Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Webserver aus dem Intranet freigeben

Mitglied: soa

soa (Level 1) - Jetzt verbinden

25.03.2008, aktualisiert 22:00 Uhr, 4252 Aufrufe, 4 Kommentare

Port 80 der Firewall freigeben

Hallo zusammen,

ich habe auf dem Port 80 der Firewall ein Forwarding auf einen Server im Intranet erstellt. Jetzt habe ich bedenken
bezüglich der Sicherheit. Welche Maßnahmen kann ich ergreifen, um das Netzwerk vor Gefahren zu schützen ?

Oder anders gefragt. Was kann alles passieren, wenn jeder über den Port 80 auf den Rechner xy im Netz gelangt.


Vielen Dank im Voraus.


Viele Grüße
SOA
Mitglied: 60734
25.03.2008 um 19:08 Uhr
Also ich hab auch einen kleinen Webserver zu Hause, und ich hab mal gehört, solange ein Dienst bzw. Programm hinter dem Port aktiv ist, kann keiner durch diesen ins Netzwerk gelangen, nur dann wenn dieser einfach so offen ist, ohne dass ein Programm dahinter aktiv ist.
Bitte warten ..
Mitglied: Arch-Stanton
25.03.2008 um 20:52 Uhr
Moin,

solch eine Konstruktion ist nicht sinnvoll. Besser ist es, eine 3-Zonen Firewall, wie z.B. IP-COP einzusetzen. Da hängt dann der Server in de DMZ und das interne Netwerk wird geschützt.

Schaue doch mal unter http://m0n0.ch/wall/ oder www.ipcop.org nach.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: filippg
25.03.2008 um 21:29 Uhr
Also ich hab auch einen kleinen Webserver zu
Hause, und ich hab mal gehört, solange
ein Dienst bzw. Programm hinter dem Port
aktiv ist, kann keiner durch diesen ins
Netzwerk gelangen, nur dann wenn dieser
einfach so offen ist, ohne dass ein Programm
dahinter aktiv ist.
Das ist eher Unsinn. Wenn das Forwarding ins Leere zeigt, dann werden die Pakete vom Router ins Netz gestellt und verfallen bestenfalls einfach (außerdem werden sie nie Acknowledget, weswegen alleine schon der Verbindungsaufbau schwer ist). Wenn ein Dienst dahinter ist, dann wird er sie auch entgegennehmen und bearbeiten. Und da ergibt sich dann wieder das Problem mit Pufferüberläufen, unsaubern Protokollen.... Ist also deutlich gefährlicher.
Andere Frage ist natürlich: was bringt es, ein Forwarding zu haben, wenn kein konsumierender Dienst dahinter ist.

Zurück zur Frage: Das ist sehr relativ.
Sinnvoll ist es sicher, den Server in eine DMZ zu stellen. Letzlich einfach ein Netzbereich, in dem nur er steht, und von wo aus er nicht auf euer Intranet zugreifen kann. Hintergrund: Wenn der Server gehackt ist das Intranet noch geschützt. Das können selbst viele billige Router.
Nächster Schritt wäre dann, noch eine zweite DMZ aufzubauen, in der ein Proxy steht. Nur dieser darf mit dem Webserver sprechen, und nur dieser ist aus dem Internet zu errreichen. Und damit das auch Sinn macht, sollten die Firewall hin zum Internet und hin zur Webserver-DMZ getrennte Geräte sein. Und dann noch der Proxy-Server.. man legt da schon ein paar Euro auf den Tisch. Und natürlich lässt sich das beliebig weit fortsetzen. Das macht aber alles auch nur dann Sinn, wenn man das entsprechende Know-How für die Administration hat.

Also, für dich: Das mit der eigenen DMZ für den Webserver, und den immer auf aktuellem Patchstand halten. Daneben noch aufpassen, das darauf nur sichere Skripte laufen (SQL-Injection...). Und natürlich sicherstellen, dass wirklich nur Port 80 ins Netz geht. Damit hast du ein gutes Preis-/Leistungs-Verhältnis.
Wenn's was kosten darf dich nochmal wegen einer ordentlichen Firewall beraten lassen.

Gruß

Filipp
Bitte warten ..
Mitglied: soa
25.03.2008 um 22:00 Uhr
Hallo,

allen erst einmal ein herzliches Dankeschön. Vielen Dank für die Antworten.
@Filipp : Sehr schön erklärt mit der DMZ. Das Netz läuft also z.B.

Intranet: 192.168.0.1 - 192.168.0.255
Firewall : 192.168.2.1 ?!
Webserver: z.B. 192.168.178.1

Die Firewall verbindet zum WebServer . Der WebServer kann nur über die Firewall ins Intranet.

Es soll ein Webserver mit Tomcat oder ein Tomcat Server als Standalone implementiert werden.
Das Servlet soll dann eine Verbindung zur DB bekommen. Ein Dienst also. Der darauf implementierte Server wird über ein POST aktiviert.

In Sachen Sicherheit des Tomcat wollte ich mich hieran halten :

www.bsi.de/literat/studien/tomcat/konfiguration.pdf


VG
SOA
Bitte warten ..
Ähnliche Inhalte
DNS

Subdomain für Intranet Webserver oder DNS Eintrag - Umsetzung?

gelöst Frage von derinderinderinDNS4 Kommentare

Hallo Zusammen, Wir haben im Intranet einen Webserver. Beispiel 192.168.1.20 Diesen kann ich natürlich über den Webbrowser erreichen. Auf ...

Informationsdienste

Informationsaustausch im Intranet

gelöst Frage von netzwerkschlumpfInformationsdienste13 Kommentare

Hallo Leute! Ich war lange Zeit stummer Mitleser hier im Forum, viele Fragestellungen und Themen halfen mir das ein ...

CMS

Intranet aufsetzen?!

gelöst Frage von lil-acCMS11 Kommentare

Hallo, ich möchte gerne bei uns in der Firma ein Intranet aufsetzen, wir nutzen Endgeräten Macbook´s, Tablettes, Windows Rechner ...

Datenbanken

Datenbank im Intranet

gelöst Frage von abuelitoDatenbanken7 Kommentare

Hallo an Alle, ich habe folgendes Problem Zudem bin ich in Sachen Datenbank noch ziemlich grün hinter den Ohren ...

Neue Wissensbeiträge
Vmware
VMware Update für den ESXi 5.5 verfügbar
Information von sabines vor 16 StundenVmware

Nach dem ganzen Hickhack um Update mit Microcode Anpassungen und Rückzug, gibt es nun für den ESXi 5.5 ein ...

CPU, RAM, Mainboards

Meltdown und Spectre: Intel zieht Microcode-Updates für Prozessoren zurück

Information von keine-ahnung vor 20 StundenCPU, RAM, Mainboards5 Kommentare

Moin, extrem lutztig. Nur gut, dass ich noch nicht beim Probanden-Bingo mitgemacht habe :-) LG, Thomas

Router & Routing
PfSense als Addon auf QNAP
Information von magicteddy vor 1 TagRouter & Routing7 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 1 TagDatenschutz1 Kommentar

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement26 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Server
TEMP-Profile
gelöst Frage von Forseti2003Windows Server21 Kommentare

Guten Morgen, wer kennt sie nicht, die lieben Temporären Benutzerprofile, vorallem immer dann, wenn man sie am wenigsten braucht. ...

Multimedia & Zubehör
Welches Tablet für die Verkäufer?
Frage von Hendrik2586Multimedia & Zubehör15 Kommentare

Guten Morgen meine Lieben, vielleicht könnt ihr mir ja helfen. Es geht um unsere Außendienstmitarbeiter /Verkäufer. Sie sollen demnächst ...

Ubuntu
Ubuntu - Routing mit 2 Netzwerkkarten?
Frage von gabrixlUbuntu13 Kommentare

Hei Folgende Situation: Ich habe zwei virtuelle Maschinen: 1 - Server für DHCP, DNS und Routing - Netzwerkkarte 1: ...