PAT 10 Geschrieben 31. August 2009 Melden Teilen Geschrieben 31. August 2009 Hallo Leute, wir haben hier bei einem Hoster einen Windows 2008 WebServer gemietet. Bitte jetzt keine Diskussionen, warum es kein Linux-System ist, es ist halt so. Auf dem Server soll nur eine Art Produktkatalog laufen, später soll noch ein CMS, wahrscheinlich Typo3, für die Website dazukommen. Zudem wird noch Apache, Tomcat, PHP und MySQL installiert, der IIS wurde erst gar nicht installiert (obwohl ich am überlegen bin, ob ich doch lieber den IIS einsetze). Der Server wird NICHT als Mailserver eingesetzt. Zugriff erfolgt per RDP, später ist noch per FTP geplant, wobei ich da noch schauen muss, was ich als FTP-Server einsetze, da der IIS ja nicht installiert ist. Mal abgesehen davon gibt's noch den "normalen" Zugriff per HTTP. Nun stellt sich mir die Frage, wie ich den Webserver am besten absichere. Momentan ist nur eine Firewall vorgeschaltet, zudem läuft noch die Windows Firewall. Aber das reicht IMHO nicht. Auf einem ähnlichen System wurde schon den FTP-Zugriff geknackt (Filezilla FTP). Viellleicht habt ihr mir ein paar Ideen bzw. Anregungen? Zitieren Link zu diesem Kommentar
calibra22 10 Geschrieben 31. August 2009 Melden Teilen Geschrieben 31. August 2009 Servus! Auf einem ähnlichen System wurde schon den FTP-Zugriff geknackt (Filezilla FTP). das A und O bei einen Server im Internet, oder via Internet erreichbaren Server sind sichere Benutzernamen + Passwörter! Der Benutzer der alles darf muss nicht Administrator heißen...(so macht man es einen Angreifer noch einfacher). Eine Kombination aus Zahlen/Buchstaben sollte der Benutzer sein und genauso bzw. komplexer noch das Passwort. Ab 30 Zeichen aufwärts...Die meisten die einen FTP-Server hacken wollen, probieren es mit dem typischen Benutzern: "Admin, Administrator". Gibt es aber keinen solchen Benutzer, ist das Problem schon geringer, gehackt zu werden. Via RDP kannst auch mit SSL zum Server verbinden. Möglichkeiten gibt es genug. Für Remote-Zwecke solltest du an RDP über VPN denken und das andere, mit sichere Passwörter bzw. Benutzer. Schöne Grüße Michael Zitieren Link zu diesem Kommentar
PAT 10 Geschrieben 1. September 2009 Autor Melden Teilen Geschrieben 1. September 2009 Das mit den Passwörtern oder dem typischen Benutzernamen ist mir schon klar, das wird auch alles beachtet. Und das mit dem FTP war bei dem anderen Server halt so, hier muss ich mir noch überlegen, welche FTP-Lösung ich einsetze oder ob es lieber WebDAV sein soll. Mit geht es hier vor allem um das grundsätzliche Konzept und ob evtl. noch zusätzliche Software hilfreich wäre. Zum Beispiel weiß ich immer noch nicht so recht, wie ich das Thema Schutz gegen Viren u.ä. in dieser Konstellation lösen soll. Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 1. September 2009 Melden Teilen Geschrieben 1. September 2009 Grundsätzlich solltest du mit dem allgemeinen Security-Hardening des Systems anfangen. Dazu würde ich dir als grundlegende Lektüre folgendes an Herz legen: http://www.microsoft.com/downloads/details.aspx?FamilyID=fb8b981f-227c-4af6-a44b-b115696a80ac&DisplayLang=en Darauf aufsetzend dann die jeweiligen Applikationen absichern: Apache Security - The Complete Guide to Securing Your Apache Web Server MySQL :: php|architect's Guide to PHP Security etc. etc... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.