Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Serverzugang sicher einrichten

Frage Internet Server

Mitglied: istike2

istike2 (Level 2) - Jetzt verbinden

17.06.2011 um 17:54 Uhr, 4564 Aufrufe, 7 Kommentare

Hallo,

ich habe mit einer Synology NAS-Laufwerk für unser Team einen Mail- und Fileserver eingerichtet. Auf dem Server läuft die interne Mailkommunikation und hier werden auch wichtige Arbeitsdocs gespeichert.

Auf jeden Fall musste die ganze Sache sehr sicher sein. Als Backup ist ein zweite NAS zuständig, worauf alle Daten gespiegelt werden.

Um die Daten nicht in einem fremden Rechenzentrum unterbringen zu müssen, wurde der Server im Büro, in einem kleinen Schrank gelagert. Der DSL-Zugang hat ein Upload von 2Mbits. Es reicht also für die 10-12 Mitarbeiter aus.

Das LAN wird von einem Router geschützt. Das Büro hat keine feste IP, der Server wird über eine Dyndns-Adresse erreicht. Die benötigten Ports 25, 443, 80, 993, 5001 werden auf die NAS umgeleitet. Auch die NAS hat einen interne IP-Blockierung. Ausser dieser Ports werden alle andere Ports blockiert. Die von mir erstellten Kennwörter, die die Mitarbeiter nicht ändern dürfen sind ziemlich stark (ca. "Z_mitarb_B_2008_c").

Webzugriff auf den Dateimanager ist nur über HTTPS (inkl. WebDAV) möglich, E-Mail-Postfächer sind über IMAP (SSL/TLS) zugänglich.

Hat jemand noch eine Idee, was man noch für mehr Sicherheit machen könnte? Die Struktur des Teams mach Internetzugang notwendig, Sicherheit ist aber eine große Priorität.

Eine Option wäre auf VPN zu setzen. Dann könnte ich auch den Kreis der externen IPs einschränken. Ich weiß aber nicht, ob der Sicherheitsunterschied wirklich den Aufwand lohnt.

Danke für die Tipps.

Gr. I.
Mitglied: Arch-Stanton
17.06.2011 um 18:25 Uhr
Standardmäßig würde ich bei solch einer Kombination immer einen VPN-Zugang bereitstellen. Hierfür wäre ja "Windows-VPN", also pptp völlig ausreichend. Welchen Router hast Du denn? Draytek oder eine selbsgebaute Monowall wären hier preisgünstige Alternativen. Ich habe z.B. einen Lancom-Router als zentrale Firewall und dahinter eine Monowall als VPN-Zentrale, da die Lizensierung hierbei nicht anfällt. Der gre-port wird dann vom Router weitergeleitet.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: Byteblizz
17.06.2011 um 18:28 Uhr
kennwörter sollte man von zeit zu zeit schon wechseln.

Lg
Bitte warten ..
Mitglied: jsysde
17.06.2011 um 21:29 Uhr
[...]Hierfür wäre ja "Windows-VPN", also pptp völlig ausreichend.[...]

PPTP und Sicherheit passen jetzt für mein Verständnis nicht wirklich in einen Satz.

Cheers,
jsysde
Bitte warten ..
Mitglied: Arch-Stanton
17.06.2011 um 22:22 Uhr
PPTP und Sicherheit passen jetzt für mein Verständnis nicht wirklich in einen Satz.

na Du Experte, dann kläre mich mal auf.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: jsysde
17.06.2011 um 23:56 Uhr
http://en.wikipedia.org/wiki/Point-to-Point_Tunneling_Protocol#Security ...

PPTP stellt auf der Sicherheitsskala das absolut untere Ende dar.
L2TP wäre eine weitaus sicherere, aber weitaus schwieriger zu implementierende Lösung, die dennoch ohne separaten Client auf den (Windows) Rechnern auskommt und eingesetzt werden kann.

Aufgrund der einfachen Implementation und der unkomplizierten Bedienung ist PPTP noch immer sehr weit verbreitet, das will ich gar nicht bestreiten. Aber im Kontext dessen, wie der TO seinen Sicherheitsanspruch darlegt, wollte ich nur mal darauf hinweisen, dass PPTP nicht so ganz dazu passt. Sollte keine persönliche Kritik sein.

Cheers,
jsysde
Bitte warten ..
Mitglied: istike2
18.06.2011 um 11:47 Uhr
Zitat von Arch-Stanton:
Standardmäßig würde ich bei solch einer Kombination immer einen VPN-Zugang bereitstellen.

Ja, klar, würde ich auch... Die Teammitglieder greifen aber auch mit Handys auf den Server zu. Ich würde diesen Aufwand (für mich) gerne vermeiden, wenn ich den Eindruck habe, dass der Server unter diesen Umständen als sicher eingestuft werden kann. Ich denke, dass die größte Sicherheit dadurch ensteht, wenn wir die Adresse des Servers einfach nicht ausgeben. Ein dyndns-Adresse findet man ja nicht so einfach.

eine weitere Frage hätte ich noch zum Thema Zertifikat:

Ich benutze einfach das des Servers, was von Synology mitgeliefert worden ist. Es verschlüsselt ja den Datenverkehr auch zwischen Server und dem Browser. Was für Sicherheitseinschränkungen bedeutet, wenn man nicht ein Eigenes auf den eigenen Namen / Domain zertifiziertes Zertifikate benutzt.

@Arch-Stanton:

Dies ist ein "Netgear ProSafe"
Bitte warten ..
Mitglied: Lochkartenstanzer
19.06.2011 um 21:17 Uhr
Zitat von istike2:
Ich denke, dass die größte Sicherheit dadurch ensteht, wenn wir die Adresse des Servers einfach nicht
ausgeben. Ein dyndns-Adresse findet man ja nicht so einfach.

Da denkst Du falsch. Die Sicherheit Deines Servers sollte nicht davon abhängen, ob jemand deine dyndns-Adresse weiß oder nicht. Der Server ist auch über seine IP-Adresse erreichbar, auch wenn die täglich wechselt. Und es ist ein leichtes die dyndns-Adresse per social-Engineering herauszufinden, sofern die Anreize große genug sind. Eine probate Methode findet man z.B. hier: http://xkcd.com/538/

Mach lieber ein ordentlichen VPN (IPsec oder SSL mit Zeritifikaten).
Bitte warten ..
Ähnliche Inhalte
Windows 7
Win7-prof. PC sicher einrichten
gelöst Frage von Raven90Windows 76 Kommentare

Hallo zusammen, ich habe einen Win7-prof. PC, der nur über VPN angesprochen werden soll. Sobald sich der Hauptbenutzer (Standarduser) ...

Netzwerkmanagement
Netzwerk sicher und performant einrichten - Grundlagen
Frage von staybbNetzwerkmanagement4 Kommentare

Hallo, ich habe ein paar Allgemeine Fragen hauptsächlich zu Switching und Routing in einem Netzwerk. Welche Vorkehrungen sollte man ...

Hyper-V
Hyper-V Anleitung - Windows Server Sicherung Einrichten - Sichern - Wiederherstellen
Anleitung von sp20ngebobHyper-V1 Kommentar

Hallo liebe Imperatoren :D Hier zeige ich euch in einer Reihe von Videos, wie man die Windows Server Sicherung ...

Exchange Server
Exchange 2010, OWA aus dem Internet einrichten, sichere Lösung gesucht.
Frage von AlbertMinrichExchange Server14 Kommentare

Hallo, wir haben Exchange 2010 SP3 im Einsatz. OWA im LAN funktioniert. Nun möchten wir OWA auch von außen ...

Neue Wissensbeiträge
Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 1 StundeWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 2 StundenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 14 StundenInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 20 StundenVerschlüsselung & Zertifikate1 Kommentar

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless19 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement17 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...