Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mal n Netz absichern

Frage Netzwerke Netzwerkgrundlagen

Mitglied: Aranha

Aranha (Level 1) - Jetzt verbinden

26.06.2012 um 22:33 Uhr, 4045 Aufrufe, 3 Kommentare

Hallo zusammen.

Ich habe folgende Situation vorgefunden, und habe ein paar Ideen zu den ich gern Eure Meinung hätte.

Ist-Zustand:
[img]http://www.fotos-hochladen.net/uploads/nwist2x5jlnv41s.jpg[/img][/url]

Ein Zentrale mit einem Win2k3-Server der neben AD- und File-Server auch Datenbank-Server ist, die im Intranet für eine Software das Backend ist.
Gleichzeitig läuft ein Apache-Webserver, der eine Website zur Verfügung stellt, die ebenfalls auf die Datenbank zugreift.

„Geschützt“ ist die ganze Angelegenheit nur durch eine Fritzbox mit Portfreigabe:80 auf den Server.
(Der Zugriff auf die Website selbst ist Passwortgeschützt (htaccess) und dann wird noch zusätzlich eine Benutzerlogin im System benötigt.)

Zusätzlich gibt es noch eine Filiale, die per VPN angebunden ist.
Den Tunnel graben sich die beiden AVM FBs.

Da die Mitarbeiter zwischen allen Plätzen wechseln, also auch mal in der Filiale arbeiten, sind Roaming Profile eingerichtet.

Die DSL-Anbindung ist beidseitig 16/1, das Roaming in die Filiale entsprechend langsam. Hoffe da kann bald 50/10.

Ist-Zustand ENDE

Mein angedachter erster Schritt: Firewalls & DMZ für Webserver
[img]http://www.fotos-hochladen.net/uploads/nwsoll964biofv5d.jpg[/img][/url]

Hinter den beiden FBs je eine Firewall (Cisco ASA 5505), die das VPN zueinander aufbauen.
An der DMZ hänge ich einen dedizierten Webserver.
Dann müsste ich doch in die Firewall nur ein Loch kloppen, damit der Webserver auf die DB zugreifen kann, oder?
Die FBs fungieren weiter als Modem-Router und NATs, daher wäre weiter ein Freigabe des Port 80 auf den Webserver von nöten, den die Firewall so auch durchlässt, ge?
Des Weiteren wäre ein Freigabe den VPN auf die Firewalls von nöten, oder?

Macht das so ein wenig Sinn oder bin ich aufm Holzweg?

Mit Dank im Voraus für jeden Input,
Aranha
Mitglied: Datenreise
27.06.2012 um 00:10 Uhr
Servus,

also davon abgesehen, dass ich mir nicht sicher bin, ob man den Bereich des Webservers in deiner Planung wirklich noch DMZ nennen kann, nachdem er hinter NAT-Router und Firewall hängt, denke ich ferner, dass du die Fritzboxen ersetzen oder umkonfigurieren solltest.
Meiner Meinung nach sollte die Cisco Appliance das erste Gerät hinter dem Modem sein, die Fritzbox also lediglich Modem spielen oder verschwinden. Ansonsten führt es -wenn nicht zu größeren Problemen- zumindest dazu, dass du ständig doppelt konfigurieren musst, nämlich in der Appliance sowie in der Fritzbox. Die Fritzbox in ihrer jetzigen Funktion empfinde ich nach deinen Umbauplänen als technisch überflüssig, denn das Cisco-Gerät sollte ja eigentlich sowieso all das tun (plus noch einiges mehr), was die FB kann.
Bitte warten ..
Mitglied: Aranha
27.06.2012 um 13:47 Uhr
Hallo Datenreise.

Vielen Dank für deine Antwort.
Genau an diesem Punkt bin ich auch unsicher: Ist die Fritzbox eine weitere Hürde, die zu nehmen ist, oder stellt sie eher ein Sicherheitsrisiko dar?
Keine Frage, dass die Cisco das alles besser macht.
Das mit der Doppel-Konfig ist auch nen echtes Argument.

Die DMZ versteh ich ohnehin net so richtig:
Warum soll ich meinen Webserver in eine Zone stellen, die keinerlei Schutz hat, wenn ich doch nen eigener Netz aufmachen kann, das nur die definierten Ports offen hat.
Auf dem Webserver selbst kann ich ja immernoch mit IP-Tables meinen Spaß haben, doch dass die eine Hardware-Firewall nicht ersetzt meine ich mittlerweile zuhauf gelesen zu haben.
(Gott, hoffe ich mache hier jetzt nicht zum hundertsten mal die Büchse der Pandora auch)

Greetz,
Aranha
Bitte warten ..
Mitglied: Datenreise
27.06.2012 um 21:50 Uhr
^^Zitat von Aranha:
(Gott, hoffe ich mache hier jetzt nicht zum hundertsten mal die Büchse der Pandora auf)

Guten Abend Aranha,

keine Sorge, ich bin da weitestgehend leidenschaftslos.

Also, es gibt sehr viele Aspekte und Facetten bei dieser Thematik. Prinzipiell ist die Fritzbox natürlich eine weitere Hürde. Und zwar für Leute außerhalb wie auch innerhalb eures Netzes...
Und meine Einschätzung ist hier, dass diese Hürde die "Inneren" mehr behindert, als sie noch erweitert und effektiv vor den "Äußeren" beschützt. Weiterhin ist so eine Fritzbox ein Heimanwender-Produkt und in nahezu allen Heimanwender-Routern wurden in den letzten Jahren Sicherheitslücken entdeckt. Kann jemand so eine Lücke ausnutzen, ist er möglicherweise in der Lage, sich zumindest in eurem Netzwerk umzusehen...

Letztlich sehe ich also deutlich mehr Nach- als Vorteile.

Das Prinzip von DMZ lasse ich dir mal lieber durch Wikipedia näherbringen: http://de.wikipedia.org/wiki/Demilitarized_Zone

Die Abwägung zwischen Hardwarefirewall und bspws. IPtables ist ebenfalls sehr facettenreich.
Gute Hardwarefirewalls gibt's nicht für ganz kleines Geld, dafür kommen sie in der Regel quasi einsatzbereit zu dir, bieten sehr viele Möglichkeiten zur Netzwerkadministration und sind mehr oder weniger übersichtlich zu konfigurieren. Weiterhin besitzen sie oftmals zumindest signaturbasierende Virenerkennung.

Software-Firewall auf dem Server kann man sicherlich machen, wenn es nicht die Verteidigungslinie gegen das Internet darstellt. Denn wenn jemand fast automatisch deinen Server übernimmt, "nur" weil er in deine Firewall eingedrungen ist, siehst du ganz deutlich den Nachteil, wenn die Firewall eben kein eigenständiges Gerät ist.
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Informationsdienste
NSA-Ausschuss: Wikileaks stellt 90 Gigabyte an Akten ins Netz (3)

Link von Frank zum Thema Informationsdienste ...

Debian
Debian 8.6 Absichern? (12)

Frage von Motte990 zum Thema Debian ...

DSL, VDSL
DSL-Störung im Telekom-Netz (6)

Link von sabines zum Thema DSL, VDSL ...

Heiß diskutierte Inhalte
Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...