Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Webserver mit W2k3 und Apache von LAN trennen

Mitglied: alexkunze

alexkunze (Level 1) - Jetzt verbinden

12.04.2005, aktualisiert 15.04.2005, 6134 Aufrufe, 9 Kommentare

Momentan sind alle Serverdienste auf einem Windows-Server vereint. Sowohl LAN als auch Webserver... Jetzt soll der Webserver auf eine eigene Maschine umgezogen werden.

Hallo,

ich soll obige Aufgabe umsetzen und versuche gerade die technische Umsetzung und den Aufwand zu kalkulieren. Chef will natürlich möglichst wenig...

Momentan ist das LAN über eine Cisco 575 LRE Bridge mit dem Rechenzentrum verbunden (Leitung nach draussen und Public IPs). Danach folgt eine Cisco PIX 506E Firewall und dann LAN.

Jetzt soll für den Webserver eine eigene Maschine angeschafft werden und diese aus dem LAN ausgegliedert werden. Leider muss ich gestehen, dass ich nicht sicher bin, wie hier die sinnvollste Lösung aussieht. Der Webserver soll natürlich am besten vom LAN aus administrierbar sein, aber die Sicherheit nach Aussen hat Prio.

Ich bräuchte Tips, wie der neue Server am besten integriert wird, um einen öffentlichen Webserver zu bieten, das LAN nach aussen abzusichern und möglichst den Apache trotzdem von Clients aus warten zu können (hat nicht Prio - kann zur Not auch am Server direkt gemacht werden).

Bitte gebt mir einen Ansatz wie das am besten aufgebaut wird und in welche Richtung wir planen sollen.

Danke & Gruß,
Alex
Mitglied: meinereiner
12.04.2005 um 11:38 Uhr
ich würde die PIX 506E gegten eine PIX 515E austauschen und den Server dann ans dritte Interface in die DMZ hängen.
Bitte warten ..
Mitglied: alexkunze
12.04.2005 um 12:28 Uhr
Hallo meinereiner,

danke für den Tip - DMZ, da horchen meine gequälten Ohren auf!

Ich frag jetzt mal ganz doof:
Die PIX 515E hat drei Ports - davon ist einer LAN und einer WAN bzw Bridge zum RZ (soweit wie die 506) und einen dritten an den direkt der neue PC kommt. DMZ heißt dann für mich die PIX verwaltet den Verkehr je nach IP so, dass entweder LAN oder Webserver angesprochen werden? Halbwegs richtig? Ich hab mit DMZ leider noch nichts zu tun gehabt und nur theoretisches Halbwissen...

Danke & GRuß,

Alex
Bitte warten ..
Mitglied: meinereiner
12.04.2005 um 12:52 Uhr
Eigentlich verwaltest du Netze.
Über den WAN Port die des Internets, über den Lan Port deine internen und am dritten, das für die DMS dann ein neues. Da kann dann natürlich nur ein Server drin stehen.

Das schöne an der DMZ ist, das sie vom internen Lan genau so getrennt ist wie das Internet und die DMZ vom Internet wie das Lan vom Internet. Die DMZ klemmt sich genau dazwischen.

Deine Regeln vom Internet ins Lan bleiben wie sie sind. Aufmachen musst du nur die Ports
in die DMZ. Deine Sicherheit zum Internet bleibt komplett erhalten udn wenn einer den Web Server hacken sollte ändert sich auch nichts, da der Weg ins Lan gesperrt ist.
Bitte warten ..
Mitglied: alexkunze
12.04.2005 um 18:27 Uhr
Danke!
Bitte warten ..
Mitglied: alexkunze
14.04.2005 um 11:48 Uhr
Hallo meinereiner,

jetzt hat sich Chef die Sache anders überlegt und lehnt die Neuanschaffung einer PIX 515 ab... Hast Du noch eine andere Idee, wie man das halbwegs vernünftig lösen könnte?
Mir fällt da nichts sicheres ein.

Danke & Gruß,
Alex
Bitte warten ..
Mitglied: meinereiner
14.04.2005 um 14:06 Uhr
Dann wird er wohl auch keine andere hardware kaufen wollen?!

Somit wirst du wohl den Web Server in dein Normales LAN hängen müssen. Auf der Pix eine Regel definieren, die die passenden Ports aufmacht und dann eine Umleitung für die Ports auf den Webserver definieren.
Bitte warten ..
Mitglied: alexkunze
14.04.2005 um 22:28 Uhr
Na ich höre ihn schon jetzt jammern... Das Sicherheit nie was kosten darf... Was hättest Du an anderer Hardware vorgeschlagen? Alles teuer oder gibt's was unterhalb 2,5k?

Danke für Deine Tips!
Bitte warten ..
Mitglied: meinereiner
14.04.2005 um 23:12 Uhr
naja, die Pix krigste billiger:
http://www.mercateo.com/p/173-1071177/CISCO_PIX_515_Firewall_2x10_100_B ...


aber überlegen wir mal Alternativen:

Die 506 kann in der aktuellen Softwareversion Vlans. Dementsprechend könnte man einen Switch zwischen pix, Web Server und internen Netz hängen und das Ganze über Vlans trennen. Da könnte man auch einen älteren Switch für nehmen, der nur 10Mbit kann. Mehr gibt das Internet bei euch eh nicht her!?!

Oder man nimmt an Stelle des Switches und Vlans einen Router. Damit könntest du auch eine DMZ aufbauen. Hinter er 506 baust du dann ein kleines Netz in dem der Web Server und ein Interface vom Router steht...
Zeichenversuch:

Internet
|
Pix
|
-----Web Server
|
Router
|
internes Netz

Wie sicher das Ganze wird hängt dann von den Möglichkeiten des Routers ab und wie gut er konfiguriert ist. Anstelle des Routers könntest du auch eine weitere Pix 506 nehmen.

Oder du setzt erst den Router hin und dann die Pix. Damit wäre dein internes Netz besser geschützt und der Web Server angreifbarer.

Aber da kommen wir so langsam an die Grenzen meines Know Hows..sorry..
Ich bin eher ein Windows Mensch. Nit Routern, Firewalls, etc. habe ich mich nur das letzte Jahr ein bischen beschäftigt und das auch sehr Cisco lastig.
Bitte warten ..
Mitglied: alexkunze
15.04.2005 um 01:01 Uhr
Danke!

Ich werd mir wohl das mit den Vlans näher ansehen müssen...

Mein Hirn scheitert gerade an der Uhrzeit. Ich versuche es Morgen früh wieder zu aktivieren und mir Deine Vorschläge mal in der Theorie basteln...
Bitte warten ..
Ähnliche Inhalte
Voice over IP
LAN zu Lan Verbindung VOIP
Frage von Gunnar2100Voice over IP4 Kommentare

Hallo Zusammen, ich habe da mal eine Frage ich habe über 2 Fritzboxen eine LAN zu Lan Verbindung realisiert. ...

Router & Routing
LAN - Router - MacBook LAN - LTE Stick
Frage von Snafu77Router & Routing1 Kommentar

Hallo an alle Netzwerk Spezialisten, ich habe folgendes Problem: mein LTE Stick (Huawei e3372 Non Hilink) funktioniert seit gestern ...

Router & Routing
IPSEC - Mikrotik Lancom - Lan 2 Lan
Frage von FlascheRouter & Routing5 Kommentare

Hallo zusammen, ich habe mir eine Mikrotik zugelegt und diese seit 4 Tagen im Einsatz. Nach und nach würde ...

Router & Routing
FritzBox 7490 LAN zu LAN Kopplung
Frage von diemilzRouter & Routing5 Kommentare

Hallo zusammen, ich versuche, zwei Fritzboxen 7490 miteinander per VPN zu verbinden, basierend auf den Knowledgebase-Einträgen bei AVM ) ...

Neue Wissensbeiträge
Erkennung und -Abwehr
OpenSSH-Backdoor Malware erkennen
Tipp von Frank vor 3 StundenErkennung und -Abwehr

Sicherheitsforscher von Eset haben 21 Malware-Familien untersucht. Die Malware soll Hintertüren via OpenSSH bereitstellen, so dass Angreifer Fernzugriff auf ...

iOS
WatchChat für Whatsapp
Tipp von Criemo vor 3 TageniOS3 Kommentare

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

iOS
IOS hat nen Cursor!
Tipp von Criemo vor 3 TageniOS5 Kommentare

Nette Funktion im iOS. iPhone-Mauszeiger aktivieren „Nichts ist nerviger, als bei einem Tippfehler zu versuchen, den iOS-Cursor an die ...

Off Topic
Avengers 4: Endgame - Erster Trailer
Information von Frank vor 6 TagenOff Topic2 Kommentare

Ich weiß es ist Off Topic, aber ich freue mich auf diesen Film und vielleicht geht es anderen hier ...

Heiß diskutierte Inhalte
Windows Server
Einziger Domänencontroller ersetzen - Windows Server 2012R2 - Hostname
Frage von DeRo93Windows Server26 Kommentare

Guten Tag, Leider haben wir einen Domänencontroller dessen Komponentenspeicher defekt ist. Alle Maßnahmen sind da leider fehlgeschlagen. Nun wurde ...

Server-Hardware
WS 2016 Essentials Hardware
Frage von ChefknechtServer-Hardware20 Kommentare

Moin welche Hardware würdet ihr empfehlen? Dell Poweredge HP Proliant Fujitsu Ich bin total konfus was nun nötig ist, ...

Windows Server
Welche Option fürs Windows Server Installations besser
Frage von backitWindows Server18 Kommentare

Hi Zusammen, ich werde unserer AD (SBS 2011) und Exchange 2010 Servern auf neuen physikalischen Server umziehen. ich habe ...

Windows Update
Fehler bei Updates über WSUS
Frage von Hendrik2586Windows Update11 Kommentare

Guten Tag liebe Kolleginen und Kollegen, lang lang ist meine letzte Anfrage her. Hier etwas das mich nun schon ...