PatrickKByte 12 Geschrieben 18. Februar 2006 Melden Teilen Geschrieben 18. Februar 2006 Da wir in Kürze zu Testzwecken einen Webserver aufsetzen müssen, brauchen wir eine feste IP am DSL, um von außen erreichbar sein zu können und mit extern gehosteten Domänen arbeiten zu können. Aus Kostengründen werden wir wohl den verfügbaren ADSL-Anschluss (T-Com 6MBit, flat mit T-Business) mit läppischen 2,90.- zur Festverbindung ernennen: einfach IP dazugebujcht, fertig. http://mittelstand.t-systems.de/produkte/page.php?id=218 Doch wie stehts mit der Sicherheit? Als Router nutzen wir einen NETGEAR FWG114P. Eine Firewall außer der eingebauten ist nicht verwendet. Im Moment sitzen dahinter 2 Windows 2003 Server: ein SBS mit Exchange und OWA (per DynDNS schon erreichbar). Dieser macht DNS und DHCP. Hinzu kommt ein W2K3 Standard, der als Backup DC nebenbei auch als Fileserver fungiert. Beide sitzen hinter der Firewall, es ist kein Rechner in der DMZ. Nun soll ne Linux-Möhre den Webserver mimen und von außen erreichbar sein. Gibts irgendwo -blauäugig gefragt- grobe Sicherheitslücken? Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 18. Februar 2006 Melden Teilen Geschrieben 18. Februar 2006 Hi. Nimm doch einen ordentlichen Router mit zertifizierter Firewall (z.B. Zyxel Zywall 5) und stelle den Web Server in die DMZ, dann kannst du sicher besser schlafen. LG Günther Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 18. Februar 2006 Melden Teilen Geschrieben 18. Februar 2006 Vielleicht sogar eine mit Application-Layer Filtering (Watchguard X-500 Core) ... Zitieren Link zu diesem Kommentar
PatrickKByte 12 Geschrieben 18. Februar 2006 Autor Melden Teilen Geschrieben 18. Februar 2006 Also die Firewall hinter den Router, den Webserver in die DMZ und den Exchange SBS mit OWA... auch hinter die Firewall? Wie mach ich das dann mit dem Forwarding am Router? den Port 80 an den Webserver und den Port 81 an den OWA? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 18. Februar 2006 Melden Teilen Geschrieben 18. Februar 2006 An Stelle des Routers (obwohl Du den Router eigentlich auch als zusätzliche Barriere einsetzen kannst), den Webserver in die physikalisch getrennte DMZ und Portforwarding auf Port 80 und den OWA via SSL ansprechen ... Zitieren Link zu diesem Kommentar
PatrickKByte 12 Geschrieben 18. Februar 2006 Autor Melden Teilen Geschrieben 18. Februar 2006 was kann ich noch zur absicherung tun, wenn ich den etat für die Zyxel nicht krieg? ich hatte gehofft, ich lass von mir aus den Webserver ungesichert, und die Windows-Kisten kriegen von allem nix mit... Kann ich nicht den Linux als firewall für die windows-Server nehmen? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 18. Februar 2006 Melden Teilen Geschrieben 18. Februar 2006 Natürlich kannst Du das machen, ebenso wie für den Webserver. GuentherH und ich haben Dir den Router nur vorgeschlagen ... Zitieren Link zu diesem Kommentar
PatrickKByte 12 Geschrieben 18. Februar 2006 Autor Melden Teilen Geschrieben 18. Februar 2006 Natürlich kannst Du das machen, ebenso wie für den Webserver. GuentherH und ich haben Dir den Router nur vorgeschlagen ... Dafür dank ich euch! Ich werd sehen, ob und wie das klappt :-) Zitieren Link zu diesem Kommentar
Dimario 10 Geschrieben 19. Februar 2006 Melden Teilen Geschrieben 19. Februar 2006 mache 2 Netze hintereinander, im ersten Netz hälst du die Rechner die von aussen erreichbar seien sollen, fürs innere Netz benutze einen ISA-Server der sogar application layer kann sogar e-mails filtern, streams filtern etc. Cached ausgehende und eingehende Webanfragen und ist glaube ich sogar im SBS enterprise enthalten!!! günstiger Schutz und ich kenne bis jetzt keinen Bericht das ein ISA gehackt worden ist !!! Korrigiert mich wenn das anders sein sollte(interessiert mich dann nämlich) Zitieren Link zu diesem Kommentar
PatrickKByte 12 Geschrieben 19. Februar 2006 Autor Melden Teilen Geschrieben 19. Februar 2006 mache 2 Netze hintereinander, im ersten Netz hälst du die Rechner die von aussen erreichbar seien sollen, fürs innere Netz benutze einen ISA-Server der sogar application layer kann sogar e-mails filtern, streams filtern etc. Cached ausgehende und eingehende Webanfragen und ist glaube ich sogar im SBS enterprise enthalten!!! günstiger Schutz und ich kenne bis jetzt keinen Bericht das ein ISA gehackt worden ist !!! Korrigiert mich wenn das anders sein sollte(interessiert mich dann nämlich) poah... das SCHREIT ja förmlich nach nem Tutorial :suspect: Also: definiere hintereinander bitte. Und dann hab ich mit ISA noch NIE zu tun gehabt (ich kannte mal ein Mädchen..., aber das gehört net hierher :rolleyes: ) Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 19. Februar 2006 Melden Teilen Geschrieben 19. Februar 2006 Hast Du denn überhaupt einen ISA-Server ? Zitieren Link zu diesem Kommentar
PatrickKByte 12 Geschrieben 19. Februar 2006 Autor Melden Teilen Geschrieben 19. Februar 2006 Hast Du denn überhaupt einen ISA-Server ? nö. Ich habe nur den SBS Std. 2003 und nen W2K3 Std. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 19. Februar 2006 Melden Teilen Geschrieben 19. Februar 2006 Steck doch in Deine Linux Firewall mehrere Netzwerkkarten, eine für die Verbindung zum Router, eine für die DMZ und eine für Trusted (was anderes macht eine entsprechende Hardware-Firewall ja auch nicht) ... Zitieren Link zu diesem Kommentar
Momo 10 Geschrieben 19. Februar 2006 Melden Teilen Geschrieben 19. Februar 2006 schau mal hier www.ipcop.org/ ;) Edit: oder hier www.opensourcedistribution.de/ipcop_open_source_firewall.htm Zitieren Link zu diesem Kommentar
darkhawk 10 Geschrieben 14. April 2006 Melden Teilen Geschrieben 14. April 2006 Hallo! Sag mal wie hast Du den Netgear FWG114P Router konfiguriert damit OWA funktioniert. Ich hatte bis jetzt einen Digitus Router zuhause und hab mir wegen eines Defektes nun den Netgear geholt. Habe Services und Rules bei der Firewall eingestellt doch ich komme von außen nicht auf OWA, Sharepoint oder dem Remote Arbeitsplatz. Bitte um Hilfe Liebe Grüße Michael Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.