unbekannternr1
Goto Top

Webanwendung sicher bereitstellen?

Hallo zusammen! Ich stehe vor der Aufgabe, eine interne Webanwendung über das Internet erreichbar zu machen. Es ist wäre wichtig, dass diese Anwendung gut geschützt ist, da diese sensible Daten enthält. Ich möchte sicherstellen, dass die vor Angriffen geschützt sind. Die Anwendung selber hat nach meinen Infos keinen weiteren Schutz außer einem Login. Dieses Login ist separat also auch nicht an das AD gekoppelt.

Wir verwenden intern und extern pfSense Firewalls in Kombination, jedoch sind keine eingehenden Dienste (außer VPN) aktiv. Uns steht ein Internetanschluss mit mehreren IP-Adressen sowie ein Active Directory zur Verfügung.

Allerdings habe ich keine Kontrolle über die Clients der Benutzer, von denen einige möglicherweise nicht sehr versiert im Umgang mit IT sind. Daher möchte ich Lösungen vermeiden, die eine Installation oder Konfiguration auf ihren Geräten erfordern. Unsere Zielsetzung ist es, möglichst viele BSI-Richtlinien einzuhalten.

Derzeit tendiere ich dazu, ein Sophos-Produkt einzusetzen, würde aber gerne auch ein oder zwei weitere Ideen in Betracht ziehen. Falls ihr Vorschläge habt, wäre ich dankbar, diese zu hören.

Content-ID: 7653958793

Url: https://administrator.de/contentid/7653958793

Ausgedruckt am: 04.11.2024 um 22:11 Uhr

em-pie
Lösung em-pie 26.06.2023 um 13:05:12 Uhr
Goto Top
Moin,

hier findets du viele "Schlagwörter":
Freigabe eines webdienstes nach Außen

Ich würde ein System etablieren, welches eine MFA voraussetzt. Ob nun mit einem der bekannten Apps auf dem Smartphone oder als Hardware-Variante.

Bestenfalls werden an der FW noch Tooles implementiert, die Funktionalitäten wie z.B. Fail2Ban mitbringen.
Auch kann ein Reverse Proxy sinnvoll sein, um den Webserver mit Sicherheitsaufgaben zu entlasten und "komische" Anfragen abzuwehren.
Kraemer
Lösung Kraemer 26.06.2023 um 13:08:29 Uhr
Goto Top
Moin,

eine Web Application Firewall scheint hier angebracht.

Gruß
tagol01
tagol01 26.06.2023 um 13:18:10 Uhr
Goto Top
Hallo

welche Webserver setzt Ihr ein?

Wir setzen sichern kritische Anwendungen immer mehrfach ab.

- Webserver härten
- Modsecurity einrichten
- usw..
erikro
erikro 26.06.2023 um 13:19:03 Uhr
Goto Top
Moin,

Zitat von @UnbekannterNR1:
Hallo zusammen! Ich stehe vor der Aufgabe, eine interne Webanwendung über das Internet erreichbar zu machen. Es ist wäre wichtig, dass diese Anwendung gut geschützt ist, da diese sensible Daten enthält. Ich möchte sicherstellen, dass die vor Angriffen geschützt sind. Die Anwendung selber hat nach meinen Infos keinen weiteren Schutz außer einem Login. Dieses Login ist separat also auch nicht an das AD gekoppelt.

Wenn die unbekannte App nichts bietet, dann sollte man das nicht direkt im Netz freigeben. Können die User sich per VPN mit dem Firmennetz verbinden? Das wäre imho die richtige Lösung.

Liebe Grüße

Erik
UnbekannterNR1
UnbekannterNR1 26.06.2023 um 14:20:32 Uhr
Goto Top
Danke für die Informationen so weit, und ja VPN wäre der richtige weg, aber wie gesagt habe ich leider keinen Einfluss auf die Clients face-sad und auf die Webserver dummerweise auch nicht.
Ich werde wohl mal mit einer Testversion starten und dann sehen, welche Produkte sich gut integrieren lassen. Die Idee mit dem zweiten Faktor gefällt mir besonders gut.

Für alle mit ähnlichem Problem, es wird am Ende wohl so aussehen:

Internet -> Paketfilter -> Web Application Firewall -> Reverse Proxy (mit OTP auth) -> Paketfilter -> Webserver

Vielleicht auch Reverse Proxy und WAF andersherum.
Dani
Dani 26.06.2023 um 15:24:43 Uhr
Goto Top
Moin,
Internet -> Paketfilter -> Web Application Firewall -> Reverse Proxy (mit OTP auth) -> Paketfilter -> Webserver
eine WAF ist doch nicht anders wie ein L7 Reverse Proxy. Von daher bringt der Reverse Proxy erst einmal keinen Mehrwert. Viel wichtiger wäre eine Pre Authentication für die gesagte Applikation. So dass keine gezielten Angriff auf den Webserver bzw. dessen Authentification möglich ist. In diesem Zusammenhang lässt in der Regel dann auch MFA integrieren. Auf welchen Weg sei Mal dahingestellt.

Unabhängig davon würde ich schauen, dass du für den Zugriff aus dem Internet eine dedizierten Server, in der DMZ in einem eigenen VLAN benutzt wird. So dass sowohl Clients aus dem LAN als auch Internet immer über die WAF und Firewalls gehen. Mit Conditional Access könnte man hier Abstufungen bezüglich MFA vornehmen. Wobei heutzutage eigentlich kein Weg mehr an MFA vorbeiführt - unabhängig ob LAN, WLAN oder Internet.


Gruß,
Dani