Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Internet Server

Intranet Server von aussen zugänglich machen

Mitglied: Cubic83

Cubic83 (Level 2) - Jetzt verbinden

10.01.2014 um 14:48 Uhr, 4267 Aufrufe, 9 Kommentare

Wir haben zurzeit ein selbstprogrammiertes Intranet in unserem lokalen Netzwerk (Win2008R2 / IIS mit PHP und Active Directory Anbindung).

Der IIS ist mit ist foldendermassen abgesichert:
- Anonymous Authentification [Disabled]
- ASP.NET Impersonation [Disabled]
- Basic Authentication [Disabled]
- Forms Authentication [Disabled]
- Windows Authentication [Enabled - HTTP 401 Challenge]

Die Webseite selbst übernimmt das Login vom IIS und prüft ob der Benutzer Zugang hat (hab ja dann den Loginnamen).

Dieser Webserver soll nun aus dem Internet erreichbar sein. Das ist im Prinzip kein Problem (NAT + Routing) aber da es sich um sensible Daten handelt möchte ich natürlich sicher stellen dass die grösstmögliche Sicherheit gewährleistet ist. Ich kann und will nicht garantieren dass es kein Sicherheitsrisiko in der Webseite selbst gibt.

Folgende Möglichkeiten sind uns eingefallen:

1. NAT + Routing

Internet Webserver erreichbar über intranet.website.com. Sicherheit übernimmt der IIS mit seiner Windows Authentification. Ich traue dieser Lösung nicht ganz (unbegründet??)

2. Proxy

Alternativ könnte man einen Proxy in die DMZ stellen der zuerst eine Passwortabfrage vornimmt und bei Erfolg dann den Intranetserver frei gibt. Der Webserver wäre nicht direkt ereichbar. Der Proxy wäre nur über Port 443 ereichbar. Was könnte man da "hacken"? Man könnte den Proxy abschiessen. Es gibt aber keinen direkten Zugriff von aussen auf den Webserver. Kann Squid so was? Wäre wünschenswert wenn man 2 verschiedene Plattformen (1. den IIS mit Win2008 und dann eventuell ein Linux als Proxy) hätte.


Hatt vielleicht noch jemand eine Idee. Was sind die Vor und Nachteile beider Systeme.

Ich hoffe, man versteht was ich sagen möchte ;)

Vielen Dank
Mitglied: SlainteMhath
10.01.2014 um 15:08 Uhr
Moin,

sicher stellen dass die grösstmögliche Sicherheit gewährleistet ist
Damit kommt nur VPN in Frage

NAT + Routing scheidet vollkommen aus, da du damit den Webserver jeder erdenklichen Attacke aus dem Internet preisgibst. Ist der Server dann erstmal übernommen, steht der Angriffer mitten in deinem LAN.

Ein (Reverse-)Proxy steht und fällt mit der Qualität eurer Passwörter - hier kommt imo nur Linux/Squid (oder eine Hardware Appliance) in Frage

Auf jeden Fall solltest Du bereits ab dem Webserver HTTPS einsetzen.

lg,
Slainte
Bitte warten ..
Mitglied: certifiedit.net
10.01.2014 um 15:10 Uhr
Hallo Cubic,

deine Absicherung ist nur ein Passwortschutz. Eine Absicherung ist bspw ein WebApplGW ovgl.

Wie ist die App denn prinzipiell aufgebaut? Und hier ist eben die Sache: Ist die APp so gehärtet, dass man sie auf die weite Welt los lassen kann? Das kann man bei einer public App eben besser beantworten und hier wirst du für eine wirklich solide Aussage auch nicht um ein dediziertes Audit drum herum kommen.

Eine klare Aussage daher: Lass dies, je nach Kompetenz vom Programmierer oder einem dritten gegenprüfen.

Beste Grüße,

Christian
Bitte warten ..
Mitglied: Cubic83
10.01.2014 um 15:20 Uhr
Hallo,

VPN habe ich vergessen aufzuzählen. VPN fällt flach. Wir sind eine Schule - es handelt sich also um Lehrer. VPN Verbindung einrichten kanns Du denen nicht beibringen. Das geht einfach nicht. Das werden die nicht checken. Passwort eingeben geht gerade noch so.

Also bei einer NAT Lösung würde natürlich nur der Port 443 freigegeben werden. Wie gesagt ich habe bei der Lösung auch meine Zweifel. Wenn er dann über 443 am Server landet kommt er ja auf die Passwortabfrage vom IIS. Die Frage ist jetzt: Wie sicher ist die Windows Authentification vom IIS. Ich würde ja davon ausgehen dass Microsoft sich da schon Gedanken gemacht hat. Und selbst wenn die nicht sicher ware. Und ich stelle mir auch gerade die Frage was es eigentlich bedeutet "ist er im LAN". Er hat keinen Remote zugriff oder kann sonst irgendwelche Dienste nutzen. Er könnte höchstens den IIS abschiesen oder per eventuellen Sicherheitslücken in der Webseite die Datenbank per SQL Injections hacken.


Reverse Proxy -> Die Passwörter sind Top. Mindestens 8 Zeichen. Davon 2 Sonderzeichen, Zahlen und Buchstaben müssen enthalten sein. Ich werde mich also wieder mal in Squid einlesen. Ist lange her, dass ich den mal benutzt habe.

Vielen Dank,
Bitte warten ..
Mitglied: certifiedit.net
10.01.2014 um 15:23 Uhr
Wenn sich jemand einhackt kann er über eine Schwachstelle direkt den ganzen Server übernehmen. Gerade auf Windows Server.
Bitte warten ..
Mitglied: SlainteMhath
10.01.2014 um 15:28 Uhr
Er könnte höchstens den IIS abschiesen oder per eventuellen Sicherheitslücken in der Webseite die Datenbank per SQL Injections hacken.
Oder beliebigen Code auf dem Webserver ausführen, die Seiten verändern und jedem Client Trojaner(/Bots unterjubeln, oder gleich KiPos /Warez von eurem Server aus verteilen....
Bitte warten ..
Mitglied: Cubic83
10.01.2014 um 15:29 Uhr
Hallo,

der Schutz meiner Webseite baut auf dem übergebenen Loginnamen vom IIS auf (NTLM). Ich überprüfe ob die Person im AD steht und ob sie ein Lehrer ist. Wenn nicht kommst du nicht weiter. Meine Programmierfähigkeiten sind schon nicht schlecht. Aber: ich kann und will die Garantie nicht geben dass nicht irgendwo im Script ein Fehler ist (ist inzwischen eine Webseite aus 200 Dateien)

"WebApplGW" kenne ich nicht. Ich schaue mir das mal an.

Vielen Dank
Bitte warten ..
Mitglied: Cubic83
10.01.2014 um 15:31 Uhr
Genau. Habe daran nicht gedacht. Ich habe ja jetzt schon mal 2 gute Hinweise erhalten. WebApplGW & Squid schaue ich mir an.

Ein schönes Wochenende
Bitte warten ..
Mitglied: aqui
11.01.2014, aktualisiert um 16:12 Uhr
VPN Verbindung einrichten kanns Du denen nicht beibringen. Das geht einfach nicht.
Na ja mal ehrlich ganz so solltest du die Pädagogen nicht unterschätzen ! Verwende einfach ein VPN was jedes Betriebssystem inkl. Smartphone mit an Bord haben wie z.B. L2TP.
Da ist ein VPN mit 3 Mausklicks eingerichtet, was auch wirklich jeder Erstklässler kann der Lesen und Schreiben gerlent hat...Pädagogen allemal.
Dein Vorteil ist das das absolut wasserdicht ist, was die Sicherheit anbetrifft. Schule bedeutet oft persönliche Daten und damit bewegst du dich im nicht mehr rechtsfreien Raum der Verpflichtung zur Datensicherheit !
Wie man solch einfache VPNs mit einfachen Mitteln realisiert kannst du hier nachlesen:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
Mit etwas Zugeständnissen an die VPN Sicherheit auch PPTP:
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html
IPsec oder L2TP sollten aber das Mittel der Wahl sein. Das nur mal so als Alternative. Sicherheit ist wie du ja selber weisst immer ein Balanceakt zwischen Bequemlichkeit und Vorschriften. Da ist dann immer die Frage was man erreichen will.

Was das öffentliche Freigeben von Port TCP 80 und/oder TCP 443 ins Internet anbetrifft kann man dir nur mal raten einen Wireshark Sniffer an dem Rechner mal testweise laufen zu lassen !
Das wird dir dann recht schnell die Augen öffnen mit welchen Dimensionen von Port Scan Angriffen, DoS Attacken und Einbruchsversuchen du rechnen musst.
Zweifelsohne ist hier eine dann absolute Sicherheit gefordert und das endet dann wieder beim Tip "Eine klare Aussage daher: Lass dies, je nach Kompetenz vom Programmierer oder einem dritten gegenprüfen."
Dem muss man eigentlich nichts mehr hinzufügen.... Du hast die Wahl....
Bitte warten ..
Mitglied: Cubic83
11.01.2014 um 16:56 Uhr
Moien Aqui,

Wir haben ein VPN Gate stehen. Das benutzen aber nur wir admins und einige ausgewählte Lehrer. Es ginge sogar noch einfacher. Wir benutzen Citrix XenApp und haben das Secured Gateway am laufen. Laut Direktion ist das alles zu kompliziert und die Lehrer kommen nicht damit klar. Ich weiss nicht ob du Citrix kennst. Du musst da nur den Client runterladen und installieren. Viele scheitern da dran!

Mit den Attacken stimmt. Ich habe gar nicht daran gedacht dass unter Umständen Code ausgeführt werden kann. Ich sah nur den Teil dass man sich am Login vorbei schummeln könnte.

Ich habe aber auch gerade daran gedacht dass unsere Lehrer eine Smart Card benutzen um das Notenprogramm vom Ministerium zu benutzen. Eventuell kann man einen Proxy hochziehen der zum Passwort noch die Smart card Abfrage macht. Die beiden anderen Vorschläge habe ich noch nicht nachgelesen.

Es ist auf jeden Fall klar: Da wird nichts übers Knie gebrochen. Wir lassen uns Zeit und lassen uns beraten.

Danke und schönes Wochenende!
Bitte warten ..
Ähnliche Inhalte
TK-Netze & Geräte
FAX an Mailadresse oder von außen zugänglichen Ordner umleiten
gelöst Frage von JuweeeTK-Netze & Geräte6 Kommentare

Hallo, hab bei einem Bekannten folgendes Szenario: Er hat auf der einen Seite einen HP Officejet Pro 6830 und ...

Hosting & Housing
Server von außen erreichen
gelöst Frage von BromBariumHosting & Housing3 Kommentare

Hallo am Sonntagmorgen, mein Problem ist folgendens: Ich habe einen Windows-Server auf dem ich gerne versch. Dienste anbieten würde, ...

Windows Server
Intranet auf anderen Server umziehen
gelöst Frage von MaceWinduWindows Server8 Kommentare

Hallo Leute, Ich möchte das bestehende in ASP-NET programmierte Intranet durch Sharepoint Foundation 2013 ersetzen. Der (virtuelle) Server heißt ...

Router & Routing
SAT-IP Server in mehreren VLANS zugänglich machen
Frage von TWJ91438Router & Routing26 Kommentare

Hallo, leider sind meine Kenntnisse in Bezug auf Subnet/VLAN zu gering, um zu verstehen ob und ggf. wie man ...

Neue Wissensbeiträge
Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 16 StundenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 16 StundenSicherheit11 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 17 StundenSicherheit9 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Sicherheit

Meltdown und Spectre: Die machen uns alle was vor

Information von Frank vor 18 StundenSicherheit12 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Heiß diskutierte Inhalte
Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von 92943Windows 1031 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Batch & Shell
Anmeldevorgang für Informatikraum (Schule) unter Windows
gelöst Frage von IngenieursBatch & Shell29 Kommentare

Hey zusammen, ich werde in naher Zukunft den Informatik Raum meiner jetzigen Schule von dem aktuellen Betreiber übernehmen (Vertrag ...

Netzwerkgrundlagen
Welches Modem für VDSL 50000 der T-Com
gelöst Frage von Windows10GegnerNetzwerkgrundlagen21 Kommentare

Hallo, ein Kollege von mir will sich VDSL50000 von der T-Com holen, um daran einen Server zu betreiben. Ich ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...