Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Konfiguration DMZ

Frage Netzwerke LAN, WAN, Wireless

Mitglied: ITHG13

ITHG13 (Level 1) - Jetzt verbinden

29.12.2014, aktualisiert 30.12.2014, 3062 Aufrufe, 4 Kommentare

Hallo Community,

wir möchten gerne eine Owncloud-Installation für unsere Mitarbeite öffentlich zugänglich machen.

Webserver: Apache
OS: Ubuntu Server 14.04 LTS
Die Netzwerkstruktur wird von einer Sophos-UTM geschützt.

Da wir bisher keine öffentlich Zugänglichen Server haben möchte ich eine DMZ einrichten.
Herz des DMZ-Netzwerks soll ein Hyper-V-Server2012R2 sein der virtuelle Server hosten soll. Den neuen Owncloud-Webserver werden wir auf dem Hyper-V-Host installieren und über den Reverse-Proxy der Sophos-UTM veröffentlichen.

Jetzt zum eigentlichen Problem: Owncloud soll sich die User aus unserer internen-AD "ziehen" - dafür müsste ja der LDAP-Port aus der DMZ ins interne-Netz frei gemacht werden. Zusätzlich sollten/müssten ja auch ein paar Ports (SSH, HTTPS etc) von intern in die DMZ geöffnet werden.

Sind diese Portfreigaben schon als kritisch anzusehen und sollten unterlassen werden?

Danke!


edit.: 30.12.2014

Direkt:

c8210b7ef713af11972f3b63ab06d290 - Klicke auf das Bild, um es zu vergrößern


Über DMZ:

eae4a442584bef84a74e6c4d35555239 - Klicke auf das Bild, um es zu vergrößern
Mitglied: Dani
LÖSUNG 29.12.2014, aktualisiert 03.01.2015
Guten Abend,
da deine UTM bereits den Service Reverse Proxy (RP) übernimmt (kein NAT!), würde ich OwnCloud ins LAN setzen. Denn nach dem UTM RP nochmals einen RP zu setzen, macht aus meiner Sicht keinen Sinn. Die Verbindung au dem Internet wird an der FW terminiert und vom RP zum Server neuaufgebaut. Diese Ressourcen können andersweitig genutzt werden. Du wirst sicherlich kein 2stufiges Firewallsystem (Internet -> FW -> DMZ -> FW -> LAN) aufgebaut haben. Deine Firewal sollte auf jeden Fall über IPS mit Regelwerk verfügen um auf evtl. Angriffe reagieren zu können.

Owncloud soll sich die User aus unserer internen-AD "ziehen" - dafür müsste ja der LDAP-Port aus der DMZ ins interne-Netz frei gemacht werden. Zusätzlich sollten/müssten ja auch ein paar Ports (SSH, HTTPS etc) von intern in die DMZ geöffnet werden..
Ports von LAN zu DMZ ist eher unkritisch... solte aber minimal gehalten werden. Anders sieht es von DMZ nac LAN aus. Da gibt es einige Konzepte mit Microsoft Windows ADFS + ADFS Proxy. Es stellt sich die Frage nach der Aufwand im Verhältnisfrage - das kannst du nur beantworten.

Was wollt ihr mit Owncloud abbilden, Cloud für Mitarbeiter oder als Datenaustausch für externe Unternehmen?


Gruß,
Dani
Bitte warten ..
Mitglied: ITHG13
30.12.2014, aktualisiert um 18:59 Uhr
Zitat von Dani:

Guten Abend,

Hallo & Danke für die Antwort!

da deine UTM bereits den Service Reverse Proxy (RP) übernimmt (kein NAT!), würde ich OwnCloud ins LAN setzen. Denn nach
dem UTM RP nochmals einen RP zu setzen, macht aus meiner Sicht keinen Sinn. Die Verbindung au dem Internet wird an der FW
terminiert und vom RP zum Server neuaufgebaut. Diese Ressourcen können andersweitig genutzt werden. Du wirst sicherlich kein

Ich habe in oben in der Frage zwei kleine Zeichnungen hinzugefügt. Deine Beschreibung/Empfehlung passt also auf Bild1 (Direkt), richtig?

2stufiges Firewallsystem (Internet -> FW -> DMZ -> FW -> LAN) aufgebaut haben. Deine Firewal sollte auf jeden Fall
über IPS mit Regelwerk verfügen um auf evtl. Angriffe reagieren zu können.

Nein Zweistufig ist bei uns zur Zeit nicht möglich. Die Ressourcen für eine DMZ wären in den nächsten Wochen frei geworden. Die DMZ hätte ich dann als weiteres Interface an der Sophos UTM realisiert. IPS ist bei der Sophos UTM aktiviert....

Ports von LAN zu DMZ ist eher unkritisch... solte aber minimal gehalten werden. Anders sieht es von DMZ nac LAN aus. Da gibt es
einige Konzepte mit Microsoft Windows ADFS + ADFS Proxy. Es stellt sich die Frage nach der Aufwand im Verhältnisfrage - das
kannst du nur beantworten.

Joa daran habe ich auch gedacht...aber ehrlich gesagt wäre das wieder viel zu Aufwändig.


Was wollt ihr mit Owncloud abbilden, Cloud für Mitarbeiter oder als Datenaustausch für externe Unternehmen?


Prinzipiell beides
Bitte warten ..
Mitglied: Dani
30.12.2014 um 19:25 Uhr
Deine Beschreibung/Empfehlung passt also auf Bild1 (Direkt), richtig?
Joa. Allerdings kenn ich die ReveseProxy Implementierung von Sophos nicht. Daher ist meine Aussage natürlich relativ zu sehen.

Die DMZ hätte ich dann als weiteres Interface an der Sophos UTM realisiert. IPS ist bei der Sophos UTM aktiviert....
Soweit alles richtig. In die DMZ würde ich einen ReverseProxy setzen und OwnCloud ins LAN. Aber da die UTM anscheind RP schon zur Verfügung stellt, wäre es Ressource-Verschwendung.

Prinzipiell beides
Wir behaltet ihr den Überblick, was für Daten hochgeladen werden und an wen die Dateilinks verschicken wurden? Gerade wenn Mitarbeiter die Möglichkeit haben, überall auf der Welt auf die Daten zuzugreifen sehe ich ein höheres Risiko auch Maleware/Trojaner ins Netzwerk zu schleppen. Nicht das noch ein Angestellter eine private Tauschbörse eröffnet.

Ein anderes Thema ist die Internetanbindung. Oft werden größere Datenmengen transferiert, macht das euere Leitung überhaupt mit. Denn der Knackpunkt wie so oft der Upload eures Anschlusses. Denn es gibt nicht schlimmeres als wenn ich etwas herunterladen möchte und es dauert 30 Minuten.

Setz dich mit dem Datenschutz und Datensicherheit auseinander, bevor du irgendwas probierst. Dürfen Dateien ohne Passwort überhaupt hochgeladen werden? Wie wird das Passwort nach außen kommuniziert, etc... es ist eine einfache Sache, kann aber schnell nach hinten losgehen. Wir selber haben anfangs auf OwnCloud gesetzt. Auf Grund diversen Vorfälle durch Mitarbeiter durch eine andere Lösung ersetzt, die leider Geld gekostet hat.


Gruß,
Dani
Bitte warten ..
Mitglied: ITHG13
30.12.2014 um 23:31 Uhr
Wir behaltet ihr den Überblick, was für Daten hochgeladen werden und an wen die Dateilinks verschicken wurden? Gerade
wenn Mitarbeiter die Möglichkeit haben, überall auf der Welt auf die Daten zuzugreifen sehe ich ein höheres Risiko
auch Maleware/Trojaner ins Netzwerk zu schleppen. Nicht das noch ein Angestellter eine private Tauschbörse eröffnet.

Wir versuchen die ganze Sache durch weitergehende Restriktionen einzudämmen.

Die User haben eine Quota von 100MB und können max. 60MB-Files hochladen. Noch dazu sind nicht sofort alle AD-User zum Zugriff auf die OwnCloud berechtigt. Erst nach ein "OwnCloud-Beantragung" und "Briefing" in Sachen Datenschutz, Sicherheit und grundsätzliche "Cloud-Technik" ist der User Berechtigt die Cloud zu nutzen....technisch wird es über eine AD-Gruppe abgefertigt - nur Mitglieder dieser Gruppe lässt die OC-Installation zu.

Ein anderes Thema ist die Internetanbindung. Oft werden größere Datenmengen transferiert, macht das euere Leitung
überhaupt mit. Denn der Knackpunkt wie so oft der Upload eures Anschlusses. Denn es gibt nicht schlimmeres als wenn ich etwas
herunterladen möchte und es dauert 30 Minuten.

Naja aber irgendwie müssen wir als interne IT die Mitarbeiter beim Datenaustausch unterstützen. Die max. Mailgröße auf z.B. 50MB hochschrauben möchte ich ehrlich gesagt nicht. Die Möglichkeit "brenn dir ne CD und schicks per Post" wird's wegen Datensicherheitsbestimmungen nicht geben - Wechselmedien wie CD-Laufwerke, externe USB-Sticks sind gesperrt. Auf der anderen Seite verlangen die Chefs aber auch von uns eine gewisse Flexibilität...können ja nicht alles "dicht" machen und "nix" klappt mehr

Wenn dann doch mal ein paar mehr MB/GB getauscht werden sollen bleibt uns als interne IT leider nichts anderes übrig als den kram auf eine HDD zu ziehen und den Postweg zu nutzen - aber das kommt evtl. 2 mal im viertel Jahr vor....

Setz dich mit dem Datenschutz und Datensicherheit auseinander, bevor du irgendwas probierst. Dürfen Dateien ohne Passwort
überhaupt hochgeladen werden? Wie wird das Passwort nach außen kommuniziert, etc... es ist eine einfache Sache, kann
aber schnell nach hinten losgehen. Wir selber haben anfangs auf OwnCloud gesetzt. Auf Grund diversen Vorfälle durch
Mitarbeiter durch eine andere Lösung ersetzt, die leider Geld gekostet hat.

In der OC-Config haben wir die Verfallszeit eines Share-Links auf 3 Tage gesetzt. Wiederrum durch die OC-Config ist ein PW für Shares Pflicht. Die Datenschutz, Datensicherheitsinhalte werden den Kollegen, wie oben gesagt, durch ein "kurzes" Briefing beigebracht. Im Anschluss unterschreibt er den Erhalt der Informationen. Vor Einführung möchten wir allerdings noch, dass die Userordner in gewissen abständen geleert werden - aber da ist mein Skript noch nicht so weit.

Welche Lösung verwendet ihr?
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Firewall
Firewall für DMZ und Intranet richtig konfigurieren (3)

Frage von vGaven zum Thema Firewall ...

Netzwerkmanagement
gelöst Macht eine VPN Verbindung in eine DMZ sinn? (8)

Frage von M.Marz zum Thema Netzwerkmanagement ...

SAN, NAS, DAS
Storage RAID LUN Konfiguration - Wie macht ihr es (4)

Frage von Marco-83 zum Thema SAN, NAS, DAS ...

Windows Netzwerk
Konfiguration Linux VM in IIS-Manager (10)

Frage von HansWerner1 zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (15)

Frage von liquidbase zum Thema Windows Update ...

DSL, VDSL
Problem mit variernder Internetgeschwindigkeit (12)

Frage von schaurian zum Thema DSL, VDSL ...