77282
Goto Top

VPN zu Starto V-Server Windows 2008 Web herstellen, V-Server Sicherheit

Hallo zusammen, ich hab mir einen Server 2008 Webedition bei Strato zu Testzwecken gebucht.
Jetzt sind einige Fragen aufgekommen.

1. Wie bekomm ich eine VPN Verbindung zu dem Server hin und welche Art der VPN Verbindung ist warum zu empfehlen?
2. Kennt einer von euch Plesk? Ist es sinnvoll den V-server als Mail Server zu betreiben? Ist das nicht extrem unsicher weil auch fremde darüber Mails versenden können?
3. Wie sieht es allgemein mit der Sicherheit eines Windows V-Servers aus? Was sollte man unbedingt beachten?

Content-ID: 193333

Url: https://administrator.de/forum/vpn-zu-starto-v-server-windows-2008-web-herstellen-v-server-sicherheit-193333.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

Hitman4021
Hitman4021 26.10.2012 um 12:49:22 Uhr
Goto Top
Hallo,

Zitat von @77282:
Hallo zusammen, ich hab mir einen Server 2008 Webedition bei Strato zu Testzwecken gebucht.
Jetzt sind einige Fragen aufgekommen.

1. Wie bekomm ich eine VPN Verbindung zu dem Server hin und welche Art der VPN Verbindung ist warum zu empfehlen?
OpenVPN? Die Routin und RAS Dinger fehlen in der WebEdition ja.
2. Kennt einer von euch Plesk? Ist es sinnvoll den V-server als Mail Server zu betreiben? Ist das nicht extrem unsicher weil auch
fremde darüber Mails versenden können?
Wenn du Ihn richtig konfigurierst nicht. Ist doch das selbe wie bei einem Server der nei dir steht.
3. Wie sieht es allgemein mit der Sicherheit eines Windows V-Servers aus? Was sollte man unbedingt beachten?
Das gleiche wie bei jedem Server:
--Firewall
--kein Open Relay Mailserver.
--usw..

Aber wenn ich mir das hier so durchlese fallen mir folgende Dinge auf:
-Für die Zwecke die du angegeben hast sind Linux Server besser geeignet.
-Du hast dir den einfach bestellt ohne Ahnung von der Administration und genau so entstehen die Open Relay Server. Irgendjemand der sich nicht bzw. nicht genug damit auskennt legt sich nen V-Server mit einer 100Mbit Internetverbindung zu und konfiguriert denn nicht richtig.

Also konfiguriere das ganze bitte zuerst bei dir lokal auf einer VPN und beschaff dir das nötige Hintergrund Wissen bevor du mit dem V-Server herumspielst. Ist nicht böse gemeint aber sowas kann zimlich daneben gehen, vorallem da du auch die Verantwortung dafür hast wenn der Server einen Blödsinn macht z.B. Spam Mails verschickt und dann kanns ziemlich teuer werden.

Gruß
Suffer1981de
Suffer1981de 26.10.2012 aktualisiert um 13:00:05 Uhr
Goto Top
Zitat von @77282:
Hallo zusammen, ich hab mir einen Server 2008 Webedition bei Strato zu Testzwecken gebucht.
Jetzt sind einige Fragen aufgekommen.

1. Wie bekomm ich eine VPN Verbindung zu dem Server hin und welche Art der VPN Verbindung ist warum zu empfehlen?

VPN hin oder her, es kommt auf die Verschlüsselung an, damit keiner mitlesen kann.

2. Kennt einer von euch Plesk? Ist es sinnvoll den V-server als Mail Server zu betreiben? Ist das nicht extrem unsicher weil auch
fremde darüber Mails versenden können?

Plesk als einfach Webadministration ist ganz nett, wenn man sich nicht auskennt. Mit dem Betrieb eines Mailservers (gerade unter Plesk) wäre ich vorsichtig. Dafür sollte man schon einiges an Erfahrung haben, damit der 2. Punkt sich nicht bewahrheitet.

3. Wie sieht es allgemein mit der Sicherheit eines Windows V-Servers aus? Was sollte man unbedingt beachten?

Ein Server (egal welcher) ist nur so sicher, wie es die Erfahrung und das Wissen des Administrators hergibt.


Einen Server zu betreiben, bedarf ausreichend Kenntnisse. Verfügst du über diese? Wenn nicht rate ich dir dazu einen Server zu mieten, den der Provider managt.

Grüße

P.S. Hitman war schneller face-wink
77282
77282 26.10.2012 um 13:48:12 Uhr
Goto Top
Hallo und danke für die Antwort.
Grundsätzlich gebe ich dir recht das wenn man sich nicht besonders gut auskennt keinen Server betreiben sollte.
Da ich aber in dem Beruf nunmal arbeite, benötige ich einfach ein Testsystem und dann wird der Server eben hin und wieder neu aufgespielt. Aber nur so lernt man.
Aber zurück zum Thema.
Was empfiehlst du den als erste Schritte? Was muss ich wissen um einne Windows server sicher zu bekommen?
Stichwörter wie Firewall, OpenVpn usw klingen ja erst mal gut und hab ich auch alles schon mal gehört und teilweise schon eingesetzt. Wie und was sollte ich aber konfigurieren? Welche Firewall sollte man einsetzen und was sollte konfiguriert werden? Wie stell ich sicher mich nicht selbst aus zu sperren?
Gibt es Überwachungstools um die mir sagen ob z.B. Mail versendet werden oder ob irgendwelche Konfigurationen verändert wurden, die vielleicht auf einen Angriff schließen lassen?
Hitman4021
Hitman4021 26.10.2012 um 14:28:00 Uhr
Goto Top
Zitat von @77282:
Hallo und danke für die Antwort.
Grundsätzlich gebe ich dir recht das wenn man sich nicht besonders gut auskennt keinen Server betreiben sollte.
Da ich aber in dem Beruf nunmal arbeite, benötige ich einfach ein Testsystem und dann wird der Server eben hin und wieder neu
aufgespielt. Aber nur so lernt man.
Für sowas gibt es Virtuelle Maschinen die man lokal installiert.
Die haben dann keinen oder nur eingeschränkten Zugang zum Internet. Und stehen nicht direkt im Internet sondern hinter einer Firewall/Router im Lokalen Netz.

Aber zurück zum Thema.
Was empfiehlst du den als erste Schritte? Was muss ich wissen um einne Windows server sicher zu bekommen?
Ein allgemein gültiger Rat. Vergesst euer BuntiKlicki GUIs. Da lernt man nichts über das Zugrunde Liegende System und beim ersten Problem seit ihr aufgeschmissen weil die GUI es nicht unterstützt und Ihr euch dahinter nicht auskennt.

Stichwörter wie Firewall, OpenVpn usw klingen ja erst mal gut und hab ich auch alles schon mal gehört und teilweise
schon eingesetzt. Wie und was sollte ich aber konfigurieren? Welche Firewall sollte man einsetzen und was sollte konfiguriert werden.
werden? Wie stell ich sicher mich nicht selbst aus zu sperren?
Bei einem Windows System hast du nicht viel Auswahl > Windows Firewall.
Du sperrst mal einfach alles (Default Policy = Drop)
Dann öffnest du mal deine Fernwartung (Erlaube Port 3389 von deiner IP)
dann öffnest du das was du sonst noch wirklich brauchst.

Gibt es Überwachungstools um die mir sagen ob z.B. Mail versendet werden oder ob irgendwelche Konfigurationen verändert
wurden, die vielleicht auf einen Angriff schließen lassen?
Logwartch oder sowas in der Art? Wenn eine Konfigurationsdatei geändert wurde ist er bereits zu spät.

Gruß
77282
77282 26.10.2012 um 21:42:45 Uhr
Goto Top
Naja aber wenn man schon einige Jahre mit Lokalen VMs gearbeitet hat, will man ja irgendwann mehr ;) oder? Hab denke ich mehr Erfahrung als du glaubst und trotzdem hatte ich noch nie eine VM im WWW.
Will auch keine Diskusionen führen und mir sagen lassen das ich mich hinter GUIs verstecke face-smile usw.. Ich stelle eine Frage was ich beachten muss und wenn einer mir dazu seine Erfahrungen mitteilen möchte bin ich ihm sehr dankbar. Hab auch schon viel mit Linux gemacht, aber jetzt interessiere ich mich für Windows Server.
Hab eben gelesen das man eine solche Maschine nie richtig sicher bekommt. Wenn einer unbedingt rein will, dann kommt er rein. Selbst eine Hardware Firewall ist knackbar. Ach ich spiel mal ein bisschen und lerne..

Aja.. finde nicht das es unbedingt zu spät ist wenn einer eine Konfig file geändert hat.. das ist doch das was viele wollen.. Informationen sammeln und das über lange Zeit.. also ein Programm was mir sagt wann wo was geändert wurde ist doch dann eine gute Sache oder?
Hitman4021
Hitman4021 27.10.2012 um 08:27:00 Uhr
Goto Top
Guten morgen,

Zitat von @77282:
Naja aber wenn man schon einige Jahre mit Lokalen VMs gearbeitet hat, will man ja irgendwann mehr ;) oder?
Ja das ist klar.

Hab denke ich mehr
Erfahrung als du glaubst und trotzdem hatte ich noch nie eine VM im WWW.
Will auch keine Diskusionen führen und mir sagen lassen das ich mich hinter GUIs verstecke face-smile usw.. Ich stelle eine Frage was
ich beachten muss und wenn einer mir dazu seine Erfahrungen mitteilen möchte bin ich ihm sehr dankbar. Hab auch schon viel
mit Linux gemacht, aber jetzt interessiere ich mich für Windows Server.
Hab eben gelesen das man eine solche Maschine nie richtig sicher bekommt. Wenn einer unbedingt rein will, dann kommt er rein. Hier findest du Lücken zu aktuellen Sicherheitslücken:
http://1337day.com/
http://www.exploit-db.com/
Aber das ist bei jedem System so, wenn jemand mit ausreichend Kentnissen und Resourcen rein will dann kommt er rein. Das Ziel eines Sicherheitskonzeptes sollte sein dich gegen die 99 Prozent zu schützen wo du was ausrichten kannst. Also Virenscanner drauf, Firewall dicht machen. Dann weiß ich nicht was für Anwendung du laufen lassen willst, diese jedenfalls auch absichern. Habe mit ASP.NET Websiten leider nicht mehr Erfahrung wie man die absichert. Wenns PHP Seiten sein sollen:
-register_globals off
-open_basedir verwenden
-register_long arrays off
-folgende Befehle verbieten: url_fopen, exec, system, ini_set usw.
Verzeichnisrechte richtig setzen.
Zu Plesk. Als MTA wird Postfix verwendet. Zu Mailservern habe ich mal ne Anleitung geschrieben, sind auch alle nötigen Einstellungen drinnen damit du den ohne Bedenken ins Net stellen kannst.
Mailserver Postfix, Dovecot, MySQL etc

Selbst eine Hardware Firewall ist knackbar. Ach ich spiel mal ein bisschen und lerne..
Da jedes System Sicherheitslücken hat. und vor allem Kernel Lücken sind auf allen Systemen vorhanden.

Aja.. finde nicht das es unbedingt zu spät ist wenn einer eine Konfig file geändert hat.. das ist doch das was viele
wollen.. Informationen sammeln und das über lange Zeit.. also ein Programm was mir sagt wann wo was geändert wurde ist
doch dann eine gute Sache oder?
Als Idee du könntest deine Konfigs in ein SVN einchecken und dan per svn status abfragen ob die Konfig im SVN mit deiner Identisch ist. Evtl. auch per Script.
Meiner Meinung nach ist es allerdings zu spät da dein Server dann bereits geknackt ist. In so einem Fall würde ich immer den Server von grundauf neu Installieren und mein Sicherheitskonzept überarbeiten.

Ich hoffe ich habe dir jetzt geholfen.

Gruß