Jump to content
Sign in to follow this  
Hazwo

Webserver DMZ interne Domäne

Recommended Posts

Hallo Leute,

 

ich hab da ein Problem.

 

Folgendes Ziel muß ich erreichen.

 

Ich muß einen Windows 2000 Server / IIS 5 in der DMZ einrichten, auf dem für unsere Warenwirtschaft ein ASP Shop läuft. Dieser braucht durch die DMZ ins das interne Netzwerk eine Verbindung mit einem SQL Server 7.0 von MS bzw. eine Postgre SQL Datenbank aktuelle Version. Wir haben intern eine W2k Domäne eingerichtet ADS läuft perfekt DNS ebenso.

Es läuft auch ein Exchange 2000 Srv, der den Mailverkehr regelt. Dieser sollte die Mail über den IIS in der DMZ empfangen und verschicken können.

 

Mein Frage ist nun, welche Ports muß ich von der DMZ Richtung internes LAN freischalten, damit Verkehr entsteht und kein riesiges Loch in die Firewall gerissen wird.

 

Für SMTP reicht Port 25 nach intern?

Der Webserver ist in bereits in der DMz installiert, aber nicht zur Domäne hinzugefügt worden. Richtig/Falsch?

Extern gibt es ein fixe IP.

MX Eintrag wird auf Externe WEB Server IP umgeleitet

DMZ Ip 10.0.0.1

Web Server 1: z.B 10.0.0.10

Intern Lan 192.168.0.0

 

Besten Dank im Voraus.

Share this post


Link to post
Share on other sites

Hi,

 

an Deiner Stelle würde ich es so nicht lösen, damit ist Deine Firewall so dicht wie ein Schweizer Käse!

 

Nun gut. Auf jeden Fall brauchst Du Port 389 (TCP, UDP) für LDAP, Port 88 (TCP, UDP) für Kerberos, Port 53 (TCP, UDP) für DNS, 3268 (TCP) und 3269 (TCP) für den GC und Port 445 (TCP, UDP) für SMB.

Das sind mal die, die Du auf jeden Fall brauchst. Dazu kommen die SQL Ports, die ich leider nicht kenne. Wenn Du sowas machst, solltest Du zumindest einen ISA Server oder eine andere Application Firewall dazwischen haben.

 

Gruß

Dirk

Share this post


Link to post
Share on other sites

Guten Morgen,

 

Der Webserver ist in bereits in der DMz installiert, aber nicht zur Domäne hinzugefügt worden

 

...

Nun gut. Auf jeden Fall brauchst Du Port 389 (TCP, UDP) für LDAP, Port 88 (TCP, UDP) für Kerberos, Port 53 (TCP, UDP) für DNS, 3268 (TCP) und 3269 (TCP) für den GC und Port 445 (TCP, UDP) für SMB.

...

 

Das wiederspricht sich etwas. Wofür braucht er die ganzen Ports wenn der Server nicht Mitglied der Domäne ist?

Ich würde sagen, Port 25 (SMTP), 80 (HTTP) evtl. HTTPS (443) von extern in die DMZ.

Zudem dann wieder Port 25 und den SQL-Port von der DMZ ins Lan sollten genügen.

 

EDIT: OK, die DNS -Auflösung hab ich vergessen, die sollte natürlich noch sein, am besten von einem Internen DNS-Server.

 

Eine entsprechende Firewall sollte natürlich vorhanden sein.

 

Grüße

 

Tobias

Share this post


Link to post
Share on other sites

Hallo,

 

danke erstmal für die raschen Antworten.

 

Ist es notwendig das der Server in die Domäne gehört oder nicht? Dafür müßte ich doch alle oben beschriebenen Ports aufmachen. Der Server soll nur die SMTP weiterleiten von innen nach aussen und umgekehrt. Außerdem Webserver sein und eine Verbindung zum SQL herstellen können.

 

Falls es Sicherheitstechnische Bedenken gibt, bitte mitteilen.

 

Als Firewall wird jetzt Zyxel Zywall 35 UTM eingesetzt

 

In der DMZ steht der Webserver / SMTP ohne Domänenzugriff (zurzeit)

Die DMZ hat momentan noch keinen Zugriff ins LAN.

 

Dahinter kommt das Lan mit W2k Domäne und SQL Server, XP Clients, Exchange 2000

Share this post


Link to post
Share on other sites

Hi,

 

ich würde, wie schon empfohlen wurde, einen ISA Server oder ähnliches einsetzen, um den Server in der DMZ abzusichern. Der ISA 2004 Standard ist ganz gut für solche Zwecke.

Falls Du gut englisch kannst, und es in Frage kommt natürlich ;) besorg Dir das Buch von T. Shinder zum ISA 2004. Alternativ schau dich auf isaserver.org oder isafaq.de um.

 

Der Server in der DMZ sollte jedenfalls nicht Domain-member sein.

 

Ach so ja: sql port sollte 1433 sein. Ansonsten wurden die Ports ja schon erwähnt.

 

Christoph

Share this post


Link to post
Share on other sites

hallo,

 

welche gröberen sicherheitsprobleme könnten entstehen, wenn kein isa server dazwischengeschaltet wird.

 

bzw vorteile.

 

wird der webserver auf dem isa server installiert oder ist zwingend notwendig getrennt zu installieren?

Share this post


Link to post
Share on other sites

Hi,

 

auf dem ISA Server sollte keine weitere Software installiert werden. Man kann DNS als Caching-Only installieren und wenn man die Message Screener Komponente von ISA nutzen will, muß man den SMTP Service installieren.

 

Ansonsten ist der ISA eben auch ein Proxy und Reverse Proxy und eine Firewall, die auch auf Application Layer 7 filtern kann.

 

http://www.microsoft.com/isaserver

http://www.isaserver.org

http://www.msisafaq.de

 

sind gute Informationsquellen zum ISA Server.

 

Christoph

Share this post


Link to post
Share on other sites

Hallo zusammen.

 

Die wichtigste Frage, die wohl vorab zu klären wäre, wäre wohl ob Eurer Webserver

von außen für die Öffentlichkeit erreichbar ist, oder nicht. Wenn dem so ist, dann

hätte ich ganz massive Bedenken bezüglich der Sicherheit und dem Design Deines

Perimeternetzwerkes.

 

Das Design der DMZ würde bei mir etwas anders aussehen. Ich hätte sowohl

IIS, Mail, als auch die RDBMS-Server in der DMZ und würde daraufhin die

Replikationsstrategien der DB-Server und den Versand der Mails in das interne

Netz konfigurieren. Wie Christoph35 richtigerweise geschrieben hat, wären die

Rechner in der DMZ nicht Teil der internen Domäne.

 

LG

Marco

Share this post


Link to post
Share on other sites

Hallo,

 

Webserver soll von aussen erreichbar sein. Allerdings auf einige IP Adressen beschränkt, da das Shopportal nur von einer Kundengruppe benutzt werden darf.

 

Vorerst!

Share this post


Link to post
Share on other sites

Im Hinblick auf Skalierbarkeit und Erreichbarkeit einer solchen Lösung und der

daraus resultierenden Rahmenbedingungen würde ich die von mir und Christoph35

genannte Struktur empfehlen.

 

Das hat mehrere Gründe und die will ich Dir auch hier gerne nennen, denn

 

  • SQL - Injection ist ein echtes Problem
  • Die Rechtevergabe und Verifizierbarkeit von Informationen wird granularer gestaltet
  • Im Falle von Angriffen wäre die genannte Lösung besser geeignet, weil abgeschottet vom internen Netz
  • Du hast somit alle Optionen bezgl. der Skalierbarkeit offen
  • ET CETERA

 

Nun, das ist ein Thema, woran man sich stundenlang aufhalten kann. Ist alles andere als einfach.

 

Viele Fragen gibt es da im Vorfeld zu klären. Zum Beispiel ...

 

  • Wieviele Kunden sollen darauf Zugriff haben?
  • Wieviele Kunden sollen im erwarteten Maximum bedient werden können?
  • Ist eine Ausweitung auf einen reinen Webshop geplant?
  • ...

 

LG

Marco

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...