webDAV im IIS
alternative zu sFTP/FTPs ?
Hallo miteinander
Ich habe eine Frage zu WebDAV in Verbindung mit dem IIS 6. Einige unserer Kollegen arbeiten im Ausland, reisen sehr viel und sind stehts in Hotels oder sind einfach nur daheim und wollen auf unseren Server zugreifen.
Bis dato haben wir nen VPN genutzt und somit die Kollegen ins Netzwerk rein gerouted. Nun gibt es da aber einige Probleme. Zum einen ist es nicht mehr möglich sich am VPN anzumelden, sollte man bereits eine Interne IP bezogen haben (andere Abteilung oder standort mit einem anderen IP bereich) demzufolge bekommt man keine P zugewiesen die für die Resource freigegeben wurde.
Weiterhin werden in einigen Hotesdie Service reduziert (do auch VPN) so das es von da auch keinen Zugriff gibt.
nun hatte ich mir eine Alternative überlegt einen sFTP oder FTPs auf den IIS zu installieren (IIS wird bsher nicht genutzt). Das hat den Forteil die Benutzerdatenbank ist Nutzbar. Naja aber auch da sind wieder Services von nöten die unteranderem gesperrt sein könnten.
Ich bin durch zufall auf das WebDAV gestossen was mir sehr interessant vor kam. Zwar ist es eigendlich gedacht Websites zu pflegen allerdings kann man das ja auch mal gepflegt zweckentfremden.
Ich hab mir also ne testseite angelegt (auf das Verzeichniss unseres Install Ordners verwiesen) das lesen/schreiben/browsen verboten, den anonymous verboten (alles für "website" die ich ja nich brauch) und hab in dern permissions meinen admin erlaubt (ntfs settings)
Klappt alles soweit wunderbar. WebDAV auf dem client eingebunden (MAC OS X) und schon passts. Die website zeigt zur zeit "Fehler auf der Seite" aber das stört mich herzlich wenig.
Nun meine Frage, in wie Fern kann ich davon ausgehen das diese Verbindung secure ist und was sollte ich eventuell beachten ? Mach ich mich mit einer derartigen Lösung zum Affen ?
Danke für eure Kommentare
chris
Hallo miteinander
Ich habe eine Frage zu WebDAV in Verbindung mit dem IIS 6. Einige unserer Kollegen arbeiten im Ausland, reisen sehr viel und sind stehts in Hotels oder sind einfach nur daheim und wollen auf unseren Server zugreifen.
Bis dato haben wir nen VPN genutzt und somit die Kollegen ins Netzwerk rein gerouted. Nun gibt es da aber einige Probleme. Zum einen ist es nicht mehr möglich sich am VPN anzumelden, sollte man bereits eine Interne IP bezogen haben (andere Abteilung oder standort mit einem anderen IP bereich) demzufolge bekommt man keine P zugewiesen die für die Resource freigegeben wurde.
Weiterhin werden in einigen Hotesdie Service reduziert (do auch VPN) so das es von da auch keinen Zugriff gibt.
nun hatte ich mir eine Alternative überlegt einen sFTP oder FTPs auf den IIS zu installieren (IIS wird bsher nicht genutzt). Das hat den Forteil die Benutzerdatenbank ist Nutzbar. Naja aber auch da sind wieder Services von nöten die unteranderem gesperrt sein könnten.
Ich bin durch zufall auf das WebDAV gestossen was mir sehr interessant vor kam. Zwar ist es eigendlich gedacht Websites zu pflegen allerdings kann man das ja auch mal gepflegt zweckentfremden.
Ich hab mir also ne testseite angelegt (auf das Verzeichniss unseres Install Ordners verwiesen) das lesen/schreiben/browsen verboten, den anonymous verboten (alles für "website" die ich ja nich brauch) und hab in dern permissions meinen admin erlaubt (ntfs settings)
Klappt alles soweit wunderbar. WebDAV auf dem client eingebunden (MAC OS X) und schon passts. Die website zeigt zur zeit "Fehler auf der Seite" aber das stört mich herzlich wenig.
Nun meine Frage, in wie Fern kann ich davon ausgehen das diese Verbindung secure ist und was sollte ich eventuell beachten ? Mach ich mich mit einer derartigen Lösung zum Affen ?
Danke für eure Kommentare
chris
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 89407
Url: https://administrator.de/contentid/89407
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
1 Kommentar
Sofern du den Server ganz normal mit klassischem HTTP unverschlüsselt auf Port TCP 80 laufen lässt ist natürlich rein gar nichts secure.
Angreifer können problemlos die Zugangsdaten ausspähen und bekommen die Daten auch unverschlüsselt geliefert. Außerdem ist dein TCP Port 80 dann der Standardport eines jeden Portscanners und dein Server ist binnen Sekunden im Internet ausgespäht für Angriffe.
Sinn macht es diesen Server NUR über eine HTTPS Verbindung (Port TCP 443) anzubieten. Damit hast du den Datenstrom dann SSL verschlüsselt.
Um es noch sicherer zu machen solltest du den Server nicht auf dem Standardport TCP 443 betreiben sondern auf einem freien, nicht reservierten TCP Port wie z.B. TCP 50000, der von den meisten Port Scannern im Internet standardmässig nicht abgefragt wird.
(Alle Ports zwischen 49132 und 65535 sind frei !)
Dadurch hast du den Server dann relativ gut versteckt und deine Clients kommen dann mit dem URL
https://<server_ip>:50000 bzw. https://<server_ip>:<Port>
relativ sicher auf den WebDAV Server.
Eine sichere Einrichtung ohne IIs beschreibt ein ct Artikel recht detailiert:
http://www.heise.de/kiosk/archiv/ct/2007/08/128_Heimischer_Webserver_al ...
Als Alternative dazu bietet sich statt des klassischen VPNs, was du oben beschrieben hast, noch ein SSL VPN an für deine Clients.
Der Tunnel wird dann über eine normale SSL Webseite (HTTPS) aufgebaut. Damit hat man dann in Hotels oder HotSpots usw. keinerlei Probleme mehr mit Firewalls, NAT, usw.
Nähere Infos dazu findest du hier:
SSL-VPNs im Enterprise Umfeld
Angreifer können problemlos die Zugangsdaten ausspähen und bekommen die Daten auch unverschlüsselt geliefert. Außerdem ist dein TCP Port 80 dann der Standardport eines jeden Portscanners und dein Server ist binnen Sekunden im Internet ausgespäht für Angriffe.
Sinn macht es diesen Server NUR über eine HTTPS Verbindung (Port TCP 443) anzubieten. Damit hast du den Datenstrom dann SSL verschlüsselt.
Um es noch sicherer zu machen solltest du den Server nicht auf dem Standardport TCP 443 betreiben sondern auf einem freien, nicht reservierten TCP Port wie z.B. TCP 50000, der von den meisten Port Scannern im Internet standardmässig nicht abgefragt wird.
(Alle Ports zwischen 49132 und 65535 sind frei !)
Dadurch hast du den Server dann relativ gut versteckt und deine Clients kommen dann mit dem URL
https://<server_ip>:50000 bzw. https://<server_ip>:<Port>
relativ sicher auf den WebDAV Server.
Eine sichere Einrichtung ohne IIs beschreibt ein ct Artikel recht detailiert:
http://www.heise.de/kiosk/archiv/ct/2007/08/128_Heimischer_Webserver_al ...
Als Alternative dazu bietet sich statt des klassischen VPNs, was du oben beschrieben hast, noch ein SSL VPN an für deine Clients.
Der Tunnel wird dann über eine normale SSL Webseite (HTTPS) aufgebaut. Damit hat man dann in Hotels oder HotSpots usw. keinerlei Probleme mehr mit Firewalls, NAT, usw.
Nähere Infos dazu findest du hier:
SSL-VPNs im Enterprise Umfeld