Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Serverzugang sicher einrichten

Frage Internet Server

Mitglied: istike2

istike2 (Level 2) - Jetzt verbinden

17.06.2011 um 17:54 Uhr, 4488 Aufrufe, 7 Kommentare

Hallo,

ich habe mit einer Synology NAS-Laufwerk für unser Team einen Mail- und Fileserver eingerichtet. Auf dem Server läuft die interne Mailkommunikation und hier werden auch wichtige Arbeitsdocs gespeichert.

Auf jeden Fall musste die ganze Sache sehr sicher sein. Als Backup ist ein zweite NAS zuständig, worauf alle Daten gespiegelt werden.

Um die Daten nicht in einem fremden Rechenzentrum unterbringen zu müssen, wurde der Server im Büro, in einem kleinen Schrank gelagert. Der DSL-Zugang hat ein Upload von 2Mbits. Es reicht also für die 10-12 Mitarbeiter aus.

Das LAN wird von einem Router geschützt. Das Büro hat keine feste IP, der Server wird über eine Dyndns-Adresse erreicht. Die benötigten Ports 25, 443, 80, 993, 5001 werden auf die NAS umgeleitet. Auch die NAS hat einen interne IP-Blockierung. Ausser dieser Ports werden alle andere Ports blockiert. Die von mir erstellten Kennwörter, die die Mitarbeiter nicht ändern dürfen sind ziemlich stark (ca. "Z_mitarb_B_2008_c").

Webzugriff auf den Dateimanager ist nur über HTTPS (inkl. WebDAV) möglich, E-Mail-Postfächer sind über IMAP (SSL/TLS) zugänglich.

Hat jemand noch eine Idee, was man noch für mehr Sicherheit machen könnte? Die Struktur des Teams mach Internetzugang notwendig, Sicherheit ist aber eine große Priorität.

Eine Option wäre auf VPN zu setzen. Dann könnte ich auch den Kreis der externen IPs einschränken. Ich weiß aber nicht, ob der Sicherheitsunterschied wirklich den Aufwand lohnt.

Danke für die Tipps.

Gr. I.
Mitglied: Arch-Stanton
17.06.2011 um 18:25 Uhr
Standardmäßig würde ich bei solch einer Kombination immer einen VPN-Zugang bereitstellen. Hierfür wäre ja "Windows-VPN", also pptp völlig ausreichend. Welchen Router hast Du denn? Draytek oder eine selbsgebaute Monowall wären hier preisgünstige Alternativen. Ich habe z.B. einen Lancom-Router als zentrale Firewall und dahinter eine Monowall als VPN-Zentrale, da die Lizensierung hierbei nicht anfällt. Der gre-port wird dann vom Router weitergeleitet.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: Byteblizz
17.06.2011 um 18:28 Uhr
kennwörter sollte man von zeit zu zeit schon wechseln.

Lg
Bitte warten ..
Mitglied: jsysde
17.06.2011 um 21:29 Uhr
[...]Hierfür wäre ja "Windows-VPN", also pptp völlig ausreichend.[...]

PPTP und Sicherheit passen jetzt für mein Verständnis nicht wirklich in einen Satz.

Cheers,
jsysde
Bitte warten ..
Mitglied: Arch-Stanton
17.06.2011 um 22:22 Uhr
PPTP und Sicherheit passen jetzt für mein Verständnis nicht wirklich in einen Satz.

na Du Experte, dann kläre mich mal auf.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: jsysde
17.06.2011 um 23:56 Uhr
http://en.wikipedia.org/wiki/Point-to-Point_Tunneling_Protocol#Security ...

PPTP stellt auf der Sicherheitsskala das absolut untere Ende dar.
L2TP wäre eine weitaus sicherere, aber weitaus schwieriger zu implementierende Lösung, die dennoch ohne separaten Client auf den (Windows) Rechnern auskommt und eingesetzt werden kann.

Aufgrund der einfachen Implementation und der unkomplizierten Bedienung ist PPTP noch immer sehr weit verbreitet, das will ich gar nicht bestreiten. Aber im Kontext dessen, wie der TO seinen Sicherheitsanspruch darlegt, wollte ich nur mal darauf hinweisen, dass PPTP nicht so ganz dazu passt. Sollte keine persönliche Kritik sein.

Cheers,
jsysde
Bitte warten ..
Mitglied: istike2
18.06.2011 um 11:47 Uhr
Zitat von Arch-Stanton:
Standardmäßig würde ich bei solch einer Kombination immer einen VPN-Zugang bereitstellen.

Ja, klar, würde ich auch... Die Teammitglieder greifen aber auch mit Handys auf den Server zu. Ich würde diesen Aufwand (für mich) gerne vermeiden, wenn ich den Eindruck habe, dass der Server unter diesen Umständen als sicher eingestuft werden kann. Ich denke, dass die größte Sicherheit dadurch ensteht, wenn wir die Adresse des Servers einfach nicht ausgeben. Ein dyndns-Adresse findet man ja nicht so einfach.

eine weitere Frage hätte ich noch zum Thema Zertifikat:

Ich benutze einfach das des Servers, was von Synology mitgeliefert worden ist. Es verschlüsselt ja den Datenverkehr auch zwischen Server und dem Browser. Was für Sicherheitseinschränkungen bedeutet, wenn man nicht ein Eigenes auf den eigenen Namen / Domain zertifiziertes Zertifikate benutzt.

@Arch-Stanton:

Dies ist ein "Netgear ProSafe"
Bitte warten ..
Mitglied: Lochkartenstanzer
19.06.2011 um 21:17 Uhr
Zitat von istike2:
Ich denke, dass die größte Sicherheit dadurch ensteht, wenn wir die Adresse des Servers einfach nicht
ausgeben. Ein dyndns-Adresse findet man ja nicht so einfach.

Da denkst Du falsch. Die Sicherheit Deines Servers sollte nicht davon abhängen, ob jemand deine dyndns-Adresse weiß oder nicht. Der Server ist auch über seine IP-Adresse erreichbar, auch wenn die täglich wechselt. Und es ist ein leichtes die dyndns-Adresse per social-Engineering herauszufinden, sofern die Anreize große genug sind. Eine probate Methode findet man z.B. hier: http://xkcd.com/538/

Mach lieber ein ordentlichen VPN (IPsec oder SSL mit Zeritifikaten).
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst TP-Link WA501G als Client einrichten - Keine IP Adresse wir bezogen (14)

Frage von bestelitt zum Thema LAN, WAN, Wireless ...

Apache Server
Alias bzw. Weiterleitung unter Apache 2.4 einrichten (2)

Frage von m.reeger zum Thema Apache Server ...

Windows Server
gelöst Einrichten SBS 2011 mit Hybrid Router (12)

Frage von stolli zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (24)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Erkennung und -Abwehr
Spam mit eigener Domain (12)

Frage von NoobOne zum Thema Erkennung und -Abwehr ...