Gefahreneinschätzung

[PathFinder 10]

Hallo zusammen,

 

wie seht ihr das?

 

Bei einem Kunden will ein 3. Hersteller ein virtulles Verzeichnis unterhalb der Standard Webseite des SBS2003 zum Datenaustausch haben.

 

Dieses virtuelle Verzeichnis ist über eine DynDNS Adresse erreichbar. Ich setze an der Stelle Port 80 vorraus, durch die Firewall.

 

Lasse ich /verzeichnis weg dann lande ich sofort auf der Standard Webseite des SBS.

 

Die steht somit im Internet.

 

Der Server ist voll gepatcht aber ob ich das so gut finde weiß ich nicht.

 

Kann das ein großes Problem werden? Haben wir nun Tür und Tor offen?

 

Ich bin dankbar für sachdienliche Hinweise =)

[GuentherH 61]

Hallo.

 

Ich setze an der Stelle Port 80 vorraus

 

Warum. Den Port könnt ihr euch doch vereinbaren

 

Lasse ich /verzeichnis weg dann lande ich sofort auf der Standard Webseite des SBS

 

Richtig. Und was kannst du dann weiter machen?

 

LG Günther

[PathFinder 10]

Hallo Günther,

 

der Port ist von außen ein anderer und wird intern auf 80 umgeleitet da mache ich mir auch keine Sorgen.

 

Meine Frage ist einfach nur ob es ein Sicherheitsproblem ist wenn die Standardwebseite im Netz steht.

 

Ich will einfach nur keinen Fehler machen oder eine grobe Sicherheitslücke einbauen.

 

Du meinst es ist kein Problem?

[Dunkelmann 96]

Um auf die internen SBS Ressourcen zuzugreifen muss sich der externe Benutzer mit einem entsprechend berechtigtem Konto aus der SBS Domäne anmelden.

Wenn dem Externen interne Anmeldeinformationen bekannt sind, gibt es ein ganz anderes Problem.

 

Die Sicherheitsrichtlinien (ungültige Anmeldeversuche, Kontosperrung etc.) sollten auf jeden Fall aktiviert sein, wenn der Server von Außen erreichbar ist. Ansonsten ist es ein Leichtes, per Brute Force den Server zu kompromittieren.

[NorbertFe 1.825]

Die Sicherheitsrichtlinien (ungültige Anmeldeversuche, Kontosperrung etc.) sollten auf jeden Fall aktiviert sein, wenn der Server von Außen erreichbar ist. Ansonsten ist es ein Leichtes, per Brute Force den Server zu kompromittieren.

 

Dafür erreicht man damit dann aber ein Denial of Service. ;)

 

 

Bye

Norbert

[Dukel 436]

Wie kommt man über die SBS Webseite auf Interne Ressourcen?

[Dunkelmann 96]

Wie kommt man über die SBS Webseite auf Interne Ressourcen?

OK, habe gerade nochmal genauer nachgelesen, er hat einen SBS 2003 ... nicht wirklich meine Baustelle.

Ich dachte an das Portal vom 2008'er :rolleyes: mit owa, sharepoint services und RPD.

 

Dafür erreicht man damit dann aber ein Denial of Service.

Pest oder Cholera?

Vielleicht doch lieber eine echte DMZ oder ein gehosteter Server für externe Zugriffe? Das ist für den SBS Nutzer mit schmalem Geldbeutel leider nur selten eine Option.

[NorbertFe 1.825]

Pest oder Cholera?

Vielleicht doch lieber eine echte DMZ oder ein gehosteter Server für externe Zugriffe? Das ist für den SBS Nutzer mit schmalem Geldbeutel leider nur selten eine Option.

 

Hat ja auch nie jemand gesagt, dass Sicherheit billig und einfach zu haben ist. ;) Ich wollte nur mal darauf hinweisen, dass jede Option auch den gegenteiligen Effekt bewirken kann, und dass man deswegen nicht einfach mal eben sowas konfiguriert, ohne sich der Auswirkungen bewußt zu sein.

 

Bye

Norbert

[crazymetzel 11]

Hmm gehts um normalen Dateiaustausch? Wir haben dafür ein Paket mit 2gb Webspace angemietet und verknüpfen das auf den Rechnern die Zugriff brauchen. Die Externen bekommen ein FTP Konto angelegt und fertig.

 

So schlaf ich dann doch ruhiger :-)

[PathFinder 10]

Hallo,

 

vielen Dank für die rege Anteilnahme.

 

Natürlich ist aus Kostengründen nur diese Lösung anwendbar.

 

Der 3. Anbieter braucht unter der Standardwebseite ein virtuelles Verzeichnis in das eine Bestelldatei gelegt und von einem Warenwirtschaftsprogramm abgegriffen wird. Diese Datei löst dann Bestellvorgänge aus.

 

Das alles muss genauso passieren, weil von denen so "entwickelt".

 

Mir hätte es gereicht eine andere Webseite anzulegen und darin die entsprechenden Daten zu platzieren. Das habe ich ausprobiert aber es läuft nicht. Ich weiß auch nicht wo da der Unterschied liegen soll, habe alles im Detail verglichen aber irgendwo muss etwas sein wo ich so nicht rankomme. Vielleicht in deren Programmierung. Aber ich bin kein Programmierer und kann mir an der Stelle nicht selber helfen.

 

Da der Hersteller von seinen eigenen Vorgängen noch weniger Ahnung hat als ich, bleibt am Ende wieder der ITler und im besonderen der Kunde der Dumme, wenn nachher etwas schief geht. Denen ihr Ablauf funktioniert so, ob nun das ganze Netz in Gefahr ist oder nicht, interessiert die Herrschaft herzlich wenig. Siehe lokale Adminrechte, selbe Thematik.

 

Da mir der Kunde und "mein" Netz nicht egal ist, wollte ich euch fragen ob ihr schreit, "um gottes willen" oder naja ist nicht toll aber geht schlimmer.

 

Von außen wird das ganze über einen Highport angesprochen und dann nach innen auf 80 umgeleitet, das konnte ich schonmal erwirken. Somit muss man schonmal gezielt suchen oder ganze Ranges abklappern, ein "Rundruf" auf 80 wird schonmal nicht sofort ein Ergebniss rauswerfen. Windows Konten sind natürlich keine bekannt und Anmeldenamen und Passworte werden soweit ordentlich gehandhabt.

 

Ich denke mich grundsätzlich auszukennen und habe es in etwa so eingeschätzt wie hier schon diskutiert, ich wollte aber nicht glauben sondern mich vergewissern.

 

Ich weiß halt wenn es drauf ankommt nicht wirklich wie sicher der IIS auf dem Server 2003 ist. Deshalb habe ich halt Sorge.

 

Ihr haltet das ganze also für halbwegs gangbar?

 

Danke für euer Interesse.

bearbeitet 27. September 2010 von PathFinder