unique24
Goto Top

Lokalen Webserver ins Internet auslegen

Hallo,

Ich habe ein Webbasierendes Warenwirtschaftssystem lokal unter 192.168.0.8:8899 laufen.

Ich habe auch einen Linux Root Server im Internet laufen unter company.com
Kann ich den lokalen Server hinter den öffentlichen verstecken?

Ein Aufruf von https://company.com soll die Weboerfläche des lokalen Server darstellen, welcher über ein Portforwarding erreichbar ist.

Ist Reverse Proxy und nginx der passende Ansatz?

Danke!

Content-Key: 325849

Url: https://administrator.de/contentid/325849

Ausgedruckt am: 19.03.2024 um 06:03 Uhr

Mitglied: Vision2015
Vision2015 08.01.2017 um 21:04:46 Uhr
Goto Top
nabend...

was möchtest du genau machen, deine WAWI im Internet für jeden erreichbar machen ?

Frank
Mitglied: unique24
unique24 08.01.2017 um 21:07:01 Uhr
Goto Top
Ja so in der Art. Nur das Kundenportal soll erreicht werden
Mitglied: falscher-sperrstatus
falscher-sperrstatus 08.01.2017 aktualisiert um 21:11:29 Uhr
Goto Top
Er denkt sich einfach, der Open Source Ansatz ist toll. Daher möchte er jetzt der Content Mafia entgegentreten ;)

@unique24: Nach der Art, wie du Fragst - lass es besser!
Mitglied: Vision2015
Vision2015 08.01.2017 um 21:13:33 Uhr
Goto Top
Zitat von @unique24:

Ja so in der Art. Nur das Kundenportal soll erreicht werden
Wozu ?

Frank
Mitglied: unique24
unique24 08.01.2017 um 21:32:18 Uhr
Goto Top
Was ist den das für eine dumme Antwort?
Willst du mir was unterstellen?

Klär uns bitte mal auf!
Mitglied: unique24
unique24 08.01.2017 aktualisiert um 21:42:04 Uhr
Goto Top
Hallo Frank,

Ist das von Bedeutung? face-smile

Ich möchte ein lokalen Webserver im Internet öffentlich stellen, aber die Möglichkeit haben, bestimmte Request zu blockieren.
Mitglied: em-pie
em-pie 08.01.2017 um 21:46:05 Uhr
Goto Top
Moin,

Was die Vorredner mitteilen wollen:
Wenn das Kundenportal direkt gegen dein ERP connected, ist das schon mal eine erste Tür für Angreifer.
Wenn das Kundenportal Stand-Alone in einer DMZ steht, wäre das schon mal etwas besser, da dann nicht die ganze Welt direkt gegen das ERP arbeitet.
Des Weiteren: ist das System dafür vorgesehen, ein öffentliches Kundenportal anzubieten. Denn das System sollte dann entsprechend abgesichert sein. Mindestens durch ein signiertes, gekauftes, öffentliches Zertifikat.

Und dann, um dein Problem zu lösen:
Habt ihr eine feste, öffentliche IP?
Falls ja: einen DNS-Eintrag auf die IP setzen (lassen) und an eurer Firewall einen WebProxy/ Reverse-Proxy dazwischen setzen.


Um die Sicherheit des ERPs zu gewahren: Überlegt euch euer Vorhaben genau. Kommen Daten abhanden, wird das (aus Datenschutzrechtlichen Gesichtspunkten) sehr schnell unangenehm...


Gruß
em-pie
Mitglied: unique24
unique24 08.01.2017 aktualisiert um 21:56:19 Uhr
Goto Top
Hallo,

Danke für die Erklärung!

Die Wawi ist odoo und ich blockiere mit einem Filter alle Request die auf die Konfigoberfläche gehen. Wobei das über das User Login gesichert sein soll. Auch ist eine Shop und Kundenportal Funktion integriert und ich meine schon das dies abgesichert ist.


Ssl Zertifikat wird dann gekauft um mit Verschlüsselung zu arbeiten.

Nginx scheint hier die korrekte Wahl zu sein?

Danke und schönen Abend
Mitglied: em-pie
em-pie 08.01.2017, aktualisiert am 09.01.2017 um 08:54:07 Uhr
Goto Top
Dennoch:
Das Portal gehört auf einen eigenen Webserver, welcher in die DMZ gehört. Zugriffe auf das Config-Portal oder euer internes Portal sind von dort nicht zulässig.

Zudem würde ich, wenn ich euer Kunde wäre, nicht auf das Portal kommen, da der Port 8899 nicht explizit freigegeben ist. Folglich wirst du nur wenig Erfolg mit dem Portal haben, denke ich!
Mitglied: BirdyB
BirdyB 08.01.2017 um 22:56:00 Uhr
Goto Top
Ich würde die Anbindung des Servers dann auch vielleicht über VPN realisieren und nicht nur direkten Reverse-Proxy übers Netz spielen.
Ansonsten wurde zur DMZ ja schon einiges gesagt...
Mitglied: StefanKittel
StefanKittel 09.01.2017 um 07:31:18 Uhr
Goto Top
Moin,

technisch ist das kein Problem.
Du kannst den Server mit einem Reverse-Proxy (z.B. nginx) oder direkt mit einem Hostnamen (z.B. wawi-firma.de) ins Internet stellen.

Beides lässt sich rudimentär absichern mit einer htaccess, Vorschaltseite oder Client-Zertifikaten mit Anmeldung.
Die Frage die Du klären musst ist wie sicher diese Webportal ist und welchen Schaden ein Angreifer verursachen könnte.
Auch die Frage wie sicher der Webserver ist solltest Du klären.

War odoo nicht vorher OpenERP?
Die Software ist dafür ausgelegt im Web zu laufen und nutzt OpenSource als Webserver.
Es gibt dies auch als SaaS-Angebot. Ich würde mal grundlegend davon ausgehen, dass es Sicherheitstechnisch kein grundlegendes Problem gibt.
Es bleibt natürlich ein Risiko und Du solltest prüfen, was Du zur minimierung dieses Risikos tun kannst.

Stefan
Mitglied: Vision2015
Vision2015 09.01.2017 um 08:12:38 Uhr
Goto Top
moin,

die Software mag das ja können- kann der TO das auch?
nicht unwichtig ist ja, wie der Linux Server eingerichtet wurde etc..
alleine die Fragestellung sagt mir, der TO weiß nicht 100% was er macht- selbst eine Anwort bringt ihn
nicht viel weiter... es müssen zuviele dinge beachtet werden!

Frank
Mitglied: maretz
maretz 09.01.2017 um 09:49:40 Uhr
Goto Top
Moin,

das wird so nicht gehen wie du dir das vorstellst...
a) SSL: Hier nutzlos weil du ja eh eine Weiterleitung machst. Dein SSL wird also (hoffentlich) sagen das die Anfrage nen Redirect macht und somit der Anbieter nicht mehr sicher ist.

b) Du musst dir in JEDEM fall bewusst sein das du aufgrund von Sicherheitslücken usw. riskierst alle Daten zu veröffentlichen.

c) deine private Leitung (auch bei Firmenleitungen) ist eine private Leitung -> da hat was öffentliches nichts drin verloren. Jede gute Firewall wird schon verhindern das ein Anwender einfach irgendwelche Ports betritt... Wenn müsstest du bei dir also einen Standard-Port verwenden was die Angriffe auf dein System erhöht. Oder du müsstest einen Proxy zwischenschalten der das dann lokal cachen würde...

Ich würde daher zu einem VPN raten wenn der extern erreicht werden soll - und wenn du Daten aus dem WWS ins Netz haben willst z.B. die Daten per Cron exportieren und dann nur diese anzeigen. Lässt du dich aber nicht überzeugen ist z.B. JK_mod oder ModJK dein Freunt -> da kannst du Mountpoints setzen und die Redirecten lassen.
Mitglied: unique24
unique24 09.01.2017 um 12:55:50 Uhr
Goto Top
Hallo Stefan,

vielen Dank für deine Antwort.

Ja, odoo ist vormalig openerp gewesen.

Ja, um das Risiko zu minimieren, wäre einige Ideen sehr Willkommen.

Wenn ich nginx einsetze:
1. Dann ist der Zugriff nicht direkt auf meinen Server, richtig? Ausnahme die URl´s die ich in nginx frei gebe, damit das Portal arbeiten kann
2. Wenn ein Hacker versucht, mein ERP zu knacken, kann er nur über das Portal versuchen, Richtig? Jeglichen anderen URLS oder direkt Zugriff per SSH oder andere Ports sind nicht möglich?
3. Webserver in die DMZ. Das ist mir leider nicht klar. Das Login ist für das ERP und Portal das selbe. Nach dem Login splittet sich dann der Zugriff. Oder ist damit gemeint, die Sourcen vom Portal aus Odoo auf einen eigenen Server in die DMZ zu legen?
4. Falls sich jemand das Passwort eines admin ermächtigt ... das Login würde scheitern, da die Subseiten gesperrt sind
5. Mein Odoo Server lässt nur lokale eingehende Verbindungen zu und einmal der öffentliche Server mit der statischen IP. Somit kann niemand so einfach die Portweiterleitung nutzen. Werde versuchen da vielleicht noch loakel, hinter dem Router, einen IPCop dazwischen zu setzen. Oder was wäre aktuell das Mass für eine "einfache" Firewall?
6. Wie müsste ich die DMZ aufbauen? Leider verstehe ich noch nicht, wie ich das Portal aus Odoo separat in einer DMZ betreiben soll/kann

Vielen Dank!
Mitglied: unique24
unique24 09.01.2017 um 12:58:03 Uhr
Goto Top
Hallo,

sorry, aber ich verstehe noch nicht wie ich das Portal abtrennen soll? Ich würde das ja beim nginx Server machen, der im Internet mit einer öffentlichen IP steht und dort alle Anfragen reinkommen. Dort werden nur die URL weiter geroutet, die zum Portal gehören. Alles andere nicht.

Danke
Mitglied: unique24
unique24 09.01.2017 um 13:00:51 Uhr
Goto Top
Hallo Frank,

bin ich bei dir mal irgendwie in Ungnade gefallen? Du weißt schon das wir hier in einem Forum sind.
Würde ich alles wissen, bräuchte ich ja kein Thema starten.

Es geht ja speziell drum, sich hier Lösungen und Hilfe zu suchen.
Oder bist du Dienstleister und möchtest keine DIY Themen hier sehen?
Mitglied: maretz
Lösung maretz 09.01.2017 um 13:47:56 Uhr
Goto Top
Moin,

ohne den frank nu zu kennen würde ich mal sagen es liegt an folgendem:
Dir sagen eigentlich alle hier "lass es, es ist keine gute Idee" - du willst es trotzdem. Die chance das du dann in 4-8 Wochen einen thread eröffnest "meine Daten sind weg" oder "meine Daten wurden geklaut" sind nicht sooo schlecht. Und du bist nicht der erste der das hier macht...

Also: Du glaubst das es reicht deine paar URLs zu filtern? Nun - nehmen wir mal an (ohne deine WWS zu kennen) das dort eine kleine Sicherheitslücke existiert. Und zwar fängt dein System bei der Seite die du ausführen willst einen sql-befehl nicht korrekt ab. Jetzt mache ich z.B. beim Login eine schöne SQL-Injection und schon gehört mir dein Server. Wen interessieren da noch Unterseiten wenn ich die DB habe?

Wo ist jetzt also schon mal der Unterschied zwischen Server in "produktion" und in "DMZ"? Ganz einfach: Der DMZ vertraut meine Firewall ebenfalls nicht. Die Kommunikation dahin ist nur wenig offener als die zum Internet (weil ich da die Ports ja kenne die ich brauche). Möchtest du aus der DMZ z.B. einen Portscan auf mein Arbeitsnetz machen wird die Firewall das melden. Machst du das von einem internem Netzwerk möglichst noch im selben IP-Segment gibt es keine Firewall dazwischen. Ich kann also mit einem entsprechendem Zugriff fröhlich munter in deinem Netz rumtoben...

Es gab z.B. mal die uralte Version das du auf einem Windows-Server eine URL aufrufst die dir eine cmd öffnet. Was macht z.B. dein Redirect wenn du einstellst "leite www.xyz.ab/def -> 192.168.99.99:1234 um" und ich rufe "www.xyz.ab/def/../irgendwas" auf? Dein Redirect wird erst mal die URL erkennen und loslegen.

Also: Es geht nicht gegen dich, aber die meisten hier warnen aus gutem Grund vor solchen Konstrukten. Denn durch diese Konstrukte verlieren Firmen ihre Daten und jeder hier bekommt fröhliche Spam-Mails... Weil irgendwer in irgendeiner Firma halt meinte das da schon nichts passieren wird...
Mitglied: Vision2015
Vision2015 09.01.2017 um 14:19:00 Uhr
Goto Top
Zitat von @unique24:

Hallo Frank,
Hallo...

bin ich bei dir mal irgendwie in Ungnade gefallen? Du weißt schon das wir hier in einem Forum sind.
nein, du bist nicht in Ungnade gefallen, und JA... das ist ein Forum.
und wenn du Richtig gelesen hast, ist es ein Adminstratoren Forum! Klingelt da etwas bei dir ?
wenn nicht, egal....
Würde ich alles wissen, bräuchte ich ja kein Thema starten.
Richtig.. na ja - alles...
wenn ich deine Fragestellung so lese, ist dein Fachwissen dazu bei unter 10 %

Es geht ja speziell drum, sich hier Lösungen und Hilfe zu suchen.
Richtig, aber wenn dir die Admins hier sagen, hör mal- lass es sein, und wenn hole dir Hilfe ( Systemhaus) warum verstehst du das nicht ?
wir wollen dir doch nix- im gegenteil....
da du ja mit einer WAWI im Inet unterwegs sein möchtest, gehe ich einmal davon aus- du verdienst geld dammit!
deswegen frage ich mich- warum kaufst du nicht Hilfe ein- und kannst sicher sein, das beste für dich und deine Kunden getan zu haben.
du selber kannst es ja offensichtlich nicht- oder liegt es an open source = Kostenlos ? nutzt ja nix- auch wenn es Kostenlos ist- du kannst es nicht!
meine Fragen oder Anregungen waren nicht sooo Falsch...
wir wissen nicht wie dein Server eingerichtet ist... ich kann dir jetzt schon sagen, 70 % aller Linux Server, die ich in die Finger bekomme, haben für alle Dienste Root als user... !!!!!
ich habe auch geschrieben:
alleine die Fragestellung sagt mir, der TO weiß nicht 100% was er macht- selbst eine Anwort bringt ihn
nicht viel weiter... es müssen zuviele dinge beachtet werden!

und... ich hatte recht.. bis jetzt lese ich bei dir immer mehr fragen!

Oder bist du Dienstleister und möchtest keine DIY Themen hier sehen?
Ja- ich bin Dienstleister...
was du hier nicht bekommst ist von einem Admin eine DIY Anleitung, wie du den karren gegen die wand fahrst....

Frank
Mitglied: unique24
unique24 09.01.2017 um 18:14:55 Uhr
Goto Top
Hallo,

nun, wenn da von allen so ein starker Gegenwind kommt, werde ich überlegen das ganze auf Magento auszulagern. Einen Export Connector habe ich dafür.

Da Odoo das out-of-the-box anbietet, hoffte ich das das schon durchdacht und sicher sei .. wobei es keine 100% Sicherheit gibt.

Dank dir!