9
Firewall "konfiguration" - best practice (Public Cloud)
Grüezi,
ich hätte eine "kleine" Frage und würde gerne mal eure Meinung dazu hören.
Wir sind ein junges, kleines Unternehmen was sich vor allem auf die Prozesslandschaft im Unternehmen spezialisiert hat, hier sind u. a. kleinbetriebe unsere Kunden.
Wir sind jetzt aber an einem Standpunkt angekommen, wo wir intern etwas aufbauen müssen, damit wir zuverlässiger für unsere Kunden da sein können -
Ex nihilo nihil fit - wie der Lateiner sagen würde.
Bisher hatten wir unsere "Infrastruktur" bei mir im Arbeitszimmer, bedingt durch die massive Kostenbelastung (u.a. Strom) haben wir uns entschieden, dass wir unsere Windows-Infrastruktur in die Cloud auslagern müssen/wollen.
Hierfür haben wir uns einen sehr günstigen Anbieter ausgesucht, auf denen wir unsere bisherige Software (meist Webanwendungen) ebenfalls laufen lassen.
Da wir aber auch unsere Windows-Umgebung migrieren müssen, bräuchten wir hier etwas Hilfestellung:
der Dienstleister bietet keine Firewall an, die unsere Server vor Eingriffen schützen könnte - der Windows-Firewall vertraue ich nur bedingt. Daheim lief als "Firewall" nur meine Interent-Box (ja, die heißt wirklich so) von der Swisscom. Hier im Forum habe ich jetzt gelesen, dass viele u. a. auf OpnSense setzen, da habe ich mir gedacht, dass wir unsere Server ebenfalls mit einer vorgesetzten OpnSense-Installation bereitstellen würden, dahinter dann in einem VLAN (heißt bei Netcup so, ist nicht Routingfähig) dann unsere Server.
Wie sähe hier eine gute Konfiguration aus, erlaubt werden müssen primär nur 443, für einen einzelnen Server, der unser Monitoring darstellt (CheckMK). Ausgehende beschränkungen (ins WAN) würden wir auch auf 80 und 443 beschränken - oder gibt es noch weiteres, was berücksichtigt werden sollte?
Ich freue mich auf euer Feedback.
Gerne würden wir auch Angebote diesbezüglich entgegennehmen, allerdings ist es finanziell momentan eher "lala" - daher scheidet ein Systemhaus aus, egal ob aus DE oder CH.
Danke und Grüße aus Trient
ich hätte eine "kleine" Frage und würde gerne mal eure Meinung dazu hören.
Wir sind ein junges, kleines Unternehmen was sich vor allem auf die Prozesslandschaft im Unternehmen spezialisiert hat, hier sind u. a. kleinbetriebe unsere Kunden.
Wir sind jetzt aber an einem Standpunkt angekommen, wo wir intern etwas aufbauen müssen, damit wir zuverlässiger für unsere Kunden da sein können -
Ex nihilo nihil fit - wie der Lateiner sagen würde.
Bisher hatten wir unsere "Infrastruktur" bei mir im Arbeitszimmer, bedingt durch die massive Kostenbelastung (u.a. Strom) haben wir uns entschieden, dass wir unsere Windows-Infrastruktur in die Cloud auslagern müssen/wollen.
Hierfür haben wir uns einen sehr günstigen Anbieter ausgesucht, auf denen wir unsere bisherige Software (meist Webanwendungen) ebenfalls laufen lassen.
Da wir aber auch unsere Windows-Umgebung migrieren müssen, bräuchten wir hier etwas Hilfestellung:
der Dienstleister bietet keine Firewall an, die unsere Server vor Eingriffen schützen könnte - der Windows-Firewall vertraue ich nur bedingt. Daheim lief als "Firewall" nur meine Interent-Box (ja, die heißt wirklich so) von der Swisscom. Hier im Forum habe ich jetzt gelesen, dass viele u. a. auf OpnSense setzen, da habe ich mir gedacht, dass wir unsere Server ebenfalls mit einer vorgesetzten OpnSense-Installation bereitstellen würden, dahinter dann in einem VLAN (heißt bei Netcup so, ist nicht Routingfähig) dann unsere Server.
Wie sähe hier eine gute Konfiguration aus, erlaubt werden müssen primär nur 443, für einen einzelnen Server, der unser Monitoring darstellt (CheckMK). Ausgehende beschränkungen (ins WAN) würden wir auch auf 80 und 443 beschränken - oder gibt es noch weiteres, was berücksichtigt werden sollte?
Ich freue mich auf euer Feedback.
Gerne würden wir auch Angebote diesbezüglich entgegennehmen, allerdings ist es finanziell momentan eher "lala" - daher scheidet ein Systemhaus aus, egal ob aus DE oder CH.
Danke und Grüße aus Trient
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 570148
Url: https://administrator.de/contentid/570148
Ausgedruckt am: 04.12.2024 um 18:12 Uhr
9 Kommentare
Neuester Kommentar
Hallo und willkommen im Forum !
wie wollt Ihr dann eine eigene Firewall implementieren ? Wo und wie soll die stehen ?
?? verstehe ich das richtig , ihr setzt einen z.B. Webserver auf und auf dem zweiten Server dann Opensens ?
Ihr koennt kein Vlan initiieren da ihr mit Sicherheit keinen Zugriff auf die Switches des cloud Anbieters habt.
Es macht definitiv Sinn fuer euch einen Dienstleister in Anspruch zu nehmen.
Auch wenn es zur Zeit lala luebbt, macht es keinen Sinn an falscher Stelle zu sparen. Und wenn Ihr euch CheckMk leisten koennt holt euch Hilfe !
Beste Gruesse
PS : sorry aber checkmk ist der letzte Dreck....
der Dienstleister bietet keine Firewall an, die unsere Server vor Eingriffen schützen könnte
wie wollt Ihr dann eine eigene Firewall implementieren ? Wo und wie soll die stehen ?
OpnSense setzen, da habe ich mir gedacht, dass wir unsere Server ebenfalls mit einer vorgesetzten OpnSense-Installation bereitstellen würden,
?? verstehe ich das richtig , ihr setzt einen z.B. Webserver auf und auf dem zweiten Server dann Opensens ?
Ihr koennt kein Vlan initiieren da ihr mit Sicherheit keinen Zugriff auf die Switches des cloud Anbieters habt.
Es macht definitiv Sinn fuer euch einen Dienstleister in Anspruch zu nehmen.
Auch wenn es zur Zeit lala luebbt, macht es keinen Sinn an falscher Stelle zu sparen. Und wenn Ihr euch CheckMk leisten koennt holt euch Hilfe !
Beste Gruesse
PS : sorry aber checkmk ist der letzte Dreck....
Es ist an sich ganz einfach - wenn du weisst was du tust kannst du ne richtige Firewall nehmen, wenn nicht reicht auch die Win-Firewall. Und sorry, du weisst es nicht!
Du hättest dich z.B. grade vermutlich selbst ausgesperrt wenn du nur 443 zulässt -> du musst die Firewall ja auch irgendwie managen, du möchtest (vermutlich) per RDP an deinen Server ran, VPN wäre auch nich so ne ganz blöde Idee... Jetzt kann dein Bauchgefühl natürlich vieles machen, ist aber wie in jedem Bereich oft auch falsch.
Es gibt bei sowas idR. noch eine ganze Menge zu berücksichtigen was dir aber mit nur nen paar groben Infos keiner im Forum mal eben sagen kann da es auch von euren Anforderungen abhängt. Kleines Beispiel: Generell sagt man natürlich das die Server aktuelle Patches usw. bekommen sollten - es kann aber ja auch sein das eure Software da was nich verträgt. Ebenfalls würdest du dich wundern was dein Server noch alles machen möchte - so auf die schnelle und ohne auch nur euren Server anzusehen bin ich mir z.B. sicher das DNS auch gerne genutzt werden würde...
Der nächste Punkt ist: Der Server soll Monitoring machen? WAS soll der Monitoren? Das hört sich für mich so ein wenig danach an das der bei Kunden überprüfen soll ob eure Systeme laufen. Da würde dann der nächste Punkt kommen -> kann ich z.B. auch den Port 443 einschränken (und sei es über Dyn-DNS-Provider)? Wie gut ist eure Software eingereichtet - die sollte ja auch nich so ganz offen sein...
Du siehst, es hängen da eine Menge mehr fragen dran. NUR eine Firewall hinkleben bringt dir mal rein gar nix ausser mehr Wärme. Für einen erfolgreichen Angriff benötigt man erst mal irgendeinen Port - das kann auch dein 443 sein! - und eine Software mit ner Schwachstelle dahinter. Die Windows-Firewall sorgt eben dafür das nach aussen hin kein Port "ungewollt" offen ist und das macht die auch ganz ok... Willst du eben die Sicherheit wirklich mit einer Firewall erhöhen brauchst du auch was richtiges - mit Inspection,... Nur dann wirds zum einen oft etwas teurer wenn Gewerblich genutzt UND du musst wissen was du tust.
Dasselbe gilt für die ausgehenden Verbindungen. Zuerst solltest du dir dann die Frage stellen WARUM sendet da was und das beheben. Wenn du eh Port 80 / 443 nach aussen einfach mal pauschal öffnest kannst du das aber auch schon nahezu vergessen. Hier müsstest du eben auch auf eine gute Firewall setzen und wissen was du machst -> ansonsten hälst du damit ggf. nen paar schlampig dahingerotzte Scriptkiddy-Angriffe auf. Jedes Programm was auch nur ansatzweise überlegt wurde wird immer diese Ports als Backup-Path nutzen willen da die eben oft auf sind. Wenn es sich einrichten lässt würde ich z.B. dann eher versuchen das Webfrontend erst mal auf nen anderen Port zu kleben - auch für eingehende Verbindungen. Ist nämlich eingehend 22/23/25/80/110/143/443 abgeschaltet wirst du merken das ein grossteil der Script-Kiddy-Angriffe (die auch sonst keinen Erfolg versprechen, keine Sorge Scripte sind idR zu blöd um auch nur den Webserver zu erkennen) direkt mal ins leere laufen...
Du hättest dich z.B. grade vermutlich selbst ausgesperrt wenn du nur 443 zulässt -> du musst die Firewall ja auch irgendwie managen, du möchtest (vermutlich) per RDP an deinen Server ran, VPN wäre auch nich so ne ganz blöde Idee... Jetzt kann dein Bauchgefühl natürlich vieles machen, ist aber wie in jedem Bereich oft auch falsch.
Es gibt bei sowas idR. noch eine ganze Menge zu berücksichtigen was dir aber mit nur nen paar groben Infos keiner im Forum mal eben sagen kann da es auch von euren Anforderungen abhängt. Kleines Beispiel: Generell sagt man natürlich das die Server aktuelle Patches usw. bekommen sollten - es kann aber ja auch sein das eure Software da was nich verträgt. Ebenfalls würdest du dich wundern was dein Server noch alles machen möchte - so auf die schnelle und ohne auch nur euren Server anzusehen bin ich mir z.B. sicher das DNS auch gerne genutzt werden würde...
Der nächste Punkt ist: Der Server soll Monitoring machen? WAS soll der Monitoren? Das hört sich für mich so ein wenig danach an das der bei Kunden überprüfen soll ob eure Systeme laufen. Da würde dann der nächste Punkt kommen -> kann ich z.B. auch den Port 443 einschränken (und sei es über Dyn-DNS-Provider)? Wie gut ist eure Software eingereichtet - die sollte ja auch nich so ganz offen sein...
Du siehst, es hängen da eine Menge mehr fragen dran. NUR eine Firewall hinkleben bringt dir mal rein gar nix ausser mehr Wärme. Für einen erfolgreichen Angriff benötigt man erst mal irgendeinen Port - das kann auch dein 443 sein! - und eine Software mit ner Schwachstelle dahinter. Die Windows-Firewall sorgt eben dafür das nach aussen hin kein Port "ungewollt" offen ist und das macht die auch ganz ok... Willst du eben die Sicherheit wirklich mit einer Firewall erhöhen brauchst du auch was richtiges - mit Inspection,... Nur dann wirds zum einen oft etwas teurer wenn Gewerblich genutzt UND du musst wissen was du tust.
Dasselbe gilt für die ausgehenden Verbindungen. Zuerst solltest du dir dann die Frage stellen WARUM sendet da was und das beheben. Wenn du eh Port 80 / 443 nach aussen einfach mal pauschal öffnest kannst du das aber auch schon nahezu vergessen. Hier müsstest du eben auch auf eine gute Firewall setzen und wissen was du machst -> ansonsten hälst du damit ggf. nen paar schlampig dahingerotzte Scriptkiddy-Angriffe auf. Jedes Programm was auch nur ansatzweise überlegt wurde wird immer diese Ports als Backup-Path nutzen willen da die eben oft auf sind. Wenn es sich einrichten lässt würde ich z.B. dann eher versuchen das Webfrontend erst mal auf nen anderen Port zu kleben - auch für eingehende Verbindungen. Ist nämlich eingehend 22/23/25/80/110/143/443 abgeschaltet wirst du merken das ein grossteil der Script-Kiddy-Angriffe (die auch sonst keinen Erfolg versprechen, keine Sorge Scripte sind idR zu blöd um auch nur den Webserver zu erkennen) direkt mal ins leere laufen...
Zitat von @Klingu:
Bisher hatten wir unsere "Infrastruktur" bei mir im Arbeitszimmer, bedingt durch die massive Kostenbelastung (u.a. Strom) haben wir uns entschieden, dass wir unsere Windows-Infrastruktur in die Cloud auslagern müssen/wollen.
Hierfür haben wir uns einen sehr günstigen Anbieter ausgesucht, auf denen wir unsere bisherige Software (meist Webanwendungen) ebenfalls laufen lassen.
Bisher hatten wir unsere "Infrastruktur" bei mir im Arbeitszimmer, bedingt durch die massive Kostenbelastung (u.a. Strom) haben wir uns entschieden, dass wir unsere Windows-Infrastruktur in die Cloud auslagern müssen/wollen.
Hierfür haben wir uns einen sehr günstigen Anbieter ausgesucht, auf denen wir unsere bisherige Software (meist Webanwendungen) ebenfalls laufen lassen.
Hallo.
Was hattet Ihr denn für "massive Kostenbelastung"? Wahrscheinlich war das ein Server oder habe ich überlesen, dass Ihr mehrere Anwendungsserver vor Ort stehen hattet?
Wie stellt Ihr denn die Verbindung zum Dienstleistenden Hoster her? Gebe es keine Möglichkeit die Webanwendungen direkt beim Hersteller als Sofware-as-a-Service zu mieten? Dann fiele das ganze Firewall-Konstrukt sowieso weg und euch reicht euer einfacher Provider Router.
Was sind das denn für Web-Anwendungen? Sind die nun gekauft oder für / von euch selbst erstellt?
Sollte das Ganze dann doch etwas mehr wachsen und eine On-Premise Lösung rückt immer mehr ins Sichtfeld, müsste man eh ein Systemhaus bemühen.
Die Kollegen haben es schon geschrieben, es fehlen Infos.
Gruß
Radiogugu
Hoi,
ich beginne mit Feedback zu Achimedes:
Es geht um eine Software-Firewall ala OPNSense.
?? verstehe ich das richtig , ihr setzt einen z.B. Webserver auf und auf dem zweiten Server dann Opensens ?
nein, es geht um separate VM's.
Ihr koennt kein Vlan initiieren da ihr mit Sicherheit keinen Zugriff auf die Switches des cloud Anbieters habt.
VLAN heißt es beim Dienstleister/Hoster. Dies beinhaltet ein intern geroutetes IPv4 Netzwerk, welches nicht ins WAN Geroutet wird.
https://www.netcup.de/bestellen/produkt.php?produkt=2284
Es macht definitiv Sinn fuer euch einen Dienstleister in Anspruch zu nehmen.
Auch wenn es zur Zeit lala luebbt, macht es keinen Sinn an falscher Stelle zu sparen. Und wenn Ihr euch CheckMk leisten koennt holt euch Hilfe !
Die Dienstleistung des Monitorings wird durch Kunden gezahlt, ein Wechsel ist nicht geplant. Ich bin mit CMK zufrieden.
--
weiter gehts mit Maretz:
geht so.
Du hättest dich z.B. grade vermutlich selbst ausgesperrt wenn du nur 443 zulässt -> du musst die Firewall ja auch irgendwie managen, du möchtest (vermutlich) per RDP an deinen Server ran, VPN wäre auch nich so ne ganz blöde Idee... Jetzt kann dein Bauchgefühl natürlich vieles machen, ist aber wie in jedem Bereich oft auch falsch.
Nein, weil die Server jeweils Intern weiterhin betrieben werden können, RDP ist nicht im WAN erreichbar.
Es gibt bei sowas idR. noch eine ganze Menge zu berücksichtigen was dir aber mit nur nen paar groben Infos keiner im Forum mal eben sagen kann da es auch von euren Anforderungen abhängt. Kleines Beispiel: Generell sagt man natürlich das die Server aktuelle Patches usw. bekommen sollten - es kann aber ja auch sein das eure Software da was nich verträgt. Ebenfalls würdest du dich wundern was dein Server noch alles machen möchte - so auf die schnelle und ohne auch nur euren Server anzusehen bin ich mir z.B. sicher das DNS auch gerne genutzt werden würde...
Es war eher eine Frage, alternativ kann man von Intern nach extern natürlich auch alles durchlassen - oder zumindest die Dienste entsprechend klassifizieren, was wann wohin telefonieren will/darf.
Der nächste Punkt ist: Der Server soll Monitoring machen? WAS soll der Monitoren? Das hört sich für mich so ein wenig danach an das der bei Kunden überprüfen soll ob eure Systeme laufen. Da würde dann der nächste Punkt kommen -> kann ich z.B. auch den Port 443 einschränken (und sei es über Dyn-DNS-Provider)? Wie gut ist eure Software eingereichtet - die sollte ja auch nich so ganz offen sein...
Nein, der Server soll kein Monitoring machen, ein anderer macht das bereits - dieser verbindet sich jeweils im VPN zu den Servern, die überwacht werden soll. Unsere Software ist nur Webbasierend, darunterliegend reicht eine beliebige SQL-Verbindung, zB MySQL, MSSQL usw. In der Regel betreiben wir den Webserver und die DB auf einem Server.
Du siehst, es hängen da eine Menge mehr fragen dran. NUR eine Firewall hinkleben bringt dir mal rein gar nix ausser mehr Wärme. Für einen erfolgreichen Angriff benötigt man erst mal irgendeinen Port - das kann auch dein 443 sein! - und eine Software mit ner Schwachstelle dahinter. Die Windows-Firewall sorgt eben dafür das nach aussen hin kein Port "ungewollt" offen ist und das macht die auch ganz ok... Willst du eben die Sicherheit wirklich mit einer Firewall erhöhen brauchst du auch was richtiges - mit Inspection,... Nur dann wirds zum einen oft etwas teurer wenn Gewerblich genutzt UND du musst wissen was du tust.
Dasselbe gilt für die ausgehenden Verbindungen. Zuerst solltest du dir dann die Frage stellen WARUM sendet da was und das beheben. Wenn du eh Port 80 / 443 nach aussen einfach mal pauschal öffnest kannst du das aber auch schon nahezu vergessen. Hier müsstest du eben auch auf eine gute Firewall setzen und wissen was du machst -> ansonsten hälst du damit ggf. nen paar schlampig dahingerotzte Scriptkiddy-Angriffe auf. Jedes Programm was auch nur ansatzweise überlegt wurde wird immer diese Ports als Backup-Path nutzen willen da die eben oft auf sind. Wenn es sich einrichten lässt würde ich z.B. dann eher versuchen das Webfrontend erst mal auf nen anderen Port zu kleben - auch für eingehende Verbindungen. Ist nämlich eingehend 22/23/25/80/110/143/443 abgeschaltet wirst du merken das ein grossteil der Script-Kiddy-Angriffe (die auch sonst keinen Erfolg versprechen, keine Sorge Scripte sind idR zu blöd um auch nur den Webserver zu erkennen) direkt mal ins leere laufen...
Abschließend noch Radiogugu:
Was sind das denn für Web-Anwendungen? Sind die nun gekauft oder für / von euch selbst erstellt?
Eine Mischung, die Grundlage wurde gekauft und darf für uns als Partner für unsere EK auch weiterverwendet werden. Die Logik, zB Prozessimplemtierung usw wird durch uns erstellt.
Sollte das Ganze dann doch etwas mehr wachsen und eine On-Premise Lösung rückt immer mehr ins Sichtfeld, müsste man eh ein Systemhaus bemühen.
Es geht genau darum, das wir von onPrem weg wollen, aber nicht zu AWS und M$ - da es kostenmäßig nach bisherigen Verträgen unwirtschaftlich ist.
Die Kollegen haben es schon geschrieben, es fehlen Infos.
Gruß
Radiogugu
bei weiteren Fragen einfach gern fragen.
Danke und Grüße aus Trient
ich beginne mit Feedback zu Achimedes:
Zitat von @Alchimedes:
Hallo und willkommen im Forum !
wie wollt Ihr dann eine eigene Firewall implementieren ? Wo und wie soll die stehen ?
Hallo und willkommen im Forum !
der Dienstleister bietet keine Firewall an, die unsere Server vor Eingriffen schützen könnte
wie wollt Ihr dann eine eigene Firewall implementieren ? Wo und wie soll die stehen ?
Es geht um eine Software-Firewall ala OPNSense.
OpnSense setzen, da habe ich mir gedacht, dass wir unsere Server ebenfalls mit einer vorgesetzten OpnSense-Installation bereitstellen würden,
?? verstehe ich das richtig , ihr setzt einen z.B. Webserver auf und auf dem zweiten Server dann Opensens ?
nein, es geht um separate VM's.
Ihr koennt kein Vlan initiieren da ihr mit Sicherheit keinen Zugriff auf die Switches des cloud Anbieters habt.
https://www.netcup.de/bestellen/produkt.php?produkt=2284
Es macht definitiv Sinn fuer euch einen Dienstleister in Anspruch zu nehmen.
Auch wenn es zur Zeit lala luebbt, macht es keinen Sinn an falscher Stelle zu sparen. Und wenn Ihr euch CheckMk leisten koennt holt euch Hilfe !
Beste Gruesse
PS : sorry aber checkmk ist der letzte Dreck....
PS : sorry aber checkmk ist der letzte Dreck....
--
weiter gehts mit Maretz:
Zitat von @maretz:
Es ist an sich ganz einfach - wenn du weisst was du tust kannst du ne richtige Firewall nehmen, wenn nicht reicht auch die Win-Firewall. Und sorry, du weisst es nicht!
Es ist an sich ganz einfach - wenn du weisst was du tust kannst du ne richtige Firewall nehmen, wenn nicht reicht auch die Win-Firewall. Und sorry, du weisst es nicht!
geht so.
Du hättest dich z.B. grade vermutlich selbst ausgesperrt wenn du nur 443 zulässt -> du musst die Firewall ja auch irgendwie managen, du möchtest (vermutlich) per RDP an deinen Server ran, VPN wäre auch nich so ne ganz blöde Idee... Jetzt kann dein Bauchgefühl natürlich vieles machen, ist aber wie in jedem Bereich oft auch falsch.
Es gibt bei sowas idR. noch eine ganze Menge zu berücksichtigen was dir aber mit nur nen paar groben Infos keiner im Forum mal eben sagen kann da es auch von euren Anforderungen abhängt. Kleines Beispiel: Generell sagt man natürlich das die Server aktuelle Patches usw. bekommen sollten - es kann aber ja auch sein das eure Software da was nich verträgt. Ebenfalls würdest du dich wundern was dein Server noch alles machen möchte - so auf die schnelle und ohne auch nur euren Server anzusehen bin ich mir z.B. sicher das DNS auch gerne genutzt werden würde...
Der nächste Punkt ist: Der Server soll Monitoring machen? WAS soll der Monitoren? Das hört sich für mich so ein wenig danach an das der bei Kunden überprüfen soll ob eure Systeme laufen. Da würde dann der nächste Punkt kommen -> kann ich z.B. auch den Port 443 einschränken (und sei es über Dyn-DNS-Provider)? Wie gut ist eure Software eingereichtet - die sollte ja auch nich so ganz offen sein...
Du siehst, es hängen da eine Menge mehr fragen dran. NUR eine Firewall hinkleben bringt dir mal rein gar nix ausser mehr Wärme. Für einen erfolgreichen Angriff benötigt man erst mal irgendeinen Port - das kann auch dein 443 sein! - und eine Software mit ner Schwachstelle dahinter. Die Windows-Firewall sorgt eben dafür das nach aussen hin kein Port "ungewollt" offen ist und das macht die auch ganz ok... Willst du eben die Sicherheit wirklich mit einer Firewall erhöhen brauchst du auch was richtiges - mit Inspection,... Nur dann wirds zum einen oft etwas teurer wenn Gewerblich genutzt UND du musst wissen was du tust.
Dasselbe gilt für die ausgehenden Verbindungen. Zuerst solltest du dir dann die Frage stellen WARUM sendet da was und das beheben. Wenn du eh Port 80 / 443 nach aussen einfach mal pauschal öffnest kannst du das aber auch schon nahezu vergessen. Hier müsstest du eben auch auf eine gute Firewall setzen und wissen was du machst -> ansonsten hälst du damit ggf. nen paar schlampig dahingerotzte Scriptkiddy-Angriffe auf. Jedes Programm was auch nur ansatzweise überlegt wurde wird immer diese Ports als Backup-Path nutzen willen da die eben oft auf sind. Wenn es sich einrichten lässt würde ich z.B. dann eher versuchen das Webfrontend erst mal auf nen anderen Port zu kleben - auch für eingehende Verbindungen. Ist nämlich eingehend 22/23/25/80/110/143/443 abgeschaltet wirst du merken das ein grossteil der Script-Kiddy-Angriffe (die auch sonst keinen Erfolg versprechen, keine Sorge Scripte sind idR zu blöd um auch nur den Webserver zu erkennen) direkt mal ins leere laufen...
Abschließend noch Radiogugu:
Zitat von @radiogugu:
Hallo.
Was hattet Ihr denn für "massive Kostenbelastung"? Wahrscheinlich war das ein Server oder habe ich überlesen, dass Ihr mehrere Anwendungsserver vor Ort stehen hattet? Es waren 3 Server, 2x Virtualisierungshost, 1x Backup physisch + Tapelibary.
Wie stellt Ihr denn die Verbindung zum Dienstleistenden Hoster her? Gebe es keine Möglichkeit die Webanwendungen direkt beim Hersteller als Sofware-as-a-Service zu mieten? Dann fiele das ganze Firewall-Konstrukt sowieso weg und euch reicht euer einfacher Provider Router.
Naja, die Software stellen wir bereit, es geht nur darum, unsere eigene Infrastruktur ebenfalls bei dem Dienstleister bereitzustellen. Unserer Software läuft sowohl auf Linux (Ubuntu, CentOS, RHEL) als auch auf Windows, teilweise nach Wunsch des Kunden.Zitat von @Klingu:
Bisher hatten wir unsere "Infrastruktur" bei mir im Arbeitszimmer, bedingt durch die massive Kostenbelastung (u.a. Strom) haben wir uns entschieden, dass wir unsere Windows-Infrastruktur in die Cloud auslagern müssen/wollen.
Hierfür haben wir uns einen sehr günstigen Anbieter ausgesucht, auf denen wir unsere bisherige Software (meist Webanwendungen) ebenfalls laufen lassen.
Bisher hatten wir unsere "Infrastruktur" bei mir im Arbeitszimmer, bedingt durch die massive Kostenbelastung (u.a. Strom) haben wir uns entschieden, dass wir unsere Windows-Infrastruktur in die Cloud auslagern müssen/wollen.
Hierfür haben wir uns einen sehr günstigen Anbieter ausgesucht, auf denen wir unsere bisherige Software (meist Webanwendungen) ebenfalls laufen lassen.
Hallo.
Was hattet Ihr denn für "massive Kostenbelastung"? Wahrscheinlich war das ein Server oder habe ich überlesen, dass Ihr mehrere Anwendungsserver vor Ort stehen hattet? Es waren 3 Server, 2x Virtualisierungshost, 1x Backup physisch + Tapelibary.
Wie stellt Ihr denn die Verbindung zum Dienstleistenden Hoster her? Gebe es keine Möglichkeit die Webanwendungen direkt beim Hersteller als Sofware-as-a-Service zu mieten? Dann fiele das ganze Firewall-Konstrukt sowieso weg und euch reicht euer einfacher Provider Router.
Was sind das denn für Web-Anwendungen? Sind die nun gekauft oder für / von euch selbst erstellt?
Sollte das Ganze dann doch etwas mehr wachsen und eine On-Premise Lösung rückt immer mehr ins Sichtfeld, müsste man eh ein Systemhaus bemühen.
Die Kollegen haben es schon geschrieben, es fehlen Infos.
Gruß
Radiogugu
bei weiteren Fragen einfach gern fragen.
Danke und Grüße aus Trient
Wie kommt Ihr denn aktuell an Eure virtuellen Server bei eurem Dienstleister?
Die werden ja nicht offen im Internet stehen, sondern irgendwie anders erreichbar sein (z.B. statischer VPN Tunnel zum Dienstleister oder VPN Einwahl auf Gateway beim Dienstleister).
Da würde ich dann ansetzen, um hier zu optimieren. Zunächst solltet Ihr die Möglichkeit überprüfen, ob Ihr PPPoE Daten eures Providers bekommt und die "Interent-Box" durch ein Modem und dahinter eine Hardware Firewall mit PFSense / OPNSense ersetzt.
Damit kann dann ein IPSec oder OpenVPN Tunnel zum Dienstleister hergestellt werden. Dafür muss aber auf dessen Seite natürlich irgendetwas auf eure Einwahl oder den Tunnelaufbau "hören". Der Dienstleister muss Euch doch einen Vorschlag machen können, wie eure virtuelle Infrastruktur an Euren Firmenstandort anzubinden ist.
Ihr habt ja zweifelsohne eine öffentliche IP-Adresse dort erhalten und mit dieser kann dann das Konstrukt aufgebaut werden, wenn beim Dienstleister entsprechende Hardware dafür sorgt, dass Ihr auf Eure gemietete Hardware Zugriff erhaltet.
Gruß
Radiogugu
Die werden ja nicht offen im Internet stehen, sondern irgendwie anders erreichbar sein (z.B. statischer VPN Tunnel zum Dienstleister oder VPN Einwahl auf Gateway beim Dienstleister).
Da würde ich dann ansetzen, um hier zu optimieren. Zunächst solltet Ihr die Möglichkeit überprüfen, ob Ihr PPPoE Daten eures Providers bekommt und die "Interent-Box" durch ein Modem und dahinter eine Hardware Firewall mit PFSense / OPNSense ersetzt.
Damit kann dann ein IPSec oder OpenVPN Tunnel zum Dienstleister hergestellt werden. Dafür muss aber auf dessen Seite natürlich irgendetwas auf eure Einwahl oder den Tunnelaufbau "hören". Der Dienstleister muss Euch doch einen Vorschlag machen können, wie eure virtuelle Infrastruktur an Euren Firmenstandort anzubinden ist.
Ihr habt ja zweifelsohne eine öffentliche IP-Adresse dort erhalten und mit dieser kann dann das Konstrukt aufgebaut werden, wenn beim Dienstleister entsprechende Hardware dafür sorgt, dass Ihr auf Eure gemietete Hardware Zugriff erhaltet.
Gruß
Radiogugu
Management-Technisch: Dienstleister-Verwaltung / hier kann man zB das Boot-Image auswählen, virtuelle Netzwerkkarten hinzufügen und man hat stets einen VNC-Verbindung über das Management-Netz.
ansonsten ist SSH auf einem geänderten Port + Key-Auth + Fail2Ban aktiv.
Die werden ja nicht offen im Internet stehen, sondern irgendwie anders erreichbar sein (z.B. statischer VPN Tunnel zum Dienstleister oder VPN Einwahl auf Gateway beim Dienstleister).
Da würde ich dann ansetzen, um hier zu optimieren. Zunächst solltet Ihr die Möglichkeit überprüfen, ob Ihr PPPoE Daten eures Providers bekommt und die "Interent-Box" durch ein Modem und dahinter eine Hardware Firewall mit PFSense / OPNSense ersetzt.
Damit kann dann ein IPSec oder OpenVPN Tunnel zum Dienstleister hergestellt werden. Dafür muss aber auf dessen Seite natürlich irgendetwas auf eure Einwahl oder den Tunnelaufbau "hören". Der Dienstleister muss Euch doch einen Vorschlag machen können, wie eure virtuelle Infrastruktur an Euren Firmenstandort anzubinden ist.
Ihr habt ja zweifelsohne eine öffentliche IP-Adresse dort erhalten und mit dieser kann dann das Konstrukt aufgebaut werden, wenn beim Dienstleister entsprechende Hardware dafür sorgt, dass Ihr auf Eure gemietete Hardware Zugriff erhaltet.
Gruß
Radiogugu
Meine Idee war:
WAN -> OpnSense VM (macht Routing) -> Nginx -> (Kundennetze)VM's
> Nginx -> (internesnetz)VM's
viele Grüße
ansonsten ist SSH auf einem geänderten Port + Key-Auth + Fail2Ban aktiv.
Die werden ja nicht offen im Internet stehen, sondern irgendwie anders erreichbar sein (z.B. statischer VPN Tunnel zum Dienstleister oder VPN Einwahl auf Gateway beim Dienstleister).
Da würde ich dann ansetzen, um hier zu optimieren. Zunächst solltet Ihr die Möglichkeit überprüfen, ob Ihr PPPoE Daten eures Providers bekommt und die "Interent-Box" durch ein Modem und dahinter eine Hardware Firewall mit PFSense / OPNSense ersetzt.
Damit kann dann ein IPSec oder OpenVPN Tunnel zum Dienstleister hergestellt werden. Dafür muss aber auf dessen Seite natürlich irgendetwas auf eure Einwahl oder den Tunnelaufbau "hören". Der Dienstleister muss Euch doch einen Vorschlag machen können, wie eure virtuelle Infrastruktur an Euren Firmenstandort anzubinden ist.
Ihr habt ja zweifelsohne eine öffentliche IP-Adresse dort erhalten und mit dieser kann dann das Konstrukt aufgebaut werden, wenn beim Dienstleister entsprechende Hardware dafür sorgt, dass Ihr auf Eure gemietete Hardware Zugriff erhaltet.
Gruß
Radiogugu
Meine Idee war:
WAN -> OpnSense VM (macht Routing) -> Nginx -> (Kundennetze)VM's
> Nginx -> (internesnetz)VM's
viele Grüße
Prinzipiell ist der Aufbau einer VPN Verbindung in das vom Dienstleister bereitgestellte Netz der einzig richtige Weg. Dann ist auch RDP auf die Virtuellen Server kein Problem, sofern auf der Firewall und den Servern korrekt konfiguriert.
Was heißt Ihr habt eine VNC-Verbindung über das Management Netz? Stehen die Virtuellen Maschinen doch mit einer IPv4/6 im Internet?
Die Angabe beim Dienstleister von vLAN und der Art der Netzwerk-Segmentierung in VLAN sollte nicht durcheinander geworfen werden.
Du wirst hier entweder einen Experten für Anbindungen von Rechenzentren benötigen oder durch Trial-and-Error Verfahren selbst zum Ziel kommen müssen.
Gruß
Radiogugu
Was heißt Ihr habt eine VNC-Verbindung über das Management Netz? Stehen die Virtuellen Maschinen doch mit einer IPv4/6 im Internet?
Die Angabe beim Dienstleister von vLAN und der Art der Netzwerk-Segmentierung in VLAN sollte nicht durcheinander geworfen werden.
Du wirst hier entweder einen Experten für Anbindungen von Rechenzentren benötigen oder durch Trial-and-Error Verfahren selbst zum Ziel kommen müssen.
Gruß
Radiogugu
Morschen.
Habe folgende Diskussion im Netcup Forum gefunden:
https://forum.netcup.de/administration-eines-server-vserver/vserver-serv ...
Dieser Thread beschreibt im Grunde genau Deine Problemstellung. Gelöst mit einer virtuellen OPNSense Instanz "vor" anderen, wobei dann die OPNSense natürlich im Internet als Exposed Host steht und "entsprechend gewartet und auch gehärtet werden muss" (Zitat aus dem Thread).
Mach es so und am besten setzt Du auch einen Hardware bei Dir im Unternehmen auf, welche dann ebenfalls mit OPNSense bestückt wird, damit hier die Performance das Maximum abbildet, was die Internet-Leitung hergibt.
Auch darüber nachdenken die Kette von der Provider Dose zur OPNSense auf so wenig Komponenten wie möglich reduzieren.
Also im Optimalfall:
Kabel aus der Wand --> Modem --> WAN Port OPNSense (macht dann die PPPoE Einwahl).
Gruß
Radiogugu
Habe folgende Diskussion im Netcup Forum gefunden:
https://forum.netcup.de/administration-eines-server-vserver/vserver-serv ...
Dieser Thread beschreibt im Grunde genau Deine Problemstellung. Gelöst mit einer virtuellen OPNSense Instanz "vor" anderen, wobei dann die OPNSense natürlich im Internet als Exposed Host steht und "entsprechend gewartet und auch gehärtet werden muss" (Zitat aus dem Thread).
Mach es so und am besten setzt Du auch einen Hardware bei Dir im Unternehmen auf, welche dann ebenfalls mit OPNSense bestückt wird, damit hier die Performance das Maximum abbildet, was die Internet-Leitung hergibt.
Auch darüber nachdenken die Kette von der Provider Dose zur OPNSense auf so wenig Komponenten wie möglich reduzieren.
Also im Optimalfall:
Kabel aus der Wand --> Modem --> WAN Port OPNSense (macht dann die PPPoE Einwahl).
Gruß
Radiogugu
Eventuell dann den Dienstleister überdenken! Jeder vernünftige Hoster sollte Euch einen Firewallservice inkl. VPNs zur Verfügung stellen. Billig und gut passt nun mal nicht zusammen. Die MS cloud, sowie Amazon Cloud bieten Dir ebenfalls eine Firewall inkl. virtuelle Netzwerke an. Wenn das nicht Eure Kompetenz ist, dann holt Euch ein Systemhaus und lasst Euch das einrichten. Ihr als Berater solltet doch genau für so etwas offen sein.
Es gibt zumindest in Bayern genau hierfür auch noch einen Fördertopf „Bayern digital“. Der kann hier sehr gut helfen. Unsere Kunden haben bis dato alle Modernisierungen zu 50% vom Fördertopf bezahlt bekommen.
Es gibt zumindest in Bayern genau hierfür auch noch einen Fördertopf „Bayern digital“. Der kann hier sehr gut helfen. Unsere Kunden haben bis dato alle Modernisierungen zu 50% vom Fördertopf bezahlt bekommen.
