Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Portfreigaben für VPN (PPPTP) und Apache mit Trennung durch vmware

Mitglied: 34132

34132 (Level 1)

21.08.2007, aktualisiert 23.08.2007, 5042 Aufrufe, 9 Kommentare

Hallo Zusammen!
Ich hab folgendes Problem:

Ich setz im Moment einen Server2003 Enterprise auf.
Auf diesem lauft ein VPN-Dienst (PPTP) (inkl. Portfreigaben meiner FritzBox (1723TCP und GRE Protokoll)
Zusätzlich ist noch der IIS-Server aktiviert (Dieser soll aber von außen nicht erreichbar sein. (außer natülich per vpn Einwahl)
Auf der VMWare läuft Kubuntu 7.4 mit einem Apache Webserver (inkl. Portfreigabe auf Port 80 (Port werde ich warscheinlich noch auf einen High Port ändern.) (Kubuntu hat eine eigene IP-Adresse aber die gleiche Netzwerkkarte)

Sinn des ganzen ist, dass ich mich mit meinem Laptop von "außen" auf den Server per VPN einloggen kann, und meine E-Mails lesen kann. Evtl. vielleicht auf ein paar Daten zugreifen kann.

Der Webserver soll ein paar kleine Seiten für meine Freunde und co. bereitstellen.

1. Gib es Sicherheitsprobleme für andere Rechner, die auch in dem Netzwerk hängen, wenn Portforwardings bestehen, die aber nicht auf diese Rechner weiterleiten? (sondern eben z.B. zu meinem Server?)

2. Der Webserver ist ja eine ziemliche Sicherheitslücke?!: Ist meine Konstellation ein ausrechender Schutz, oder ist mein Wirtsystem (in meinem Fall server2003 auch dadurch angreifbar (s. oben, gleich Netzwerkkarte, unterschiedliche ips)?
Bzw. meine anderen Cients im Netzwerk? (kann man das irgendwie unterdrücken)

3. Wie schauts mit der Angreifbarkeit von Außen über den VPN Port aus? Habe gelesen dass PPTP mit langen Passwörtern eigentlich sicher ist? (Quelle: Winboard) Wie sind da die Erfahrungswerte bei euch?


Vielen Dank für eure Hilfe!!!!

Gruß Paul
Mitglied: spacyfreak
21.08.2007 um 22:35 Uhr
Wenn der Webserver von extern erreichbar ist, besteht (prinzipiell) das Risiko, dass er gehackt wird, z. B. wenn man nicht regelmässig updatet, oder der Server falsch konfiguriert wurde.
Der eine Port reicht für entsprechende Exploits völlig aus, um (im schlimmsten Fall) Root-Rechte auf dem Webserver zu bekommen.

Wenn nun ein hacker auf dem Webserver root Rechte hat, kann er freilich auch andere Software auf dem Webserver installieren, z. B. Rootkit, Keylogger, Ettercap für Man-in-the-Middle Geschichten usw.


Doch das ist freilich nur der "schlimmste anzunehmende Fall". Möglich ist es aber.
Wo ein offener Port ist und ein Dienst der auf dem Port lauscht, da ist auch eine denkbare Angriffsmöglichkeit.

Ansonsten ist eine virtuelle Maschine genauso zu betrachten wie ein "Standalone" Server auch. Bisher sind keine Lücken bekannt (zumindest mir) über die aus einer virtuellen Maschine das gastgebende System gekapert werden könnte. Garantie gibts darauf jedoch auch nicht - früher oder später wirds einer schaffen.
Bitte warten ..
Mitglied: 51705
22.08.2007 um 10:05 Uhr
Zu bedenken ist im Falle einer Kompromittierung des Webservers, daß dieser nun alle über diese Netzwerkkarte erreichbaren Rechner ohne die schützende Firewall erreicht.

Lösbar wäre das (so der Router die entsprechende Anzahl Ports hat) durch den Einbau einer weiteren Netzwerkkarte. Auf dieser wird nur das VMware Bridge Protokoll installiert, und die Karte wird direkt am Router angeschlossen. Nun ist zumindest das restliche Netz trotz Rootkit, etc. sicher.
Bitte warten ..
Mitglied: 34132
22.08.2007 um 21:42 Uhr
Dann muss ich beim Dateiupload bzw. beim Zugriff meiner Clients aber auch den Umweg übers Internet nehmen?

Brauch ich bei der zusätzlichen Netzwerkkarte kein TCP/IP Protokoll? Der Router kann doch sonst mit der Netzwerkkarte anfangen?!
Bitte warten ..
Mitglied: 51705
23.08.2007 um 11:51 Uhr
Dann muss ich beim Dateiupload bzw. beim
Zugriff meiner Clients aber auch den Umweg
übers Internet nehmen?

Das verstehe ich nicht ganz, meinst du den Zugriff deiner Clients auf den Webserver?

Brauch ich bei der zusätzlichen
Netzwerkkarte kein TCP/IP Protokoll? Der
Router kann doch sonst mit der Netzwerkkarte
anfangen?!

Der VMware-Host braucht nur das VMware Bridge Protokoll, TCP/IP wird ja dann vom VMware-Guest (dem Webserver) installiert und verwendet
Bitte warten ..
Mitglied: 34132
23.08.2007 um 19:46 Uhr
<quote>
Dann muss ich beim Dateiupload bzw. beim
Zugriff meiner Clients aber auch den Umweg
übers Internet nehmen?


Das verstehe ich nicht ganz, meinst du den Zugriff deiner Clients auf den Webserver?

</quote>

Ja ich mein den Zugriff meiner pcs im netzwerk über das lokale lan. wenn ich z.B. dateien auf den webserver spielen will
(würde ich aber für einen sicherheitsgewinn in kauf nehmen)
Bitte warten ..
Mitglied: 51705
23.08.2007 um 19:58 Uhr
Das geht nicht übers Internet, nur über den Router:

Client -> Router (Default Gateway) -> Webserver

oder:

Bridge auf die andere Netzwerkkarte
Bitte warten ..
Mitglied: 34132
23.08.2007 um 20:38 Uhr
dann versteh ich den post vom 22.08 10:05 nicht:

dann kann ja die schadsoftware im netzwerk wieder "böse" sachen im netzwerk anrichten?!
versteh ich das richtigt?
zweite netzwerkkarte bekommt im wirtsystem keine eigene ip adresse (das wirtsystem kann also keine daten über diese karte verschicken) vmware bridge protokoll sorgt aber dafür das mein gastsystem in vmware über z.b. dhcp mit eine ip und co. versorgt wird.
da aber das gastsystem im gleichen netz (hinter router an switch im gleichen subnetz) hängt, kann ja gastsystem mit wirtsystem bzw. jedem anderen client komunizieren?

bringts da was wenn ich einfach überall z.b. die windowsfirewall aktiviere?
oder kann ich dem webserver verbieten mit meinen anderen pcs zu komunizieren?


danke für die gedult!
Bitte warten ..
Mitglied: 51705
23.08.2007 um 20:48 Uhr
alles nach dem 'oder' ist ironisch, zugegeben erwischt.

Aber auf dem Router kannst du doch die SIF (Stateful Inspection Firewall), so es die gibt, so programmieren, daß aus den Internet nur Pakete zum Webserver zugelassen werden. Weiterhin dürfen die Clients auch zum Webserver vordringen, aber der Webserver nicht zu den Clients.

Vielleicht wäre es hilfreich zu wissen, was dein Router kann / welches Modell das ist.
Bitte warten ..
Mitglied: 34132
23.08.2007 um 22:31 Uhr
Der Router ist eine FritzBox 7050

es sind zwei portforwardings configuriert:
webserverport ist auf die ip der vmware weitergeleitet.
vpn port ist auf die ip des wirtsystems weitergeleitet.

aber beim netzwerkverkehr unter den einzelnen rechnern die im netzwerk hängen, greift doch der router gar nicht (intern ist doch nach dem router gleich ein switch verschalten?!). Das bedeutet, dass der Netzwerkverkehr im gleichen subnetz nicht zum router weitergeleitet wird.

somit kann ich doch z.B. von der vmware aus, auf lokale freigaben und co. zugreifen?

sorry das ich da so schwer von begriff bin, ich will halt einfach eine solide und sichere lösung
Bitte warten ..
Ähnliche Inhalte
Netzwerke

Lancom Advanced VPN CLient Trennung verhindern

gelöst Frage von Finchen961988Netzwerke6 Kommentare

Hallo, ich habe bei einem Kunden mehrer Tunnelverbindungen über den Lancom VPN CLient realisiert! Falls hier gleich den Aufschrei ...

LAN, WAN, Wireless

VLAN Trennung sicher?

gelöst Frage von mksadmLAN, WAN, Wireless5 Kommentare

Hallo liebe Gemeinde, ich habe eine Frage zu Vlan. Nehmen wir 2 Vlan-Netze: NetzA / NetzB Diese beiden Netze ...

Netzwerkgrundlagen

Trennung von Geräten

gelöst Frage von TastuserNetzwerkgrundlagen5 Kommentare

Könnte mir jemand vllt die Unterschiede zwischen VLANs, VDOMs und die Trennung über Policy und Subnetting beschreiben? Alles sind ...

LAN, WAN, Wireless

Sporadische Internet-trennung

Frage von fisch56LAN, WAN, Wireless5 Kommentare

Hallo, System windwos 10, habe von speedport mit 6MBit/s auf Fritzbos 7490 mit 50 MBit gewechselt, aber auch früher ...

Neue Wissensbeiträge
Windows Mobile

Support für Windows Mobile endet im Dezember 2019

Information von transocean vor 21 StundenWindows Mobile

Moin, Microsoft empfiehlt als Alternative den Umstieg auf iOS oder Android, wie man hier lesen kann. Gruß Uwe

Internet

Kommentar: Bundesregierung erwägt Ausschluss von Huawei im 5G-Netz - Unsere Presse wird immer sensationsgieriger

Information von Frank vor 2 TagenInternet5 Kommentare

Hier mal wieder ein schönes Beispiel für fehlgeleiteten Journalismus und Politik zugleich. Da werden aus Gerüchten plötzlich Fakten, da ...

Windows 10

Netzwerk-Bug in allen Windows 10-Versionen durch Januar 2019-Updates

Information von kgborn vor 2 TagenWindows 101 Kommentar

Nur ein kurzer Hinweis für Admins, die Windows 10-Clients im Portfolio haben. Mit den Updates vom 8. Januar 2019 ...

Windows 10

Windows 10 V1809: Rollout ist gestartet - kommt per Windows Update

Information von kgborn vor 3 TagenWindows 102 Kommentare

Eine kurze Information für die Admins, die Windows 10 im Programm haben. Microsoft hat die letzte Baustelle (die Inkompatibilität ...

Heiß diskutierte Inhalte
TK-Netze & Geräte
TAPI auf einem Win2016Server installieren und einrichten
Frage von wstabelTK-Netze & Geräte32 Kommentare

Hallo liebe Admins, ich habe folgende Situation: 1 Windows Server 2016 Standard als DC 1 SNOM 710 IP-Telefon 1 ...

Off Topic
Darf ich ein Forum erstellen das Produkte eines Herstellers betrifft?
Frage von cyberwallOff Topic9 Kommentare

Hallo Community, ich habe da eine "rechtliche" bzw. allgemeine Frage zum erstellen von Foren. Darf ich als "normale Person" ...

DNS
SFTP über DynDNS nicht OK - über ext. IP funktioniert es
Frage von C.MorgensternDNS8 Kommentare

Hallo zusammen! Ich habe Probleme beim SFTP Zugriff auf eine Linux Maschine vom WAN aus über eine DynDNS Adresse. ...

Netzwerkmanagement
Server bauen
Frage von JugendringNetzwerkmanagement8 Kommentare

Moin Moin, wir, der Jugendring sind ein ständig wachsender Verein mit vielen Unterprojekten. Da liegt es nah, dass wir ...