tom1234
Goto Top

Frage zu Webserver bzw. Domänen Einrichtung. AD

Guten Morgen und einen schönen Sonntag.
Sagt, ich würde gerne mal was abwägen.

In unserem LAN gibt es einen Physikalischen WebServer der für unsere Intranet Seite seine Dienste erfüllt. Er hat somit viele Files die nicht für die öffentlichkeit sind. Das Server OS ist ein Server 2003 mit Apache 2xx. Der Server ist in der Domäne aufgenommen und läuft unter dem domänen admin account.

Jetzt wollen wir einen Webserver für die öffentl. Webpage installieren. Was ist nun das sinnvollste um die größtmögliche sicherheit zu genießen, Kosten sind mom. nicht von Bedeutung??

1. Wir könnten einen virtuellen Server auf Server 1 einrichten. Nur sind auf diesem halt auch Daten gespeichert die nicht veröffentlich werden sollten, oder bei einem Angriff nicht erreichbar seien sollten.

2. Sollten wir den neuen Webserver physikalisch von dem Intranet-Webserver trennen, also einen 2. Server aufsetzten. Sollte dann der neue Webserver auch in die Domäne aufgenommen werden? Welches Account würdet ihr dann auf diesem nutzen, sollte ein eingeschränktes Account für den Öfftl.-Webserver genutzt werden? Oder gar das lokale Admin-Account od. Domänen Admin-Account.

Wie kann am wenigsten Schaden angerichtet werden, wenn der Server -gehackt- würde???

Ich weiß leider nicht wie wir es am besten realisieren sollten, daher hier mein posting, wäre schön wenn ihr eure Meinungen oder Vorschläge äußern würdet.

Was sind Vor und Nachteile???

Danke,
Tommy

Content-ID: 85947

Url: https://administrator.de/forum/frage-zu-webserver-bzw-domaenen-einrichtung-ad-85947.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

Top44
Top44 20.04.2008 um 12:28:28 Uhr
Goto Top
Moin,

wie wäre es mit Linux ? Einfach zu Handhaben, leicht alles Dienste zu Installieren und jut is.

Währe mein Vorschlag.

grüße
tom1234
tom1234 20.04.2008 um 12:38:41 Uhr
Goto Top
Hi,
danke für dein Statement, leider bin ich noch nicht so fit, dass ich mich an Linux produktiv dran wage. Ich arbeite dran, solange muss der Server 03 herhalten!!!
Da wir leider nicht die Zeit haben zu warten bis mir Linux besser liegt, würde mich die Micro$oft Lösung schon interessieren.
Aber trotzdem Danke,
nils-0401
nils-0401 20.04.2008 um 12:55:33 Uhr
Goto Top
hallo,
ich werfe einfach mal das Stichwort DMZ in den Raum.

Damit läuft ein Server in einer von Außen zugänglichen Zone ist aber vom Rest des Netzwerkes abgeschottet. Aber bitte nicht die DMZ Funktion eines billig Routers, sondern ordentlich.
Daraus resultierend:
unabhängig vom AD und komplett selbstständig.
Wenn er dann geknackt wird hat der jenige einen Server, kommt aber nicht an den Rest ran.

Nils
Dani
Dani 20.04.2008 um 13:13:39 Uhr
Goto Top
Moin Nils, Moin tom1234,
Nils hat es richtig erwähnt....eine richtige DMZ aufbauen. Nicht das "Feature" der Router benutzen". Das kann schnell mal in die Hose gehen.

So sollte das ausehen:
e2a17af5a59b2370785169f75f453ea1-dmz

Die 1. Firewall kann ruhig dein Router sein. Spricht nichts dagegen. Die DMZ hat ein völlig anderes IP-Subnetz wie das LAN! Also gut überlegen...

Die 2. Firewall kann ein Server mit 2 Netzwerkkarten sein und mit einem Squid (kostenlos) oder ISA (Kostet). Hier ist zu überlegen, ob du Windows oder Linux laufen lassen möchtest. Der Firewalldienst muss eben sauber konfiguiert sein....ansonsten bringt das nichts.

Der Webserber sollte mit Debian 4r2 laufen...gilt zur Zeit am sichersten. Mit den notwenigsten Diensten (z.B. Apache, PHP, SSH). Somit ist erstmal sichergestellt, dass die Angriffsfläche so klein wie möglich ist.
Im Router machst du dann einfach n Portforwarding auf den Server und gut ist.


Grüße
Dani
tom1234
tom1234 20.04.2008 um 18:28:19 Uhr
Goto Top
Hallo nils, hallo dani,
danke für eure antworten. Diese DMZ Geschichte gefällt mir!
Ich bin ja noch ein kleiner anfänger, werde mich da aber gut einlesen. Danke nochmal an Dani, du hast mir jetzt schon ein paar mal gut geholfen.
Da ich glücklicherweise in der Lage bin eine Vielzahl von teurer Software privat nutzen zu dürfen, da mein Haupt-Arbeitgeber eine öffentl. Einrichtung ist, und ich somit als Angestellter die meisten Campus/EDU Lizenzen privat nutzen darf, werde ich mich wahrscheinlich für die ISA Nummer entscheiden.
Mein Netzwerk "zu Hause" fing mit der selbständigkeit meiner Frau enorm an zu wachsen, weshalb ich mich nun sehr intensiv damit beschäftige.
An vielen Ecken fehlts mir noch an know how, hoffe das aber bald füllen zu können.
Genug gequatscht...
Ich benötige also noch einen Rechner auf dem ich die Firewall/ISA Server installiere. Darauf teile ich die Netze in zwei Subnetz auf meintwegen Netz-A 255.255.255.0, Netz-B 255.255.240.0, richtig?
In Netz A sind mein FileServer, Domain, DNS, DHCP und Intranet Server, Richtig?
Hierzu noch eine Frage? (wenn ich 2 Server in dem selben Netz habe, z.B. DNS läuft auf Server 1 mit dem Domain Admin als angemeldeten User. Soll dann auf Server 2 auf dem zB der Intranet Server läuft, auch der Domain Admin angemeldet sein?? Versteht ihr meine Frage?? Also bei unterschiedlichen Server 2003 die local mehrere Dienste ausführen, wer sollte da als aktiver User angemeldet sein, und sollten alle localen Server auch in dem AD aufgenommen sein?

...und in Netz B setze ich dan den Webserver im Subnet 255.255.240.0 auf richtig? Nehme ich diesen dann auch in die Domäne, geht das überhaupt?
Denke ich habs noch nicht richtig verstanden, kann mir jemand evtl. ein gutes Infomaterial zeigen?? Ich scheue keine langen Lesereien o.ä.

Wenn ich nun zusätzlich noch einen VPN Server haben möchte, wie sollte ich das machen?? Kann ich VPN Server in Netz B laufen lassen und mit AD User aus Netz A arbeiten???

Fragen über Fragen, kann im moment nicht so schnell denken wie mir die Fragen kommen,
hoffe ihr stütz mich ein wenig,
tausend Dank schonmal!!!!

...achso, eine Bitte. Bedenkt das ich leider keine IT Ausbildung genossen habe, das bischen was ich so weiß habe ich in kurzer Zeit selbst erlernen müssen, mit lesen,lesen,lesen.
Also evtl. ab und an mal die einfache Variante!! Da ich die meisten Zusammenhänge erst nachlesen muss. Bis jetzt klappts aber schon ganz gut.
Also nochmal Danke an alle geduldigen Admin Menschen da draußen!!!!
Dani
Dani 20.04.2008 um 18:52:28 Uhr
Goto Top
Danke nochmal an Dani, du hast mir jetzt schon ein paar mal gut geholfen.
Danke für die Blumen.. face-smile

Genau...du hast 2 unterschiedliche Netze. Das DMZ Netz bitte nur so groß machen wie es notwenig ist. Also am Fang reicht eine SnM von 255.255.255.248. => Du hast 4 IP-Adressen zur Verfügung. Bringt einfach ein bisschen mehr Sicherheit mit sich.

Ich benötige also noch einen Rechner auf dem ich die Firewall/ISA Server installiere.
Genau...das ist am Einfachsten. Du kannst aber auch - wenn der Rechner genug Leistung hat - die Server virtualisieren. Das hat den Vorteil sie lassen sich später einfach umziehen, wenn die Hardware getauscht werden muss bzw. bei einem Hardwareausfall schnell auf einem anderne Rechner wieder hochgezogen werden.

Ich würde 2x Windows Server 2003 aufsetzen. 1x für den ISA und nichts anderes und den 2. für Dateiserver, DNS, DHCP, etc....

Also bei unterschiedlichen Server 2003 die local mehrere Dienste ausführen, wer sollte da als
aktiver User angemeldet sein, und sollten alle localen Server auch in dem AD aufgenommen
sein?
Aktuell angemeldet sein muss kein User. Das sollte imemr so sein...ein Benutzer sollte nur aktiv angemeldet sein, wenn arbeiten durchgeführt werden. Alles andere ist eine Sicherheitsaspekt.

und sollten alle localen Server auch in dem AD aufgenommen sein?
Ja, wenn diese im LAN stehen, ist das am einfachsten. Denn die NTFS-Rechte für Freigaben, etc... kannst du dann an den AD Benutzer festlegen. Vereinfacht den Zeitaufwand enorm.

Nehme ich diesen dann auch in die Domäne, geht das überhaupt?
Ja nicht! Auf der Kiste lässt du am besten Linux laufen und den Apache, DB, etc... einfach alles löschen, was du nicht benötigst.

Wenn ich nun zusätzlich noch einen VPN Server haben möchte, wie sollte ich das machen??
Kann ich VPN Server in Netz B laufen lassen und mit AD User aus Netz A arbeiten???
Also am Einfachsten wäre es wenn dein Router als VPN-Server konfiguriert werden kann. Ansonsten wird der Zugang auf dem ISA Server konfiguriert und die entsprechenden Ports auf den ISA weitergeleitet (Forwarding). Aber das ist wieder eine andere Baustelle!


Grüße
Dani
tom1234
tom1234 03.05.2008 um 21:29:21 Uhr
Goto Top
Hallo,
nacj langer Zeit, ich nochmal..... also diese DMZ Lösung ist sehr interessant, hoffe dieses mal virtuell ausprobieren zu können.
Um das bei mir möglichst gut/sicher und schnell über die Bühne zu bringen, was haltet ihr denn von V-LANs? Ist das besser als eine DMZ? oder gar schlechter?
Ich habe diesen Router http://www-de.linksys.com/servlet/Satellite?c=L_CASupport_C2&childp ...
Der kann auf allen Ports ein anderes V-LAN einrichten. Er hat angeblich auch eine DMZ Möglichkeit, ist aber meiner Meinung keine "echte".

Achja VPN Server hat er auch, aber lt. Linksys und Tests von mir momentan noch keine Firmware mit der das zuverläsig läuft, daher die Frage wegen der VPN Sache!!

Danke für eure Tips und Meinungen!