carlos03
Goto Top

DMZ einrichten - Lancom 1711 - Sicherheit

Hallo,

ich möchte gerne unseren Außendienstlern den Zugriff auf einen im LAN befindlichen IIS gewähren.
Das Ganze habe ich derzeit per VPN gelöst.

Nun bekommen wir seitens der Außendienstler immer wieder negatives über die VPN Verbindung gemeldet.

Wir haben im Netz zwei Server (A, B), Server A ist DC, DNS und Datenbankserver für unsere WaWi.
Auf Server B läuft der IIS, der auf die DB von Server 1 zugreift.

Nun spiele ich mit dem Gedanken, den Server B in einer DMZ zu platzieren und damit die VPN Einwahl für die Techniker abzulösen.
Als Router verwenden wir einen Lancom 1711.

Die Weboberfläche der WaWi bietet einen SSL- basierten Login.

Nun würde mich eure Meinung dazu interessieren. Besonders in Bezug auf die Sicherheit.

Lässt sich mit dem Lancom eine "echte" DMZ einrichten?

Vielen Dank.

mfg
Carlos03

Content-ID: 142071

Url: https://administrator.de/contentid/142071

Ausgedruckt am: 26.11.2024 um 12:11 Uhr

Aufmuckn
Aufmuckn 04.05.2010 um 13:12:01 Uhr
Goto Top
eine DMZ kannst du eigentlich mit jeden popeligen router einrichten .. also auch sicherlich mit einem lancom - aber in keinsterweise zu empfehlen - da eine DMZ ja bewirkt dass alle anfragen die der Router nicht über Regeln oder Firewalleinträge abhandeln kann auf die IP der DMZ weiterschickt .. also somit sagt dein IIS relativ ungeschütz "hallo" zum internet ...

warum machst du nicht dementsprechende port forwards auf den IIS ? port 80 zb .. würd ich aber auch ned umbedingt machen .. da es ja ein standard port ist .. SSL brauchst du natürlich auch noch ..


ich würd mir einen xbeliebigen port aussuchen und den forwarden .. (gehört natürlich dann auch beim iis angepasst .. und die clients müssen den port natürlich auch dann angeben - aber den link kannst ja unter fav. speichern .. .) ...

mfg
Mike
aqui
aqui 04.05.2010 um 17:20:48 Uhr
Goto Top
Port 80 wär ja Unsinn wenn die WaWi einen schon SSL Port 443 Zugang hat. Dann Port Verschleierung damit nicht jedes Script Kiddie den Server findet wäre schon ein gangbarer Weg wenn einem die Meckerei fauler Kollegen wichtiger ist als die Durchsetzung einer Sicherheits Policy.
Das musst du mit dir selber ausmachen...
Eine DMZ ist normalerweise ein eigenes IP Segment getrennt vom lokalen Netz...was du da machst ist eine "Bastel DMZ", also keine wirkliche DMZ !

Port Forwarding mit Verschleierung/Translation geht dann so geht dann so:
Im Lancom unter Port Forwarding eintragen:
Eingehender TCP Port 53443 geht auf die lokale IP Adresse des Servers mit dem TCP Port 443

Wenn die remoten Kollegen dann nun https://<dsl_ip_lancom>:53443 eingeben landen sie auf deinem Server. Wenn sie den URL bookmarken auch mit einem Mausklick... Das wäre einigermassen sicher, da Ports üner 50000 normalerweise nicht von Portscannern und anderen Schnüffelinstrumenten erfasst werden.

Falls du keine feste IP hast für den Lancom empfiehlt es sich dort natürlich noch einen DynDNS Client zu aktivieren dann können die Kollegen statt der wechselnden DSL IP immer https://carlos-wawi.homeip.net:53443 eingeben.
Carlos03
Carlos03 04.05.2010 um 18:20:11 Uhr
Goto Top
Vielen Dank für die Antworten.

Das einzige Problem sehe ich daran, dass sich jemand dann unendlich daran versuchen kann ohne gesperrt zu werden.
Ich habe ja keine Möglichkeit die Fehlversuche beim Login abzufangen.

Mir ist das Thema Sicherheit schon sehr wichtig.
Auf der anderen müssen die Mitarbiter mit der Software auch arbeiten können.

Wenn sich der VPN Tunnel häufig aufgrund eines schlechten UMTS SIgnals verabschiedet, ist das nicht praktikabel.

mfg
Carlos03
Aufmuckn
Aufmuckn 06.05.2010 um 15:32:45 Uhr
Goto Top
na wenn das problem ne schlechte internetverbindung ist - dann nützt dir die umstellung auf ssl ja auch nicht besonders viel ...

läuft ja auch übers netzt - zwar etwas schneller denk ich - aber down & upload bleibt dir nicht ersparrt ...

anderer netzbetreiber ? der da besser verfügbar ist .. ?