mario87
Goto Top

Webserver Errichbarkeit aus dem Internet über einen Reverse Proxy

Guten Morgen zusammen,
ich habe einen kleinen Kunden, der gerne für seine 3 Außendienstmitarbeiter nun einen Zugriff auf einen internen Webserver ohne VPN realisieren möchte.
Momentan ist es so, dass von Außen kein Zugriff zugelassen ist.

Nun darf das Ganze natürlich auch nichts kosten. (Wie immer face-wink )
Ich habe nun mal etwas recherchiert und bin zu dem Ergebnis im Anhang gekommen.

Eine DMZ aufbauen in der ein Reverse Proxy (nginx) läuft, der die Anfragen annimmt und zum Webserver leitet, der im geschützten LAN steht.
Was haltet ihr von meinem Konzept?
Gibt es Verbesserungsvorschläge?

Bin für jede Hilfe dankbar.

MfG
Mario
vorschlag 1.0

Content-ID: 318063

Url: https://administrator.de/contentid/318063

Ausgedruckt am: 22.11.2024 um 10:11 Uhr

maretz
maretz 17.10.2016 um 07:12:32 Uhr
Goto Top
Moin,

generell spricht da nichts gegen - da ein Webserver (vernünftig installiert) dafür gedacht ist Anfragen von aussen anzunehmen spricht ja nichts dagegen. Dir müssen nur ein paar Dinge bewusst sein:

a) Ist deine Applikation unsicher dann stellst du ggf. unfreiwillig Firmendaten ins Netz. Schutz per .htaccess ist das unterste Minimum
b) Egal wie gut du das schützt - du hast ne Menge Kiddys die ihre Scripte ausprobieren. D.h. du musst damit rechnen das die deine Leitung zumüllen
c) Je nachdem was ihr für ne Leitung habt ist oft die Senderichtung grottenlahm, d.h. je nach Applikation kann das recht lahm werden.

Ansonsten ist das jetzt nichts ungewöhnliches das man einen Server auch in der DMZ stehen hat...Ob jetzt per reverse Proxy oder direkt ist dann ne Design-Entscheidung.
mario87
mario87 17.10.2016 um 08:25:08 Uhr
Goto Top
Danke für deine Anregung.
Aber wieso eine Design-Entscheidung?

Durch den Reverse-Proxy erreiche ich doch einen höheren Schutzmechanismus und das ist doch das Ziel.
D.h. Das Konzept ist soweit in Ordnung ?
maretz
maretz 17.10.2016 um 21:40:18 Uhr
Goto Top
Warum solltest du durch den Reverse-Proxy eine höhere Sicherheit erreichen? Nehmen wir an du baust den ein - dann musst du deinem Webserver schon mal erklären das bestimmte Schutzmöglichkeiten besser weg bleiben (Anzahl gleichzeitiger Verbindungen pro IP, Check der Source-Adresse,...). Denn ggf. kommen alle Zugriffe ja jetzt vom Reverse-Proxy und daher nur von dessen IP. Sowas wie Fail2Ban usw. geht damit nicht mehr.

Andersrum kannst du damit aber eben auch die Sicherheit erhöhen indem du ggf. darauf schon (je nach Proxy) bestimmte Aufrufe direkt blockst bevor die überhaupt an deinen Webserver kommen.

Es ist deshalb eine Design-Entscheidung weil hier niemand dein spezielles Konzept kennt. Jedes zusätzliche Gerät ist natürlich zum einen ein mögliches Angriffsziel (z.B. weil der ReverseProxy wieder mal der Rechner beim Kollegen unterm Schreibtisch ist der seid 10 Jahren problemlos läuft - und schon werden die Updates darauf eh irgendwann vergessen). Zum anderen kannst du damit aber eben auch schön Sachen abschotten.

Grundsätzlich wichtig ist aber das deine Applikation sicher sein muss. Nimm an das du ein Login per JavaScript hast (Passwort einfach im JS-Code drin). Egal ob nun mit oder ohne Proxy - dieses Passwort ist in Sekunden bekannt und ggf. sind alle deine Firmendaten jetzt im Web. Von daher solltest du da zuerst ein Auge drauf haben - DANN kannst du gucken wie du den ins Web bekommst...
131215
Lösung 131215 18.10.2016 um 09:00:07 Uhr
Goto Top
Wer sie noch nicht kennt: Die Leitlinien des BSI, die Standards vorgeben.

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/i ...
mario87
mario87 28.10.2016 um 14:11:00 Uhr
Goto Top
Zitat von @maretz:

Andersrum kannst du damit aber eben auch die Sicherheit erhöhen indem du ggf. darauf schon (je nach Proxy) bestimmte Aufrufe direkt blockst bevor die überhaupt an deinen Webserver kommen.

Genau das ist mein Vorhaben!!

Ich danke Euch für die Hilfe und Unterstützung.

MfG
Mario