PatrickKByte 12 Geschrieben 18. Februar 2006 Melden Geschrieben 18. Februar 2006 Da wir in Kürze zu Testzwecken einen Webserver aufsetzen müssen, brauchen wir eine feste IP am DSL, um von außen erreichbar sein zu können und mit extern gehosteten Domänen arbeiten zu können. Aus Kostengründen werden wir wohl den verfügbaren ADSL-Anschluss (T-Com 6MBit, flat mit T-Business) mit läppischen 2,90.- zur Festverbindung ernennen: einfach IP dazugebujcht, fertig. http://mittelstand.t-systems.de/produkte/page.php?id=218 Doch wie stehts mit der Sicherheit? Als Router nutzen wir einen NETGEAR FWG114P. Eine Firewall außer der eingebauten ist nicht verwendet. Im Moment sitzen dahinter 2 Windows 2003 Server: ein SBS mit Exchange und OWA (per DynDNS schon erreichbar). Dieser macht DNS und DHCP. Hinzu kommt ein W2K3 Standard, der als Backup DC nebenbei auch als Fileserver fungiert. Beide sitzen hinter der Firewall, es ist kein Rechner in der DMZ. Nun soll ne Linux-Möhre den Webserver mimen und von außen erreichbar sein. Gibts irgendwo -blauäugig gefragt- grobe Sicherheitslücken?
GuentherH 61 Geschrieben 18. Februar 2006 Melden Geschrieben 18. Februar 2006 Hi. Nimm doch einen ordentlichen Router mit zertifizierter Firewall (z.B. Zyxel Zywall 5) und stelle den Web Server in die DMZ, dann kannst du sicher besser schlafen. LG Günther
IThome 10 Geschrieben 18. Februar 2006 Melden Geschrieben 18. Februar 2006 Vielleicht sogar eine mit Application-Layer Filtering (Watchguard X-500 Core) ...
PatrickKByte 12 Geschrieben 18. Februar 2006 Autor Melden Geschrieben 18. Februar 2006 Also die Firewall hinter den Router, den Webserver in die DMZ und den Exchange SBS mit OWA... auch hinter die Firewall? Wie mach ich das dann mit dem Forwarding am Router? den Port 80 an den Webserver und den Port 81 an den OWA?
IThome 10 Geschrieben 18. Februar 2006 Melden Geschrieben 18. Februar 2006 An Stelle des Routers (obwohl Du den Router eigentlich auch als zusätzliche Barriere einsetzen kannst), den Webserver in die physikalisch getrennte DMZ und Portforwarding auf Port 80 und den OWA via SSL ansprechen ...
PatrickKByte 12 Geschrieben 18. Februar 2006 Autor Melden Geschrieben 18. Februar 2006 was kann ich noch zur absicherung tun, wenn ich den etat für die Zyxel nicht krieg? ich hatte gehofft, ich lass von mir aus den Webserver ungesichert, und die Windows-Kisten kriegen von allem nix mit... Kann ich nicht den Linux als firewall für die windows-Server nehmen?
IThome 10 Geschrieben 18. Februar 2006 Melden Geschrieben 18. Februar 2006 Natürlich kannst Du das machen, ebenso wie für den Webserver. GuentherH und ich haben Dir den Router nur vorgeschlagen ...
PatrickKByte 12 Geschrieben 18. Februar 2006 Autor Melden Geschrieben 18. Februar 2006 Natürlich kannst Du das machen, ebenso wie für den Webserver. GuentherH und ich haben Dir den Router nur vorgeschlagen ... Dafür dank ich euch! Ich werd sehen, ob und wie das klappt :-)
Dimario 10 Geschrieben 19. Februar 2006 Melden Geschrieben 19. Februar 2006 mache 2 Netze hintereinander, im ersten Netz hälst du die Rechner die von aussen erreichbar seien sollen, fürs innere Netz benutze einen ISA-Server der sogar application layer kann sogar e-mails filtern, streams filtern etc. Cached ausgehende und eingehende Webanfragen und ist glaube ich sogar im SBS enterprise enthalten!!! günstiger Schutz und ich kenne bis jetzt keinen Bericht das ein ISA gehackt worden ist !!! Korrigiert mich wenn das anders sein sollte(interessiert mich dann nämlich)
PatrickKByte 12 Geschrieben 19. Februar 2006 Autor Melden Geschrieben 19. Februar 2006 mache 2 Netze hintereinander, im ersten Netz hälst du die Rechner die von aussen erreichbar seien sollen, fürs innere Netz benutze einen ISA-Server der sogar application layer kann sogar e-mails filtern, streams filtern etc. Cached ausgehende und eingehende Webanfragen und ist glaube ich sogar im SBS enterprise enthalten!!! günstiger Schutz und ich kenne bis jetzt keinen Bericht das ein ISA gehackt worden ist !!! Korrigiert mich wenn das anders sein sollte(interessiert mich dann nämlich) poah... das SCHREIT ja förmlich nach nem Tutorial :suspect: Also: definiere hintereinander bitte. Und dann hab ich mit ISA noch NIE zu tun gehabt (ich kannte mal ein Mädchen..., aber das gehört net hierher :rolleyes: )
IThome 10 Geschrieben 19. Februar 2006 Melden Geschrieben 19. Februar 2006 Hast Du denn überhaupt einen ISA-Server ?
PatrickKByte 12 Geschrieben 19. Februar 2006 Autor Melden Geschrieben 19. Februar 2006 Hast Du denn überhaupt einen ISA-Server ? nö. Ich habe nur den SBS Std. 2003 und nen W2K3 Std.
IThome 10 Geschrieben 19. Februar 2006 Melden Geschrieben 19. Februar 2006 Steck doch in Deine Linux Firewall mehrere Netzwerkkarten, eine für die Verbindung zum Router, eine für die DMZ und eine für Trusted (was anderes macht eine entsprechende Hardware-Firewall ja auch nicht) ...
Momo 10 Geschrieben 19. Februar 2006 Melden Geschrieben 19. Februar 2006 schau mal hier www.ipcop.org/ ;) Edit: oder hier www.opensourcedistribution.de/ipcop_open_source_firewall.htm
darkhawk 10 Geschrieben 14. April 2006 Melden Geschrieben 14. April 2006 Hallo! Sag mal wie hast Du den Netgear FWG114P Router konfiguriert damit OWA funktioniert. Ich hatte bis jetzt einen Digitus Router zuhause und hab mir wegen eines Defektes nun den Netgear geholt. Habe Services und Rules bei der Firewall eingestellt doch ich komme von außen nicht auf OWA, Sharepoint oder dem Remote Arbeitsplatz. Bitte um Hilfe Liebe Grüße Michael
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden