Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows 2k8 R2 als Router direkt am WAN Nutzen.

Frage Microsoft Windows Server

Mitglied: Pucciano

Pucciano (Level 1) - Jetzt verbinden

12.08.2011 um 12:03 Uhr, 3663 Aufrufe, 20 Kommentare

Hallo!
Ich habe diese Frage schon in mehren Foren gestellt gehabt, jedoch wurde mir jedes Mal eine Antwort verweigert.
Immer heißt es das man keinen Windows-Server an das Direkte WAN anklemmen soll/darf/kann.
Was ich nicht verstehe, weil im Rechenzentrum wo ich Arbeite hängen vier Server direkt am WAN,
zwar ist als OS Suse Enterprise Server drauf, aber ist der Windows Server hier wirklich so misserabel?
Also ich würde mich wirklich über eine Antwort freuen.
Danke

Hallo!
Ich habe folgendes vor:
Ich möchte mir Zuhause einen Windows Server 2008 R2 hinstellen der folgenden Funktionen erfüllen soll:

  • Einen AD Domaincontroller
  • einen Outlook Exchange Server 2010
  • RAS-Server (VPN-Server für unterwegs sich in Netz einzuloggen)
  • IIS7 Server (Voraussetzung für den Exchange Server (will aber keine Homepage Hosten, außer das OWA)
  • Einen FTP-Server für den Datenaustausch zwischen Freunden und Bekannten, kein Warez oder Public
  • Einen kleinen Minecraft Server (Java) (nach möglichkeit in einer Eingekapselten Umgebung)
  • Als Router (Insgesamt 12 Netzwerkklienten local sowie 8 die sich per VPN einloggen sollen)

Ich habe schon ein wenig in einer Virtuellen Umgebung getestet um zu schauen wie sich das ganze so verhällt
Die Hardware vom Server ist:

  • Intel Core2Duo T6500 @2,1Ghz
  • Intel DQ45EK Mainboard
  • 2x WD Scorpio Blue 320GB im Raid 1 als Systemfestplatte (intern)
  • 4x WD Caviar Black 2TB im Raid 1 per eSATA (extern)
  • 4 GB DDR2 Ram PC 6400/800Mhz
  • Intel Pro 1000 PT als zweite Netzwerkkarte (Intranet)

Der Server soll direkt an das Kabelmodem angeschlossen werden und die On-Board Netzwerkkarte soll meine externe (feste) IP erhalten.
Eine .de Domain habe ich bei United Domains Regestriet und die DNS Einstellungen so vergeben:
A: meine feste IP
MX10: mail.meinedomain.de
MX20: mail.meinedomain.de
Daraufhin habe ich meine IP-Adresse aus Spamhaus austragenlassen, so dass der E-Mail versand ohne Probleme auf der Virtuellen Maschiene läuft.
So jetzt zu meinen eigentlichen Fragen

1)Was muss ich alles beachten wenn ich den Server direkt an der WAN-Schnittstelle lege?
Da der Server ja in der DMZ ist, habe ich als Firewall sowie Antivirenlösung Kaspersky Pure geplant.
2) Wie kann ich Remotedesktop so konfigurieren das anfragen nur über das lokale Netzwerk bzw. über das VPN netzwerk entgegen genommen werden und Anfragen über das WAN zurückgewießen werden?
3) Was ich in der vmware leider nicht testen konnte, wie leite ich denn den ganzen Internetverkehr an die zweite Netzwerkkarte weiter? Reicht es da einfach eine Netzwerkbrücke zwischen den Karten anzulegen? Oder wird das Internet dan 1:1 durchgeschliffen, also an der Firewall des Servers vorbei oder muss ich dies anders machen?
4) Wie kann ich dann Portweiterleitungen einrichten, z.B. für Games und so?
5) Welche besonderen Einstellungen muss ich am AD-DC bzw DNS-Server vornehmen die sich von den Standarteinstellungen nach der Installation unterscheiden um die Sicherheit des Server zu erhöhen und um mein Vorhaben realisieren zu können.
6) Wie kann ich meine Externe IP auf eine Netzwerkkarte meines Servers legen wenn es wirklich keine Möglichkeit gibt den Server direkt ans WAN anzuklemmen? (momentaner Router: Mikrotik RB750GL)

Ich habe eine Windows Server 2008 R2 Enterpriese sowie Outlook Exchangeserver 2010 Lizenz bestellt welche in den nächsten Wochen eintreffen dürfte.
Zunächst würde ich aber die Eval Version Installieren.

So ich hoffe das mir jemand meine Fragen beantworten kann.
Mitglied: Arch-Stanton
12.08.2011 um 12:10 Uhr
nur zu, was soll da passieren, Microsoftprodukte haben per se keine Schwachstellen. Also auf geht´s, Sicherheit wird viel zu stark bewertet, Hardware-Firewalls sind quatsch. Ach so, wir haben nicht mehr 1991?!?

Gruß, Arch Stanton
Bitte warten ..
Mitglied: cardisch
12.08.2011 um 12:36 Uhr
Ein Beispiel aus meinem (wenn auch diesmal) privaten Umfeld:
PC mit XP direkt ans Inet (Routerdaten waren nicht mehr auslesbar und leider war man zu "faul" den neu zu machen - 10 Minuten arbeit)...
Nach 2 Tagen (trotz FW und aktuellem Virenscanner) bis über dach voll mit Viren.
Linux mag genauso anfällig sein (theoretisch), aber Schwachstellen sind bei MS einfach besser dokumentiert).

Reciht das ?!
Und bist du dior mit deiner Aussage "..hängen direkt am WAN" sicher ?!

Gruß

Carsten
Bitte warten ..
Mitglied: aqui
12.08.2011 um 13:01 Uhr
Wenn du mit "WAN" eine interne Firmen WAN Verbindung als KEIN öffentliches Netzwerk meinst, dann kann man wohl auch ein MS Produkt direkt ans "WAN" hängen, obwohl auch in so einem Umfeld das kein verantwortungsvoller Admin machen würde der das professionell lösen muss.

Wenn mit "WAN" ein öffentliches Netzwerk gemeint ist wie z.B. das Internet dann kann man nur auf die Aussagen vom Kollegen Arch-Stanton verweisen oben.
Alles andere wäre schlicht dumm oder einfach nur unwissend blauäugig. Gerade in Zeiten wo NAT Firewall Router in jedem Baumarkt für 20 Euro zu haben sind und auch dedizierte Firewalls nicht viel mehr kosten. Zumal du auch schon einen Firewall Router einsetzt mit dem Mikrotik 750 also mehr als bestens ausgestattet bist mit allen Features.
Den Mikrotik dann wegzulassen wäre ja kompletter Unsinn und ein Schritt zurück in die netztechnische Neandertaler Zeit !
Wie man die externe IP beim Mikrotik auf den internen Server bekommt kannst du hier nachlesen:
http://wiki.mikrotik.com/wiki/Forwarding_a_port_to_an_internal_IP
Mehr muss man zu dem Thema eigentlich nicht sagen...
Bitte warten ..
Mitglied: Pucciano
12.08.2011 um 13:23 Uhr
Hallo,
Vielen Dank für eure Antworten welche mich jedoch kein Stück weiter bringen.
Gibt es denn dann eine Möglichkeit wie ich die WAN (habe eine 10k Sync Leitung mit fester IP von QSC) IP auf eine Netzwerkkarte kriege?
Ich benötige dies umbedingt um das SSL Zertifikat im AD einzurichten.
Mein Problem ist wenn ich das SSL-Zertifikat ausstelle wird dies auf meine WAN-IP ausgestellt und sobalt ich dies in den Server lade gibt es eine Fehlermeldung:
Fehler: "Das von Ihnen verwendete Sicherheitszertifikat ist an einer IP-Adresse gebunden welche an keiner lokalen Netzwerkschnittstelle eingerichtet ist.
Bitte konfigurieren Sie einer Ihrer Netzwerkschnittstellen so, das die IP XXX.XXX.XXX.XXX auf einer dieser aufgelöst wird."
Oder kann ich den Mikrotik 750 GL Router so konfigurieren das ich an meiner Netzwerkkarte einfach meine öffentliche IP-Adresse, sowie DNS-Server eingeben kann?
Und kann ich im Router auch eine inhaltsfilerung einrichten? Sprich das jedlicher Datenverkehr von bestimmten Domains/IPs nicht ins lokale Netzwerk durchgeschlieffen wird?

@aqui: Mit WAN meine ich wirklich das öffentliche Netzwerk, Sprich der Nachfolger des ARPA-Net. Ich dachte der Begriff Internet ist sehr eindeutig, was für weitere Internete gibt es denn?
Dort werden die vier Unitymedia Kabelmodems direkt per Patchkabel in die Server geleitet und von dort aus über die zweite Netzwerkschnittstelle zu den Switchs.

@cardisch: Kann es sein das du dann einfach zu leichtsinnig Surfst? Viele leute verlassen sich auf NATs sowie AV & FW lösungen. Sie werden leichtsinniger und denken sich so,
ach ja die FW und AV-Lösung wird sich schon melden wenn was ist...
Bitte warten ..
Mitglied: nEmEsIs
12.08.2011 um 15:50 Uhr
Hi

Also ich habe auch einem 2003 Server in nem Rechenzentrum direkt am Internet hängen. Bis jetzt ist noch nix passiert und ich hab den schon seit 5 Jahre. Immer schön Updates saugen dann besteht keine Gefahr und vorallem Administrator umbenennen ( ab und zu sehe ich in den Logs, das sich irgendwelche Scriptkiddys mit Administrator anmelden wollen. Nur leider gibt es keinen ) desweiteren sichere Passwort !!!

So nun zu deinem Thema mit dem WAN du musst dazu ein Modem vor deine Netzwerkkarte klemmen und dann es so einrichten, dass du dich mit deinen Benutzerdaten vom Provider einwählst.

Mit freundlichen Grüßen Nemesis
Bitte warten ..
Mitglied: Pucciano
12.08.2011 um 16:04 Uhr
Vielen Dank nEmEsIs,
Also Zugangsdaten benötige ich nicht, da ich eine Motorolla Modem von QSC bekommen habe.
Ist wohl die selbe Technik wie bei Unitymedia. Das Modem ist auf jeden Fall wie bei uns in der Firma.
Das einfache anklemmen des Modems habe ich noch nicht gemacht, da ich noch an der Härtung des Systems dran bin und dieses OS noch keinen Internetzugang hatte.
Sollte ich dann die Netzwerkschnittstelle per DHCP oder manuell einstellen?
Um das Internet dann ins lokale Netzwerk zu kriegen muss ich nur eine Netzwerkbrücke einrichten oder sonst noch was? (DHCP-Server ist installiert)
Bitte warten ..
Mitglied: 60730
12.08.2011 um 16:09 Uhr
Zitat von nEmEsIs:
Hi

Also ich habe auch einem 2003 Server in nem Rechenzentrum direkt am Internet hängen. Bis jetzt ist noch nix passiert und ich hab den schon seit 5 Jahre
  • grübel .... Scheisse schmeckt lecker, Milliarden Fliegen können nicht irren...
  • Ich hab hier mehrere FTP/Web/Mailserver hinter einer Firewall und trotzdem schaffen es einige Chinesen mit Kontrabass und Russen ohne hin und wieder einen DOS auf eine der dahinterliegenden Kisten loszutreten und das, obwohl meine Feuerwand wirklich gut ist und nicht aus dem Baumarkt stammt.


So nun zu deinem Thema mit dem WAN du musst dazu ein Modem vor deine Netzwerkkarte klemmen und dann es so einrichten, dass du dich mit deinen Benutzerdaten vom Provider einwählst.

@ Nemesis: liesst du überhaupt, was der Fragesteller schreibt?
Weißt du wer QSC ist und wie die das Internet in die Hütte des jeweiligen Kunden bringen?

PS: Wenn ich 2 Server hab, und mehr als einen Client, bin ich dann auch ein Rechenzentrum?

@TO:
Mein Problem ist wenn ich das SSL-Zertifikat ausstelle wird dies auf meine WAN-IP ausgestellt.
Wie machst du das denn?

Ein echtes SSL Zertifikat, das im WAN benutzt werden soll muß man kaufen - alles andere ist was fürs Baumarktforum.

Gruß
Bitte warten ..
Mitglied: Lochkartenstanzer
12.08.2011 um 16:31 Uhr
Zitat von 60730:
in echtes SSL Zertifikat, das im WAN benutzt werden soll muß man kaufen - alles andere ist was fürs Baumarktforum.

Da widerspreche ich. Man kann auch mit selbstgeschnitzten Zertifikaten glücklich werden. Das ist vor allem davon abhängig, für was es verwendet werden soll und welcher Benutzerkreis damit in Kontakt kommt. Für geschlossene Benutzerkreise, insbesondere firmeninterne Anwendungsen ist es durchaus vertretbar selbtgeschnitzte Zertifikate zu nehmen.

Was anderes sind Wald- und Wiesen-Webserver, auf doie Hinz- und Kunz uzgreifen darf/soll. Da kommt man um den Kauf eines zertifikats nicher herum, weil ansonsten die Browser meckern, weil sie die Root-CA nicht kennen.


lks
Bitte warten ..
Mitglied: Lochkartenstanzer
12.08.2011 um 16:36 Uhr
Zitat von Pucciano:
Gibt es denn dann eine Möglichkeit wie ich die WAN (habe eine 10k Sync Leitung mit fester IP von QSC) IP auf eine
Netzwerkkarte kriege?

Du solltest Dir ein /29-Netz geben lassen und diese dann per Transfernetz über deine Firewall (Du hast doche eine?), an Deinen Server in der DMZ routen.

Ich benötige dies umbedingt um das SSL Zertifikat im AD einzurichten.
Mein Problem ist wenn ich das SSL-Zertifikat ausstelle wird dies auf meine WAN-IP ausgestellt und sobalt ich dies in den Server

Damit wäre auch dieses Problem erschlagen.

Einen Server direkt ungefiltert ans Internet zu hängen, egal welcher Art, sollte man i.d.R. unterlassen, Außer es gibt zwingende Gründe dafür.

lks


Nachtrag: Qsc biete das auch an. Zitat:

2 Eine feste IP-Adresse wird standardmäßig vergeben.  
Auf Wunsch kann ein 8er-Netz mit bis zu fünf nutzbaren 
IP-Adressen kostenfrei beauftragt werden. Bei der Vergabe 
weiterer IP-Adressen können Kosten entsprechend der 
gesonderten Preisliste anfallen. 
Bitte warten ..
Mitglied: Pjordorf
12.08.2011 um 16:43 Uhr
Hallo,

Zitat von Pucciano:
da ich noch an der Härtung des Systems dran bin
Also du willst dein OS wirklich sicher machen, oder?

Sollte ich dann die Netzwerkschnittstelle per DHCP oder manuell einstellen?
Das fragst du obwohl du dein system härten willst?

Um das Internet dann ins lokale Netzwerk zu kriegen muss ich nur eine Netzwerkbrücke einrichten
Du willst eine Netzwerkkrücke (Bridging) mit deinem Lan und dem Internet machen, obwohl du oben von Härtung gesprochen hast?

Wenn du ein sicheres System haben willst, solltest du dann kein Routing damit machen. Also ist eine Firewall/Router zwingend davor zu setzen. Dann ist mir aufgefallen das du nur 4 GB RAM hast, aber einen Exchange 2010 betreiben willst. Und der auf deinen DC. Und der dann noch diekt mit dem Internet verbunden.

Gruß und Kopfschüttel nicht aufhören wollen,
Peter
Bitte warten ..
Mitglied: Pucciano
12.08.2011 um 16:43 Uhr
Also mein Zertifikat kommt von VeriSign und zwar ist es das Secure Site Pro mit EV.
Ich nutze hier die Rabatte aus indem ich dies über unsere Firma bestelle. Dazu Logge ich mich ins Kundeninterface ein und gebe meinen SSL Request ein welchen ich zuvor in der Zertifikatverwaltung vom Server generiert habe ein. Dort wird dann der Domainname und IP abgefragt und alle personenbezogene Daten (Organisation, Vor und Nachname, E-Mail)
Danach erhalte ich eine PDF zum Download mit einem PostIdent Cuppon welchen ich nun und dammit zur Post laufe und mich mit meinem Ausweiß ligitimiere.
Nach ca. 3 Tage erhalte ich dann eine E-Mail welche mich darüber in Kenntniss setzt, dass mein Zertifikat erstellt ist.

So heißt es wieder ins Backend einloggen, und dann kann ich das Zertifikat (*.cer) herunterladen und im Server installieren.
Wenn ich nun die .cer installieren will kommt die Meldung dass das Zertifikat nicht für meine IPs erstellt worden sind.

Von der Logik her kann man mein Problem ja gut nachvollziehen:
Mein Zertifikat ist auf die IP 123.456.7.89 ausgestellt, aber mein Server hat nur 192.168.0.1 sowie 192.168.1.1 an den Netzwerkschnittstellen.
Bei der Überprüfung stellt der Server nun fest das dieses Zertifikat nicht für die Verwendung mit dem Server freigegeben ist und verweigert seinen Dienst.
Für die internen Datenströme nutze ich ein Zertifikat von Open SSL. Dort wird garkeine IP erfragt, sondern nur ein Domainname.
Bitte warten ..
Mitglied: Pucciano
12.08.2011 um 16:53 Uhr
Ach Nachtrag zu meinem Posting:
Für mich soll ein SSL Zertifikat das tun wofür es eigentlich gemacht worden ist: Verschlüsseln (bzw. der Schlüssel für die Verschlüsselungen sein)
Ich brauche weder eine grüne Adresszeile noch irgendwelchen anderen misst. Natürlich bieten andere Anbieter Zertifikate zu günstigeren Konditionen an
(ich zahle für das Secure Site Pro mit EV "nur" 295,- € p.a.) Jedoch ist die Verschlüsselung bei Verisign am höchsten.
Bitte warten ..
Mitglied: Arch-Stanton
12.08.2011 um 17:07 Uhr
irgenwie nicht nachvollziehbar, Dein Server benutzt doch die WAN-Adresse (die der Firewall), wenn er sich irgendwo anmeldet. Die privaten Adressen werden doch bis heute nicht geroutet...

Gruß, Arch Stanton
Bitte warten ..
Mitglied: Pucciano
12.08.2011 um 17:17 Uhr
Ja aber die Software auf meinem Server gibt mir die Fehlermeldung, nicht irgend eine Seite auserhalb des Intanet!
Ist es denn möglich die IP über meinen Router an eine bestimmte MAC-adresse zu Routen?
Weil die Möglichkeit Pakete vom Wan aus an eine IP im Netzwerk zu Routen ist mir Bekannt. Aber da kann ich ja auch nur
WAN an IP XY Leiten, da wird aber am Server zwar die selben Daten ankommen wie auch wenn er direkt angeschlossen ist,
jedoch erhällt er durch das Routing nicht die externe IP-Adresse.

Ich errinere mich noch an die anfänge des DSL, dort wurde das modem direkt an den Computer angeschlossen und per DFÜ-Einwahl
ins Internet "eingewählt". Dort hatte dann meine Netzwerkkarte die Externe IP-Adresse.

Genau so will ich es gerne heute genauso haben, nur eben sicherer.
Bitte warten ..
Mitglied: Pjordorf
12.08.2011 um 17:30 Uhr
Hallo,

Zitat von Pucciano:
Ich errinere mich noch an die anfänge des DSL, dort wurde das modem direkt an den Computer angeschlossen und per DFÜ-Einwahl
ins Internet "eingewählt". Dort hatte dann meine Netzwerkkarte die Externe IP-Adresse.
Ja, da war auch das Internet noch weitestgehend unbekannt. Auch Viren und Trojaner gab es noch nicht

Genau so will ich es gerne heute genauso haben, nur eben sicherer.
Das beides geht nicht. Nur eins von beiden. Das eine schließt hier immer das andere aus.

Das hat aber alles nichts mit deinem SSL Zertifikat welches Verschlüßeln soll nichts zu tun. Und bedenke, Du hast dir ein Zertifikat für genau eine festgelegte IP ausstellen lassen. Klar das es dann auf einer anderen IP meckert.

Vielleicht erklärst du mal genau was Du von dem Zertifikat erwartest. Da kann dir bestimmt geholfen werden. Am besten dazu einen neuen Thread mit gezielter Überschrift aufmachen. Das hat nichts mit dem Betreiben eines Server 2008R2 direkt am Modem (Internet) zu tun.

Gruß,
Peter
Bitte warten ..
Mitglied: aqui
12.08.2011 um 18:07 Uhr
@Pucciano
Kein Mensch bzw. verantwortungsvoller Netzwerk Admin zertifiziert ein SSL Zertifikat auf eine nackte IP Adresse ! Dazu nimmt man logischerweise immer einen Domain Namen aber niemals eine IP.
Wenn die sich ändern was ja nun mal vorkommt musst du auch immer das Zertifikat erneuern. Das macht kein intelligenter Mensch...sorry.
Bitte warten ..
Mitglied: Lochkartenstanzer
12.08.2011 um 18:19 Uhr
Zitat von Pucciano:
Ist es denn möglich die IP über meinen Router an eine bestimmte MAC-adresse zu Routen?

Routen nicht, aber über eine "filternde Bridge" zu "switchen".

Weil die Möglichkeit Pakete vom Wan aus an eine IP im Netzwerk zu Routen ist mir Bekannt. Aber da kann ich ja auch nur
WAN an IP XY Leiten, da wird aber am Server zwar die selben Daten ankommen wie auch wenn er direkt angeschlossen ist,
jedoch erhällt er durch das Routing nicht die externe IP-Adresse.

Wie ich schon sagte, laß Dir von QSc eine /29-netz geben (machen die kostenlos für einen /29-Bereich). Dann kanst Du das besser verteilen.


Ich errinere mich noch an die anfänge des DSL, dort wurde das modem direkt an den Computer angeschlossen und per
DFÜ-Einwahl
ins Internet "eingewählt". Dort hatte dann meine Netzwerkkarte die Externe IP-Adresse.

Und ich erinnere mich an die "Anfänge" des Internet,. Da hat man seinen Akkustikkoppler unter den Telefonhörer gelegt und hat sich per SLIP seine IP-Adresse geholt.


Genau so will ich es gerne heute genauso haben, nur eben sicherer.

Du mußt Dich schon entscheiden. einfach oder sicher, beides geht nicht.

lks
Bitte warten ..
Mitglied: Lochkartenstanzer
12.08.2011 um 18:21 Uhr
Zitat von Pucciano:
Ach Nachtrag zu meinem Posting:
Für mich soll ein SSL Zertifikat das tun wofür es eigentlich gemacht worden ist: Verschlüsseln (bzw. der
Schlüssel für die Verschlüsselungen sein)
Ich brauche weder eine grüne Adresszeile noch irgendwelchen anderen misst. Natürlich bieten andere Anbieter Zertifikate
zu günstigeren Konditionen an

Dann mach Dir deine Zertifikate selber. Die Schlüssellänge kannst Du dann auch selbst einstellen.
Bitte warten ..
Mitglied: Pucciano
12.08.2011 um 19:18 Uhr
Ein SSL Zertifikat auf eine IP Adresse zu zertifizieren bringt einem enormen Sicherheitsgewin, beispiel:
Ich würde einen Webshop welcher auf die Domain example1.com hört. (Ja, Ja ich weiß, der Webshop hört nicht auf der Adresse sondern der IIS)
Jetzt würde es einem Angreifer gelingen meinen Server zu Hacken und er klaut mein SSL-Zertifikat. Wenn der Angreifer das SSL Zertifikat hat,
braucht er nur noch den A-Record auf seinen Server in Iran zu ändern, das SSL Zertifikat einzuspielen sowie eine Kopie des Webshops.
So gibt ein Kunde meine Shopadresse ein, so wird seine Anfrage auf durch die geänderten DNS Einstellungen zu seinem Server umgeleitet,
und kann mit einer verschlüsselten SSL Verbindung frölich die Kreditkartendaten meiner Kunden abfangen und diese Konten leerräumen.

Währe das SSL Zertifikat auf eine IP-Adresse ausgestellt, so würde es eine Fehlermeldung bei dere Installation geben (so wie in meinem Fall)
und der Angreifer würde doof aus der Wäsche gucken. Natürlich kann man nun sagen, wenn der Angreif es schafft an das SSL Zerfifikat zu kommen,
sind die Kreditkarten Daten eh weg. Jedoch Speichere ich NIE irgendwelche Kreditkartendaten in meiner Datenbank die werden On-The-Fly bearbeitet
und dann gelöscht.

Nun muss ich also eine möglichkeit finden, einer Netzwerkkarte meine externe IP zu verpassen.

Ich habe mal versucht die IP einfach so einzugeben ohne das ein Netzwerkkabel angeschlossen ist und über die zweite Netzwerkschnittstelle
über den Router ins Netz zu gehn. Da lässt es sich zwar installieren, jedoch verweigert der Server dann seinen Dienst später.
Bitte warten ..
Mitglied: 60730
13.08.2011 um 01:18 Uhr
moinsen,

jemand der deinen gehärteten IIS Server oder dessen Webshop knacken und den A Record umbiegen kann..
Der ist nicht in der Lage sich ein SSL Zertifikat zu besorgen, dass nur auf (s)eine bestimmte IP hört?

Ich glaube du reitest nachts auf der Kanonenkugel in Richtung Münchhausen und willst uns was vom Pferd erzählen...

Wäre ich Arzt, würd ich doch glatt sagen, der nächste bitte, hier belasse ich es mit einem

[_] Benachrichtigung bei Antwort
und wundere mich nicht mehr über deine erste Zeile
Ich habe diese Frage schon in mehren Foren gestellt gehabt, jedoch wurde mir jedes Mal eine Antwort verweigert.
Bitte warten ..
Neuester Wissensbeitrag
DSL, VDSL

Telekom blockiert immer noch den Port 7547 in ihrem Netz

(3)

Erfahrungsbericht von joachim57 zum Thema DSL, VDSL ...

Ähnliche Inhalte
Windows Server
ACrobat Reader DC und RDP Server unter Server 2K8 R2 (4)

Frage von SDS-Junkie zum Thema Windows Server ...

Windows Server
gelöst Oracle ODBC Treiber in Windows 2008 R2 (3)

Frage von kschi12 zum Thema Windows Server ...

Router & Routing
PfSense - uPNP Service WAN nutzen für PCP,IGD Nutzung (8)

Frage von aif-get zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...