17
Reverse Proxy - Anfängerfragen
Servus zusammen,
endlich Freitag und ich darf wieder meine Anfängerfragen stellen
Ich bereite gerade einen Testaufbau für ein Zeiterfassungssystem vor. Mitarbeiter sollen per App "Kommen" und "Gehen" buchen können.
Die "serverseitige" Komponente läuft hier in einer Windows 2019 Standard-VM.
Der Zugriff aus dem Internet soll verschlüsselt über einen noch festzulegenden Port erfolgen.
Nun möchte ich ungerne einfach den Port in der FW öffnen und auf den Server forwarden. Kann ich für so etwas z.B. Squid als Reverse Proxy verwenden?
Mein Gedanke war, Squid als fertige Appliance (z.B. Artica) auf dem Hyper-V Host zu installieren.
Auf dem Hyper-V Blech habe ich noch 2 ungenutze NICs. Da könnte ich doch einen Adapter mit dem DMZ-Port des Routers verbinden,
den ausschließlich für die Squid-VM als "externen" Port nutzen und nach intern auf den VirtualSwitch des Hyper-V setzen?
Ist das so machbar und auch sicherheitstechnisch o.k. oder gibt es da bessere Alternativen? Ich bin da blutiger Anfänger.
Vorab vielen Dank und ein schönes Wochenende.
Gruß Arno
endlich Freitag und ich darf wieder meine Anfängerfragen stellen
Ich bereite gerade einen Testaufbau für ein Zeiterfassungssystem vor. Mitarbeiter sollen per App "Kommen" und "Gehen" buchen können.
Die "serverseitige" Komponente läuft hier in einer Windows 2019 Standard-VM.
Der Zugriff aus dem Internet soll verschlüsselt über einen noch festzulegenden Port erfolgen.
Nun möchte ich ungerne einfach den Port in der FW öffnen und auf den Server forwarden. Kann ich für so etwas z.B. Squid als Reverse Proxy verwenden?
Mein Gedanke war, Squid als fertige Appliance (z.B. Artica) auf dem Hyper-V Host zu installieren.
Auf dem Hyper-V Blech habe ich noch 2 ungenutze NICs. Da könnte ich doch einen Adapter mit dem DMZ-Port des Routers verbinden,
den ausschließlich für die Squid-VM als "externen" Port nutzen und nach intern auf den VirtualSwitch des Hyper-V setzen?
Ist das so machbar und auch sicherheitstechnisch o.k. oder gibt es da bessere Alternativen? Ich bin da blutiger Anfänger.
Vorab vielen Dank und ein schönes Wochenende.
Gruß Arno
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 452734
Url: https://administrator.de/contentid/452734
Ausgedruckt am: 24.11.2024 um 13:11 Uhr
17 Kommentare
Neuester Kommentar
Nun möchte ich ungerne einfach den Port in der FW öffnen
Wie willst du denn sonst generell Traffic von außen nach innen forwarden ? Wenn du kein VPN auf der FW nutzt ist das anders ja gar nicht möglich.In deinem Konzept must du so oder so immer ein Loch in die Firewall bohren um Traffic von außen zuzulassen. Letztlich bedeutet das immer ein wie auch immer gewichtetest Risiko. Je nach geltender Security Policy.
Hallo,
Also auch vom Flughafen Mosambik aus sagen ich bin da.
Eine VM ist nur Software und kann (muss nicht im moment sein) Sicherheitslücken aufweisen. Wenn jemand diese VM missbraucht und er daraufhin auf das darunterliegende OS kommt, steht der Böse im Büro drin. Dahre sagen wir, in einer VM keinerlei Sicheheitsrelevante Produkte betreiben. Ein Reverse-Proxy, kann wie bei dir, als Sicherheitsrelevantes teilchen bei euch gesehen werden.
Gruß,
Peter
Also auch vom Flughafen Mosambik aus sagen ich bin da.
Nun möchte ich ungerne einfach den Port in der FW öffnen und auf den Server forwarden. Kann ich für so etwas z.B. Squid als Reverse Proxy verwenden?
Wenn diene App da mitspielt - ja.Ist das so machbar und auch sicherheitstechnisch o.k.
Ja und Nein.Eine VM ist nur Software und kann (muss nicht im moment sein) Sicherheitslücken aufweisen. Wenn jemand diese VM missbraucht und er daraufhin auf das darunterliegende OS kommt, steht der Böse im Büro drin. Dahre sagen wir, in einer VM keinerlei Sicheheitsrelevante Produkte betreiben. Ein Reverse-Proxy, kann wie bei dir, als Sicherheitsrelevantes teilchen bei euch gesehen werden.
Gruß,
Peter
Zitat von @NixVerstehen:
Servus zusammen,
endlich Freitag und ich darf wieder meine Anfängerfragen stellen
Servus zusammen,
endlich Freitag und ich darf wieder meine Anfängerfragen stellen
Die darfst Du auch an jedem anderen Tag stellen. Nicht jede Frage am Freitag qualifiziert sich auch als eine Freitagsfrage, die den Namen verdient.
Ich bereite gerade einen Testaufbau für ein Zeiterfassungssystem vor. Mitarbeiter sollen per App "Kommen" und "Gehen" buchen können.
Die "serverseitige" Komponente läuft hier in einer Windows 2019 Standard-VM.
Die "serverseitige" Komponente läuft hier in einer Windows 2019 Standard-VM.
Soweit noch keine Besonderheiten.
Der Zugriff aus dem Internet soll verschlüsselt über einen noch festzulegenden Port erfolgen.
Mit welchem Protokoll?
Nun möchte ich ungerne einfach den Port in der FW öffnen und auf den Server forwarden.
Ganz dumme Idee!1eins!1ellf!11!!
Kann ich für so etwas z.B. Squid als Reverse Proxy verwenden?
Im Prinzip ja, kommt aber auf das Protokoll an, das verwendet werden soll.
Mein Gedanke war, Squid als fertige Appliance (z.B. Artica) auf dem Hyper-V Host zu installieren.
Warum nicht lieber ein VPN. IP-SEC-clients gibt es wie Sand am Meer.
Auf dem Hyper-V Blech habe ich noch 2 ungenutze NICs. Da könnte ich doch einen Adapter mit dem DMZ-Port des Routers verbinden,
Viel dümmere Idee! Dein Server hat dann zwei Beinchen (DMZ und LAN) und der "pöhse Pursche" freut sich, daß er keine Firewall im Weg hat.
den ausschließlich für die Squid-VM als "externen" Port nutzen und nach intern auf den VirtualSwitch des Hyper-V setzen?
Du solltest das alles nochmal überdenken!
Ist das so machbar und auch sicherheitstechnisch o.k. oder gibt es da bessere Alternativen?
Machbar? Ja.
Sicherheitstechnisch o.k? Wart einen Moment, Ich such gerade mein Cat9 um Dir die Antwort darauf zu geben.
Ich bin da blutiger Anfänger.
Merkt man.
Also:
VPN einrichten und nur über VPN Zugriff gewähren.
Alternativ einen squid-proxy in die DMZ stellen (z.B. Raspberry pi) der dann über die Firewall hinweg dann an den Server geht.
Ansonsten: Hol Dir jemanden zur Unterstützung, der etwas davon versteht.
Vorab vielen Dank und ein schönes Wochenende.
Dir auch ein schönes Wochenende.
lks
Zitat von @aqui:
In deinem Konzept must du so oder so immer ein Loch in die Firewall bohren um Traffic von außen zuzulassen. Letztlich bedeutet das immer ein wie auch immer gewichtetest Risiko. Je nach geltender Security Policy.
Nun möchte ich ungerne einfach den Port in der FW öffnen
Wie willst du denn sonst generell Traffic von außen nach innen forwarden ? Wenn du kein VPN auf der FW nutzt ist das anders ja gar nicht möglich.In deinem Konzept must du so oder so immer ein Loch in die Firewall bohren um Traffic von außen zuzulassen. Letztlich bedeutet das immer ein wie auch immer gewichtetest Risiko. Je nach geltender Security Policy.
@aqui
Ok, ich hab es unzureichend formuliert. Das ich einen Port öffnen und durchreichen muss, ist klar. Ich meinte damit, das ich den Port nicht öffnen und direkt ins Innerste durchreichen möchte, ohne noch eine Sicherheitskomponente dazwischen zu haben.
Gruß NV
@peter
Also besser etwas auf Blech?
Gruß Arno
Also auch vom Flughafen Mosambik aus sagen ich bin da.
Wäre aus Arbeitnehmersicht sicher toll, aber die App soll mit dem nächsten Update Geofencing unterstützen.Eine VM ist nur Software und kann (muss nicht im moment sein) Sicherheitslücken aufweisen. Wenn jemand diese VM missbraucht und er daraufhin auf das darunterliegende OS kommt, steht der Böse im Büro drin. Dahre sagen wir, in einer VM keinerlei Sicheheitsrelevante Produkte betreiben. Ein Reverse-Proxy, kann wie bei dir, als Sicherheitsrelevantes teilchen bei euch gesehen werden.
Also besser etwas auf Blech?
Gruß,
Peter
Peter
Gruß Arno
Nun möchte ich ungerne einfach den Port in der FW öffnen und auf den Server forwarden. Kann ich für so etwas z.B. Squid als Reverse Proxy verwenden?
Ja, das geht. Das kannst du aber mit einem Apache2 oder Nginx auch machen. Du forwardest den Port zum Reverse Proxy. Der RP ist aber kein Allheilmittel. Zwar bietet er dir einen gewissen Schutz, aber bei Manipulationen, die sich per URL-Aufruf durchführen lassen kann er natürlich nicht helfen.Zwar habe ich selbst noch keinen Ausbruch aus einer VM erlebt, aber ich würde es nicht für unmöglich halten. Darum lieber einen extra Server. Je nach Zugriffsquantität reicht ein kleiner Server oft schon aus.
@lks
Wenigstens da liege ich richtig
Alles Kraftfahrer und die meisten schaffen es gerade, ein Bild an eine Mail anzuhängen.
Auch gerade nochmal darüber nachgedacht und das Block-Schema des Routers genauer angeschaut. Da lege ich eine Umgehungsstraße
um die FW herum. Also in die Tonne mit der Idee.
Siehe ein Absatz drüber
Na ja, jeder fängt mal klein an. Aber ich bemühe mich wirklich und habe viel dazu gelernt in den letzten Jahren.
(Datev) übergeben und daß muss 100%ig passen. Hier geht es noch um nichts im Produktiveinsatz, sondern erstmal
um verschiedene Produkte zu testen.
Gruß NV
Die darfst Du auch an jedem anderen Tag stellen. Nicht jede Frage am Freitag qualifiziert sich auch als eine Freitagsfrage, die den Namen verdient.
Danke sehr, aber Freitags gibt es weniger Anfänger-"Prügel" Mit welchem Protokoll?
Laut Beschreibung https auf abweichend 50141 defaultNun möchte ich ungerne einfach den Port in der FW öffnen und auf den Server forwarden.
Ganz dumme Idee!1eins!1ellf!11!!Warum nicht lieber ein VPN. IP-SEC-clients gibt es wie Sand am Meer.
Vermutlich sehr zeitaufwändig, das Ganze auf Smartphones von ca. 50 Mitarbeitern zu installieren?Alles Kraftfahrer und die meisten schaffen es gerade, ein Bild an eine Mail anzuhängen.
Auf dem Hyper-V Blech habe ich noch 2 ungenutze NICs. Da könnte ich doch einen Adapter mit dem DMZ-Port des Routers verbinden,
Viel dümmere Idee! Dein Server hat dann zwei Beinchen (DMZ und LAN) und der "pöhse Pursche" freut sich, daß er keine Firewall im Weg hat.um die FW herum. Also in die Tonne mit der Idee.
den ausschließlich für die Squid-VM als "externen" Port nutzen und nach intern auf den VirtualSwitch des Hyper-V setzen?
Du solltest das alles nochmal überdenken!Ich bin da blutiger Anfänger.
Merkt man.Alternativ einen squid-proxy in die DMZ stellen (z.B. Raspberry pi) der dann über die Firewall hinweg dann an den Server geht.
Oder ein Intel NUC?Ansonsten: Hol Dir jemanden zur Unterstützung, der etwas davon versteht.
Das würde ich dann sowieso mit einem Dienstleister machen. Die Zeiterfassung soll die Daten direkt an unsere Lohnabrechnung(Datev) übergeben und daß muss 100%ig passen. Hier geht es noch um nichts im Produktiveinsatz, sondern erstmal
um verschiedene Produkte zu testen.
Gruß NV
Hallo,
Gruß,
Peter
Zitat von @NixVerstehen:
Vermutlich sehr zeitaufwändig, das Ganze auf Smartphones von ca. 50 Mitarbeitern zu installieren?
iPhones können das von Haus aus. Ein MDM und du wirst glücklich.Vermutlich sehr zeitaufwändig, das Ganze auf Smartphones von ca. 50 Mitarbeitern zu installieren?
Alles Kraftfahrer und die meisten schaffen es gerade, ein Bild an eine Mail anzuhängen.
Und um Kosten zu Sparen nutzt ihr lieber das Eigentum von euren Mitarbeitern oder sind das Betreibeigene Smartphones? Was wenn ein Mitrabeiter es euch nicht gestattet sein Smartphone dafür zu nutzen oder sich weigert die App wieder zu Deinstallieren usw. BJOD hat auch seinen Schattenseiten. Und da die meisten Kraftfahrer heutzutage keine Hilfsarbeiter mit Führerschein mehr sind sondern Berufskraftfahrer... können die meisten sehr wohl mehr als ein Bild an eine Mail anhängen Gruß,
Peter
Vermutlich sehr zeitaufwändig, das Ganze auf Smartphones von ca. 50 Mitarbeitern zu installieren?
iPhones können das von Haus aus. Ein MDM und du wirst glücklich.Alles Kraftfahrer und die meisten schaffen es gerade, ein Bild an eine Mail anzuhängen.
Und um Kosten zu Sparen nutzt ihr lieber das Eigentum von euren Mitarbeitern oder sind das Betreibeigene Smartphones? Was wenn ein Mitrabeiter es euch nicht gestattet sein Smartphone dafür zu nutzen oder sich weigert die App wieder zu Deinstallieren usw. BJOD hat auch seinen Schattenseiten. Und da die meisten Kraftfahrer heutzutage keine Hilfsarbeiter mit Führerschein mehr sind sondern Berufskraftfahrer... können die meisten sehr wohl mehr als ein Bild an eine Mail anhängen Aber es ist eben aus Kostengründen kein IPhone. Die Kraftfahrer heute sind, zumindest bei uns, sehr gut qualifizierte Facharbeiter, die zu 99%
einen super Job machen. Lkw-Fahrer waren noch nie Hilfsarbeiter. Aber IT gehört nicht zu deren Aufgaben, damit möchte ich keinen unserer Mitarbeiter zusätzlich belasten. Deshalb soll es ja so einach wie möglich gestaltet sein, z.B. App öffnen, QR-Code scannen und fertisch ist der Zugang.
Gruß,
Peter
Peter
Gruß Arno
Hallo,
Gruß,
Peter
Zitat von @NixVerstehen:
Ist vorhanden (Vodafone/Airwatch). Aber eben nur mit Samsung Mittelklasse-Smartphones.
OKIst vorhanden (Vodafone/Airwatch). Aber eben nur mit Samsung Mittelklasse-Smartphones.
Ich hatte mit keiner Silbe erwähnt, das wir private Smartphones nutzen.
OK. danngibt es auch keine Probleme, und wenn euer MDM nur Samsung kann, dann ist es so. Also nur keine andrene kaufenLkw-Fahrer waren noch nie Hilfsarbeiter.
Auch schon als es den Beruf Berufskraftfahrer gab, war jeder der ein LKW (auch Gefahrstoffe Transportierte) fuhr und nicht explicit vom Arbeitgeber als Berufskraftfahrer eingestellt war, als Hilfsarbeiter mit Führeschein in der Rentenkasse geführt. War einfach so. Ich hab auch 9 Jahre im GüterKraftVerkehr verbracht und halb Europa gesehen und Orte gesucht (gab noch keine Navigationssysteme oder gar Smartphones. Bin fast nur Motorwagen und Anhänger gefahren weil da der Kaffee beim Fahren nicht von selbst aus dem Kaffeebecher sprang je nach Beladung. Also das man heute sogar UPS-Fahrer antrifft die ein IT Studium haben - keine Seltenheit - aber nicht deren Job für den die eingestellt sind.Gruß,
Peter
@peter
Off Topic, aber muss sein : In Bezug auf die Rentenkasse muss ich dir hier leider recht geben. Deshalb ist bei uns auch Unternehmenskultur, das dieser Beruf die Wertschätzung erfährt, die er verdient. Das sind Fachleute auf Ihrem Gebiet, sei es in Bezug auf ökomisches und sicheres Fahren,
Ladungssicherung, ADR-Vorschriften, Luftsicherheitsgesetzgebung, Fahrzeugtechnik etc., etc.
Auch ich hab bei uns vor 30 Jahren als Fahrer angefangen (erst 7,49-Tonner, dann Wechselbrückenzug), dann Disponent und seit 10 Jahren hab ich Einzelprokura für zwei Unternehmen mit gesamt ca. 65 Mitarbeitern.
Gruß
Arno
Lkw-Fahrer waren noch nie Hilfsarbeiter.
Auch schon als es den Beruf Berufskraftfahrer gab, war jeder der ein LKW (auch Gefahrstoffe Transportierte) fuhr und nicht explicit vom Arbeitgeber als Berufskraftfahrer eingestellt war, als Hilfsarbeiter mit Führeschein in der Rentenkasse geführt. War einfach so. Ich hab auch 9 Jahre im GüterKraftVerkehr verbracht und halb Europa gesehen und Orte gesucht (gab noch keine Navigationssysteme oder gar Smartphones. Bin fast nur Motorwagen und Anhänger gefahren weil da der Kaffee beim Fahren nicht von selbst aus dem Kaffeebecher sprang je nach Beladung. Also das man heute sogar UPS-Fahrer antrifft die ein IT Studium haben - keine Seltenheit - aber nicht deren Job für den die eingestellt sind.Off Topic, aber muss sein
: In Bezug auf die Rentenkasse muss ich dir hier leider recht geben. Deshalb ist bei uns auch Unternehmenskultur, das dieser Beruf die Wertschätzung erfährt, die er verdient. Das sind Fachleute auf Ihrem Gebiet, sei es in Bezug auf ökomisches und sicheres Fahren,Ladungssicherung, ADR-Vorschriften, Luftsicherheitsgesetzgebung, Fahrzeugtechnik etc., etc.
Auch ich hab bei uns vor 30 Jahren als Fahrer angefangen (erst 7,49-Tonner, dann Wechselbrückenzug), dann Disponent und seit 10 Jahren hab ich Einzelprokura für zwei Unternehmen mit gesamt ca. 65 Mitarbeitern.
Gruß,
Peter
Peter
Gruß
Arno
Moin,
ganz ehrlich - ich seh das ganze da etwas entspannter:
a) Ob ich jetzt nen Reverse-Proxy nehme ODER ob ich direkt auf den Apache verweise ist erst mal egal. Solang es sich um eine simple Anwendung handelt macht der Proxy eh nix als 1:1 weiterleiten. Der Reverse-Proxy wäre m.E. eher dann Sinnvoll wenn ich eben hinter der Firewall diverse Server oder Webapps betreiben will damit ich nich x Löcher bohren muss und ich dann darüber filtern kann...
b) Die Sicherheit hängt davon ab was meine Webseite davon macht... Wenn ich erst mal nur Port 80 einkommend erlaube und da eben nur der Apache drauf hört dann ist das schon mal nicht schlecht. Klar kann ich auch morgen das Pech haben und es taucht eine Lücke im Apache auf die es erlaubt Scripts auszuführen. Das kann aber im Reverse-Proxy genauso passieren.
c) Ob jetzt VM oder Blech: Eine VM ist kein Hexenwerk, kann keine Magie, ... -> nix. Wenn ich an den Hypervisor von aussen rankomme hab ich ein Problem - stimmt. Wenn ich beim Blech Zugriff aufs OS bekomme hab ich das aber auch. Solang meine Firewall aber von aussen sagt das nix rein darf ausser eben auf Port 80 und der genau auf den Apache zeigt -> solang komm ich weder ans OS noch an den Hypervisor. Auch hier würde gelten das ich ERST via Apache auf die Maschine muss, von dort kann ich dann weiter. Beim Blech bin ich jetzt also direkt aufm Server, bei der VM kann ich auf den HV gehen. Da ich bereits ne Maschine im Netz habe macht das auch keinen Unterschied mehr. Von hier aus würde man für gewöhnlich eh an andere Server direkt gehen wollen &/ die Maschine einfach direkt nutzen.
Klar - es gibt sicher auch lustige Angriffe bei denen man dann im HV noch Pakete einschleusen will die dann bereits auf dessen Ebene Tunnel aufbauen (da der nicht so einfach zu prüfen ist wie ne VM). ABER: Das sind dann schon sehr zielgerichtete Angriffe und nicht der 99%-08/15-Schrott. Hier würde man auch idR. nicht über irgendwelche Ports gehen sondern erst mal die Umgebung ansehen. Entweder eben übers Office (der USB-Stick aufm Parkplatz - grad bei nem Logistik-Unternehmen einfach da die den mit Sicherheit reinpacken und schauen ob die rausfinden können wen der gehört), über das Telefon eines Fahrers (schön wenn das dann direkt schon im VPN ist...) oder ähnliches. Nur: Will ich das beim Logistiker? Wenn es nicht grad der ist der fürs Millitär die Raketen transportiert, für die Polizei die beschlagnahmten Drogen fährt o.ä. -> ist es den Aufwand wirklich wert?
Zum Schluss: Die Sicherheit hängt idR. nicht davon ab ob eine VM oder ein Blech. Beim (richtigen) Server habe ich genauso gute Angriffspunkte (iLO/iDrac z.B.) über die ich dann was machen könnte. Die Sicherheit hängt auch nicht davon ab ob ich nen Reverse-Proxy nehme oder ob ich direkt auf einen Apache gehe (dafür ist der Apache weltweit zu oft im Einsatz als das dort grobe ausnutzbare Sicherheitslücken lange unbekannt bleiben). Die Sicherheit hängt hier primär davon ab wie die Applikation gebaut ist und wie die Umgebung ist. Zumindest meiner Meinung nach bringt es nix überall zu versuchen die Sicherheit zu maximieren wenn der Rest nicht passt.. Und ich kenne einfach zu viele Umgebungen in denen ne Firewall hingestellt wird "weils sicher ist", das Protokoll aber nie geprüft wird ob wirklich was vorgelegen hat. Ich kenne ebenso zu viele Web-Apps die so grottig programmiert sind das die gleich mal alles ausliefern ohne .überhaupt nur nach nem Benutzernamen zu fragen oder die Zugangsdaten direkt mit in den Code legen,...
ganz ehrlich - ich seh das ganze da etwas entspannter:
a) Ob ich jetzt nen Reverse-Proxy nehme ODER ob ich direkt auf den Apache verweise ist erst mal egal. Solang es sich um eine simple Anwendung handelt macht der Proxy eh nix als 1:1 weiterleiten. Der Reverse-Proxy wäre m.E. eher dann Sinnvoll wenn ich eben hinter der Firewall diverse Server oder Webapps betreiben will damit ich nich x Löcher bohren muss und ich dann darüber filtern kann...
b) Die Sicherheit hängt davon ab was meine Webseite davon macht... Wenn ich erst mal nur Port 80 einkommend erlaube und da eben nur der Apache drauf hört dann ist das schon mal nicht schlecht. Klar kann ich auch morgen das Pech haben und es taucht eine Lücke im Apache auf die es erlaubt Scripts auszuführen. Das kann aber im Reverse-Proxy genauso passieren.
c) Ob jetzt VM oder Blech: Eine VM ist kein Hexenwerk, kann keine Magie, ... -> nix. Wenn ich an den Hypervisor von aussen rankomme hab ich ein Problem - stimmt. Wenn ich beim Blech Zugriff aufs OS bekomme hab ich das aber auch. Solang meine Firewall aber von aussen sagt das nix rein darf ausser eben auf Port 80 und der genau auf den Apache zeigt -> solang komm ich weder ans OS noch an den Hypervisor. Auch hier würde gelten das ich ERST via Apache auf die Maschine muss, von dort kann ich dann weiter. Beim Blech bin ich jetzt also direkt aufm Server, bei der VM kann ich auf den HV gehen. Da ich bereits ne Maschine im Netz habe macht das auch keinen Unterschied mehr. Von hier aus würde man für gewöhnlich eh an andere Server direkt gehen wollen &/ die Maschine einfach direkt nutzen.
Klar - es gibt sicher auch lustige Angriffe bei denen man dann im HV noch Pakete einschleusen will die dann bereits auf dessen Ebene Tunnel aufbauen (da der nicht so einfach zu prüfen ist wie ne VM). ABER: Das sind dann schon sehr zielgerichtete Angriffe und nicht der 99%-08/15-Schrott. Hier würde man auch idR. nicht über irgendwelche Ports gehen sondern erst mal die Umgebung ansehen. Entweder eben übers Office (der USB-Stick aufm Parkplatz - grad bei nem Logistik-Unternehmen einfach da die den mit Sicherheit reinpacken und schauen ob die rausfinden können wen der gehört), über das Telefon eines Fahrers (schön wenn das dann direkt schon im VPN ist...) oder ähnliches. Nur: Will ich das beim Logistiker? Wenn es nicht grad der ist der fürs Millitär die Raketen transportiert, für die Polizei die beschlagnahmten Drogen fährt o.ä. -> ist es den Aufwand wirklich wert?
Zum Schluss: Die Sicherheit hängt idR. nicht davon ab ob eine VM oder ein Blech. Beim (richtigen) Server habe ich genauso gute Angriffspunkte (iLO/iDrac z.B.) über die ich dann was machen könnte. Die Sicherheit hängt auch nicht davon ab ob ich nen Reverse-Proxy nehme oder ob ich direkt auf einen Apache gehe (dafür ist der Apache weltweit zu oft im Einsatz als das dort grobe ausnutzbare Sicherheitslücken lange unbekannt bleiben). Die Sicherheit hängt hier primär davon ab wie die Applikation gebaut ist und wie die Umgebung ist. Zumindest meiner Meinung nach bringt es nix überall zu versuchen die Sicherheit zu maximieren wenn der Rest nicht passt.. Und ich kenne einfach zu viele Umgebungen in denen ne Firewall hingestellt wird "weils sicher ist", das Protokoll aber nie geprüft wird ob wirklich was vorgelegen hat. Ich kenne ebenso zu viele Web-Apps die so grottig programmiert sind das die gleich mal alles ausliefern ohne .überhaupt nur nach nem Benutzernamen zu fragen oder die Zugangsdaten direkt mit in den Code legen,...
Moin,
Gruß,
Dani
a) Ob ich jetzt nen Reverse-Proxy nehme ODER ob ich direkt auf den Apache verweise ist erst mal egal. Solang es sich um eine simple Anwendung handelt macht der Proxy eh nix als 1:1 weiterleiten. Der Reverse-Proxy wäre m.E. eher dann Sinnvoll wenn ich eben hinter der Firewall diverse Server oder Webapps betreiben will damit ich nich x Löcher bohren muss und ich dann darüber filtern kann...
Mit einem RP endet die Verbindung aus dem Internet immer an diesem - nie am eigentlichen Server. Werden kleinere Angriffe von außen gestartet, so wird der RP in Mitleidenschaft gezogen. Der Server bzw. Anwendung selbst ist im LAN wieterhin nutzbar. Genauso kannst du mit RP steuern, welche Dateien oder Ordner vom Internet aus erreichbar sein soll. Damit lassn sich granular Zugriffe regeln.b) Die Sicherheit hängt davon ab was meine Webseite davon macht... Wenn ich erst mal nur Port 80 einkommend erlaube und da eben nur der Apache drauf hört dann ist das schon mal nicht schlecht. Klar kann ich auch morgen das Pech haben und es taucht eine Lücke im Apache auf die es erlaubt Scripts auszuführen. Das kann aber im Reverse-Proxy genauso passieren.
Die Wahl des Webservers ist natürlich elementar, gerade was die Standardmodule & Co angeht, biete entsprechend Angriffsfläche. Ein Modul das nicht aktiviert oder da ist, kann auch kein angegriffen werden. Der Webserver ist nur ein Teil eines ganzes Puzzles. Die Konfiguration des Webservers ist noch wichtiger - SSL Zertifikate, SSL Protokoll, Cihper Suites (Order), Allow/Deny Paths, etc...Gruß,
Dani
1
@maretz
@Dani
Guten Morgen,
vielen Dank für eure ausführlichen Beiträge. Da hab ich hoffentlich wieder einiges dazu gelernt.
Also wäre es vermutlich besser, in die DMZ einen kleinen Server auf Blech zu setzen und hier den Port für den App-Zugriff auf die Zeiterfassung (https 50141) von der öffentlichen IP in die DMZ auf den Apache durchzureichen. Alle anderen Ports werden dann durch eine Firewallregel eingehend in die DMZ geblockt.
Der Zugriff aus dem LAN auf den Server in der DMZ wird dann durch eine ausgehende Firewallregel dahin gehend beschränkt, das nur
die benötigten Ports (und ggf. nur bestimmte VLANs oder Adressen) ausgehend aus dem LAN zum Server in der DMZ geöffnet werden und von der DMZ Richtung LAN alles per "Deny all" geblockt wird.
Ich setze derzeit einen Lancom-Router ein. Wenn ich das Schema von Lancom (Schema) richtig verstehe, dann sitzt die DMZ hinter der Firewall und ist laut Beschreibung auf der LAN-Bridge isoliert von den restlichen LAN-Ports. Das heißt doch, das jeglicher Verkehr von extern in die DMZ durch die FW muss und auch jeglicher Verkehr aus dem LAN in die DMZ ebenfalls nur durch die FW kann?
Etwas abweichend vom Thema noch die Frage, ob ich anstatt eines Windows-Servers auch eine Windows 10-Maschine verwenden kann? Der
Hersteller der Zeiterfassung gibt das technisch frei. Der Hintergrund sind bei Verwendung eines Servers die ggf. notwendigen User-CALs für ca. 50 Leute, die per Smartphone ihre Zeitbuchungen aufliefern. Oder habe ich bei Windows 10 lizenztechnisch auch Fallstricke in dieser Richtung?
Vorab vielen Dank und einen schönen Sonntag
Gruß Arno
@Dani
Guten Morgen,
vielen Dank für eure ausführlichen Beiträge. Da hab ich hoffentlich wieder einiges dazu gelernt.
Also wäre es vermutlich besser, in die DMZ einen kleinen Server auf Blech zu setzen und hier den Port für den App-Zugriff auf die Zeiterfassung (https 50141) von der öffentlichen IP in die DMZ auf den Apache durchzureichen. Alle anderen Ports werden dann durch eine Firewallregel eingehend in die DMZ geblockt.
Der Zugriff aus dem LAN auf den Server in der DMZ wird dann durch eine ausgehende Firewallregel dahin gehend beschränkt, das nur
die benötigten Ports (und ggf. nur bestimmte VLANs oder Adressen) ausgehend aus dem LAN zum Server in der DMZ geöffnet werden und von der DMZ Richtung LAN alles per "Deny all" geblockt wird.
Ich setze derzeit einen Lancom-Router ein. Wenn ich das Schema von Lancom (Schema) richtig verstehe, dann sitzt die DMZ hinter der Firewall und ist laut Beschreibung auf der LAN-Bridge isoliert von den restlichen LAN-Ports. Das heißt doch, das jeglicher Verkehr von extern in die DMZ durch die FW muss und auch jeglicher Verkehr aus dem LAN in die DMZ ebenfalls nur durch die FW kann?
Etwas abweichend vom Thema noch die Frage, ob ich anstatt eines Windows-Servers auch eine Windows 10-Maschine verwenden kann? Der
Hersteller der Zeiterfassung gibt das technisch frei. Der Hintergrund sind bei Verwendung eines Servers die ggf. notwendigen User-CALs für ca. 50 Leute, die per Smartphone ihre Zeitbuchungen aufliefern. Oder habe ich bei Windows 10 lizenztechnisch auch Fallstricke in dieser Richtung?
Vorab vielen Dank und einen schönen Sonntag
Gruß Arno
Hallo,
LANCOM hat kein eigenes Scxhema. Eine richtige DMZ hat 2 Firewalls, davor und dahinter. https://www.security-insider.de/was-ist-eine-dmz-demilitarized-zone-a-67 ... . Eine Fritte hat nur eine Firewall und nennt es daher Exposed Host https://avm.de/service/fritzbox/fritzbox-7590/wissensdatenbank/publicati ...
Gruß,
Peter
LANCOM hat kein eigenes Scxhema. Eine richtige DMZ hat 2 Firewalls, davor und dahinter. https://www.security-insider.de/was-ist-eine-dmz-demilitarized-zone-a-67 ... . Eine Fritte hat nur eine Firewall und nennt es daher Exposed Host https://avm.de/service/fritzbox/fritzbox-7590/wissensdatenbank/publicati ...
Gruß,
Peter
@peter
Servus,
das ist mir bekannt. Bitte klicke aber mal auf den Link hier und schaue dir ganz unten die Anmerkung an.
Erzählt der Hersteller Unsinn oder reicht Lancom eine Firewall?
Gruß Arno
Servus,
das ist mir bekannt. Bitte klicke aber mal auf den Link hier und schaue dir ganz unten die Anmerkung an.
Erzählt der Hersteller Unsinn oder reicht Lancom eine Firewall?
Gruß Arno
Hallo,
Eine richtige DMZ mit nur einer Firewall ist eben nicht möglich, wird aber gerne gemacht. AVM sagt es konkret, das ist dann keine DMZ sondern nur ein Exposed Host. Ein Buchhalter sieht nur das er eine Firewall spart, also billiger ist. Das gamit ein ganzes Konzept hinfällig sit, das sieht der Buchhalter eben nicht Er weiss es ja noch nicht mal. Und auch LANCOM weiß es besser, aber dessen Kunden wollen es einfach haben, sonst kauft keiner deren Produkte. Weil auch ne Fritte macht es so. Und auch der Hinweis von LANCOM ist eher Marketing geraffel.
https://de.wikipedia.org/wiki/Demilitarisierte_Zone_(Informatik)
Du musst dich entscheiden. Preiswert oder Sicher. 1 Firewall oder 2 Firewalls, Richtig oder fast richtig. Wie genau jetzt eine DMZ je nach Hersteller und Produkt geartet ist, schuld hat niemals der Hersteller. Auch eine Sophos XG kennt eine DMZ, aber ich kann nirgends finden ob da eine Firewall oder gar 2 Firewalls genutzt werden.
Gruß,
Peter
Eine richtige DMZ mit nur einer Firewall ist eben nicht möglich, wird aber gerne gemacht. AVM sagt es konkret, das ist dann keine DMZ sondern nur ein Exposed Host. Ein Buchhalter sieht nur das er eine Firewall spart, also billiger ist. Das gamit ein ganzes Konzept hinfällig sit, das sieht der Buchhalter eben nicht Er weiss es ja noch nicht mal. Und auch LANCOM weiß es besser, aber dessen Kunden wollen es einfach haben, sonst kauft keiner deren Produkte. Weil auch ne Fritte macht es so. Und auch der Hinweis von LANCOM ist eher Marketing geraffel.
https://de.wikipedia.org/wiki/Demilitarisierte_Zone_(Informatik)
Du musst dich entscheiden. Preiswert oder Sicher. 1 Firewall oder 2 Firewalls, Richtig oder fast richtig. Wie genau jetzt eine DMZ je nach Hersteller und Produkt geartet ist, schuld hat niemals der Hersteller. Auch eine Sophos XG kennt eine DMZ, aber ich kann nirgends finden ob da eine Firewall oder gar 2 Firewalls genutzt werden.
Gruß,
Peter
