4
Konfiguration DMZ
Hallo Community,
wir möchten gerne eine Owncloud-Installation für unsere Mitarbeite öffentlich zugänglich machen.
Webserver: Apache
OS: Ubuntu Server 14.04 LTS
Die Netzwerkstruktur wird von einer Sophos-UTM geschützt.
Da wir bisher keine öffentlich Zugänglichen Server haben möchte ich eine DMZ einrichten.
Herz des DMZ-Netzwerks soll ein Hyper-V-Server2012R2 sein der virtuelle Server hosten soll. Den neuen Owncloud-Webserver werden wir auf dem Hyper-V-Host installieren und über den Reverse-Proxy der Sophos-UTM veröffentlichen.
Jetzt zum eigentlichen Problem: Owncloud soll sich die User aus unserer internen-AD "ziehen" - dafür müsste ja der LDAP-Port aus der DMZ ins interne-Netz frei gemacht werden. Zusätzlich sollten/müssten ja auch ein paar Ports (SSH, HTTPS etc) von intern in die DMZ geöffnet werden.
Sind diese Portfreigaben schon als kritisch anzusehen und sollten unterlassen werden?
Danke!
edit.: 30.12.2014
Direkt:
Über DMZ:
wir möchten gerne eine Owncloud-Installation für unsere Mitarbeite öffentlich zugänglich machen.
Webserver: Apache
OS: Ubuntu Server 14.04 LTS
Die Netzwerkstruktur wird von einer Sophos-UTM geschützt.
Da wir bisher keine öffentlich Zugänglichen Server haben möchte ich eine DMZ einrichten.
Herz des DMZ-Netzwerks soll ein Hyper-V-Server2012R2 sein der virtuelle Server hosten soll. Den neuen Owncloud-Webserver werden wir auf dem Hyper-V-Host installieren und über den Reverse-Proxy der Sophos-UTM veröffentlichen.
Jetzt zum eigentlichen Problem: Owncloud soll sich die User aus unserer internen-AD "ziehen" - dafür müsste ja der LDAP-Port aus der DMZ ins interne-Netz frei gemacht werden. Zusätzlich sollten/müssten ja auch ein paar Ports (SSH, HTTPS etc) von intern in die DMZ geöffnet werden.
Sind diese Portfreigaben schon als kritisch anzusehen und sollten unterlassen werden?
Danke!
edit.: 30.12.2014
Direkt:
Über DMZ:
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 258615
Url: https://administrator.de/contentid/258615
Ausgedruckt am: 26.11.2024 um 03:11 Uhr
4 Kommentare
Neuester Kommentar
Guten Abend,
da deine UTM bereits den Service Reverse Proxy (RP) übernimmt (kein NAT!), würde ich OwnCloud ins LAN setzen. Denn nach dem UTM RP nochmals einen RP zu setzen, macht aus meiner Sicht keinen Sinn. Die Verbindung au dem Internet wird an der FW terminiert und vom RP zum Server neuaufgebaut. Diese Ressourcen können andersweitig genutzt werden. Du wirst sicherlich kein 2stufiges Firewallsystem (Internet -> FW -> DMZ -> FW -> LAN) aufgebaut haben. Deine Firewal sollte auf jeden Fall über IPS mit Regelwerk verfügen um auf evtl. Angriffe reagieren zu können.
Was wollt ihr mit Owncloud abbilden, Cloud für Mitarbeiter oder als Datenaustausch für externe Unternehmen?
Gruß,
Dani
da deine UTM bereits den Service Reverse Proxy (RP) übernimmt (kein NAT!), würde ich OwnCloud ins LAN setzen. Denn nach dem UTM RP nochmals einen RP zu setzen, macht aus meiner Sicht keinen Sinn. Die Verbindung au dem Internet wird an der FW terminiert und vom RP zum Server neuaufgebaut. Diese Ressourcen können andersweitig genutzt werden. Du wirst sicherlich kein 2stufiges Firewallsystem (Internet -> FW -> DMZ -> FW -> LAN) aufgebaut haben. Deine Firewal sollte auf jeden Fall über IPS mit Regelwerk verfügen um auf evtl. Angriffe reagieren zu können.
Owncloud soll sich die User aus unserer internen-AD "ziehen" - dafür müsste ja der LDAP-Port aus der DMZ ins interne-Netz frei gemacht werden. Zusätzlich sollten/müssten ja auch ein paar Ports (SSH, HTTPS etc) von intern in die DMZ geöffnet werden..
Ports von LAN zu DMZ ist eher unkritisch... solte aber minimal gehalten werden. Anders sieht es von DMZ nac LAN aus. Da gibt es einige Konzepte mit Microsoft Windows ADFS + ADFS Proxy. Es stellt sich die Frage nach der Aufwand im Verhältnisfrage - das kannst du nur beantworten.Was wollt ihr mit Owncloud abbilden, Cloud für Mitarbeiter oder als Datenaustausch für externe Unternehmen?
Gruß,
Dani
Hallo & Danke für die Antwort!
da deine UTM bereits den Service Reverse Proxy (RP) übernimmt (kein NAT!), würde ich OwnCloud ins LAN setzen. Denn nach
dem UTM RP nochmals einen RP zu setzen, macht aus meiner Sicht keinen Sinn. Die Verbindung au dem Internet wird an der FW
terminiert und vom RP zum Server neuaufgebaut. Diese Ressourcen können andersweitig genutzt werden. Du wirst sicherlich kein
dem UTM RP nochmals einen RP zu setzen, macht aus meiner Sicht keinen Sinn. Die Verbindung au dem Internet wird an der FW
terminiert und vom RP zum Server neuaufgebaut. Diese Ressourcen können andersweitig genutzt werden. Du wirst sicherlich kein
Ich habe in oben in der Frage zwei kleine Zeichnungen hinzugefügt. Deine Beschreibung/Empfehlung passt also auf Bild1 (Direkt), richtig?
2stufiges Firewallsystem (Internet -> FW -> DMZ -> FW -> LAN) aufgebaut haben. Deine Firewal sollte auf jeden Fall
über IPS mit Regelwerk verfügen um auf evtl. Angriffe reagieren zu können.
über IPS mit Regelwerk verfügen um auf evtl. Angriffe reagieren zu können.
Nein Zweistufig ist bei uns zur Zeit nicht möglich. Die Ressourcen für eine DMZ wären in den nächsten Wochen frei geworden. Die DMZ hätte ich dann als weiteres Interface an der Sophos UTM realisiert. IPS ist bei der Sophos UTM aktiviert....
Ports von LAN zu DMZ ist eher unkritisch... solte aber minimal gehalten werden. Anders sieht es von DMZ nac LAN aus. Da gibt es
einige Konzepte mit Microsoft Windows ADFS + ADFS Proxy. Es stellt sich die Frage nach der Aufwand im Verhältnisfrage - das
kannst du nur beantworten.
einige Konzepte mit Microsoft Windows ADFS + ADFS Proxy. Es stellt sich die Frage nach der Aufwand im Verhältnisfrage - das
kannst du nur beantworten.
Joa daran habe ich auch gedacht...aber ehrlich gesagt wäre das wieder viel zu Aufwändig.
Was wollt ihr mit Owncloud abbilden, Cloud für Mitarbeiter oder als Datenaustausch für externe Unternehmen?
Prinzipiell beides
Deine Beschreibung/Empfehlung passt also auf Bild1 (Direkt), richtig?
Joa. Allerdings kenn ich die ReveseProxy Implementierung von Sophos nicht. Daher ist meine Aussage natürlich relativ zu sehen.Die DMZ hätte ich dann als weiteres Interface an der Sophos UTM realisiert. IPS ist bei der Sophos UTM aktiviert....
Soweit alles richtig. In die DMZ würde ich einen ReverseProxy setzen und OwnCloud ins LAN. Aber da die UTM anscheind RP schon zur Verfügung stellt, wäre es Ressource-Verschwendung.Prinzipiell beides
Wir behaltet ihr den Überblick, was für Daten hochgeladen werden und an wen die Dateilinks verschicken wurden? Gerade wenn Mitarbeiter die Möglichkeit haben, überall auf der Welt auf die Daten zuzugreifen sehe ich ein höheres Risiko auch Maleware/Trojaner ins Netzwerk zu schleppen. Nicht das noch ein Angestellter eine private Tauschbörse eröffnet.Ein anderes Thema ist die Internetanbindung. Oft werden größere Datenmengen transferiert, macht das euere Leitung überhaupt mit. Denn der Knackpunkt wie so oft der Upload eures Anschlusses. Denn es gibt nicht schlimmeres als wenn ich etwas herunterladen möchte und es dauert 30 Minuten.
Setz dich mit dem Datenschutz und Datensicherheit auseinander, bevor du irgendwas probierst. Dürfen Dateien ohne Passwort überhaupt hochgeladen werden? Wie wird das Passwort nach außen kommuniziert, etc... es ist eine einfache Sache, kann aber schnell nach hinten losgehen. Wir selber haben anfangs auf OwnCloud gesetzt. Auf Grund diversen Vorfälle durch Mitarbeiter durch eine andere Lösung ersetzt, die leider Geld gekostet hat.
Gruß,
Dani
Wir behaltet ihr den Überblick, was für Daten hochgeladen werden und an wen die Dateilinks verschicken wurden? Gerade
wenn Mitarbeiter die Möglichkeit haben, überall auf der Welt auf die Daten zuzugreifen sehe ich ein höheres Risiko
auch Maleware/Trojaner ins Netzwerk zu schleppen. Nicht das noch ein Angestellter eine private Tauschbörse eröffnet.
wenn Mitarbeiter die Möglichkeit haben, überall auf der Welt auf die Daten zuzugreifen sehe ich ein höheres Risiko
auch Maleware/Trojaner ins Netzwerk zu schleppen. Nicht das noch ein Angestellter eine private Tauschbörse eröffnet.
Wir versuchen die ganze Sache durch weitergehende Restriktionen einzudämmen.
Die User haben eine Quota von 100MB und können max. 60MB-Files hochladen. Noch dazu sind nicht sofort alle AD-User zum Zugriff auf die OwnCloud berechtigt. Erst nach ein "OwnCloud-Beantragung" und "Briefing" in Sachen Datenschutz, Sicherheit und grundsätzliche "Cloud-Technik" ist der User Berechtigt die Cloud zu nutzen....technisch wird es über eine AD-Gruppe abgefertigt - nur Mitglieder dieser Gruppe lässt die OC-Installation zu.
Ein anderes Thema ist die Internetanbindung. Oft werden größere Datenmengen transferiert, macht das euere Leitung
überhaupt mit. Denn der Knackpunkt wie so oft der Upload eures Anschlusses. Denn es gibt nicht schlimmeres als wenn ich etwas
herunterladen möchte und es dauert 30 Minuten.
überhaupt mit. Denn der Knackpunkt wie so oft der Upload eures Anschlusses. Denn es gibt nicht schlimmeres als wenn ich etwas
herunterladen möchte und es dauert 30 Minuten.
Naja aber irgendwie müssen wir als interne IT die Mitarbeiter beim Datenaustausch unterstützen. Die max. Mailgröße auf z.B. 50MB hochschrauben möchte ich ehrlich gesagt nicht. Die Möglichkeit "brenn dir ne CD und schicks per Post" wird's wegen Datensicherheitsbestimmungen nicht geben - Wechselmedien wie CD-Laufwerke, externe USB-Sticks sind gesperrt. Auf der anderen Seite verlangen die Chefs aber auch von uns eine gewisse Flexibilität...können ja nicht alles "dicht" machen und "nix" klappt mehr
Wenn dann doch mal ein paar mehr MB/GB getauscht werden sollen bleibt uns als interne IT leider nichts anderes übrig als den kram auf eine HDD zu ziehen und den Postweg zu nutzen - aber das kommt evtl. 2 mal im viertel Jahr vor....
Setz dich mit dem Datenschutz und Datensicherheit auseinander, bevor du irgendwas probierst. Dürfen Dateien ohne Passwort
überhaupt hochgeladen werden? Wie wird das Passwort nach außen kommuniziert, etc... es ist eine einfache Sache, kann
aber schnell nach hinten losgehen. Wir selber haben anfangs auf OwnCloud gesetzt. Auf Grund diversen Vorfälle durch
Mitarbeiter durch eine andere Lösung ersetzt, die leider Geld gekostet hat.
überhaupt hochgeladen werden? Wie wird das Passwort nach außen kommuniziert, etc... es ist eine einfache Sache, kann
aber schnell nach hinten losgehen. Wir selber haben anfangs auf OwnCloud gesetzt. Auf Grund diversen Vorfälle durch
Mitarbeiter durch eine andere Lösung ersetzt, die leider Geld gekostet hat.
In der OC-Config haben wir die Verfallszeit eines Share-Links auf 3 Tage gesetzt. Wiederrum durch die OC-Config ist ein PW für Shares Pflicht. Die Datenschutz, Datensicherheitsinhalte werden den Kollegen, wie oben gesagt, durch ein "kurzes" Briefing beigebracht. Im Anschluss unterschreibt er den Erhalt der Informationen. Vor Einführung möchten wir allerdings noch, dass die Userordner in gewissen abständen geleert werden - aber da ist mein Skript noch nicht so weit.
Welche Lösung verwendet ihr?
