Sicherheitsfragen beim Einrichten eines Kundenbereichs auf einer Website
Hallo Leute!
Hier der Fall:
Ein Dienstleister möchte auf seiner Website seinem überschaubaren Kundenkreis einen Kundenbereich anbieten. Da er nur wenig Geld ausgeben möchte, entscheidet er sich für das Produkt Novaxel, ein Ablagesystem auf Firebirdbasis.
Das französische Produkt ist zwar in Deutschland weniger bekannt, aber bei der Installation tun sich eine Reihe von Sicherheitsfragen auf, die mehr grundsätzlicher Natur sind und nur noch am Rand mit dem Produkt selbst zu tun haben. Deswegen wende ich mich an Euch.
Das Ablagesystem soll 1. im firmeninternen LAN verwendet werden, und 2. sollen auch Kunden Lese- und Schreibzugriff haben, also Dateien abholen, verändern und hineinstellen dürfen.
So weit, so gut.
Novaxel hält alle Daten, - seien es Ablageattribute oder die abgelegten Dateien selbst -, in einer einzigen Firebird-Datenbank. Diese wird im LAN angelegt, und dort läuft das System auch zur Zufriedenheit aller.
Die Webkomponente NovaWeb soll auf dem hauseigenen Webserver installiert werden. Bei deren Installation wird jedoch der explizite UNC-Pfad zu der LAN-Installation verlangt, der in einer ini-Datei abgelegt wird. Damit müssen sich also Webserver und LAN sehen können. (Das gleiche Spiel gilt übrigens auch für die Installation der Clients im LAN: Sie müssen den Rechner mit der Datenbank explizit sehen können.)
Nachfrage beim Support ob dieser bedenklichen Voraussetzung mündete in der Bemerkung: Na ja, man könne das ja durch eine doppelte DMZ absichern. Mein Kommentar zu dieser Empfehlung: ;)
Als nächstes wollte ich sehen, wie es um die Zusicherung steht, das Produkt könne den Datenaustausch SSL-verschlüsselt durchführen. Also wird dem Apache-Server beigebracht, dass er auf Port 443 horchen soll und welche Komponente er starten soll (- für Novaxel übrigens eine Flashkomponente -). Port 3050 für Firebird und Port 443 werden auf dem Router freigeschaltet. Steuert man die Adresse an, wird nach dem Akzeptieren des Serverzertifikats auch brav die Flashkomponente aufgerufen, - aber sodann wird die Fehlermeldung herausgegeben, eine Verbindung zum Server ließe sich nicht herstellen. Schaltet man jedoch den Port 80 auf dem Router frei und lässt Apache auf diesem Port lauschen (ohne weitere Konfigurationsangaben zum Port 80 in der httpd.conf), dann klappt's. Was genau über den Port 80 ausgetauscht wird, habe ich mir über einen Portsniffer noch nicht angesehen.
Für mich stellt sich die Frage: Lässt sich der Zugriff aus dem Web unter den genannten Bedingungen überhaupt sicher gestalten?
MacBest
Hier der Fall:
Ein Dienstleister möchte auf seiner Website seinem überschaubaren Kundenkreis einen Kundenbereich anbieten. Da er nur wenig Geld ausgeben möchte, entscheidet er sich für das Produkt Novaxel, ein Ablagesystem auf Firebirdbasis.
Das französische Produkt ist zwar in Deutschland weniger bekannt, aber bei der Installation tun sich eine Reihe von Sicherheitsfragen auf, die mehr grundsätzlicher Natur sind und nur noch am Rand mit dem Produkt selbst zu tun haben. Deswegen wende ich mich an Euch.
Das Ablagesystem soll 1. im firmeninternen LAN verwendet werden, und 2. sollen auch Kunden Lese- und Schreibzugriff haben, also Dateien abholen, verändern und hineinstellen dürfen.
So weit, so gut.
Novaxel hält alle Daten, - seien es Ablageattribute oder die abgelegten Dateien selbst -, in einer einzigen Firebird-Datenbank. Diese wird im LAN angelegt, und dort läuft das System auch zur Zufriedenheit aller.
Die Webkomponente NovaWeb soll auf dem hauseigenen Webserver installiert werden. Bei deren Installation wird jedoch der explizite UNC-Pfad zu der LAN-Installation verlangt, der in einer ini-Datei abgelegt wird. Damit müssen sich also Webserver und LAN sehen können. (Das gleiche Spiel gilt übrigens auch für die Installation der Clients im LAN: Sie müssen den Rechner mit der Datenbank explizit sehen können.)
Nachfrage beim Support ob dieser bedenklichen Voraussetzung mündete in der Bemerkung: Na ja, man könne das ja durch eine doppelte DMZ absichern. Mein Kommentar zu dieser Empfehlung: ;)
Als nächstes wollte ich sehen, wie es um die Zusicherung steht, das Produkt könne den Datenaustausch SSL-verschlüsselt durchführen. Also wird dem Apache-Server beigebracht, dass er auf Port 443 horchen soll und welche Komponente er starten soll (- für Novaxel übrigens eine Flashkomponente -). Port 3050 für Firebird und Port 443 werden auf dem Router freigeschaltet. Steuert man die Adresse an, wird nach dem Akzeptieren des Serverzertifikats auch brav die Flashkomponente aufgerufen, - aber sodann wird die Fehlermeldung herausgegeben, eine Verbindung zum Server ließe sich nicht herstellen. Schaltet man jedoch den Port 80 auf dem Router frei und lässt Apache auf diesem Port lauschen (ohne weitere Konfigurationsangaben zum Port 80 in der httpd.conf), dann klappt's. Was genau über den Port 80 ausgetauscht wird, habe ich mir über einen Portsniffer noch nicht angesehen.
Für mich stellt sich die Frage: Lässt sich der Zugriff aus dem Web unter den genannten Bedingungen überhaupt sicher gestalten?
MacBest
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 62913
Url: https://administrator.de/contentid/62913
Ausgedruckt am: 22.11.2024 um 14:11 Uhr