Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Webserver mit W2k3 und Apache von LAN trennen

Frage Linux Apache Server

Mitglied: alexkunze

alexkunze (Level 1) - Jetzt verbinden

12.04.2005, aktualisiert 15.04.2005, 6068 Aufrufe, 9 Kommentare

Momentan sind alle Serverdienste auf einem Windows-Server vereint. Sowohl LAN als auch Webserver... Jetzt soll der Webserver auf eine eigene Maschine umgezogen werden.

Hallo,

ich soll obige Aufgabe umsetzen und versuche gerade die technische Umsetzung und den Aufwand zu kalkulieren. Chef will natürlich möglichst wenig...

Momentan ist das LAN über eine Cisco 575 LRE Bridge mit dem Rechenzentrum verbunden (Leitung nach draussen und Public IPs). Danach folgt eine Cisco PIX 506E Firewall und dann LAN.

Jetzt soll für den Webserver eine eigene Maschine angeschafft werden und diese aus dem LAN ausgegliedert werden. Leider muss ich gestehen, dass ich nicht sicher bin, wie hier die sinnvollste Lösung aussieht. Der Webserver soll natürlich am besten vom LAN aus administrierbar sein, aber die Sicherheit nach Aussen hat Prio.

Ich bräuchte Tips, wie der neue Server am besten integriert wird, um einen öffentlichen Webserver zu bieten, das LAN nach aussen abzusichern und möglichst den Apache trotzdem von Clients aus warten zu können (hat nicht Prio - kann zur Not auch am Server direkt gemacht werden).

Bitte gebt mir einen Ansatz wie das am besten aufgebaut wird und in welche Richtung wir planen sollen.

Danke & Gruß,
Alex
Mitglied: meinereiner
12.04.2005 um 11:38 Uhr
ich würde die PIX 506E gegten eine PIX 515E austauschen und den Server dann ans dritte Interface in die DMZ hängen.
Bitte warten ..
Mitglied: alexkunze
12.04.2005 um 12:28 Uhr
Hallo meinereiner,

danke für den Tip - DMZ, da horchen meine gequälten Ohren auf!

Ich frag jetzt mal ganz doof:
Die PIX 515E hat drei Ports - davon ist einer LAN und einer WAN bzw Bridge zum RZ (soweit wie die 506) und einen dritten an den direkt der neue PC kommt. DMZ heißt dann für mich die PIX verwaltet den Verkehr je nach IP so, dass entweder LAN oder Webserver angesprochen werden? Halbwegs richtig? Ich hab mit DMZ leider noch nichts zu tun gehabt und nur theoretisches Halbwissen...

Danke & GRuß,

Alex
Bitte warten ..
Mitglied: meinereiner
12.04.2005 um 12:52 Uhr
Eigentlich verwaltest du Netze.
Über den WAN Port die des Internets, über den Lan Port deine internen und am dritten, das für die DMS dann ein neues. Da kann dann natürlich nur ein Server drin stehen.

Das schöne an der DMZ ist, das sie vom internen Lan genau so getrennt ist wie das Internet und die DMZ vom Internet wie das Lan vom Internet. Die DMZ klemmt sich genau dazwischen.

Deine Regeln vom Internet ins Lan bleiben wie sie sind. Aufmachen musst du nur die Ports
in die DMZ. Deine Sicherheit zum Internet bleibt komplett erhalten udn wenn einer den Web Server hacken sollte ändert sich auch nichts, da der Weg ins Lan gesperrt ist.
Bitte warten ..
Mitglied: alexkunze
12.04.2005 um 18:27 Uhr
Danke!
Bitte warten ..
Mitglied: alexkunze
14.04.2005 um 11:48 Uhr
Hallo meinereiner,

jetzt hat sich Chef die Sache anders überlegt und lehnt die Neuanschaffung einer PIX 515 ab... Hast Du noch eine andere Idee, wie man das halbwegs vernünftig lösen könnte?
Mir fällt da nichts sicheres ein.

Danke & Gruß,
Alex
Bitte warten ..
Mitglied: meinereiner
14.04.2005 um 14:06 Uhr
Dann wird er wohl auch keine andere hardware kaufen wollen?!

Somit wirst du wohl den Web Server in dein Normales LAN hängen müssen. Auf der Pix eine Regel definieren, die die passenden Ports aufmacht und dann eine Umleitung für die Ports auf den Webserver definieren.
Bitte warten ..
Mitglied: alexkunze
14.04.2005 um 22:28 Uhr
Na ich höre ihn schon jetzt jammern... Das Sicherheit nie was kosten darf... Was hättest Du an anderer Hardware vorgeschlagen? Alles teuer oder gibt's was unterhalb 2,5k?

Danke für Deine Tips!
Bitte warten ..
Mitglied: meinereiner
14.04.2005 um 23:12 Uhr
naja, die Pix krigste billiger:
http://www.mercateo.com/p/173-1071177/CISCO_PIX_515_Firewall_2x10_100_B ...


aber überlegen wir mal Alternativen:

Die 506 kann in der aktuellen Softwareversion Vlans. Dementsprechend könnte man einen Switch zwischen pix, Web Server und internen Netz hängen und das Ganze über Vlans trennen. Da könnte man auch einen älteren Switch für nehmen, der nur 10Mbit kann. Mehr gibt das Internet bei euch eh nicht her!?!

Oder man nimmt an Stelle des Switches und Vlans einen Router. Damit könntest du auch eine DMZ aufbauen. Hinter er 506 baust du dann ein kleines Netz in dem der Web Server und ein Interface vom Router steht...
Zeichenversuch:

Internet
|
Pix
|
-----Web Server
|
Router
|
internes Netz

Wie sicher das Ganze wird hängt dann von den Möglichkeiten des Routers ab und wie gut er konfiguriert ist. Anstelle des Routers könntest du auch eine weitere Pix 506 nehmen.

Oder du setzt erst den Router hin und dann die Pix. Damit wäre dein internes Netz besser geschützt und der Web Server angreifbarer.

Aber da kommen wir so langsam an die Grenzen meines Know Hows..sorry..
Ich bin eher ein Windows Mensch. Nit Routern, Firewalls, etc. habe ich mich nur das letzte Jahr ein bischen beschäftigt und das auch sehr Cisco lastig.
Bitte warten ..
Mitglied: alexkunze
15.04.2005 um 01:01 Uhr
Danke!

Ich werd mir wohl das mit den Vlans näher ansehen müssen...

Mein Hirn scheitert gerade an der Uhrzeit. Ich versuche es Morgen früh wieder zu aktivieren und mir Deine Vorschläge mal in der Theorie basteln...
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
LAN, WAN, Wireless
Notebook LAN WLAN LTE trennen (2)

Frage von HansB3rt zum Thema LAN, WAN, Wireless ...

Apache Server
gelöst Apache Webserver HTTP 500 Error (7)

Frage von ClepToManix zum Thema Apache Server ...

Notebook & Zubehör
HP 8770W - LAN Netzwerkproblem (Aufbau, Geschwindigkeit) (2)

Frage von RiceManu zum Thema Notebook & Zubehör ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...