Lokalen Webserver ins Internet auslegen
Hallo,
Ich habe ein Webbasierendes Warenwirtschaftssystem lokal unter 192.168.0.8:8899 laufen.
Ich habe auch einen Linux Root Server im Internet laufen unter company.com
Kann ich den lokalen Server hinter den öffentlichen verstecken?
Ein Aufruf von https://company.com soll die Weboerfläche des lokalen Server darstellen, welcher über ein Portforwarding erreichbar ist.
Ist Reverse Proxy und nginx der passende Ansatz?
Danke!
Ich habe ein Webbasierendes Warenwirtschaftssystem lokal unter 192.168.0.8:8899 laufen.
Ich habe auch einen Linux Root Server im Internet laufen unter company.com
Kann ich den lokalen Server hinter den öffentlichen verstecken?
Ein Aufruf von https://company.com soll die Weboerfläche des lokalen Server darstellen, welcher über ein Portforwarding erreichbar ist.
Ist Reverse Proxy und nginx der passende Ansatz?
Danke!
Please also mark the comments that contributed to the solution of the article
Content-ID: 325849
Url: https://administrator.de/contentid/325849
Printed on: October 5, 2024 at 04:10 o'clock
19 Comments
Latest comment
Er denkt sich einfach, der Open Source Ansatz ist toll. Daher möchte er jetzt der Content Mafia entgegentreten ;)
@unique24: Nach der Art, wie du Fragst - lass es besser!
@unique24: Nach der Art, wie du Fragst - lass es besser!
Moin,
Was die Vorredner mitteilen wollen:
Wenn das Kundenportal direkt gegen dein ERP connected, ist das schon mal eine erste Tür für Angreifer.
Wenn das Kundenportal Stand-Alone in einer DMZ steht, wäre das schon mal etwas besser, da dann nicht die ganze Welt direkt gegen das ERP arbeitet.
Des Weiteren: ist das System dafür vorgesehen, ein öffentliches Kundenportal anzubieten. Denn das System sollte dann entsprechend abgesichert sein. Mindestens durch ein signiertes, gekauftes, öffentliches Zertifikat.
Und dann, um dein Problem zu lösen:
Habt ihr eine feste, öffentliche IP?
Falls ja: einen DNS-Eintrag auf die IP setzen (lassen) und an eurer Firewall einen WebProxy/ Reverse-Proxy dazwischen setzen.
Um die Sicherheit des ERPs zu gewahren: Überlegt euch euer Vorhaben genau. Kommen Daten abhanden, wird das (aus Datenschutzrechtlichen Gesichtspunkten) sehr schnell unangenehm...
Gruß
em-pie
Was die Vorredner mitteilen wollen:
Wenn das Kundenportal direkt gegen dein ERP connected, ist das schon mal eine erste Tür für Angreifer.
Wenn das Kundenportal Stand-Alone in einer DMZ steht, wäre das schon mal etwas besser, da dann nicht die ganze Welt direkt gegen das ERP arbeitet.
Des Weiteren: ist das System dafür vorgesehen, ein öffentliches Kundenportal anzubieten. Denn das System sollte dann entsprechend abgesichert sein. Mindestens durch ein signiertes, gekauftes, öffentliches Zertifikat.
Und dann, um dein Problem zu lösen:
Habt ihr eine feste, öffentliche IP?
Falls ja: einen DNS-Eintrag auf die IP setzen (lassen) und an eurer Firewall einen WebProxy/ Reverse-Proxy dazwischen setzen.
Um die Sicherheit des ERPs zu gewahren: Überlegt euch euer Vorhaben genau. Kommen Daten abhanden, wird das (aus Datenschutzrechtlichen Gesichtspunkten) sehr schnell unangenehm...
Gruß
em-pie
Dennoch:
Das Portal gehört auf einen eigenen Webserver, welcher in die DMZ gehört. Zugriffe auf das Config-Portal oder euer internes Portal sind von dort nicht zulässig.
Zudem würde ich, wenn ich euer Kunde wäre, nicht auf das Portal kommen, da der Port 8899 nicht explizit freigegeben ist. Folglich wirst du nur wenig Erfolg mit dem Portal haben, denke ich!
Das Portal gehört auf einen eigenen Webserver, welcher in die DMZ gehört. Zugriffe auf das Config-Portal oder euer internes Portal sind von dort nicht zulässig.
Zudem würde ich, wenn ich euer Kunde wäre, nicht auf das Portal kommen, da der Port 8899 nicht explizit freigegeben ist. Folglich wirst du nur wenig Erfolg mit dem Portal haben, denke ich!
Moin,
technisch ist das kein Problem.
Du kannst den Server mit einem Reverse-Proxy (z.B. nginx) oder direkt mit einem Hostnamen (z.B. wawi-firma.de) ins Internet stellen.
Beides lässt sich rudimentär absichern mit einer htaccess, Vorschaltseite oder Client-Zertifikaten mit Anmeldung.
Die Frage die Du klären musst ist wie sicher diese Webportal ist und welchen Schaden ein Angreifer verursachen könnte.
Auch die Frage wie sicher der Webserver ist solltest Du klären.
War odoo nicht vorher OpenERP?
Die Software ist dafür ausgelegt im Web zu laufen und nutzt OpenSource als Webserver.
Es gibt dies auch als SaaS-Angebot. Ich würde mal grundlegend davon ausgehen, dass es Sicherheitstechnisch kein grundlegendes Problem gibt.
Es bleibt natürlich ein Risiko und Du solltest prüfen, was Du zur minimierung dieses Risikos tun kannst.
Stefan
technisch ist das kein Problem.
Du kannst den Server mit einem Reverse-Proxy (z.B. nginx) oder direkt mit einem Hostnamen (z.B. wawi-firma.de) ins Internet stellen.
Beides lässt sich rudimentär absichern mit einer htaccess, Vorschaltseite oder Client-Zertifikaten mit Anmeldung.
Die Frage die Du klären musst ist wie sicher diese Webportal ist und welchen Schaden ein Angreifer verursachen könnte.
Auch die Frage wie sicher der Webserver ist solltest Du klären.
War odoo nicht vorher OpenERP?
Die Software ist dafür ausgelegt im Web zu laufen und nutzt OpenSource als Webserver.
Es gibt dies auch als SaaS-Angebot. Ich würde mal grundlegend davon ausgehen, dass es Sicherheitstechnisch kein grundlegendes Problem gibt.
Es bleibt natürlich ein Risiko und Du solltest prüfen, was Du zur minimierung dieses Risikos tun kannst.
Stefan
Moin,
das wird so nicht gehen wie du dir das vorstellst...
a) SSL: Hier nutzlos weil du ja eh eine Weiterleitung machst. Dein SSL wird also (hoffentlich) sagen das die Anfrage nen Redirect macht und somit der Anbieter nicht mehr sicher ist.
b) Du musst dir in JEDEM fall bewusst sein das du aufgrund von Sicherheitslücken usw. riskierst alle Daten zu veröffentlichen.
c) deine private Leitung (auch bei Firmenleitungen) ist eine private Leitung -> da hat was öffentliches nichts drin verloren. Jede gute Firewall wird schon verhindern das ein Anwender einfach irgendwelche Ports betritt... Wenn müsstest du bei dir also einen Standard-Port verwenden was die Angriffe auf dein System erhöht. Oder du müsstest einen Proxy zwischenschalten der das dann lokal cachen würde...
Ich würde daher zu einem VPN raten wenn der extern erreicht werden soll - und wenn du Daten aus dem WWS ins Netz haben willst z.B. die Daten per Cron exportieren und dann nur diese anzeigen. Lässt du dich aber nicht überzeugen ist z.B. JK_mod oder ModJK dein Freunt -> da kannst du Mountpoints setzen und die Redirecten lassen.
das wird so nicht gehen wie du dir das vorstellst...
a) SSL: Hier nutzlos weil du ja eh eine Weiterleitung machst. Dein SSL wird also (hoffentlich) sagen das die Anfrage nen Redirect macht und somit der Anbieter nicht mehr sicher ist.
b) Du musst dir in JEDEM fall bewusst sein das du aufgrund von Sicherheitslücken usw. riskierst alle Daten zu veröffentlichen.
c) deine private Leitung (auch bei Firmenleitungen) ist eine private Leitung -> da hat was öffentliches nichts drin verloren. Jede gute Firewall wird schon verhindern das ein Anwender einfach irgendwelche Ports betritt... Wenn müsstest du bei dir also einen Standard-Port verwenden was die Angriffe auf dein System erhöht. Oder du müsstest einen Proxy zwischenschalten der das dann lokal cachen würde...
Ich würde daher zu einem VPN raten wenn der extern erreicht werden soll - und wenn du Daten aus dem WWS ins Netz haben willst z.B. die Daten per Cron exportieren und dann nur diese anzeigen. Lässt du dich aber nicht überzeugen ist z.B. JK_mod oder ModJK dein Freunt -> da kannst du Mountpoints setzen und die Redirecten lassen.
Moin,
ohne den frank nu zu kennen würde ich mal sagen es liegt an folgendem:
Dir sagen eigentlich alle hier "lass es, es ist keine gute Idee" - du willst es trotzdem. Die chance das du dann in 4-8 Wochen einen thread eröffnest "meine Daten sind weg" oder "meine Daten wurden geklaut" sind nicht sooo schlecht. Und du bist nicht der erste der das hier macht...
Also: Du glaubst das es reicht deine paar URLs zu filtern? Nun - nehmen wir mal an (ohne deine WWS zu kennen) das dort eine kleine Sicherheitslücke existiert. Und zwar fängt dein System bei der Seite die du ausführen willst einen sql-befehl nicht korrekt ab. Jetzt mache ich z.B. beim Login eine schöne SQL-Injection und schon gehört mir dein Server. Wen interessieren da noch Unterseiten wenn ich die DB habe?
Wo ist jetzt also schon mal der Unterschied zwischen Server in "produktion" und in "DMZ"? Ganz einfach: Der DMZ vertraut meine Firewall ebenfalls nicht. Die Kommunikation dahin ist nur wenig offener als die zum Internet (weil ich da die Ports ja kenne die ich brauche). Möchtest du aus der DMZ z.B. einen Portscan auf mein Arbeitsnetz machen wird die Firewall das melden. Machst du das von einem internem Netzwerk möglichst noch im selben IP-Segment gibt es keine Firewall dazwischen. Ich kann also mit einem entsprechendem Zugriff fröhlich munter in deinem Netz rumtoben...
Es gab z.B. mal die uralte Version das du auf einem Windows-Server eine URL aufrufst die dir eine cmd öffnet. Was macht z.B. dein Redirect wenn du einstellst "leite www.xyz.ab/def -> 192.168.99.99:1234 um" und ich rufe "www.xyz.ab/def/../irgendwas" auf? Dein Redirect wird erst mal die URL erkennen und loslegen.
Also: Es geht nicht gegen dich, aber die meisten hier warnen aus gutem Grund vor solchen Konstrukten. Denn durch diese Konstrukte verlieren Firmen ihre Daten und jeder hier bekommt fröhliche Spam-Mails... Weil irgendwer in irgendeiner Firma halt meinte das da schon nichts passieren wird...
ohne den frank nu zu kennen würde ich mal sagen es liegt an folgendem:
Dir sagen eigentlich alle hier "lass es, es ist keine gute Idee" - du willst es trotzdem. Die chance das du dann in 4-8 Wochen einen thread eröffnest "meine Daten sind weg" oder "meine Daten wurden geklaut" sind nicht sooo schlecht. Und du bist nicht der erste der das hier macht...
Also: Du glaubst das es reicht deine paar URLs zu filtern? Nun - nehmen wir mal an (ohne deine WWS zu kennen) das dort eine kleine Sicherheitslücke existiert. Und zwar fängt dein System bei der Seite die du ausführen willst einen sql-befehl nicht korrekt ab. Jetzt mache ich z.B. beim Login eine schöne SQL-Injection und schon gehört mir dein Server. Wen interessieren da noch Unterseiten wenn ich die DB habe?
Wo ist jetzt also schon mal der Unterschied zwischen Server in "produktion" und in "DMZ"? Ganz einfach: Der DMZ vertraut meine Firewall ebenfalls nicht. Die Kommunikation dahin ist nur wenig offener als die zum Internet (weil ich da die Ports ja kenne die ich brauche). Möchtest du aus der DMZ z.B. einen Portscan auf mein Arbeitsnetz machen wird die Firewall das melden. Machst du das von einem internem Netzwerk möglichst noch im selben IP-Segment gibt es keine Firewall dazwischen. Ich kann also mit einem entsprechendem Zugriff fröhlich munter in deinem Netz rumtoben...
Es gab z.B. mal die uralte Version das du auf einem Windows-Server eine URL aufrufst die dir eine cmd öffnet. Was macht z.B. dein Redirect wenn du einstellst "leite www.xyz.ab/def -> 192.168.99.99:1234 um" und ich rufe "www.xyz.ab/def/../irgendwas" auf? Dein Redirect wird erst mal die URL erkennen und loslegen.
Also: Es geht nicht gegen dich, aber die meisten hier warnen aus gutem Grund vor solchen Konstrukten. Denn durch diese Konstrukte verlieren Firmen ihre Daten und jeder hier bekommt fröhliche Spam-Mails... Weil irgendwer in irgendeiner Firma halt meinte das da schon nichts passieren wird...
Hallo...
bin ich bei dir mal irgendwie in Ungnade gefallen? Du weißt schon das wir hier in einem Forum sind.
nein, du bist nicht in Ungnade gefallen, und JA... das ist ein Forum.
und wenn du Richtig gelesen hast, ist es ein Adminstratoren Forum! Klingelt da etwas bei dir ?
wenn nicht, egal....
wenn ich deine Fragestellung so lese, ist dein Fachwissen dazu bei unter 10 %
Es geht ja speziell drum, sich hier Lösungen und Hilfe zu suchen.
Richtig, aber wenn dir die Admins hier sagen, hör mal- lass es sein, und wenn hole dir Hilfe ( Systemhaus) warum verstehst du das nicht ?
wir wollen dir doch nix- im gegenteil....
da du ja mit einer WAWI im Inet unterwegs sein möchtest, gehe ich einmal davon aus- du verdienst geld dammit!
deswegen frage ich mich- warum kaufst du nicht Hilfe ein- und kannst sicher sein, das beste für dich und deine Kunden getan zu haben.
du selber kannst es ja offensichtlich nicht- oder liegt es an open source = Kostenlos ? nutzt ja nix- auch wenn es Kostenlos ist- du kannst es nicht!
meine Fragen oder Anregungen waren nicht sooo Falsch...
wir wissen nicht wie dein Server eingerichtet ist... ich kann dir jetzt schon sagen, 70 % aller Linux Server, die ich in die Finger bekomme, haben für alle Dienste Root als user... !!!!!
ich habe auch geschrieben:
und... ich hatte recht.. bis jetzt lese ich bei dir immer mehr fragen!
was du hier nicht bekommst ist von einem Admin eine DIY Anleitung, wie du den karren gegen die wand fahrst....
Frank
bin ich bei dir mal irgendwie in Ungnade gefallen? Du weißt schon das wir hier in einem Forum sind.
und wenn du Richtig gelesen hast, ist es ein Adminstratoren Forum! Klingelt da etwas bei dir ?
wenn nicht, egal....
Würde ich alles wissen, bräuchte ich ja kein Thema starten.
Richtig.. na ja - alles...wenn ich deine Fragestellung so lese, ist dein Fachwissen dazu bei unter 10 %
Es geht ja speziell drum, sich hier Lösungen und Hilfe zu suchen.
wir wollen dir doch nix- im gegenteil....
da du ja mit einer WAWI im Inet unterwegs sein möchtest, gehe ich einmal davon aus- du verdienst geld dammit!
deswegen frage ich mich- warum kaufst du nicht Hilfe ein- und kannst sicher sein, das beste für dich und deine Kunden getan zu haben.
du selber kannst es ja offensichtlich nicht- oder liegt es an open source = Kostenlos ? nutzt ja nix- auch wenn es Kostenlos ist- du kannst es nicht!
meine Fragen oder Anregungen waren nicht sooo Falsch...
wir wissen nicht wie dein Server eingerichtet ist... ich kann dir jetzt schon sagen, 70 % aller Linux Server, die ich in die Finger bekomme, haben für alle Dienste Root als user... !!!!!
ich habe auch geschrieben:
alleine die Fragestellung sagt mir, der TO weiß nicht 100% was er macht- selbst eine Anwort bringt ihn
nicht viel weiter... es müssen zuviele dinge beachtet werden!
nicht viel weiter... es müssen zuviele dinge beachtet werden!
und... ich hatte recht.. bis jetzt lese ich bei dir immer mehr fragen!
Oder bist du Dienstleister und möchtest keine DIY Themen hier sehen?
Ja- ich bin Dienstleister...was du hier nicht bekommst ist von einem Admin eine DIY Anleitung, wie du den karren gegen die wand fahrst....
Frank