Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Webapplikation (IIS) sicher vom Technik-LAN ins Produktiv-LAN spiegeln

Frage Netzwerke Router & Routing

Mitglied: Kollisionskurs

Kollisionskurs (Level 1) - Jetzt verbinden

02.02.2010, aktualisiert 15:12 Uhr, 4272 Aufrufe, 6 Kommentare

Hallo,

ich habe ein kleines Problem bzw. eine Nuss zu knacken. Bei einem unserer Kunden sollte ich ein Energiemanagementsystem implementieren - dieses besteht aus:
einer Webapplikation mit Anbindung an einen seriellen Bus (Online Werte) und einer SQL Datenbank (historische Werte).

Der Webserver (IIS) und der SQL-Server laufen auf einem Server im Techniknetz. Die Geräte welche über TCP/IP-RS485 Umsetzer angesprochen werden sind ebenfalls im Technik-LAN integriert. Bis hier ist alles rund - flache Hierachie, alle Komponenten in einem Netz. Die Bearbeiter sind glücklich weil sie ihre technischen Anlagen in Echtzeit und historisch überwachen können - und das mittels Browser.

Jetzt kommt aber die Buchhaltung die ebenfalls Auswertungen (der Energie) durchführen möchten - die Buchhaltung "steckt" aber logischerweise im Produktiv-Netz der Firma. Somit habe ich vorgeschlagen das wir dem Server eine zweite Netzwerkkarte spendieren:

----Technik-LAN----|SERVER|----Produktiv-LAN----

Jetzt wurde das aber von der EDV vor Ort bzw. dem übergeordneten Konzern verweigert bzw. wollen diese kein "Loch" zwischen den Netzen aufmachen - schon gar nicht über Port 80.
Wenn es nur die SQL-Daten wären könnte man viel über eine nächtliche Datenbank-Replikation zwischen den SQL-Servern realisieren. Aber das Web "holt" sich Daten live über das Technik-LAN vom seriellen Bus - das kann ich nicht duplizieren bzw.
diese eine Webapplikation sollte unbedingt sicher aus beiden Netzen erreichbar sein!


Jetzt sollte ich natürlich eine Lösung finden bzw. habe ich dazu generell ein paar Fragen:

1. Wie würdet Ihr Euch jetzt generell dieser Problematik annehmen?

2. Verständnisfrage: Mal angenommen wir lassen unsere Webapplikation auf einem anderen Port "laufen" bzw. anstatt Port 80 z.B. Port 9999 etc. Dann kann ich das System doch so veriegeln (wie in einer Firewall LAN<->DMZ) das aus dem Produktiv-Netz wirklich nur dieser Port ins Technik-Netz freigegeben wird, oder? Wäre das wirklich sicherheitsrelevant so bedenklich?

Danke im Voraus für Eure Lösungsvorschläge!
Mitglied: aqui
02.02.2010 um 18:08 Uhr
Eine Kommunikation ist physisch nur möglich wenn du Technik Netz und Prod.Netz irgendwie koppelst. Soviel ist klar.

Ohne an den Maschinen rumzufummeln und Ports zu verbiegen könntest du das mit einem billigen DSL Router und dessen NAT Firewall machen.
Mit dem WAN/DSL Interface hängst du ihn ins Prod.Netz und gibst ihm dort eine feste IP. Das LAN Bein geht ins Technik Netz..
Nun konfigurierst du auf dem Router ein Port Forwarding von z.B. TCP 9999 auf lokal (Technik Netz) Server IP mit dem lokalen Port 80. Also eine simple Port Translation.
Jeder der im Prod.Netz im Browser "http://<router_ip_prod_netz>:9999" eingibt landet dann auf dem Server auf der Weboberfläche.
Der Router lässt nur einzig Port TCP 9999 durch mehr nicht, denn das verwindert sicher die NAT Firewall des Routers.
Wenn du nun noch das LAN Interface des Routers mit einer Accessliste zumachst die nur noch den Konfigurationszugriff auf seine eigen IP erlaubt kann auch keiner vom Techniknetz mehr ungefragt ins Prod.Netz.
Ganz auf Nummer sicher gehst du wenn du das mit einer freien Firewall wie Monowall oder Pfsense machst, denn nicht alle DSL Router supporten Incoming ACLs auf ihren LAN Ports (dd-wrt kann sowas z.B.)
Damit hast du dann ein absolut wasserdichtes System. Wenn du das dann politisch bei der EDV durchbekommst hast du dein Problem so gut wie kostenfrei im Handumdrehen gelöst !
Bitte warten ..
Mitglied: 51705
02.02.2010 um 19:53 Uhr
Hallo Zusammen,

so wie ich die Frage verstehe, könnte eine funktionierende Infrastruktur für's Routing bereits bestehen (inkl. ACLs) - diese soll nur nicht für alle HTTP-Anfragen geöffnet sein. Wenn dem so ist, würde lediglich ein URL-Filter fehlen (denn ob andere Anwendungen auf dem Server laufen, ist ja nicht bekannt).

Ein zusätzlicher (billiger) Router wäre so in meinen Augen nicht besser als die Lösung mit zwei Netzwerkkarten.

Grüße, Steffen
Bitte warten ..
Mitglied: aqui
03.02.2010 um 14:06 Uhr
Das ist zweifelsohne korrekt, aber dann wäre es sicher besser die bestehende Routing Infrastruktur anzupassen und zu nutzen als mit Karten oder Router zu frickeln.
Mit 2 Netzwerkkarten muss man nur den Server physisch anfassen und umbauen. Das sollte der "Router/Firewall Vorschlag" schlicht umgehen.
Bitte warten ..
Mitglied: Kollisionskurs
05.02.2010 um 08:20 Uhr
Hallo zusammen,

danke für die Antworten!

dann war ich mit meiner Meinung nicht ganz falsch das man so eine Konstellation (mit zusätzlichem Aufwand) letzten Endes auch Sicherheitstechnisch so realisieren kann.. Aber die zuständige EDV sperrt sich dagegen bzw. die Netze sollen komplett autonom bleiben. Und trotzdem haben wir jetzt eine Lösung gefunden (wird noch geprüft): Mein Vorschlag war folgender: Wir bekommen zu Wartungszwecken sowieso einen VPN Zugang ins Techniknetz - DSL wurde bereits extra dafür beantragt. Mittels DynDNS setzen wir die dynamische Adresse um und richten ein Portforwarding ein, das alles was von draussen auf Port 80 rein kommt direkt an den Webserver weitergegeben wird. Somit steht der Webserver im Internet (natürlich ordentlich abgesichert) - die Bearbeiter aus dem Produktiv-Netz kommen dann eben aus dem www auf die Webseite. Generell vielleicht gar nicht schlecht - denn das Firmengelände wird immer mehr vermietet bzw. tummeln sich in den nächsten Jahren mehr und mehr Fremdfirmen auf dem Gelände. Diese haben logischerweise wieder ein autonomes LAN etc. Allerdings auf das Webportal (und ihre eigene Energieauswertung) müssen sich diese nach wie vor verbinden können - somit eben über das Internet. Eventuell richten wir im Technik-Netz noch eine extra DMZ ein - in dieser DMZ steht der Webserver...das einzigste was geöffnet werden muss sind zwei Ports für die Datenkommunikation.

Was haltet Ihr generell davon? - Verbesserungsvorschläge? Letzten Endes entscheidet die EDV vor Ort - allerdings interessieren mich solche Lösungen extrem.

Danke & Grüße
Bitte warten ..
Mitglied: aqui
08.02.2010 um 11:18 Uhr
Na ja, ob nun die Öffnung des Webservers in die große weite (Internet) Welt eine bessere Lösung sein soll als nur die Öffnung auf ein einzelnes Netz ist doch mehr als fraglich....
Die Anforderungen die dann an den Webserver gestellt werden sind horrend höher, da das Gefahrenpotenzial nun ein ganz anderes geworden ist und vielfach höher liegt. Wenn dieser Webserver auf einem MS OS laufen sollte wären die Bauchschmerzen noch erheblich größer...gerade mit der Lösung eines billigen Consumerrouters und simplen Port Forwarding ohne zusätzlichen Schutz.
Auf den ersten Blick hört sich diese Lösung erheblich gefährlicher an als der erste Vorschlag. Die Denkweise dieser "EDV vor Ort" ist schon zweifelhaft und schwer zu verstehen. Verstehen die überhaupt etwas von der Materie oder müssen die auch in Foren nachfragen ??
Bitte warten ..
Mitglied: Kollisionskurs
08.02.2010 um 11:52 Uhr
das ist mir klar bzw. steht der Webserver mit dem blanken A.. im www. Ist aber nicht mein Problem bzw. ich kann nur Vorschläge liefern - die Umsetzung & vor allem Absicherung muss von der EDV vor Ort erfolgen. War ja auch nur grob beschrieben bzw. werde die Lösung (für welche sich die EDV entscheidet) auf jeden Fall posten.

Danke & Grüße
Bitte warten ..
Ähnliche Inhalte
Firewall
Management-LAN sichern
Frage von stephan902Firewall11 Kommentare

Hallo, bei der Abschirmung meines Management-LANs hab ich noch ein kleines Problem. Dazu erstmal ein kleiner Screenshot (siehe unten). ...

Router & Routing
Routingfrage LAN LAN Verbindung
Frage von IrexesRouter & Routing2 Kommentare

Hallo, Folgendes Problem: Ich habe die Aufgabe eine 100%ig identische "Kopie" unserer Produktivumgebung zu bauen damit wir unsere Backup ...

Netzwerkmanagement
LAN zu HDMI und LAN zu DVI
gelöst Frage von Blaster31Netzwerkmanagement4 Kommentare

Hallo, Ich habe ein Problem im Bereich Netzwerk. Ausgangslage: Ich möchte gerne von meinem Rechner (hat HDMI-Ausgang) ein in ...

Voice over IP
LAN zu Lan Verbindung VOIP
Frage von Gunnar2100Voice over IP4 Kommentare

Hallo Zusammen, ich habe da mal eine Frage ich habe über 2 Fritzboxen eine LAN zu Lan Verbindung realisiert. ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 11 StundenWindows 101 Kommentar

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 13 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte16 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...

Windows Server
GPO nur für bestimmte Computer
Frage von Leo-leWindows Server13 Kommentare

Hallo Forum, gern würde ich ein Robocopy script per Bat an eine GPO hängen. Wichtig wäre aber dort der ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server13 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...

Netzwerkgrundlagen
Laufwerkszuordnung mit zwei IPs
Frage von Alex29Netzwerkgrundlagen12 Kommentare

Hallo in die Runde, Ich als Hobbyadmin hätte mal wieder eine Frage an die Profis. Ich habe ein Netzwerk ...