9
Webserver mit W2k3 und Apache von LAN trennen
Momentan sind alle Serverdienste auf einem Windows-Server vereint. Sowohl LAN als auch Webserver... Jetzt soll der Webserver auf eine eigene Maschine umgezogen werden.
Hallo,
ich soll obige Aufgabe umsetzen und versuche gerade die technische Umsetzung und den Aufwand zu kalkulieren. Chef will natürlich möglichst wenig...
Momentan ist das LAN über eine Cisco 575 LRE Bridge mit dem Rechenzentrum verbunden (Leitung nach draussen und Public IPs). Danach folgt eine Cisco PIX 506E Firewall und dann LAN.
Jetzt soll für den Webserver eine eigene Maschine angeschafft werden und diese aus dem LAN ausgegliedert werden. Leider muss ich gestehen, dass ich nicht sicher bin, wie hier die sinnvollste Lösung aussieht. Der Webserver soll natürlich am besten vom LAN aus administrierbar sein, aber die Sicherheit nach Aussen hat Prio.
Ich bräuchte Tips, wie der neue Server am besten integriert wird, um einen öffentlichen Webserver zu bieten, das LAN nach aussen abzusichern und möglichst den Apache trotzdem von Clients aus warten zu können (hat nicht Prio - kann zur Not auch am Server direkt gemacht werden).
Bitte gebt mir einen Ansatz wie das am besten aufgebaut wird und in welche Richtung wir planen sollen.
Danke & Gruß,
Alex
ich soll obige Aufgabe umsetzen und versuche gerade die technische Umsetzung und den Aufwand zu kalkulieren. Chef will natürlich möglichst wenig...
Momentan ist das LAN über eine Cisco 575 LRE Bridge mit dem Rechenzentrum verbunden (Leitung nach draussen und Public IPs). Danach folgt eine Cisco PIX 506E Firewall und dann LAN.
Jetzt soll für den Webserver eine eigene Maschine angeschafft werden und diese aus dem LAN ausgegliedert werden. Leider muss ich gestehen, dass ich nicht sicher bin, wie hier die sinnvollste Lösung aussieht. Der Webserver soll natürlich am besten vom LAN aus administrierbar sein, aber die Sicherheit nach Aussen hat Prio.
Ich bräuchte Tips, wie der neue Server am besten integriert wird, um einen öffentlichen Webserver zu bieten, das LAN nach aussen abzusichern und möglichst den Apache trotzdem von Clients aus warten zu können (hat nicht Prio - kann zur Not auch am Server direkt gemacht werden).
Bitte gebt mir einen Ansatz wie das am besten aufgebaut wird und in welche Richtung wir planen sollen.
Danke & Gruß,
Alex
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 8963
Url: https://administrator.de/contentid/8963
Printed on: April 26, 2024 at 19:04 o'clock
9 Comments
Latest comment
ich würde die PIX 506E gegten eine PIX 515E austauschen und den Server dann ans dritte Interface in die DMZ hängen.
Hallo meinereiner,
danke für den Tip - DMZ, da horchen meine gequälten Ohren auf!
Ich frag jetzt mal ganz doof:
Die PIX 515E hat drei Ports - davon ist einer LAN und einer WAN bzw Bridge zum RZ (soweit wie die 506) und einen dritten an den direkt der neue PC kommt. DMZ heißt dann für mich die PIX verwaltet den Verkehr je nach IP so, dass entweder LAN oder Webserver angesprochen werden? Halbwegs richtig? Ich hab mit DMZ leider noch nichts zu tun gehabt und nur theoretisches Halbwissen...
Danke & GRuß,
Alex
danke für den Tip - DMZ, da horchen meine gequälten Ohren auf!
Ich frag jetzt mal ganz doof:
Die PIX 515E hat drei Ports - davon ist einer LAN und einer WAN bzw Bridge zum RZ (soweit wie die 506) und einen dritten an den direkt der neue PC kommt. DMZ heißt dann für mich die PIX verwaltet den Verkehr je nach IP so, dass entweder LAN oder Webserver angesprochen werden? Halbwegs richtig? Ich hab mit DMZ leider noch nichts zu tun gehabt und nur theoretisches Halbwissen...
Danke & GRuß,
Alex
Eigentlich verwaltest du Netze.
Über den WAN Port die des Internets, über den Lan Port deine internen und am dritten, das für die DMS dann ein neues. Da kann dann natürlich nur ein Server drin stehen.
Das schöne an der DMZ ist, das sie vom internen Lan genau so getrennt ist wie das Internet und die DMZ vom Internet wie das Lan vom Internet. Die DMZ klemmt sich genau dazwischen.
Deine Regeln vom Internet ins Lan bleiben wie sie sind. Aufmachen musst du nur die Ports
in die DMZ. Deine Sicherheit zum Internet bleibt komplett erhalten udn wenn einer den Web Server hacken sollte ändert sich auch nichts, da der Weg ins Lan gesperrt ist.
Über den WAN Port die des Internets, über den Lan Port deine internen und am dritten, das für die DMS dann ein neues. Da kann dann natürlich nur ein Server drin stehen.
Das schöne an der DMZ ist, das sie vom internen Lan genau so getrennt ist wie das Internet und die DMZ vom Internet wie das Lan vom Internet. Die DMZ klemmt sich genau dazwischen.
Deine Regeln vom Internet ins Lan bleiben wie sie sind. Aufmachen musst du nur die Ports
in die DMZ. Deine Sicherheit zum Internet bleibt komplett erhalten udn wenn einer den Web Server hacken sollte ändert sich auch nichts, da der Weg ins Lan gesperrt ist.
Danke!
Hallo meinereiner,
jetzt hat sich Chef die Sache anders überlegt und lehnt die Neuanschaffung einer PIX 515 ab... Hast Du noch eine andere Idee, wie man das halbwegs vernünftig lösen könnte?
Mir fällt da nichts sicheres ein.
Danke & Gruß,
Alex
jetzt hat sich Chef die Sache anders überlegt und lehnt die Neuanschaffung einer PIX 515 ab... Hast Du noch eine andere Idee, wie man das halbwegs vernünftig lösen könnte?
Mir fällt da nichts sicheres ein.
Danke & Gruß,
Alex
Dann wird er wohl auch keine andere hardware kaufen wollen?!
Somit wirst du wohl den Web Server in dein Normales LAN hängen müssen. Auf der Pix eine Regel definieren, die die passenden Ports aufmacht und dann eine Umleitung für die Ports auf den Webserver definieren.
Somit wirst du wohl den Web Server in dein Normales LAN hängen müssen. Auf der Pix eine Regel definieren, die die passenden Ports aufmacht und dann eine Umleitung für die Ports auf den Webserver definieren.
Na ich höre ihn schon jetzt jammern... Das Sicherheit nie was kosten darf... Was hättest Du an anderer Hardware vorgeschlagen? Alles teuer oder gibt's was unterhalb 2,5k?
Danke für Deine Tips!
Danke für Deine Tips!
naja, die Pix krigste billiger:
http://www.mercateo.com/p/173-1071177/CISCO_PIX_515_Firewall_2x10_100_B ...
aber überlegen wir mal Alternativen:
Die 506 kann in der aktuellen Softwareversion Vlans. Dementsprechend könnte man einen Switch zwischen pix, Web Server und internen Netz hängen und das Ganze über Vlans trennen. Da könnte man auch einen älteren Switch für nehmen, der nur 10Mbit kann. Mehr gibt das Internet bei euch eh nicht her!?!
Oder man nimmt an Stelle des Switches und Vlans einen Router. Damit könntest du auch eine DMZ aufbauen. Hinter er 506 baust du dann ein kleines Netz in dem der Web Server und ein Interface vom Router steht...
Zeichenversuch:
Internet
|
Pix
|
Web Server
|
Router
|
internes Netz
Wie sicher das Ganze wird hängt dann von den Möglichkeiten des Routers ab und wie gut er konfiguriert ist. Anstelle des Routers könntest du auch eine weitere Pix 506 nehmen.
Oder du setzt erst den Router hin und dann die Pix. Damit wäre dein internes Netz besser geschützt und der Web Server angreifbarer.
Aber da kommen wir so langsam an die Grenzen meines Know Hows..sorry..
Ich bin eher ein Windows Mensch. Nit Routern, Firewalls, etc. habe ich mich nur das letzte Jahr ein bischen beschäftigt und das auch sehr Cisco lastig.
http://www.mercateo.com/p/173-1071177/CISCO_PIX_515_Firewall_2x10_100_B ...
aber überlegen wir mal Alternativen:
Die 506 kann in der aktuellen Softwareversion Vlans. Dementsprechend könnte man einen Switch zwischen pix, Web Server und internen Netz hängen und das Ganze über Vlans trennen. Da könnte man auch einen älteren Switch für nehmen, der nur 10Mbit kann. Mehr gibt das Internet bei euch eh nicht her!?!
Oder man nimmt an Stelle des Switches und Vlans einen Router. Damit könntest du auch eine DMZ aufbauen. Hinter er 506 baust du dann ein kleines Netz in dem der Web Server und ein Interface vom Router steht...
Zeichenversuch:
Internet
|
Pix
|
Web Server
|
Router
|
internes Netz
Wie sicher das Ganze wird hängt dann von den Möglichkeiten des Routers ab und wie gut er konfiguriert ist. Anstelle des Routers könntest du auch eine weitere Pix 506 nehmen.
Oder du setzt erst den Router hin und dann die Pix. Damit wäre dein internes Netz besser geschützt und der Web Server angreifbarer.
Aber da kommen wir so langsam an die Grenzen meines Know Hows..sorry..
Ich bin eher ein Windows Mensch. Nit Routern, Firewalls, etc. habe ich mich nur das letzte Jahr ein bischen beschäftigt und das auch sehr Cisco lastig.
Danke!
Ich werd mir wohl das mit den Vlans näher ansehen müssen...
Mein Hirn scheitert gerade an der Uhrzeit. Ich versuche es Morgen früh wieder zu aktivieren und mir Deine Vorschläge mal in der Theorie basteln...
Ich werd mir wohl das mit den Vlans näher ansehen müssen...
Mein Hirn scheitert gerade an der Uhrzeit. Ich versuche es Morgen früh wieder zu aktivieren und mir Deine Vorschläge mal in der Theorie basteln...