niki2011 10 Geschrieben 27. März 2006 Melden Teilen Geschrieben 27. März 2006 Hallo, als ziemlicher Firewall-Dummy hier meine Frage: ich stehe vor dem Problem einen eigenen Web-Server (W2K3, mit IIS6, FTP, Mailserver, mySQL-Server, MS SqlServer 2000), in ein Rechenzentrum zu stellen. Bisherige Maschinen habe ich bei einem Provider, der eine eigene Firewall unterhält, hinter der die Maschinen stehen, gehostet. Leider muss ich aber aus verschiedenen Gründen meine neue Maschine völlig autark laufen lassen und kann auf derartige Hilfe (z.B. Firewall) im neuen RZ nicht zurückgreifen, da dort nur die Standplätze und Anschlüsse zur Verfügung gestellt werden. Ich muss mich also selbst kümmern. Die Maschine wird etwa rund 200GB Traffic pro Monat machen. Natürlich möchte ich Kosten so niedrig wie möglich halten, da ich ein Kleinstbetrieb bin, und mir momentan weitere teure Hardware nicht leisten kann. Mich würde interessieren, wenn ich die integrierte Firewall des W2K3 Servers (Standard Edition) verwende und nur die benötigten Ports öffne (z.B. 21,25,80,110,443,3306,3389), wie sicher ist dann die Maschine gegen Angriffe - im Vergleich zu einer Maschine, die noch eine Hardware-Firewall vorgeschaltet hat und die genannten offenen Ports noch zusätzlich gefiltert werden. Ist das Risiko zu gross so zu arbeiten? Wer kann mir in dieser verzwickten Situation eine Rat geben? Eine vorgeschaltete Linux Maschine als Firewall scheidet aus, da ich mich mit Linux überhaupt nicht auskenne. Besten Dank für Eure Hilfe! Gruss Niki Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 27. März 2006 Melden Teilen Geschrieben 27. März 2006 Hi Niki2011, Ist das Risiko zu gross so zu arbeiten? für wen ... für die Maschine für dich ... oder was... u. warum so viele Ports? 3389 Remotedesktop ... direkt ohne VPN ... ... ich würde ich das nie ohne VPN machen ... Wer kann mir in dieser verzwickten Situation eine Rat geben? der Budgetverantwortliche ...der die Kohle für ne Hardware-Firewall locker macht o. dein lokaler Provider um die Ecke der dir einen Internetzugang mit vorgeschalteter Firewall anbietet u. diese kompetent wartet u. überwacht. http://www.windowsitpro.com/Windows/Article/ArticleID/44981/44981.html u. denke daran: http://msmvps.com/blogs/bradley/archive/2005/02/04/34974.aspx An open port is a hole is a weakness is a entry is a ....got it? EDIT: Hier noch ne gute FAQ dazu ...ne Firewall ist nicht nur ein Stück Hard o. Software sondern ein Konzept ... wer/was ... darf auf mein System ... u. warum .... muss dieses Port wirklich offen sein... usw.. http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html LG Gadget Zitieren Link zu diesem Kommentar
niki2011 10 Geschrieben 27. März 2006 Autor Melden Teilen Geschrieben 27. März 2006 Hallo Kohn, danke für die Antwort und die Links. Mir leuchtet ein, dass ich mich intensiv mit der Problematik beschäftigen muss um ein Firewallspezialist zu werden, damit ist aber in naher Zukunft nicht zu rechnen, da ich die Zeit dafür nicht aufbringen kann. Dennoch meine ich sollte es möglich sein mit gediegenem Aufwand ein weitgehend sicheres System zu bekommen. Die genannten Ports sind ja weitgehend Standardports und nur genau diese werden benötigt: 21 für Ftp 25 smtp 80,443 http, https 110 pop3 3306 mySQL Datenbank Die integrierte Firewall von Windows 2003, lässt sich doch so konfigurieren, dass alle anderen als die oben genannten Ports dicht sind. Reicht das noch nicht bzw. ist Windows Server mit Boardmitteln nicht sicher zu machen? Wäre neben der integrierten Firewall die nächste Stufe nicht mit Paketfiltern zu arbeiten? 3389 über VPN wäre schön, wo finde ich aber eine einfache Click-By-Click-Anleitung, um mir so eine Verbindung einzurichten? Dazu ist doch soweit ich weiss auf auf der Client-Seite eine feste IP-Adresse erforderlich oder? Eine Administration von beliebiger Stelle aus dem Netz wäre dann nicht mehr möglich, wenn ich z.B. mal mit dem Notebook unterwegs bin... Gruss Niki Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 27. März 2006 Melden Teilen Geschrieben 27. März 2006 Unser Board-MVP Grizzly hat für die integrierte VPN-Lösung mittels RRAS afaik nen How-To geschrieben. Die Ports die du öffnen willst ... legen dein System so offen da könntest du die Firewall gleich weglassen ... ich empfehle dir dringend wirklich nur den 1723 für PPTP zu öffnen u. nein dafür brauchst du keine feste IP. Hab Grizzly schon PN´t LG Gadget Zitieren Link zu diesem Kommentar
niki2011 10 Geschrieben 27. März 2006 Autor Melden Teilen Geschrieben 27. März 2006 Unser Board-MVP Grizzly hat für die integrierte VPN-Lösung mittels RRAS afaik nen How-To geschrieben. Die Ports die du öffnen willst ... legen dein System so offen da könntest du die Firewall gleich weglassen ... ich empfehle dir dringend wirklich nur den 1723 für PPTP zu öffnen u. nein dafür brauchst du keine feste IP. Hab Grizzly schon PN´t LG Gadget Hallo Gadget, danke für die Antwort. Was ich nicht verstehe. Wieso ist das System bei den Ports so offen? Das würde doch heissen, dass jeder Microsoft Webserver der für Shared Hosting verwendet wird und der einen FTP-Zugang hat total offen ist. Wenn ich jetzt etwas ironisch formuliere, bitte nicht persönlich nehmen: Wie sollen die Kunden dann Ihre FTP-Daten auf die Maschine bekommen, wenn nicht über einen auf Port 21 laufenden FTP-Dienst? Wie Emails senden und empfangen wenn nicht über Ports 25 und 110. Was ist mit Webseiten abrufen auf 80 und https auf 445 -Hinweise: aus Sicherheitsgründen sind alle unsere Shops dicht - kaufen Sie woanders..? Da drängt sich mir der Gedanke auf, nur ein Webserver der heruntergefahren wurde ist sicher...der ist dann aber nutzlos. Was ist es, was ich da in deinen Ausführungen nicht verstehe...? Danke für eine Hilfe! Gruss Niki PS: Da ich mich hier im Board noch nicht so gut auskenne, würdest du mir bitte den Link zu den VPN-How-To-Faq posten, danke! Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 27. März 2006 Melden Teilen Geschrieben 27. März 2006 Leute, die Dienste veröffentlichen , haben üblicherweise mindestens einen Application Layer Firewall und platzieren diese Rechner (die in aller Regel gehärtet sind) in einem Bereich abseits des lokalen Netzwerks (DMZ). Die Ports müssen natürlich offen sein, sonst kann niemand zugreifen, die Art des Zugriffes kann aber sehr fein gesteuert werden ... Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 27. März 2006 Melden Teilen Geschrieben 27. März 2006 PS: Da ich mich hier im Board noch nicht so gut auskenne, würdest du mir bitte den Link zu den VPN-How-To-Faq posten, danke! Hi, da ich auch kommerziell unterwegs bin, möchte ich jetzt nicht die URL zu unserer Firmenhomepage hier verlinken, aber schau doch mal in mein Profil http://www.mcseboard.de/member.php?u=4870 auf die Homepage, dort in der Sektion HowTo\Securtiy ;) Viel Erfolg grizzly999 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.