kollisionskurs
Goto Top

Webapplikation (IIS) sicher vom Technik-LAN ins Produktiv-LAN spiegeln

Hallo,

ich habe ein kleines Problem bzw. eine Nuss zu knacken. Bei einem unserer Kunden sollte ich ein Energiemanagementsystem implementieren - dieses besteht aus:
einer Webapplikation mit Anbindung an einen seriellen Bus (Online Werte) und einer SQL Datenbank (historische Werte).

Der Webserver (IIS) und der SQL-Server laufen auf einem Server im Techniknetz. Die Geräte welche über TCP/IP-RS485 Umsetzer angesprochen werden sind ebenfalls im Technik-LAN integriert. Bis hier ist alles rund - flache Hierachie, alle Komponenten in einem Netz. Die Bearbeiter sind glücklich weil sie ihre technischen Anlagen in Echtzeit und historisch überwachen können - und das mittels Browser.

Jetzt kommt aber die Buchhaltung die ebenfalls Auswertungen (der Energie) durchführen möchten - die Buchhaltung "steckt" aber logischerweise im Produktiv-Netz der Firma. Somit habe ich vorgeschlagen das wir dem Server eine zweite Netzwerkkarte spendieren:

Technik-LAN----|SERVER|----Produktiv-LAN----

Jetzt wurde das aber von der EDV vor Ort bzw. dem übergeordneten Konzern verweigert bzw. wollen diese kein "Loch" zwischen den Netzen aufmachen - schon gar nicht über Port 80.
Wenn es nur die SQL-Daten wären könnte man viel über eine nächtliche Datenbank-Replikation zwischen den SQL-Servern realisieren. Aber das Web "holt" sich Daten live über das Technik-LAN vom seriellen Bus - das kann ich nicht duplizieren bzw.
diese eine Webapplikation sollte unbedingt sicher aus beiden Netzen erreichbar sein!


Jetzt sollte ich natürlich eine Lösung finden bzw. habe ich dazu generell ein paar Fragen:

1. Wie würdet Ihr Euch jetzt generell dieser Problematik annehmen?

2. Verständnisfrage: Mal angenommen wir lassen unsere Webapplikation auf einem anderen Port "laufen" bzw. anstatt Port 80 z.B. Port 9999 etc. Dann kann ich das System doch so veriegeln (wie in einer Firewall LAN<->DMZ) das aus dem Produktiv-Netz wirklich nur dieser Port ins Technik-Netz freigegeben wird, oder? Wäre das wirklich sicherheitsrelevant so bedenklich?

Danke im Voraus für Eure Lösungsvorschläge!

Content-ID: 134957

Url: https://administrator.de/contentid/134957

Ausgedruckt am: 26.11.2024 um 00:11 Uhr

aqui
aqui 02.02.2010 um 18:08:09 Uhr
Goto Top
Eine Kommunikation ist physisch nur möglich wenn du Technik Netz und Prod.Netz irgendwie koppelst. Soviel ist klar.

Ohne an den Maschinen rumzufummeln und Ports zu verbiegen könntest du das mit einem billigen DSL Router und dessen NAT Firewall machen.
Mit dem WAN/DSL Interface hängst du ihn ins Prod.Netz und gibst ihm dort eine feste IP. Das LAN Bein geht ins Technik Netz..
Nun konfigurierst du auf dem Router ein Port Forwarding von z.B. TCP 9999 auf lokal (Technik Netz) Server IP mit dem lokalen Port 80. Also eine simple Port Translation.
Jeder der im Prod.Netz im Browser "http://<router_ip_prod_netz>:9999" eingibt landet dann auf dem Server auf der Weboberfläche.
Der Router lässt nur einzig Port TCP 9999 durch mehr nicht, denn das verwindert sicher die NAT Firewall des Routers.
Wenn du nun noch das LAN Interface des Routers mit einer Accessliste zumachst die nur noch den Konfigurationszugriff auf seine eigen IP erlaubt kann auch keiner vom Techniknetz mehr ungefragt ins Prod.Netz.
Ganz auf Nummer sicher gehst du wenn du das mit einer freien Firewall wie Monowall oder Pfsense machst, denn nicht alle DSL Router supporten Incoming ACLs auf ihren LAN Ports (dd-wrt kann sowas z.B.)
Damit hast du dann ein absolut wasserdichtes System. Wenn du das dann politisch bei der EDV durchbekommst hast du dein Problem so gut wie kostenfrei im Handumdrehen gelöst !
51705
51705 02.02.2010 um 19:53:08 Uhr
Goto Top
Hallo Zusammen,

so wie ich die Frage verstehe, könnte eine funktionierende Infrastruktur für's Routing bereits bestehen (inkl. ACLs) - diese soll nur nicht für alle HTTP-Anfragen geöffnet sein. Wenn dem so ist, würde lediglich ein URL-Filter fehlen (denn ob andere Anwendungen auf dem Server laufen, ist ja nicht bekannt).

Ein zusätzlicher (billiger) Router wäre so in meinen Augen nicht besser als die Lösung mit zwei Netzwerkkarten.

Grüße, Steffen
aqui
aqui 03.02.2010 um 14:06:13 Uhr
Goto Top
Das ist zweifelsohne korrekt, aber dann wäre es sicher besser die bestehende Routing Infrastruktur anzupassen und zu nutzen als mit Karten oder Router zu frickeln.
Mit 2 Netzwerkkarten muss man nur den Server physisch anfassen und umbauen. Das sollte der "Router/Firewall Vorschlag" schlicht umgehen.
Kollisionskurs
Kollisionskurs 05.02.2010 um 08:20:34 Uhr
Goto Top
Hallo zusammen,

danke für die Antworten!

dann war ich mit meiner Meinung nicht ganz falsch das man so eine Konstellation (mit zusätzlichem Aufwand) letzten Endes auch Sicherheitstechnisch so realisieren kann.. Aber die zuständige EDV sperrt sich dagegen bzw. die Netze sollen komplett autonom bleiben. Und trotzdem haben wir jetzt eine Lösung gefunden (wird noch geprüft): Mein Vorschlag war folgender: Wir bekommen zu Wartungszwecken sowieso einen VPN Zugang ins Techniknetz - DSL wurde bereits extra dafür beantragt. Mittels DynDNS setzen wir die dynamische Adresse um und richten ein Portforwarding ein, das alles was von draussen auf Port 80 rein kommt direkt an den Webserver weitergegeben wird. Somit steht der Webserver im Internet (natürlich ordentlich abgesichert) - die Bearbeiter aus dem Produktiv-Netz kommen dann eben aus dem www auf die Webseite. Generell vielleicht gar nicht schlecht - denn das Firmengelände wird immer mehr vermietet bzw. tummeln sich in den nächsten Jahren mehr und mehr Fremdfirmen auf dem Gelände. Diese haben logischerweise wieder ein autonomes LAN etc. Allerdings auf das Webportal (und ihre eigene Energieauswertung) müssen sich diese nach wie vor verbinden können - somit eben über das Internet. Eventuell richten wir im Technik-Netz noch eine extra DMZ ein - in dieser DMZ steht der Webserver...das einzigste was geöffnet werden muss sind zwei Ports für die Datenkommunikation.

Was haltet Ihr generell davon? - Verbesserungsvorschläge? Letzten Endes entscheidet die EDV vor Ort - allerdings interessieren mich solche Lösungen extrem.

Danke & Grüße
aqui
aqui 08.02.2010 um 11:18:11 Uhr
Goto Top
Na ja, ob nun die Öffnung des Webservers in die große weite (Internet) Welt eine bessere Lösung sein soll als nur die Öffnung auf ein einzelnes Netz ist doch mehr als fraglich....
Die Anforderungen die dann an den Webserver gestellt werden sind horrend höher, da das Gefahrenpotenzial nun ein ganz anderes geworden ist und vielfach höher liegt. Wenn dieser Webserver auf einem MS OS laufen sollte wären die Bauchschmerzen noch erheblich größer...gerade mit der Lösung eines billigen Consumerrouters und simplen Port Forwarding ohne zusätzlichen Schutz.
Auf den ersten Blick hört sich diese Lösung erheblich gefährlicher an als der erste Vorschlag. Die Denkweise dieser "EDV vor Ort" ist schon zweifelhaft und schwer zu verstehen. Verstehen die überhaupt etwas von der Materie oder müssen die auch in Foren nachfragen ??
Kollisionskurs
Kollisionskurs 08.02.2010 um 11:52:47 Uhr
Goto Top
das ist mir klar bzw. steht der Webserver mit dem blanken A.. im www. Ist aber nicht mein Problem bzw. ich kann nur Vorschläge liefern - die Umsetzung & vor allem Absicherung muss von der EDV vor Ort erfolgen. War ja auch nur grob beschrieben bzw. werde die Lösung (für welche sich die EDV entscheidet) auf jeden Fall posten.

Danke & Grüße