzip kein Problem (NAT + Routing) aber da es sich um sensible Daten handelt möchte ich natürlich sicher stellen dass die grösstmögliche Sicherheit gewährleistet ist. Ich kann und will nicht garantieren dass es kein Sicherheitsrisiko in der Webseite selbst gibt.

Folgende Möglichkeiten sind uns eingefallen:

1. NAT + Routing

Internet Webserver erreichbar über intranet.website.com. Sicherheit übernimmt der IIS mit seiner Windows Authentification. Ich traue dieser Lösung nicht ganz (unbegründet??)

2. Proxy

Alternativ könnte man einen Proxy in die DMZ stellen der zuerst eine Passwortabfrage vornimmt und bei Erfolg dann den Intranetserver frei gibt. Der Webserver wäre nicht direkt ereichbar. Der Proxy wäre nur über Port 443 ereichbar. Was könnte man da "hacken"? Man könnte den Proxy abschiessen. Es gibt aber keinen direkten Zugriff von aussen auf den Webserver. Kann Squid so was? Wäre wünschenswert wenn man 2 verschiedene Plattformen (1. den IIS mit Win2008 und dann eventuell ein Linux als Proxy) hätte.


Hatt vielleicht noch jemand eine Idee. Was sind die Vor und Nachteile beider Systeme.

Ich hoffe, man versteht was ich sagen möchte ;)

Vielen Dank
Mitglied: SlainteMhath
10.01.2014 um 15:08 Uhr
Moin,

sicher stellen dass die grösstmögliche Sicherheit gewährleistet ist
Damit kommt nur VPN in Frage

NAT + Routing scheidet vollkommen aus, da du damit den Webserver jeder erdenklichen Attacke aus dem Internet preisgibst. Ist der Server dann erstmal übernommen, steht der Angriffer mitten in deinem LAN.

Ein (Reverse-)Proxy steht und fällt mit der Qualität eurer Passwörter - hier kommt imo nur Linux/Squid (oder eine Hardware Appliance) in Frage

Auf jeden Fall solltest Du bereits ab dem Webserver HTTPS einsetzen.

lg,
Slainte
Bitte warten ..
Mitglied: certifiedit.net
10.01.2014 um 15:10 Uhr
Hallo Cubic,

deine Absicherung ist nur ein Passwortschutz. Eine Absicherung ist bspw ein WebApplGW ovgl.

Wie ist die App denn prinzipiell aufgebaut? Und hier ist eben die Sache: Ist die APp so gehärtet, dass man sie auf die weite Welt los lassen kann? Das kann man bei einer public App eben besser beantworten und hier wirst du für eine wirklich solide Aussage auch nicht um ein dediziertes Audit drum herum kommen.

Eine klare Aussage daher: Lass dies, je nach Kompetenz vom Programmierer oder einem dritten gegenprüfen.

Beste Grüße,

Christian
Bitte warten ..
Mitglied: Cubic83
10.01.2014 um 15:20 Uhr
Hallo,

VPN habe ich vergessen aufzuzählen. VPN fällt flach. Wir sind eine Schule - es handelt sich also um Lehrer. VPN Verbindung einrichten kanns Du denen nicht beibringen. Das geht einfach nicht. Das werden die nicht checken. Passwort eingeben geht gerade noch so.

Also bei einer NAT Lösung würde natürlich nur der Port 443 freigegeben werden. Wie gesagt ich habe bei der Lösung auch meine Zweifel. Wenn er dann über 443 am Server landet kommt er ja auf die Passwortabfrage vom IIS. Die Frage ist jetzt: Wie sicher ist die Windows Authentification vom IIS. Ich würde ja davon ausgehen dass Microsoft sich da schon Gedanken gemacht hat. Und selbst wenn die nicht sicher ware. Und ich stelle mir auch gerade die Frage was es eigentlich bedeutet "ist er im LAN". Er hat keinen Remote zugriff oder kann sonst irgendwelche Dienste nutzen. Er könnte höchstens den IIS abschiesen oder per eventuellen Sicherheitslücken in der Webseite die Datenbank per SQL Injections hacken.


Reverse Proxy -> Die Passwörter sind Top. Mindestens 8 Zeichen. Davon 2 Sonderzeichen, Zahlen und Buchstaben müssen enthalten sein. Ich werde mich also wieder mal in Squid einlesen. Ist lange her, dass ich den mal benutzt habe.

Vielen Dank,
Bitte warten ..
Mitglied: certifiedit.net
10.01.2014 um 15:23 Uhr
Wenn sich jemand einhackt kann er über eine Schwachstelle direkt den ganzen Server übernehmen. Gerade auf Windows Server.
Bitte warten ..
Mitglied: SlainteMhath
10.01.2014 um 15:28 Uhr
Er könnte höchstens den IIS abschiesen oder per eventuellen Sicherheitslücken in der Webseite die Datenbank per SQL Injections hacken.
Oder beliebigen Code auf dem Webserver ausführen, die Seiten verändern und jedem Client Trojaner(/Bots unterjubeln, oder gleich KiPos /Warez von eurem Server aus verteilen....
Bitte warten ..
Mitglied: Cubic83
10.01.2014 um 15:29 Uhr
Hallo,

der Schutz meiner Webseite baut auf dem übergebenen Loginnamen vom IIS auf (NTLM). Ich überprüfe ob die Person im AD steht und ob sie ein Lehrer ist. Wenn nicht kommst du nicht weiter. Meine Programmierfähigkeiten sind schon nicht schlecht. Aber: ich kann und will die Garantie nicht geben dass nicht irgendwo im Script ein Fehler ist (ist inzwischen eine Webseite aus 200 Dateien)

"WebApplGW" kenne ich nicht. Ich schaue mir das mal an.

Vielen Dank
Bitte warten ..
Mitglied: Cubic83
10.01.2014 um 15:31 Uhr
Genau. Habe daran nicht gedacht. Ich habe ja jetzt schon mal 2 gute Hinweise erhalten. WebApplGW & Squid schaue ich mir an.

Ein schönes Wochenende
Bitte warten ..
Mitglied: aqui
11.01.2014, aktualisiert um 16:12 Uhr
VPN Verbindung einrichten kanns Du denen nicht beibringen. Das geht einfach nicht.
Na ja mal ehrlich ganz so solltest du die Pädagogen nicht unterschätzen ! Verwende einfach ein VPN was jedes Betriebssystem inkl. Smartphone mit an Bord haben wie z.B. L2TP.
Da ist ein VPN mit 3 Mausklicks eingerichtet, was auch wirklich jeder Erstklässler kann der Lesen und Schreiben gerlent hat...Pädagogen allemal.
Dein Vorteil ist das das absolut wasserdicht ist, was die Sicherheit anbetrifft. Schule bedeutet oft persönliche Daten und damit bewegst du dich im nicht mehr rechtsfreien Raum der Verpflichtung zur Datensicherheit !
Wie man solch einfache VPNs mit einfachen Mitteln realisiert kannst du hier nachlesen:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
Mit etwas Zugeständnissen an die VPN Sicherheit auch PPTP:
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html
IPsec oder L2TP sollten aber das Mittel der Wahl sein. Das nur mal so als Alternative. Sicherheit ist wie du ja selber weisst immer ein Balanceakt zwischen Bequemlichkeit und Vorschriften. Da ist dann immer die Frage was man erreichen will.

Was das öffentliche Freigeben von Port TCP 80 und/oder TCP 443 ins Internet anbetrifft kann man dir nur mal raten einen Wireshark Sniffer an dem Rechner mal testweise laufen zu lassen !
Das wird dir dann recht schnell die Augen öffnen mit welchen Dimensionen von Port Scan Angriffen, DoS Attacken und Einbruchsversuchen du rechnen musst.
Zweifelsohne ist hier eine dann absolute Sicherheit gefordert und das endet dann wieder beim Tip "Eine klare Aussage daher: Lass dies, je nach Kompetenz vom Programmierer oder einem dritten gegenprüfen."
Dem muss man eigentlich nichts mehr hinzufügen.... Du hast die Wahl....
Bitte warten ..
Mitglied: Cubic83
11.01.2014 um 16:56 Uhr
Moien Aqui,

Wir haben ein VPN Gate stehen. Das benutzen aber nur wir admins und einige ausgewählte Lehrer. Es ginge sogar noch einfacher. Wir benutzen Citrix XenApp und haben das Secured Gateway am laufen. Laut Direktion ist das alles zu kompliziert und die Lehrer kommen nicht damit klar. Ich weiss nicht ob du Citrix kennst. Du musst da nur den Client runterladen und installieren. Viele scheitern da dran!

Mit den Attacken stimmt. Ich habe gar nicht daran gedacht dass unter Umständen Code ausgeführt werden kann. Ich sah nur den Teil dass man sich am Login vorbei schummeln könnte.

Ich habe aber auch gerade daran gedacht dass unsere Lehrer eine Smart Card benutzen um das Notenprogramm vom Ministerium zu benutzen. Eventuell kann man einen Proxy hochziehen der zum Passwort noch die Smart card Abfrage macht. Die beiden anderen Vorschläge habe ich noch nicht nachgelesen.

Es ist auf jeden Fall klar: Da wird nichts übers Knie gebrochen. Wir lassen uns Zeit und lassen uns beraten.

Danke und schönes Wochenende!
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...