Jump to content

Webserver DMZ interne Domäne


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

ich hab da ein Problem.

 

Folgendes Ziel muß ich erreichen.

 

Ich muß einen Windows 2000 Server / IIS 5 in der DMZ einrichten, auf dem für unsere Warenwirtschaft ein ASP Shop läuft. Dieser braucht durch die DMZ ins das interne Netzwerk eine Verbindung mit einem SQL Server 7.0 von MS bzw. eine Postgre SQL Datenbank aktuelle Version. Wir haben intern eine W2k Domäne eingerichtet ADS läuft perfekt DNS ebenso.

Es läuft auch ein Exchange 2000 Srv, der den Mailverkehr regelt. Dieser sollte die Mail über den IIS in der DMZ empfangen und verschicken können.

 

Mein Frage ist nun, welche Ports muß ich von der DMZ Richtung internes LAN freischalten, damit Verkehr entsteht und kein riesiges Loch in die Firewall gerissen wird.

 

Für SMTP reicht Port 25 nach intern?

Der Webserver ist in bereits in der DMz installiert, aber nicht zur Domäne hinzugefügt worden. Richtig/Falsch?

Extern gibt es ein fixe IP.

MX Eintrag wird auf Externe WEB Server IP umgeleitet

DMZ Ip 10.0.0.1

Web Server 1: z.B 10.0.0.10

Intern Lan 192.168.0.0

 

Besten Dank im Voraus.

Link zu diesem Kommentar

Hi,

 

an Deiner Stelle würde ich es so nicht lösen, damit ist Deine Firewall so dicht wie ein Schweizer Käse!

 

Nun gut. Auf jeden Fall brauchst Du Port 389 (TCP, UDP) für LDAP, Port 88 (TCP, UDP) für Kerberos, Port 53 (TCP, UDP) für DNS, 3268 (TCP) und 3269 (TCP) für den GC und Port 445 (TCP, UDP) für SMB.

Das sind mal die, die Du auf jeden Fall brauchst. Dazu kommen die SQL Ports, die ich leider nicht kenne. Wenn Du sowas machst, solltest Du zumindest einen ISA Server oder eine andere Application Firewall dazwischen haben.

 

Gruß

Dirk

Link zu diesem Kommentar

Guten Morgen,

 

Der Webserver ist in bereits in der DMz installiert, aber nicht zur Domäne hinzugefügt worden

 

...

Nun gut. Auf jeden Fall brauchst Du Port 389 (TCP, UDP) für LDAP, Port 88 (TCP, UDP) für Kerberos, Port 53 (TCP, UDP) für DNS, 3268 (TCP) und 3269 (TCP) für den GC und Port 445 (TCP, UDP) für SMB.

...

 

Das wiederspricht sich etwas. Wofür braucht er die ganzen Ports wenn der Server nicht Mitglied der Domäne ist?

Ich würde sagen, Port 25 (SMTP), 80 (HTTP) evtl. HTTPS (443) von extern in die DMZ.

Zudem dann wieder Port 25 und den SQL-Port von der DMZ ins Lan sollten genügen.

 

EDIT: OK, die DNS -Auflösung hab ich vergessen, die sollte natürlich noch sein, am besten von einem Internen DNS-Server.

 

Eine entsprechende Firewall sollte natürlich vorhanden sein.

 

Grüße

 

Tobias

Link zu diesem Kommentar

Hallo,

 

danke erstmal für die raschen Antworten.

 

Ist es notwendig das der Server in die Domäne gehört oder nicht? Dafür müßte ich doch alle oben beschriebenen Ports aufmachen. Der Server soll nur die SMTP weiterleiten von innen nach aussen und umgekehrt. Außerdem Webserver sein und eine Verbindung zum SQL herstellen können.

 

Falls es Sicherheitstechnische Bedenken gibt, bitte mitteilen.

 

Als Firewall wird jetzt Zyxel Zywall 35 UTM eingesetzt

 

In der DMZ steht der Webserver / SMTP ohne Domänenzugriff (zurzeit)

Die DMZ hat momentan noch keinen Zugriff ins LAN.

 

Dahinter kommt das Lan mit W2k Domäne und SQL Server, XP Clients, Exchange 2000

Link zu diesem Kommentar

Hi,

 

ich würde, wie schon empfohlen wurde, einen ISA Server oder ähnliches einsetzen, um den Server in der DMZ abzusichern. Der ISA 2004 Standard ist ganz gut für solche Zwecke.

Falls Du gut englisch kannst, und es in Frage kommt natürlich ;) besorg Dir das Buch von T. Shinder zum ISA 2004. Alternativ schau dich auf isaserver.org oder isafaq.de um.

 

Der Server in der DMZ sollte jedenfalls nicht Domain-member sein.

 

Ach so ja: sql port sollte 1433 sein. Ansonsten wurden die Ports ja schon erwähnt.

 

Christoph

Link zu diesem Kommentar

Hi,

 

auf dem ISA Server sollte keine weitere Software installiert werden. Man kann DNS als Caching-Only installieren und wenn man die Message Screener Komponente von ISA nutzen will, muß man den SMTP Service installieren.

 

Ansonsten ist der ISA eben auch ein Proxy und Reverse Proxy und eine Firewall, die auch auf Application Layer 7 filtern kann.

 

http://www.microsoft.com/isaserver

http://www.isaserver.org

http://www.msisafaq.de

 

sind gute Informationsquellen zum ISA Server.

 

Christoph

Link zu diesem Kommentar

Hallo zusammen.

 

Die wichtigste Frage, die wohl vorab zu klären wäre, wäre wohl ob Eurer Webserver

von außen für die Öffentlichkeit erreichbar ist, oder nicht. Wenn dem so ist, dann

hätte ich ganz massive Bedenken bezüglich der Sicherheit und dem Design Deines

Perimeternetzwerkes.

 

Das Design der DMZ würde bei mir etwas anders aussehen. Ich hätte sowohl

IIS, Mail, als auch die RDBMS-Server in der DMZ und würde daraufhin die

Replikationsstrategien der DB-Server und den Versand der Mails in das interne

Netz konfigurieren. Wie Christoph35 richtigerweise geschrieben hat, wären die

Rechner in der DMZ nicht Teil der internen Domäne.

 

LG

Marco

Link zu diesem Kommentar

Im Hinblick auf Skalierbarkeit und Erreichbarkeit einer solchen Lösung und der

daraus resultierenden Rahmenbedingungen würde ich die von mir und Christoph35

genannte Struktur empfehlen.

 

Das hat mehrere Gründe und die will ich Dir auch hier gerne nennen, denn

 

  • SQL - Injection ist ein echtes Problem
  • Die Rechtevergabe und Verifizierbarkeit von Informationen wird granularer gestaltet
  • Im Falle von Angriffen wäre die genannte Lösung besser geeignet, weil abgeschottet vom internen Netz
  • Du hast somit alle Optionen bezgl. der Skalierbarkeit offen
  • ET CETERA

 

Nun, das ist ein Thema, woran man sich stundenlang aufhalten kann. Ist alles andere als einfach.

 

Viele Fragen gibt es da im Vorfeld zu klären. Zum Beispiel ...

 

  • Wieviele Kunden sollen darauf Zugriff haben?
  • Wieviele Kunden sollen im erwarteten Maximum bedient werden können?
  • Ist eine Ausweitung auf einen reinen Webshop geplant?
  • ...

 

LG

Marco

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...