Jump to content

Windows Server 2012 - Direkt im Internet Sicherheit


Direkt zur Lösung Gelöst von daabm,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo!

 

Ich möchte einen Windows Server 2012 Standard im Internet als Webserver (IIS) für ASP.NET Webanwendungen betreiben.

Für diesen Zweck habe ich einen Rootserver (bei www.hetzner.de) gemietet und mittels Hyper-V eine virtuelle Maschine erstellt (Windows Server 2012 Standard inkl. IIS).

Der Server läuft für meine Test und Developing Zwecke einwandfrei.

 

In einem normalen lokalen Netzwerk würde ich so einem Server durch Firewalls/Routers/Port-Regeln und separaten Datenbankserver etc. absichern.

 

Wie kann man aber so einen virtuellen Webserver der direkt im Internet steht absichern?

 

Danke für eure Hilfe im Voraus.

myGil

 

 

 

Link zu diesem Kommentar

Hallo!

 

Danke für die Antwort - obwohl ich jetzt ein wenig überrascht bin.

 

Ich dachte ich würde hier jetzt auf eine Menge an Sicherheitsprobleme hingewiesen werden und jede Menge Gründe warum ich das so auf keinen Fall betreiben dürfte.

Im Augenblick verwendet der Server nur die Windows-Firewall mit allen Standard-Einstellung nach einer neu Installation.

Die Windows Updates halte ich selbstverständlich aktuell.

 

Gibt es hier kein bedenken die ich noch berücksichtigen müsste wenn ich diesen Webserver zukünftig für kommerzielle Anwendungen betreiben möchte?

Hat jemand zudem noch einen Tipp mit welchen (wenn möglich kostengünstigen) Virenscan ich diesen Server ausstatten sollte?

 

lg myGil

Link zu diesem Kommentar

Ich muss vorausschicken, kein Virtualisierungsspezi zu sein. Aber, mir wurde in einem Audit mal ein Konstrukt vorgelegt, wo auf einer Virtualisierungsplattform mehrere Server an einer ebenfalls virtualisierten Linux-Firewall hingen. Und nur die Firewall ging tatsächlich in die pöse Internetwelt hinaus. Wäre dies nicht das Richtige für diese Anforderung?

 

Falls ich mir hier einen Bären habe aufbinden lassen, bitte ich um Rückmeldung.

 

Nochmals aber, sind denn die Daten auf dem Server schutzbedürftig? Die Anwendungen, sind diese schutzbedürftig? Gibt es vertrauliche Informationen auf dem Server? Könnte es ausreichen, den Server ein zwei Mal pro Tag aus einem Image heraus automatisiert neu aufzusetzen, um die Einbettung von Schadsoftware zu vereiteln?

 

Kernfrage, wovor muss der Server geschützt werden?

bearbeitet von Pitti259
Link zu diesem Kommentar

Ich muss vorausschicken, kein Virtualisierungsspezi zu sein. Aber, mir wurde in einem Audit mal ein Konstrukt vorgelegt, wo auf einer Virtualisierungsplattform mehrere Server an einer ebenfalls virtualisierten Linux-Firewall hingen. Und nur die Firewall ging tatsächlich in die pöse Internetwelt hinaus. Wäre dies nicht das Richtige für diese Anforderung?

 

 

Das kenne ich von einigen kleineren Firmen auch. Als VM läuft PFSense, Verwaltung des Host/VMs geht nur per VPN an die PfSense.

Nach außen ist nur 80/443 geöffnet per Weiterleitung an den IIS. 

Damit minimiert man die Angriffspunkte.

Regelmässige Updates und checken der Logs sollte trotzdem dazugehören.

 

Und was häufig vergessen wird sind Exploits in den Webanwendungen. Ob dann ein Apache oder IIS läuft ist dann fast egal und das kannst du mit wenig Geldmitteln nicht abfangen.

Link zu diesem Kommentar

Hallo!

 

Danke für eure Antworten! 

 

 Gegenfrage: Microsoft läßt naturgemäß alle seine Webseiten auf IIS laufen (http://toolbar.netcr.../login.live.com) - warum sollte ein IIS nicht direkt im Internet stehen dürfen? 

Ich selbst hab absolut keine Einwände und praktisch genau die Frage stelle ich ja an das Forum hier :)

(

Hatte mal einen Windows Server Essential mit Standard-Firewall-Einstellungen zu Testzwecke auf der gleichen Art im Einsatz.
Anfang lief alles perfekt dann wurden alles extrem langsam und ich bekam Abuse-Meldungen.

Die Ursache/Lösung war sehr einfach: Mann muss unbedingt die Ports der DNS-Dienste sperren.

 

Diesmal hab ich mir gedacht ich frag mal in das Forum ob jemand zufällig genau so einen Tipp für mich hat :)

)

 

 

Nochmals aber, sind denn die Daten auf dem Server schutzbedürftig? Die Anwendungen, sind diese schutzbedürftig?

Jeder kleine Webshop beinhaltet doch schon jede Menge schutzbedürftige Kundendaten und zwar aus Sicht des Kunden und des Webshop-Besitzers.

 

Kernfrage, wovor muss der Server geschützt werden?

Nichts besonders aber es handelt sich halt um einen Webanwendung und da kann ja jeder Mensch etwas böses versuchen.

 

 

 

Also ich glaub inzwischen dass ich das schon richtig mache!

Könnt ihr mir noch einen Tipp geben was man heutzutage für einen Windows SErver 2012 am besten für einen Virenscan verwendet?

 

 

Danke!

lg myGil

Link zu diesem Kommentar

Moin,

also wenn das System regelmäßig gepatcht wird sehe ich eigentlich auch kein Problem darin einen Windows Server direkt im Internet zu betreiben.

Machen hier im Forum sicherlich auch sehr viele so (z.B. Exchange).

 

Wenn Du ein höheres Sicherheitsniveau erreichen willst bietet sich ein Reverse-Proxy an wie Ihn z.B. diverse UTM-Lösungen anbieten. Dort hängt dann nur die UTM direkt im Internet. Die Daten zum Webserver laufen dann zunächst über die UTM und können dort nochmals geprüft werden.

 

Der überwiegende Teil der Sicherheitslecks entstehen eh durch Fehler in der Programmierung der eigentlichen Webanwendung und nicht durch den eigentlichen Webserver selbst. Siehe diverse Bugs in Webshops, CMS-Systemen usw. Da nutzt Dir dann auch das Patchen des Webservers nichts (und auch kein Reverse-Proxy)!

 

Gruß

Dirk

Link zu diesem Kommentar

Hallo!

 

Also ich bin mir jetzt um einiges sicherer dass das mit meinem virtuellen IIS Webserver im alles Internet passt!

Die Anwendungen die ich entwickle passen auf jeden FAll: Da verwende ich ASP.NET MVC inkl. den fertigen Membership Authentifizierung und Autorisierung Funktionen sowie Clientseitiges und Serverseite Validierung und halt mich auch sonst an die Spielregel. WEnn es mal ernster wird dann gibt's https :)

 

Danke für eure Feedbacks!

lg myGil

Link zu diesem Kommentar

Die Ursache/Lösung war sehr einfach: Mann muss unbedingt die Ports der DNS-Dienste sperren.

Das gehört aber fast zu den "Basics" :D

 

Man "sperrt" keine Ports, sondern man blockt inbound alles und macht nur genau das auf, was von außen auch gebraucht wird - hier vmtl. also nur 80/443 und nur für den IIS WWW-Dienst.

 

Und wer noch eine Nummer sicherer gehen will, blockt auch outbound alles und macht nur genau das auf, was gebraucht wird. Das kann aber etwas Arbeit bedeuten :)

Link zu diesem Kommentar
Der überwiegende Teil der Sicherheitslecks entstehen eh durch Fehler in der Programmierung der eigentlichen Webanwendung und nicht durch den eigentlichen Webserver selbst. Siehe diverse Bugs in Webshops, CMS-Systemen usw. Da nutzt Dir dann auch das Patchen des Webservers nichts (und auch kein Reverse-Proxy)!

 

Dafür gibt es WAF (Web Applications Firewalls), die bestimmte Angriffe unterbinden können. Diese sind auch meist als Reverse Proxy implementiert.

Aber wie bei allen Sicherheitsthemen: Es helfen keine einzelne Tools und Lösungen sondern man benötigt ein komplettes Konzept und man muss dranbleiben.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...