Webanwendung sicher bereitstellen?
Hallo zusammen! Ich stehe vor der Aufgabe, eine interne Webanwendung über das Internet erreichbar zu machen. Es ist wäre wichtig, dass diese Anwendung gut geschützt ist, da diese sensible Daten enthält. Ich möchte sicherstellen, dass die vor Angriffen geschützt sind. Die Anwendung selber hat nach meinen Infos keinen weiteren Schutz außer einem Login. Dieses Login ist separat also auch nicht an das AD gekoppelt.
Wir verwenden intern und extern pfSense Firewalls in Kombination, jedoch sind keine eingehenden Dienste (außer VPN) aktiv. Uns steht ein Internetanschluss mit mehreren IP-Adressen sowie ein Active Directory zur Verfügung.
Allerdings habe ich keine Kontrolle über die Clients der Benutzer, von denen einige möglicherweise nicht sehr versiert im Umgang mit IT sind. Daher möchte ich Lösungen vermeiden, die eine Installation oder Konfiguration auf ihren Geräten erfordern. Unsere Zielsetzung ist es, möglichst viele BSI-Richtlinien einzuhalten.
Derzeit tendiere ich dazu, ein Sophos-Produkt einzusetzen, würde aber gerne auch ein oder zwei weitere Ideen in Betracht ziehen. Falls ihr Vorschläge habt, wäre ich dankbar, diese zu hören.
Wir verwenden intern und extern pfSense Firewalls in Kombination, jedoch sind keine eingehenden Dienste (außer VPN) aktiv. Uns steht ein Internetanschluss mit mehreren IP-Adressen sowie ein Active Directory zur Verfügung.
Allerdings habe ich keine Kontrolle über die Clients der Benutzer, von denen einige möglicherweise nicht sehr versiert im Umgang mit IT sind. Daher möchte ich Lösungen vermeiden, die eine Installation oder Konfiguration auf ihren Geräten erfordern. Unsere Zielsetzung ist es, möglichst viele BSI-Richtlinien einzuhalten.
Derzeit tendiere ich dazu, ein Sophos-Produkt einzusetzen, würde aber gerne auch ein oder zwei weitere Ideen in Betracht ziehen. Falls ihr Vorschläge habt, wäre ich dankbar, diese zu hören.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7653958793
Url: https://administrator.de/contentid/7653958793
Ausgedruckt am: 04.11.2024 um 22:11 Uhr
6 Kommentare
Neuester Kommentar
Moin,
hier findets du viele "Schlagwörter":
Freigabe eines webdienstes nach Außen
Ich würde ein System etablieren, welches eine MFA voraussetzt. Ob nun mit einem der bekannten Apps auf dem Smartphone oder als Hardware-Variante.
Bestenfalls werden an der FW noch Tooles implementiert, die Funktionalitäten wie z.B. Fail2Ban mitbringen.
Auch kann ein Reverse Proxy sinnvoll sein, um den Webserver mit Sicherheitsaufgaben zu entlasten und "komische" Anfragen abzuwehren.
hier findets du viele "Schlagwörter":
Freigabe eines webdienstes nach Außen
Ich würde ein System etablieren, welches eine MFA voraussetzt. Ob nun mit einem der bekannten Apps auf dem Smartphone oder als Hardware-Variante.
Bestenfalls werden an der FW noch Tooles implementiert, die Funktionalitäten wie z.B. Fail2Ban mitbringen.
Auch kann ein Reverse Proxy sinnvoll sein, um den Webserver mit Sicherheitsaufgaben zu entlasten und "komische" Anfragen abzuwehren.
Moin,
Wenn die unbekannte App nichts bietet, dann sollte man das nicht direkt im Netz freigeben. Können die User sich per VPN mit dem Firmennetz verbinden? Das wäre imho die richtige Lösung.
Liebe Grüße
Erik
Zitat von @UnbekannterNR1:
Hallo zusammen! Ich stehe vor der Aufgabe, eine interne Webanwendung über das Internet erreichbar zu machen. Es ist wäre wichtig, dass diese Anwendung gut geschützt ist, da diese sensible Daten enthält. Ich möchte sicherstellen, dass die vor Angriffen geschützt sind. Die Anwendung selber hat nach meinen Infos keinen weiteren Schutz außer einem Login. Dieses Login ist separat also auch nicht an das AD gekoppelt.
Hallo zusammen! Ich stehe vor der Aufgabe, eine interne Webanwendung über das Internet erreichbar zu machen. Es ist wäre wichtig, dass diese Anwendung gut geschützt ist, da diese sensible Daten enthält. Ich möchte sicherstellen, dass die vor Angriffen geschützt sind. Die Anwendung selber hat nach meinen Infos keinen weiteren Schutz außer einem Login. Dieses Login ist separat also auch nicht an das AD gekoppelt.
Wenn die unbekannte App nichts bietet, dann sollte man das nicht direkt im Netz freigeben. Können die User sich per VPN mit dem Firmennetz verbinden? Das wäre imho die richtige Lösung.
Liebe Grüße
Erik
Moin,
Unabhängig davon würde ich schauen, dass du für den Zugriff aus dem Internet eine dedizierten Server, in der DMZ in einem eigenen VLAN benutzt wird. So dass sowohl Clients aus dem LAN als auch Internet immer über die WAF und Firewalls gehen. Mit Conditional Access könnte man hier Abstufungen bezüglich MFA vornehmen. Wobei heutzutage eigentlich kein Weg mehr an MFA vorbeiführt - unabhängig ob LAN, WLAN oder Internet.
Gruß,
Dani
Internet -> Paketfilter -> Web Application Firewall -> Reverse Proxy (mit OTP auth) -> Paketfilter -> Webserver
eine WAF ist doch nicht anders wie ein L7 Reverse Proxy. Von daher bringt der Reverse Proxy erst einmal keinen Mehrwert. Viel wichtiger wäre eine Pre Authentication für die gesagte Applikation. So dass keine gezielten Angriff auf den Webserver bzw. dessen Authentification möglich ist. In diesem Zusammenhang lässt in der Regel dann auch MFA integrieren. Auf welchen Weg sei Mal dahingestellt.Unabhängig davon würde ich schauen, dass du für den Zugriff aus dem Internet eine dedizierten Server, in der DMZ in einem eigenen VLAN benutzt wird. So dass sowohl Clients aus dem LAN als auch Internet immer über die WAF und Firewalls gehen. Mit Conditional Access könnte man hier Abstufungen bezüglich MFA vornehmen. Wobei heutzutage eigentlich kein Weg mehr an MFA vorbeiführt - unabhängig ob LAN, WLAN oder Internet.
Gruß,
Dani