Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Konfiguration DMZ

Frage Netzwerke LAN, WAN, Wireless

Mitglied: ITHG13

ITHG13 (Level 1) - Jetzt verbinden

29.12.2014, aktualisiert 30.12.2014, 3510 Aufrufe, 4 Kommentare

Hallo Community,

wir möchten gerne eine Owncloud-Installation für unsere Mitarbeite öffentlich zugänglich machen.

Webserver: Apache
OS: Ubuntu Server 14.04 LTS
Die Netzwerkstruktur wird von einer Sophos-UTM geschützt.

Da wir bisher keine öffentlich Zugänglichen Server haben möchte ich eine DMZ einrichten.
Herz des DMZ-Netzwerks soll ein Hyper-V-Server2012R2 sein der virtuelle Server hosten soll. Den neuen Owncloud-Webserver werden wir auf dem Hyper-V-Host installieren und über den Reverse-Proxy der Sophos-UTM veröffentlichen.

Jetzt zum eigentlichen Problem: Owncloud soll sich die User aus unserer internen-AD "ziehen" - dafür müsste ja der LDAP-Port aus der DMZ ins interne-Netz frei gemacht werden. Zusätzlich sollten/müssten ja auch ein paar Ports (SSH, HTTPS etc) von intern in die DMZ geöffnet werden.

Sind diese Portfreigaben schon als kritisch anzusehen und sollten unterlassen werden?

Danke!


edit.: 30.12.2014

Direkt:

c8210b7ef713af11972f3b63ab06d290 - Klicke auf das Bild, um es zu vergrößern


Über DMZ:

eae4a442584bef84a74e6c4d35555239 - Klicke auf das Bild, um es zu vergrößern
Mitglied: Dani
LÖSUNG 29.12.2014, aktualisiert 03.01.2015
Guten Abend,
da deine UTM bereits den Service Reverse Proxy (RP) übernimmt (kein NAT!), würde ich OwnCloud ins LAN setzen. Denn nach dem UTM RP nochmals einen RP zu setzen, macht aus meiner Sicht keinen Sinn. Die Verbindung au dem Internet wird an der FW terminiert und vom RP zum Server neuaufgebaut. Diese Ressourcen können andersweitig genutzt werden. Du wirst sicherlich kein 2stufiges Firewallsystem (Internet -> FW -> DMZ -> FW -> LAN) aufgebaut haben. Deine Firewal sollte auf jeden Fall über IPS mit Regelwerk verfügen um auf evtl. Angriffe reagieren zu können.

Owncloud soll sich die User aus unserer internen-AD "ziehen" - dafür müsste ja der LDAP-Port aus der DMZ ins interne-Netz frei gemacht werden. Zusätzlich sollten/müssten ja auch ein paar Ports (SSH, HTTPS etc) von intern in die DMZ geöffnet werden..
Ports von LAN zu DMZ ist eher unkritisch... solte aber minimal gehalten werden. Anders sieht es von DMZ nac LAN aus. Da gibt es einige Konzepte mit Microsoft Windows ADFS + ADFS Proxy. Es stellt sich die Frage nach der Aufwand im Verhältnisfrage - das kannst du nur beantworten.

Was wollt ihr mit Owncloud abbilden, Cloud für Mitarbeiter oder als Datenaustausch für externe Unternehmen?


Gruß,
Dani
Bitte warten ..
Mitglied: ITHG13
30.12.2014, aktualisiert um 18:59 Uhr
Zitat von Dani:

Guten Abend,

Hallo & Danke für die Antwort!

da deine UTM bereits den Service Reverse Proxy (RP) übernimmt (kein NAT!), würde ich OwnCloud ins LAN setzen. Denn nach
dem UTM RP nochmals einen RP zu setzen, macht aus meiner Sicht keinen Sinn. Die Verbindung au dem Internet wird an der FW
terminiert und vom RP zum Server neuaufgebaut. Diese Ressourcen können andersweitig genutzt werden. Du wirst sicherlich kein

Ich habe in oben in der Frage zwei kleine Zeichnungen hinzugefügt. Deine Beschreibung/Empfehlung passt also auf Bild1 (Direkt), richtig?

2stufiges Firewallsystem (Internet -> FW -> DMZ -> FW -> LAN) aufgebaut haben. Deine Firewal sollte auf jeden Fall
über IPS mit Regelwerk verfügen um auf evtl. Angriffe reagieren zu können.

Nein Zweistufig ist bei uns zur Zeit nicht möglich. Die Ressourcen für eine DMZ wären in den nächsten Wochen frei geworden. Die DMZ hätte ich dann als weiteres Interface an der Sophos UTM realisiert. IPS ist bei der Sophos UTM aktiviert....

Ports von LAN zu DMZ ist eher unkritisch... solte aber minimal gehalten werden. Anders sieht es von DMZ nac LAN aus. Da gibt es
einige Konzepte mit Microsoft Windows ADFS + ADFS Proxy. Es stellt sich die Frage nach der Aufwand im Verhältnisfrage - das
kannst du nur beantworten.

Joa daran habe ich auch gedacht...aber ehrlich gesagt wäre das wieder viel zu Aufwändig.


Was wollt ihr mit Owncloud abbilden, Cloud für Mitarbeiter oder als Datenaustausch für externe Unternehmen?


Prinzipiell beides
Bitte warten ..
Mitglied: Dani
30.12.2014 um 19:25 Uhr
Deine Beschreibung/Empfehlung passt also auf Bild1 (Direkt), richtig?
Joa. Allerdings kenn ich die ReveseProxy Implementierung von Sophos nicht. Daher ist meine Aussage natürlich relativ zu sehen.

Die DMZ hätte ich dann als weiteres Interface an der Sophos UTM realisiert. IPS ist bei der Sophos UTM aktiviert....
Soweit alles richtig. In die DMZ würde ich einen ReverseProxy setzen und OwnCloud ins LAN. Aber da die UTM anscheind RP schon zur Verfügung stellt, wäre es Ressource-Verschwendung.

Prinzipiell beides
Wir behaltet ihr den Überblick, was für Daten hochgeladen werden und an wen die Dateilinks verschicken wurden? Gerade wenn Mitarbeiter die Möglichkeit haben, überall auf der Welt auf die Daten zuzugreifen sehe ich ein höheres Risiko auch Maleware/Trojaner ins Netzwerk zu schleppen. Nicht das noch ein Angestellter eine private Tauschbörse eröffnet.

Ein anderes Thema ist die Internetanbindung. Oft werden größere Datenmengen transferiert, macht das euere Leitung überhaupt mit. Denn der Knackpunkt wie so oft der Upload eures Anschlusses. Denn es gibt nicht schlimmeres als wenn ich etwas herunterladen möchte und es dauert 30 Minuten.

Setz dich mit dem Datenschutz und Datensicherheit auseinander, bevor du irgendwas probierst. Dürfen Dateien ohne Passwort überhaupt hochgeladen werden? Wie wird das Passwort nach außen kommuniziert, etc... es ist eine einfache Sache, kann aber schnell nach hinten losgehen. Wir selber haben anfangs auf OwnCloud gesetzt. Auf Grund diversen Vorfälle durch Mitarbeiter durch eine andere Lösung ersetzt, die leider Geld gekostet hat.


Gruß,
Dani
Bitte warten ..
Mitglied: ITHG13
30.12.2014 um 23:31 Uhr
Wir behaltet ihr den Überblick, was für Daten hochgeladen werden und an wen die Dateilinks verschicken wurden? Gerade
wenn Mitarbeiter die Möglichkeit haben, überall auf der Welt auf die Daten zuzugreifen sehe ich ein höheres Risiko
auch Maleware/Trojaner ins Netzwerk zu schleppen. Nicht das noch ein Angestellter eine private Tauschbörse eröffnet.

Wir versuchen die ganze Sache durch weitergehende Restriktionen einzudämmen.

Die User haben eine Quota von 100MB und können max. 60MB-Files hochladen. Noch dazu sind nicht sofort alle AD-User zum Zugriff auf die OwnCloud berechtigt. Erst nach ein "OwnCloud-Beantragung" und "Briefing" in Sachen Datenschutz, Sicherheit und grundsätzliche "Cloud-Technik" ist der User Berechtigt die Cloud zu nutzen....technisch wird es über eine AD-Gruppe abgefertigt - nur Mitglieder dieser Gruppe lässt die OC-Installation zu.

Ein anderes Thema ist die Internetanbindung. Oft werden größere Datenmengen transferiert, macht das euere Leitung
überhaupt mit. Denn der Knackpunkt wie so oft der Upload eures Anschlusses. Denn es gibt nicht schlimmeres als wenn ich etwas
herunterladen möchte und es dauert 30 Minuten.

Naja aber irgendwie müssen wir als interne IT die Mitarbeiter beim Datenaustausch unterstützen. Die max. Mailgröße auf z.B. 50MB hochschrauben möchte ich ehrlich gesagt nicht. Die Möglichkeit "brenn dir ne CD und schicks per Post" wird's wegen Datensicherheitsbestimmungen nicht geben - Wechselmedien wie CD-Laufwerke, externe USB-Sticks sind gesperrt. Auf der anderen Seite verlangen die Chefs aber auch von uns eine gewisse Flexibilität...können ja nicht alles "dicht" machen und "nix" klappt mehr

Wenn dann doch mal ein paar mehr MB/GB getauscht werden sollen bleibt uns als interne IT leider nichts anderes übrig als den kram auf eine HDD zu ziehen und den Postweg zu nutzen - aber das kommt evtl. 2 mal im viertel Jahr vor....

Setz dich mit dem Datenschutz und Datensicherheit auseinander, bevor du irgendwas probierst. Dürfen Dateien ohne Passwort
überhaupt hochgeladen werden? Wie wird das Passwort nach außen kommuniziert, etc... es ist eine einfache Sache, kann
aber schnell nach hinten losgehen. Wir selber haben anfangs auf OwnCloud gesetzt. Auf Grund diversen Vorfälle durch
Mitarbeiter durch eine andere Lösung ersetzt, die leider Geld gekostet hat.

In der OC-Config haben wir die Verfallszeit eines Share-Links auf 3 Tage gesetzt. Wiederrum durch die OC-Config ist ein PW für Shares Pflicht. Die Datenschutz, Datensicherheitsinhalte werden den Kollegen, wie oben gesagt, durch ein "kurzes" Briefing beigebracht. Im Anschluss unterschreibt er den Erhalt der Informationen. Vor Einführung möchten wir allerdings noch, dass die Userordner in gewissen abständen geleert werden - aber da ist mein Skript noch nicht so weit.

Welche Lösung verwendet ihr?
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
gelöst DMZ hinter LAN? (8)

Frage von Lars15 zum Thema Netzwerkmanagement ...

LAN, WAN, Wireless
Verständnisfrage DMZ (11)

Frage von maddig zum Thema LAN, WAN, Wireless ...

Router & Routing
DMZ Verständnisfrage (2)

Frage von PharIT zum Thema Router & Routing ...

Netzwerkmanagement
DMZ hinter Fritzbox (11)

Frage von leon123 zum Thema Netzwerkmanagement ...

Neue Wissensbeiträge
Windows Update

Novemberpatches und Nadeldrucker bereiten Kopfschmerzen

(14)

Tipp von MettGurke zum Thema Windows Update ...

Windows 10

Abhilfe für Abstürze von CDPUsersvc auf Win10 1607 und 2016 1607

(7)

Tipp von DerWoWusste zum Thema Windows 10 ...

RedHat, CentOS, Fedora

Fedora 27 ist verfügbar

Information von Frank zum Thema RedHat, CentOS, Fedora ...

Heiß diskutierte Inhalte
Windows Server
Kennwort vergessen bei Hyper vserver 2012r (12)

Frage von jensgebken zum Thema Windows Server ...

Linux Desktop
Bildschirmauflösung unter Linux festlegen (12)

Frage von itebob zum Thema Linux Desktop ...

Windows Userverwaltung
gelöst Administrator hat alle Rechte verloren (10)

Frage von mrdead zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
Gebäude mit WLAN ausstatten (9)

Frage von udobec zum Thema LAN, WAN, Wireless ...