Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Server hinter NAT, Port-Forwarding nicht möglich, wie Server ins Netz bringen?

Frage Sicherheit Firewall

Mitglied: 20cmdiskette

20cmdiskette (Level 1) - Jetzt verbinden

18.12.2011, aktualisiert 18.10.2012, 5853 Aufrufe, 7 Kommentare

Ich habe einen Server (vielleicht später sogar mehrere), den ich ins Netz bringen will. Der Server soll zunächst nur einen WEbserver beherbergen, weitere Anwendungen sollen später dazu kommen. Problem: Der NAT-Router, hinter dem ich hänge, ist nicht unter meiner Kontrolle, sondern wird von einem anderen Administrator verwaltet. Der hat zwar nichts gegen meinen Server, er hat mir sogar per Peg-DHCP (damit werden in unserem Netz die IPs verwaltet) eine IP für den Server gegeben (dies hat aber etwa 2 Wochen gedauert, ab der schriftlichen Antragstellung gemessen). Aber er weigert sich, mir Port-Forwardings für meinen Server zu geben, sodass dieser nicht von außen erreichbar ist.

Begründung für sein Querstellen ist, dass Portforwardings angeblich nicht mit dem Sicherheitskonzept des Netzwerks vereinbar wären. Unser Netz besteht aus einer FRitzbox (das auch als NAS dient), mehreren Windows-Rechnern (2000, XP und 7), einem Netzwerkdrucker, mehreren Debian-PCs und einem Server. Die Debian-Rechner (zu denen auch der Server gehört) werden von mir betreut, für den Rest ist der besagte Netzwerkadmin zuständig. Der besagte Netzwerkadmin hat ein Sicherheitskonzept, das folgendermaßen aussieht: Die Rechner kriegen lokal keinerlei Absicherung (abgesehen von den auf manchen REchnern vorhandenen Virenscannern). Zugriffe zwischen den verschiedenen Geräten (auf DAteifreigaben und den Drucker) erfolgen ohne jeden Zugriffsschutz, man braucht hierfür noch nicht einmal Passwörter. Für Sicherheit soll die Fritzbox sorgen, indem sie von außen keine Zugriffe reinlässt. Das Einrichten eines Portforwardings, so der Admin würde die Sicherheit des gesamten Netzes gefährden, sodass er mir kein Portforwarding genehmigen könne, da durch das Portforwarding ja Leute von außen auf das interne Netz zugreifen könnten, was nach Meinung des Netzwerk- und Windows-Admins ein erhebliches Sicherheitsrisiko wäre.

Jetzt frage ich mich, wie ich meinen Server von außen erreichbar machen soll. Der Netzwerkadmin ist übrigens ein studierter Diplom-Informatiker, der studiert hat, als es die Vorlesung "Rechner-Kommunikation" noch nicht gegeben hat. Aber dass er keine Ahnung von Netzen hat, will er nicht einsehen.

Ich würde mich deshalb freuen, wenn mir jemand Vorschläge geben könnte, wie ich den Server von außen erreichbar machen kann, denn ich bin langsam am verzweifeln. Bitte kommt mir nicht mit Vorschlägen wie "Stell den Server ganz woanders auf", denn diese Option habe ich nicht.

Gruß 20cmdiskette
Mitglied: Arch-Stanton
18.12.2011 um 01:06 Uhr
Aber dass er keine Ahnung von Netzen hat, will er nicht einsehen.

Vielleicht solltest Du Dir mal an die eigene Nase fassen...

Gruß, Arch Stanton
Bitte warten ..
Mitglied: Andii.S
18.12.2011 um 04:01 Uhr
Alles, was über den offenen Port läuft, kommt auch nur an Deinem PC an
http://de.wikipedia.org/wiki/Portweiterleitung
etwas aufwendiger: http://de.wikipedia.org/wiki/Proxy_%28Rechnernetz%29
Bitte warten ..
Mitglied: mrtux
18.12.2011 um 06:07 Uhr
Hi !

Unsere Kommentare werden Dir eh nicht gefallen und daher kann ich mich Stanton gleich anschliessen, falls es sich tatsächlich um ein Firmennetzwerk handelt, dann würde ich vorschlagen, dass Du besser auf deinen Kollegen hörst oder bitte besser gleich die Finger davon lässt, denn in einem Firmennetzwerk geht es oftmals um Daten der Firmenkunden und nicht nur um eine popelige private MP3 Sammlung oder um Urlaubsbilder, was je nach Inhalt auch schon gefährlich sein kann... :-P

Ich will dir ja nicht zu nahe treten aber wie kommst Du auf die Schnapsidee, dass dein Admin Kollege keine Ahnung von Netzwerken hätte? In dem von dir beschriebenen Szenario, also nur mit der Fritzbox, ist seine Aussage sicherlich nicht ganz falsch, wenn es auch sonst am ganzen "Konzept" mangelt. Ich lese aus deiner Frage jedenfalls, dass Du dir jedenfalls über die Tragweite deines Handelns schon gleich gar nicht bewusst bist, denn ein erfahrener und qualifizierter Admin stellt auf jeden Fall keinen Webserver (oder was auch immer für einen Server) über einfache Portforwards ins Netz. Sowas kannst Du daheim im stillen Kämmerlein machen (wo gerade mal deine besagten Urlaubsbilder gespeichert sind) oder mal zu Testzwecken aber in einem echten Firmennetzwerk macht man das jedenfalls nicht...

mrtux

PS: Eine "DMZ für Arme" habe ich mir besser verkniffen, sonst grillt mich aqui...
Bitte warten ..
Mitglied: aqui
18.12.2011, aktualisiert 18.10.2012
Ganz Unrecht hat der Informatiker nicht. PFW ist immer eine Krücke in puncto Sicherheit gerade wenn dort billige Consumer Router wie FB & Co. im Einsatz sind.
Um dein Problem zu lösen solltest du ihm ein Konzept mit einer richtigen DMZ vorstellen. Genau so würde man das wasserdicht lösen und es würde auch in sein Sicherheitskonzept passen.
Dafür nimmst du einen kleine, preiswerte Firewall wie z.B. diese hier:
http://www.administrator.de/wissen/preiswerte%2c-vpn-f%c3%a4hige-firewa ...
Diese hat 3 physische Interfaces. An eins schliesst du den vorhandenen Router an (am besten als Modem mit PPPoE Passthrough oder ein dediziertes DSL Modem. An einem Segment ist die DMZ mit deinem Server und am anderen das lokale Netzwerk.
Über Access Regeln in der Firewall stellst du das nun so ein das von außen nur ein Zugriff auf deinen Server möglich ist NICHT aber ins lokale LAN. Das kann nur auf den Server und nur auf den bestimmten Dienst zugreifen.
Eben das klassische Konzept einer richtigen DMZ wie es auch unten die Kollegen gemini und Lochkarte... zu Recht ansprichen.
Das dürfte den Informatiker beeindrucken, denn so ist es klassisch und sicher und keine solche Bastel- und Frickellösung wie du es vorhast mit der FB allein !
Bitte warten ..
Mitglied: gemini
18.12.2011 um 11:01 Uhr
Hallo 20cmdiskette,

was das Portforwarding ins LAN betrifft haben meine Vorrredner sicher recht.
Noch vielmehr falls das "Sicherheitskonzept" wirklich so ist wie von dir beschrieben.
Die Rechner kriegen lokal keinerlei Absicherung (abgesehen von den auf manchen REchnern vorhandenen Virenscannern).
Zugriffe zwischen den verschiedenen Geräten (auf DAteifreigaben und den Drucker) erfolgen ohne jeden Zugriffsschutz, man braucht hierfür noch nicht einmal Passwörter.
Für Sicherheit soll die Fritzbox sorgen, indem sie von außen keine Zugriffe reinlässt.
Wenn er in den genannten Szenario Ports öffnet kann er sich ein echtes Problem schaffen.
Das auch vor dem Hintgergrund, dass das Monitoring der FritzBox wahrscheinlich nicht dem von Appliances von Cisco, Juniper etc. entspricht, er also mglw. gar nicht soviele Informationen zur Verfügung hat um Einbrüche feststellen und verfolgen zu können.
Er wäre daher auf die Logs deiner Debian-Rechner (also auf deinen goodwill) angewiesen. Würdest du dich in eine solche Situation begeben?

Ich würde das lösen, indem ich den Webserver in ein Perimeter stelle. Ich meine hier eine richtige DMZ, keinen 'Exposed host'.
Falls die Fritzbox dies nicht unterstützt (und da du ja schreibst dass es mglw. noch mehr Server werden), würde ich die Anschaffung einer richtigen Firewall mit DMZ-Unterstützung empfehlen.
Ggfs. kann es auch mit zwei Fritzboxen o.ä. realisiert werden.

In jedem Fall wirst du auf die Zusammenarbeit mit dem Netzwerkadmin angewiesen sein und da ist es nicht hilfreich ihm im Vorfeld schon jegliche Kompetenz abzusprechen.

Gruß,
gemini
Bitte warten ..
Mitglied: Lochkartenstanzer
18.12.2011 um 12:18 Uhr
Hallo 8" (Disketten werden nicht in cm gemessen!).

mag sein, daß dein Netzwerkadmin keine Ahnung hat, aber wie die anderen Kollegen sagten: Erstmal an die eigene Nase fassen!

Mein Vorschlag wäre, dasß Du dich mit Deinem Netzwerkadmin zusammensetzt und mit Ihm konstruktiv an die Lösung des Problems gehst.

  • Fritzbox als reines Modem
  • Anschaffung eines ordentlichen Routers oder gleich einer Firewall.
  • Migration der von außen erreichbaren Systeme in eine DMZ.

Und solange innerhalb des Firmennetzes "jeder alles darf" (so interpretiere ich jedenfalls Deine Beschreibung oben), ist es ein "Russisch-roulette"-Spiel, irgendetwas über die fritzbox reinzulassen.

lks
Bitte warten ..
Mitglied: aqui
22.12.2011 um 16:47 Uhr
@20cmdiskette
Wenns das denn nun war oder du kein Interesse an einem Feedback mehr hast bitte dann auch
http://www.administrator.de/index.php?faq=32
nicht vergessen !!
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Router & Routing
LTE: statische IP über OpenVPN Server - Openwrt - Port forwarding (5)

Frage von cypher2045 zum Thema Router & Routing ...

Server
gelöst Server ans Netz bringen (8)

Frage von Marabunta zum Thema Server ...

Router & Routing
Routing und Port Forwarding für FTP-Transfer (2)

Frage von steff911 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...