Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Reverse Proxy - Anfängerfragen

Mitglied: NixVerstehen

NixVerstehen (Level 1) - Jetzt verbinden

17.05.2019 um 15:30 Uhr, 928 Aufrufe, 17 Kommentare, 1 Danke

Servus zusammen,

endlich Freitag und ich darf wieder meine Anfängerfragen stellen

Ich bereite gerade einen Testaufbau für ein Zeiterfassungssystem vor. Mitarbeiter sollen per App "Kommen" und "Gehen" buchen können.
Die "serverseitige" Komponente läuft hier in einer Windows 2019 Standard-VM.

Der Zugriff aus dem Internet soll verschlüsselt über einen noch festzulegenden Port erfolgen.

Nun möchte ich ungerne einfach den Port in der FW öffnen und auf den Server forwarden. Kann ich für so etwas z.B. Squid als Reverse Proxy verwenden?
Mein Gedanke war, Squid als fertige Appliance (z.B. Artica) auf dem Hyper-V Host zu installieren.

Auf dem Hyper-V Blech habe ich noch 2 ungenutze NICs. Da könnte ich doch einen Adapter mit dem DMZ-Port des Routers verbinden,
den ausschließlich für die Squid-VM als "externen" Port nutzen und nach intern auf den VirtualSwitch des Hyper-V setzen?

Ist das so machbar und auch sicherheitstechnisch o.k. oder gibt es da bessere Alternativen? Ich bin da blutiger Anfänger.

Vorab vielen Dank und ein schönes Wochenende.

Gruß Arno
Mitglied: aqui
17.05.2019 um 15:53 Uhr
Nun möchte ich ungerne einfach den Port in der FW öffnen
Wie willst du denn sonst generell Traffic von außen nach innen forwarden ? Wenn du kein VPN auf der FW nutzt ist das anders ja gar nicht möglich.
In deinem Konzept must du so oder so immer ein Loch in die Firewall bohren um Traffic von außen zuzulassen. Letztlich bedeutet das immer ein wie auch immer gewichtetest Risiko. Je nach geltender Security Policy.
Bitte warten ..
Mitglied: Pjordorf
17.05.2019 um 15:55 Uhr
Hallo,

Zitat von NixVerstehen:
Mitarbeiter sollen per App "Kommen" und "Gehen" buchen können.
Also auch vom Flughafen Mosambik aus sagen ich bin da.

Nun möchte ich ungerne einfach den Port in der FW öffnen und auf den Server forwarden. Kann ich für so etwas z.B. Squid als Reverse Proxy verwenden?
Wenn diene App da mitspielt - ja.

Ist das so machbar und auch sicherheitstechnisch o.k.
Ja und Nein.

Eine VM ist nur Software und kann (muss nicht im moment sein) Sicherheitslücken aufweisen. Wenn jemand diese VM missbraucht und er daraufhin auf das darunterliegende OS kommt, steht der Böse im Büro drin. Dahre sagen wir, in einer VM keinerlei Sicheheitsrelevante Produkte betreiben. Ein Reverse-Proxy, kann wie bei dir, als Sicherheitsrelevantes teilchen bei euch gesehen werden.

Gruß,
Peter
Bitte warten ..
Mitglied: Lochkartenstanzer
17.05.2019, aktualisiert um 15:58 Uhr
Zitat von NixVerstehen:

Servus zusammen,

endlich Freitag und ich darf wieder meine Anfängerfragen stellen

Die darfst Du auch an jedem anderen Tag stellen. Nicht jede Frage am Freitag qualifiziert sich auch als eine Freitagsfrage, die den Namen verdient.

Ich bereite gerade einen Testaufbau für ein Zeiterfassungssystem vor. Mitarbeiter sollen per App "Kommen" und "Gehen" buchen können.
Die "serverseitige" Komponente läuft hier in einer Windows 2019 Standard-VM.

Soweit noch keine Besonderheiten.

Der Zugriff aus dem Internet soll verschlüsselt über einen noch festzulegenden Port erfolgen.

Mit welchem Protokoll?


Nun möchte ich ungerne einfach den Port in der FW öffnen und auf den Server forwarden.

Ganz dumme Idee!1eins!1ellf!11!!

Kann ich für so etwas z.B. Squid als Reverse Proxy verwenden?

Im Prinzip ja, kommt aber auf das Protokoll an, das verwendet werden soll.

Mein Gedanke war, Squid als fertige Appliance (z.B. Artica) auf dem Hyper-V Host zu installieren.

Warum nicht lieber ein VPN. IP-SEC-clients gibt es wie Sand am Meer.


Auf dem Hyper-V Blech habe ich noch 2 ungenutze NICs. Da könnte ich doch einen Adapter mit dem DMZ-Port des Routers verbinden,

Viel dümmere Idee! Dein Server hat dann zwei Beinchen (DMZ und LAN) und der "pöhse Pursche" freut sich, daß er keine Firewall im Weg hat.

den ausschließlich für die Squid-VM als "externen" Port nutzen und nach intern auf den VirtualSwitch des Hyper-V setzen?

Du solltest das alles nochmal überdenken!


Ist das so machbar und auch sicherheitstechnisch o.k. oder gibt es da bessere Alternativen?

Machbar? Ja.

Sicherheitstechnisch o.k? Wart einen Moment, Ich such gerade mein Cat9 um Dir die Antwort darauf zu geben.

Ich bin da blutiger Anfänger.

Merkt man.

Also:

VPN einrichten und nur über VPN Zugriff gewähren.

Alternativ einen squid-proxy in die DMZ stellen (z.B. Raspberry pi) der dann über die Firewall hinweg dann an den Server geht.

Ansonsten: Hol Dir jemanden zur Unterstützung, der etwas davon versteht.


Vorab vielen Dank und ein schönes Wochenende.

Dir auch ein schönes Wochenende.

lks
Bitte warten ..
Mitglied: NixVerstehen
17.05.2019 um 16:05 Uhr
Zitat von aqui:

Nun möchte ich ungerne einfach den Port in der FW öffnen
Wie willst du denn sonst generell Traffic von außen nach innen forwarden ? Wenn du kein VPN auf der FW nutzt ist das anders ja gar nicht möglich.
In deinem Konzept must du so oder so immer ein Loch in die Firewall bohren um Traffic von außen zuzulassen. Letztlich bedeutet das immer ein wie auch immer gewichtetest Risiko. Je nach geltender Security Policy.

@aqui
Ok, ich hab es unzureichend formuliert. Das ich einen Port öffnen und durchreichen muss, ist klar. Ich meinte damit, das ich den Port nicht öffnen und direkt ins Innerste durchreichen möchte, ohne noch eine Sicherheitskomponente dazwischen zu haben.

Gruß NV
Bitte warten ..
Mitglied: NixVerstehen
17.05.2019, aktualisiert um 16:08 Uhr
@Peter
Also auch vom Flughafen Mosambik aus sagen ich bin da.
Wäre aus Arbeitnehmersicht sicher toll, aber die App soll mit dem nächsten Update Geofencing unterstützen.

Eine VM ist nur Software und kann (muss nicht im moment sein) Sicherheitslücken aufweisen. Wenn jemand diese VM missbraucht und er daraufhin auf das darunterliegende OS kommt, steht der Böse im Büro drin. Dahre sagen wir, in einer VM keinerlei Sicheheitsrelevante Produkte betreiben. Ein Reverse-Proxy, kann wie bei dir, als Sicherheitsrelevantes teilchen bei euch gesehen werden.

Also besser etwas auf Blech?

Gruß,
Peter

Gruß Arno
Bitte warten ..
Mitglied: it-fraggle
17.05.2019 um 16:09 Uhr
Nun möchte ich ungerne einfach den Port in der FW öffnen und auf den Server forwarden. Kann ich für so etwas z.B. Squid als Reverse Proxy verwenden?
Ja, das geht. Das kannst du aber mit einem Apache2 oder Nginx auch machen. Du forwardest den Port zum Reverse Proxy. Der RP ist aber kein Allheilmittel. Zwar bietet er dir einen gewissen Schutz, aber bei Manipulationen, die sich per URL-Aufruf durchführen lassen kann er natürlich nicht helfen.

Zwar habe ich selbst noch keinen Ausbruch aus einer VM erlebt, aber ich würde es nicht für unmöglich halten. Darum lieber einen extra Server. Je nach Zugriffsquantität reicht ein kleiner Server oft schon aus.
Bitte warten ..
Mitglied: NixVerstehen
17.05.2019 um 16:29 Uhr
@lks
Die darfst Du auch an jedem anderen Tag stellen. Nicht jede Frage am Freitag qualifiziert sich auch als eine Freitagsfrage, die den Namen verdient.
Danke sehr, aber Freitags gibt es weniger Anfänger-"Prügel"

Mit welchem Protokoll?
Laut Beschreibung https auf abweichend 50141 default

Nun möchte ich ungerne einfach den Port in der FW öffnen und auf den Server forwarden.
Ganz dumme Idee!1eins!1ellf!11!!
Wenigstens da liege ich richtig

Warum nicht lieber ein VPN. IP-SEC-clients gibt es wie Sand am Meer.
Vermutlich sehr zeitaufwändig, das Ganze auf Smartphones von ca. 50 Mitarbeitern zu installieren?
Alles Kraftfahrer und die meisten schaffen es gerade, ein Bild an eine Mail anzuhängen.

Auf dem Hyper-V Blech habe ich noch 2 ungenutze NICs. Da könnte ich doch einen Adapter mit dem DMZ-Port des Routers verbinden,
Viel dümmere Idee! Dein Server hat dann zwei Beinchen (DMZ und LAN) und der "pöhse Pursche" freut sich, daß er keine Firewall im Weg hat.
Auch gerade nochmal darüber nachgedacht und das Block-Schema des Routers genauer angeschaut. Da lege ich eine Umgehungsstraße
um die FW herum. Also in die Tonne mit der Idee.

den ausschließlich für die Squid-VM als "externen" Port nutzen und nach intern auf den VirtualSwitch des Hyper-V setzen?
Du solltest das alles nochmal überdenken!
Siehe ein Absatz drüber

Ich bin da blutiger Anfänger.
Merkt man.
Na ja, jeder fängt mal klein an. Aber ich bemühe mich wirklich und habe viel dazu gelernt in den letzten Jahren.

Alternativ einen squid-proxy in die DMZ stellen (z.B. Raspberry pi) der dann über die Firewall hinweg dann an den Server geht.
Oder ein Intel NUC?

Ansonsten: Hol Dir jemanden zur Unterstützung, der etwas davon versteht.
Das würde ich dann sowieso mit einem Dienstleister machen. Die Zeiterfassung soll die Daten direkt an unsere Lohnabrechnung
(Datev) übergeben und daß muss 100%ig passen. Hier geht es noch um nichts im Produktiveinsatz, sondern erstmal
um verschiedene Produkte zu testen.

Gruß NV
Bitte warten ..
Mitglied: Pjordorf
17.05.2019 um 16:56 Uhr
Hallo,

Zitat von NixVerstehen:
Vermutlich sehr zeitaufwändig, das Ganze auf Smartphones von ca. 50 Mitarbeitern zu installieren?
iPhones können das von Haus aus. Ein MDM und du wirst glücklich.

Alles Kraftfahrer und die meisten schaffen es gerade, ein Bild an eine Mail anzuhängen.
Und um Kosten zu Sparen nutzt ihr lieber das Eigentum von euren Mitarbeitern oder sind das Betreibeigene Smartphones? Was wenn ein Mitrabeiter es euch nicht gestattet sein Smartphone dafür zu nutzen oder sich weigert die App wieder zu Deinstallieren usw. BJOD hat auch seinen Schattenseiten. Und da die meisten Kraftfahrer heutzutage keine Hilfsarbeiter mit Führerschein mehr sind sondern Berufskraftfahrer... können die meisten sehr wohl mehr als ein Bild an eine Mail anhängen

Gruß,
Peter
Bitte warten ..
Mitglied: NixVerstehen
17.05.2019 um 17:25 Uhr
Vermutlich sehr zeitaufwändig, das Ganze auf Smartphones von ca. 50 Mitarbeitern zu installieren?
iPhones können das von Haus aus. Ein MDM und du wirst glücklich.
Ist vorhanden (Vodafone/Airwatch). Aber eben nur mit Samsung Mittelklasse-Smartphones.

Alles Kraftfahrer und die meisten schaffen es gerade, ein Bild an eine Mail anzuhängen.
Und um Kosten zu Sparen nutzt ihr lieber das Eigentum von euren Mitarbeitern oder sind das Betreibeigene Smartphones? Was wenn ein Mitrabeiter es euch nicht gestattet sein Smartphone dafür zu nutzen oder sich weigert die App wieder zu Deinstallieren usw. BJOD hat auch seinen Schattenseiten. Und da die meisten Kraftfahrer heutzutage keine Hilfsarbeiter mit Führerschein mehr sind sondern Berufskraftfahrer... können die meisten sehr wohl mehr als ein Bild an eine Mail anhängen
Ich hatte mit keiner Silbe erwähnt, das wir private Smartphones nutzen. Bei uns bekommt jeder bei seiner Einstellung ein Firmen-Smartphone.
Aber es ist eben aus Kostengründen kein IPhone. Die Kraftfahrer heute sind, zumindest bei uns, sehr gut qualifizierte Facharbeiter, die zu 99%
einen super Job machen. Lkw-Fahrer waren noch nie Hilfsarbeiter. Aber IT gehört nicht zu deren Aufgaben, damit möchte ich keinen unserer Mitarbeiter zusätzlich belasten. Deshalb soll es ja so einach wie möglich gestaltet sein, z.B. App öffnen, QR-Code scannen und fertisch ist der Zugang.

Gruß,
Peter

Gruß Arno
Bitte warten ..
Mitglied: Pjordorf
17.05.2019 um 18:02 Uhr
Hallo,

Zitat von NixVerstehen:
Ist vorhanden (Vodafone/Airwatch). Aber eben nur mit Samsung Mittelklasse-Smartphones.
OK

Ich hatte mit keiner Silbe erwähnt, das wir private Smartphones nutzen.
OK. danngibt es auch keine Probleme, und wenn euer MDM nur Samsung kann, dann ist es so. Also nur keine andrene kaufen

Lkw-Fahrer waren noch nie Hilfsarbeiter.
Auch schon als es den Beruf Berufskraftfahrer gab, war jeder der ein LKW (auch Gefahrstoffe Transportierte) fuhr und nicht explicit vom Arbeitgeber als Berufskraftfahrer eingestellt war, als Hilfsarbeiter mit Führeschein in der Rentenkasse geführt. War einfach so. Ich hab auch 9 Jahre im GüterKraftVerkehr verbracht und halb Europa gesehen und Orte gesucht (gab noch keine Navigationssysteme oder gar Smartphones. Bin fast nur Motorwagen und Anhänger gefahren weil da der Kaffee beim Fahren nicht von selbst aus dem Kaffeebecher sprang je nach Beladung. Also das man heute sogar UPS-Fahrer antrifft die ein IT Studium haben - keine Seltenheit - aber nicht deren Job für den die eingestellt sind.

Gruß,
Peter
Bitte warten ..
Mitglied: NixVerstehen
17.05.2019 um 18:34 Uhr
@Peter

Lkw-Fahrer waren noch nie Hilfsarbeiter.
Auch schon als es den Beruf Berufskraftfahrer gab, war jeder der ein LKW (auch Gefahrstoffe Transportierte) fuhr und nicht explicit vom Arbeitgeber als Berufskraftfahrer eingestellt war, als Hilfsarbeiter mit Führeschein in der Rentenkasse geführt. War einfach so. Ich hab auch 9 Jahre im GüterKraftVerkehr verbracht und halb Europa gesehen und Orte gesucht (gab noch keine Navigationssysteme oder gar Smartphones. Bin fast nur Motorwagen und Anhänger gefahren weil da der Kaffee beim Fahren nicht von selbst aus dem Kaffeebecher sprang je nach Beladung. Also das man heute sogar UPS-Fahrer antrifft die ein IT Studium haben - keine Seltenheit - aber nicht deren Job für den die eingestellt sind.

Off Topic, aber muss sein : In Bezug auf die Rentenkasse muss ich dir hier leider recht geben. Deshalb ist bei uns auch Unternehmenskultur, das dieser Beruf die Wertschätzung erfährt, die er verdient. Das sind Fachleute auf Ihrem Gebiet, sei es in Bezug auf ökomisches und sicheres Fahren,
Ladungssicherung, ADR-Vorschriften, Luftsicherheitsgesetzgebung, Fahrzeugtechnik etc., etc.
Auch ich hab bei uns vor 30 Jahren als Fahrer angefangen (erst 7,49-Tonner, dann Wechselbrückenzug), dann Disponent und seit 10 Jahren hab ich Einzelprokura für zwei Unternehmen mit gesamt ca. 65 Mitarbeitern.

Gruß,
Peter

Gruß
Arno
Bitte warten ..
Mitglied: maretz
18.05.2019 um 08:04 Uhr
Moin,

ganz ehrlich - ich seh das ganze da etwas entspannter:

a) Ob ich jetzt nen Reverse-Proxy nehme ODER ob ich direkt auf den Apache verweise ist erst mal egal. Solang es sich um eine simple Anwendung handelt macht der Proxy eh nix als 1:1 weiterleiten. Der Reverse-Proxy wäre m.E. eher dann Sinnvoll wenn ich eben hinter der Firewall diverse Server oder Webapps betreiben will damit ich nich x Löcher bohren muss und ich dann darüber filtern kann...

b) Die Sicherheit hängt davon ab was meine Webseite davon macht... Wenn ich erst mal nur Port 80 einkommend erlaube und da eben nur der Apache drauf hört dann ist das schon mal nicht schlecht. Klar kann ich auch morgen das Pech haben und es taucht eine Lücke im Apache auf die es erlaubt Scripts auszuführen. Das kann aber im Reverse-Proxy genauso passieren.

c) Ob jetzt VM oder Blech: Eine VM ist kein Hexenwerk, kann keine Magie, ... -> nix. Wenn ich an den Hypervisor von aussen rankomme hab ich ein Problem - stimmt. Wenn ich beim Blech Zugriff aufs OS bekomme hab ich das aber auch. Solang meine Firewall aber von aussen sagt das nix rein darf ausser eben auf Port 80 und der genau auf den Apache zeigt -> solang komm ich weder ans OS noch an den Hypervisor. Auch hier würde gelten das ich ERST via Apache auf die Maschine muss, von dort kann ich dann weiter. Beim Blech bin ich jetzt also direkt aufm Server, bei der VM kann ich auf den HV gehen. Da ich bereits ne Maschine im Netz habe macht das auch keinen Unterschied mehr. Von hier aus würde man für gewöhnlich eh an andere Server direkt gehen wollen &/ die Maschine einfach direkt nutzen.

Klar - es gibt sicher auch lustige Angriffe bei denen man dann im HV noch Pakete einschleusen will die dann bereits auf dessen Ebene Tunnel aufbauen (da der nicht so einfach zu prüfen ist wie ne VM). ABER: Das sind dann schon sehr zielgerichtete Angriffe und nicht der 99%-08/15-Schrott. Hier würde man auch idR. nicht über irgendwelche Ports gehen sondern erst mal die Umgebung ansehen. Entweder eben übers Office (der USB-Stick aufm Parkplatz - grad bei nem Logistik-Unternehmen einfach da die den mit Sicherheit reinpacken und schauen ob die rausfinden können wen der gehört), über das Telefon eines Fahrers (schön wenn das dann direkt schon im VPN ist...) oder ähnliches. Nur: Will ich das beim Logistiker? Wenn es nicht grad der ist der fürs Millitär die Raketen transportiert, für die Polizei die beschlagnahmten Drogen fährt o.ä. -> ist es den Aufwand wirklich wert?

Zum Schluss: Die Sicherheit hängt idR. nicht davon ab ob eine VM oder ein Blech. Beim (richtigen) Server habe ich genauso gute Angriffspunkte (iLO/iDrac z.B.) über die ich dann was machen könnte. Die Sicherheit hängt auch nicht davon ab ob ich nen Reverse-Proxy nehme oder ob ich direkt auf einen Apache gehe (dafür ist der Apache weltweit zu oft im Einsatz als das dort grobe ausnutzbare Sicherheitslücken lange unbekannt bleiben). Die Sicherheit hängt hier primär davon ab wie die Applikation gebaut ist und wie die Umgebung ist. Zumindest meiner Meinung nach bringt es nix überall zu versuchen die Sicherheit zu maximieren wenn der Rest nicht passt.. Und ich kenne einfach zu viele Umgebungen in denen ne Firewall hingestellt wird "weils sicher ist", das Protokoll aber nie geprüft wird ob wirklich was vorgelegen hat. Ich kenne ebenso zu viele Web-Apps die so grottig programmiert sind das die gleich mal alles ausliefern ohne .überhaupt nur nach nem Benutzernamen zu fragen oder die Zugangsdaten direkt mit in den Code legen,...
Bitte warten ..
Mitglied: Dani
18.05.2019 um 16:10 Uhr
Moin,
a) Ob ich jetzt nen Reverse-Proxy nehme ODER ob ich direkt auf den Apache verweise ist erst mal egal. Solang es sich um eine simple Anwendung handelt macht der Proxy eh nix als 1:1 weiterleiten. Der Reverse-Proxy wäre m.E. eher dann Sinnvoll wenn ich eben hinter der Firewall diverse Server oder Webapps betreiben will damit ich nich x Löcher bohren muss und ich dann darüber filtern kann...
Mit einem RP endet die Verbindung aus dem Internet immer an diesem - nie am eigentlichen Server. Werden kleinere Angriffe von außen gestartet, so wird der RP in Mitleidenschaft gezogen. Der Server bzw. Anwendung selbst ist im LAN wieterhin nutzbar. Genauso kannst du mit RP steuern, welche Dateien oder Ordner vom Internet aus erreichbar sein soll. Damit lassn sich granular Zugriffe regeln.

b) Die Sicherheit hängt davon ab was meine Webseite davon macht... Wenn ich erst mal nur Port 80 einkommend erlaube und da eben nur der Apache drauf hört dann ist das schon mal nicht schlecht. Klar kann ich auch morgen das Pech haben und es taucht eine Lücke im Apache auf die es erlaubt Scripts auszuführen. Das kann aber im Reverse-Proxy genauso passieren.
Die Wahl des Webservers ist natürlich elementar, gerade was die Standardmodule & Co angeht, biete entsprechend Angriffsfläche. Ein Modul das nicht aktiviert oder da ist, kann auch kein angegriffen werden. Der Webserver ist nur ein Teil eines ganzes Puzzles. Die Konfiguration des Webservers ist noch wichtiger - SSL Zertifikate, SSL Protokoll, Cihper Suites (Order), Allow/Deny Paths, etc...


Gruß,
Dani
Bitte warten ..
Mitglied: NixVerstehen
19.05.2019 um 12:09 Uhr
@maretz
@Dani

Guten Morgen,

vielen Dank für eure ausführlichen Beiträge. Da hab ich hoffentlich wieder einiges dazu gelernt.

Also wäre es vermutlich besser, in die DMZ einen kleinen Server auf Blech zu setzen und hier den Port für den App-Zugriff auf die Zeiterfassung (https 50141) von der öffentlichen IP in die DMZ auf den Apache durchzureichen. Alle anderen Ports werden dann durch eine Firewallregel eingehend in die DMZ geblockt.

Der Zugriff aus dem LAN auf den Server in der DMZ wird dann durch eine ausgehende Firewallregel dahin gehend beschränkt, das nur
die benötigten Ports (und ggf. nur bestimmte VLANs oder Adressen) ausgehend aus dem LAN zum Server in der DMZ geöffnet werden und von der DMZ Richtung LAN alles per "Deny all" geblockt wird.

Ich setze derzeit einen Lancom-Router ein. Wenn ich das Schema von Lancom (Schema) richtig verstehe, dann sitzt die DMZ hinter der Firewall und ist laut Beschreibung auf der LAN-Bridge isoliert von den restlichen LAN-Ports. Das heißt doch, das jeglicher Verkehr von extern in die DMZ durch die FW muss und auch jeglicher Verkehr aus dem LAN in die DMZ ebenfalls nur durch die FW kann?

Etwas abweichend vom Thema noch die Frage, ob ich anstatt eines Windows-Servers auch eine Windows 10-Maschine verwenden kann? Der
Hersteller der Zeiterfassung gibt das technisch frei. Der Hintergrund sind bei Verwendung eines Servers die ggf. notwendigen User-CALs für ca. 50 Leute, die per Smartphone ihre Zeitbuchungen aufliefern. Oder habe ich bei Windows 10 lizenztechnisch auch Fallstricke in dieser Richtung?

Vorab vielen Dank und einen schönen Sonntag
Gruß Arno
Bitte warten ..
Mitglied: Pjordorf
19.05.2019 um 14:12 Uhr
Hallo,

Zitat von NixVerstehen:
Ich setze derzeit einen Lancom-Router ein. Wenn ich das Schema von Lancom
LANCOM hat kein eigenes Scxhema. Eine richtige DMZ hat 2 Firewalls, davor und dahinter. https://www.security-insider.de/was-ist-eine-dmz-demilitarized-zone-a-67 ... . Eine Fritte hat nur eine Firewall und nennt es daher Exposed Host https://avm.de/service/fritzbox/fritzbox-7590/wissensdatenbank/publicati ...

Gruß,
Peter
Bitte warten ..
Mitglied: NixVerstehen
19.05.2019 um 16:50 Uhr
@Peter

Servus,

das ist mir bekannt. Bitte klicke aber mal auf den Link hier und schaue dir ganz unten die Anmerkung an.
Erzählt der Hersteller Unsinn oder reicht Lancom eine Firewall?

Gruß Arno
Bitte warten ..
Mitglied: Pjordorf
19.05.2019 um 17:41 Uhr
Hallo,

Zitat von NixVerstehen:
> Erzählt der Hersteller Unsinn oder reicht Lancom eine Firewall?
Eine richtige DMZ mit nur einer Firewall ist eben nicht möglich, wird aber gerne gemacht. AVM sagt es konkret, das ist dann keine DMZ sondern nur ein Exposed Host. Ein Buchhalter sieht nur das er eine Firewall spart, also billiger ist. Das gamit ein ganzes Konzept hinfällig sit, das sieht der Buchhalter eben nicht Er weiss es ja noch nicht mal. Und auch LANCOM weiß es besser, aber dessen Kunden wollen es einfach haben, sonst kauft keiner deren Produkte. Weil auch ne Fritte macht es so. Und auch der Hinweis von LANCOM ist eher Marketing geraffel.
https://de.wikipedia.org/wiki/Demilitarisierte_Zone_(Informatik)

Du musst dich entscheiden. Preiswert oder Sicher. 1 Firewall oder 2 Firewalls, Richtig oder fast richtig. Wie genau jetzt eine DMZ je nach Hersteller und Produkt geartet ist, schuld hat niemals der Hersteller. Auch eine Sophos XG kennt eine DMZ, aber ich kann nirgends finden ob da eine Firewall oder gar 2 Firewalls genutzt werden.

Gruß,
Peter
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Squid Revers Proxy Probleme - Exchange
gelöst Frage von theoberlinRouter & Routing1 Kommentar

Hallo zusammen, ich habe ein kleines Problem bezüglich einer Reverse Proxy Konfiguration. Ausgangssituation: PfSense CARP Cluster, Exchange 2016 auf ...

Windows Netzwerk
Proxy Problem
gelöst Frage von NurWeilEsGehtWindows Netzwerk6 Kommentare

Moin, ich möchte gerne eine Proxy-Server über die GPO verteilen. Dieser soll je nach Benutzer unterschiedlich sein - die ...

Netzwerkgrundlagen
Proxy-Einstellungen
gelöst Frage von schmitNetzwerkgrundlagen1 Kommentar

Hallo zusammen, hin und wieder kommt es vor, dass nach einem Neustart die Proxyeinstellungen verschwinden. Auf den betroffenen Rechnern ...

Windows Server
Proxy , Regestry
Frage von 125275Windows Server3 Kommentare

Hallo zusammen, wir haben eine Win2008R2 Server und jetzt neu einen Client mit Win10 dazubekommen. Mein Problem ist, dass ...

Neue Wissensbeiträge
Off Topic
Europawahl 2019
Information von Frank vor 1 TagOff Topic24 Kommentare

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Humor (lol)

Minister wollen offenbar Ausweispflicht für .de-Domain

Information von Kraemer vor 1 TagHumor (lol)7 Kommentare

Zitat von Golem.de: Die zuständigen Verbraucherschutzminister fordern einem Medienbericht zufolge offenbar eine Ausweispflicht für .de-Domains. Das soll Betrugsfälle mit ...

Off Topic
Was als Noob hier mal gesagt werden musste
Information von th30ther vor 3 TagenOff Topic5 Kommentare

Moinsen wertes Forum, ich möchte mich an dieser Stelle mal beim Forum generell und bei aqui speziell bedanken! Ich ...

Windows 10
Windows 10 Mai 2019 Update (Version 1903) ist da
Information von kgborn vor 3 TagenWindows 109 Kommentare

Nur ein kurzer Infosplitter: Microsoft hat die Nacht (21. Mai 2019) das Funktionsupdate auf Windows 10 Version 1903 freigegeben. ...

Heiß diskutierte Inhalte
Ausbildung
Wie sind eure Erfahrungen als oder mit Ü30 Azubis für Fachinformatik Systemintegration?
Frage von CaptainProcessorAusbildung26 Kommentare

Tagchen allerseits :) Mir steht in wenigen Monaten eine Veränderung bevor, da mein AG seine IT auslagert und ich ...

Off Topic
Europawahl 2019
Information von FrankOff Topic23 Kommentare

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Router & Routing
ZyXEL ZyWALL USG 20 Routing
Frage von Oggy01Router & Routing12 Kommentare

Hallo, und wieder habe ich ein Problem mit dem Routing. Bis vor ein paar Tagen habe ich das mit ...

Virtualisierung
VServer (Linux): Absichern, verschlüsseln usw
Frage von mrserious73Virtualisierung11 Kommentare

Hallo zusammen, ich möchte einen Linux-Vserver mieten und diesen absichern. Darunter verstehe ich in diesem Falle hauptsächlich: Dafür sorgen, ...