Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mal n Netz absichern

Frage Netzwerke Netzwerkgrundlagen

Mitglied: Aranha

Aranha (Level 1) - Jetzt verbinden

26.06.2012 um 22:33 Uhr, 4058 Aufrufe, 3 Kommentare

Hallo zusammen.

Ich habe folgende Situation vorgefunden, und habe ein paar Ideen zu den ich gern Eure Meinung hätte.

Ist-Zustand:
[img]http://www.fotos-hochladen.net/uploads/nwist2x5jlnv41s.jpg[/img][/url]

Ein Zentrale mit einem Win2k3-Server der neben AD- und File-Server auch Datenbank-Server ist, die im Intranet für eine Software das Backend ist.
Gleichzeitig läuft ein Apache-Webserver, der eine Website zur Verfügung stellt, die ebenfalls auf die Datenbank zugreift.

„Geschützt“ ist die ganze Angelegenheit nur durch eine Fritzbox mit Portfreigabe:80 auf den Server.
(Der Zugriff auf die Website selbst ist Passwortgeschützt (htaccess) und dann wird noch zusätzlich eine Benutzerlogin im System benötigt.)

Zusätzlich gibt es noch eine Filiale, die per VPN angebunden ist.
Den Tunnel graben sich die beiden AVM FBs.

Da die Mitarbeiter zwischen allen Plätzen wechseln, also auch mal in der Filiale arbeiten, sind Roaming Profile eingerichtet.

Die DSL-Anbindung ist beidseitig 16/1, das Roaming in die Filiale entsprechend langsam. Hoffe da kann bald 50/10.

Ist-Zustand ENDE

Mein angedachter erster Schritt: Firewalls & DMZ für Webserver
[img]http://www.fotos-hochladen.net/uploads/nwsoll964biofv5d.jpg[/img][/url]

Hinter den beiden FBs je eine Firewall (Cisco ASA 5505), die das VPN zueinander aufbauen.
An der DMZ hänge ich einen dedizierten Webserver.
Dann müsste ich doch in die Firewall nur ein Loch kloppen, damit der Webserver auf die DB zugreifen kann, oder?
Die FBs fungieren weiter als Modem-Router und NATs, daher wäre weiter ein Freigabe des Port 80 auf den Webserver von nöten, den die Firewall so auch durchlässt, ge?
Des Weiteren wäre ein Freigabe den VPN auf die Firewalls von nöten, oder?

Macht das so ein wenig Sinn oder bin ich aufm Holzweg?

Mit Dank im Voraus für jeden Input,
Aranha
Mitglied: Datenreise
27.06.2012 um 00:10 Uhr
Servus,

also davon abgesehen, dass ich mir nicht sicher bin, ob man den Bereich des Webservers in deiner Planung wirklich noch DMZ nennen kann, nachdem er hinter NAT-Router und Firewall hängt, denke ich ferner, dass du die Fritzboxen ersetzen oder umkonfigurieren solltest.
Meiner Meinung nach sollte die Cisco Appliance das erste Gerät hinter dem Modem sein, die Fritzbox also lediglich Modem spielen oder verschwinden. Ansonsten führt es -wenn nicht zu größeren Problemen- zumindest dazu, dass du ständig doppelt konfigurieren musst, nämlich in der Appliance sowie in der Fritzbox. Die Fritzbox in ihrer jetzigen Funktion empfinde ich nach deinen Umbauplänen als technisch überflüssig, denn das Cisco-Gerät sollte ja eigentlich sowieso all das tun (plus noch einiges mehr), was die FB kann.
Bitte warten ..
Mitglied: Aranha
27.06.2012 um 13:47 Uhr
Hallo Datenreise.

Vielen Dank für deine Antwort.
Genau an diesem Punkt bin ich auch unsicher: Ist die Fritzbox eine weitere Hürde, die zu nehmen ist, oder stellt sie eher ein Sicherheitsrisiko dar?
Keine Frage, dass die Cisco das alles besser macht.
Das mit der Doppel-Konfig ist auch nen echtes Argument.

Die DMZ versteh ich ohnehin net so richtig:
Warum soll ich meinen Webserver in eine Zone stellen, die keinerlei Schutz hat, wenn ich doch nen eigener Netz aufmachen kann, das nur die definierten Ports offen hat.
Auf dem Webserver selbst kann ich ja immernoch mit IP-Tables meinen Spaß haben, doch dass die eine Hardware-Firewall nicht ersetzt meine ich mittlerweile zuhauf gelesen zu haben.
(Gott, hoffe ich mache hier jetzt nicht zum hundertsten mal die Büchse der Pandora auch)

Greetz,
Aranha
Bitte warten ..
Mitglied: Datenreise
27.06.2012 um 21:50 Uhr
^^Zitat von Aranha:
(Gott, hoffe ich mache hier jetzt nicht zum hundertsten mal die Büchse der Pandora auf)

Guten Abend Aranha,

keine Sorge, ich bin da weitestgehend leidenschaftslos.

Also, es gibt sehr viele Aspekte und Facetten bei dieser Thematik. Prinzipiell ist die Fritzbox natürlich eine weitere Hürde. Und zwar für Leute außerhalb wie auch innerhalb eures Netzes...
Und meine Einschätzung ist hier, dass diese Hürde die "Inneren" mehr behindert, als sie noch erweitert und effektiv vor den "Äußeren" beschützt. Weiterhin ist so eine Fritzbox ein Heimanwender-Produkt und in nahezu allen Heimanwender-Routern wurden in den letzten Jahren Sicherheitslücken entdeckt. Kann jemand so eine Lücke ausnutzen, ist er möglicherweise in der Lage, sich zumindest in eurem Netzwerk umzusehen...

Letztlich sehe ich also deutlich mehr Nach- als Vorteile.

Das Prinzip von DMZ lasse ich dir mal lieber durch Wikipedia näherbringen: http://de.wikipedia.org/wiki/Demilitarized_Zone

Die Abwägung zwischen Hardwarefirewall und bspws. IPtables ist ebenfalls sehr facettenreich.
Gute Hardwarefirewalls gibt's nicht für ganz kleines Geld, dafür kommen sie in der Regel quasi einsatzbereit zu dir, bieten sehr viele Möglichkeiten zur Netzwerkadministration und sind mehr oder weniger übersichtlich zu konfigurieren. Weiterhin besitzen sie oftmals zumindest signaturbasierende Virenerkennung.

Software-Firewall auf dem Server kann man sicherlich machen, wenn es nicht die Verteidigungslinie gegen das Internet darstellt. Denn wenn jemand fast automatisch deinen Server übernimmt, "nur" weil er in deine Firewall eingedrungen ist, siehst du ganz deutlich den Nachteil, wenn die Firewall eben kein eigenständiges Gerät ist.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Windows server RDP mit zertifikaten absichern (5)

Frage von EricG95 zum Thema Windows Server ...

Router & Routing
gelöst Verbindung zu entferntem Netz über VPN über Mikrotik RB2011 - Fritzbox1 - VPN - Fritzbox2 (12)

Frage von PaulchenHardy zum Thema Router & Routing ...

Erkennung und -Abwehr
IT-Sicherheit: Gefangen e im Netz (2)

Link von kaiand1 zum Thema Erkennung und -Abwehr ...

Neue Wissensbeiträge
Drucker und Scanner

Samsung SL-M4025ND, firmware update und (kompatible) Tonerkassetten

(1)

Erfahrungsbericht von markus-1969 zum Thema Drucker und Scanner ...

Router & Routing

PfSense auf Supermicro Intel Xeon D-15x8 SoC Bare Bone

Tipp von Dobby zum Thema Router & Routing ...

Windows Server

Exchange 2010 auf Windows Server 2016 und AD

(2)

Tipp von Herbrich19 zum Thema Windows Server ...

KVM

How to: Libvirt Port forwarding

(2)

Anleitung von fundave3 zum Thema KVM ...

Heiß diskutierte Inhalte
Router & Routing
über Vmware auf eine FritzBox mit IPv6 per VPN (17)

Frage von Zockervogel zum Thema Router & Routing ...

Basic
Programmierung von Windows Programmen (8)

Frage von Ghost108 zum Thema Basic ...