12
XP prof server ohne firewall in dmz?
Hallo, ich hoffe ihr könnt mir helfen ich hab auf dem Gebiet NOCH sehr lückenhaftes Wissen. Ich möchte mir ein Homeserver zulegen und ihn als VPN/Datei/Web -server nutzen.
Sinn und Zweck:
-Altes Notebook ohne display usw mit win xp prof. wird der Server
-1 Notebook umts soll von unterwegs auf die wichtigsten Daten zugreifen können evtl auch per remote desktop!
-Mein PC soll auch an die Daten kommen (Lokal)
-Mein Kollege soll mit in das VPN damit wir Daten austauschen können und vor allem unsere Vista Kalender synchen können
-Es soll eine Webseite drauf laufen
-ES SOLL ÜBERWIEGEND SICHER SEIN ... das ist das aller wichtigste!
Lösungsvorschlag:
-Via Dyndns eine domain (schon erledigt)
-Benutzer angelegt aber noch keine GPOs geschrieben (Kollege soll ja nix verstellen ^^)
-Remote desktop einrichten (erledigt)
-xampp oder einzelne komponenten für den webserver nachinstallieren welche weiss ich noch nicht.
-openvpn soll für das vpn genuzt werden...
-als sicherheitsmaßnahme falls doch mal jemand auf den server kommt werden truecrypt-container genutzt und backups gemacht!
-evtl zonearlarm als firewall ... aber nur wenns sein muss
-DMZ ist im router die ip x.x.x100 eingestellt dhcp geht ab x.x.x101 los für die anderen rechner (per wlan wird öfter von gästen genuzt)
Fragen bzw. Unsicherheiten:
-Firewall Pflicht? (gibt doch probleme beim remote desktop übers internet ...)
-habe ich noch andere wichtige Sachen zwecks Sicherheit vergessen?
-wie hoch ist die Gefahr das jemand an meine PCs direkt kommt? Da ich für mein desktop pc nur die routerfirewall nutze weiss ich nicht ob die noch so arbeitet wie sie soll durch die DMZ
Wäre genial wenn ihr mir nützliche Tipps geben könntet (dazu gehört nicht "kauf dir win server x" ;) hatte ich schon versucht mit w2k server da gabs keine treiber alles andere ist zu teuer!!!)
Ansonsten wer Schreibfehler findet (von denen gibt es genug ;)) darf Sie behalten ich bin hier nicht im Diktat und denke mal jeder weiss was ich meine.
Freu mich schon auf eure Antworten =)
Sinn und Zweck:
-Altes Notebook ohne display usw mit win xp prof. wird der Server
-1 Notebook umts soll von unterwegs auf die wichtigsten Daten zugreifen können evtl auch per remote desktop!
-Mein PC soll auch an die Daten kommen (Lokal)
-Mein Kollege soll mit in das VPN damit wir Daten austauschen können und vor allem unsere Vista Kalender synchen können
-Es soll eine Webseite drauf laufen
-ES SOLL ÜBERWIEGEND SICHER SEIN ... das ist das aller wichtigste!
Lösungsvorschlag:
-Via Dyndns eine domain (schon erledigt)
-Benutzer angelegt aber noch keine GPOs geschrieben (Kollege soll ja nix verstellen ^^)
-Remote desktop einrichten (erledigt)
-xampp oder einzelne komponenten für den webserver nachinstallieren welche weiss ich noch nicht.
-openvpn soll für das vpn genuzt werden...
-als sicherheitsmaßnahme falls doch mal jemand auf den server kommt werden truecrypt-container genutzt und backups gemacht!
-evtl zonearlarm als firewall ... aber nur wenns sein muss
-DMZ ist im router die ip x.x.x100 eingestellt dhcp geht ab x.x.x101 los für die anderen rechner (per wlan wird öfter von gästen genuzt)
Fragen bzw. Unsicherheiten:
-Firewall Pflicht? (gibt doch probleme beim remote desktop übers internet ...)
-habe ich noch andere wichtige Sachen zwecks Sicherheit vergessen?
-wie hoch ist die Gefahr das jemand an meine PCs direkt kommt? Da ich für mein desktop pc nur die routerfirewall nutze weiss ich nicht ob die noch so arbeitet wie sie soll durch die DMZ
Wäre genial wenn ihr mir nützliche Tipps geben könntet (dazu gehört nicht "kauf dir win server x" ;) hatte ich schon versucht mit w2k server da gabs keine treiber alles andere ist zu teuer!!!)
Ansonsten wer Schreibfehler findet (von denen gibt es genug ;)) darf Sie behalten ich bin hier nicht im Diktat und denke mal jeder weiss was ich meine.
Freu mich schon auf eure Antworten =)
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 124826
Url: https://administrator.de/contentid/124826
Ausgedruckt am: 24.11.2024 um 04:11 Uhr
12 Kommentare
Neuester Kommentar
Ok - "sehr lückenhaftes Wissen" und "Es soll überwiegend sicher sein" -> das schließt sich leider idR. aus!
Zu den Fragen:
- Ja, eine Firewall ist bei einem "Server" den man ins Web stellt pflicht. Allerdings kein ZoneAlarm oder ähnlichen Müll - sondern eine richtige Firewall.. Dazu gehört leider auch die saubere Einrichtung - d.h. derzeit noch zu vernachlässigen.
- Wie sieht es mit nem Virenscanner aus?
- Mach die DMZ ganz schnell mal wieder aus - und richte einfach nen Forward von nur den Ports ein die du WIRKLICH brauchst!
- Sofern möglich lasse die VPN-Einwahl vom Router erledigen - dann brauchst du gar keine Forwards, die VPN-User sind ja dann teil deines internen Netzwerkes
- xampp usw. als Webserver? Wofür? Ich würde nur die Dienste auf den XP bringen die du WIRKLICH brauchst. Grad weil XP m.W. auf 10 Connections beschränkt ist macht das als Server nicht viel Sinn... (bin bei den 10 Connects nicht wirklich sicher - ich hab XP nie als Server verwenden wollen... Ich kauf mir ja auch kein Fahrrad um auf der Autobahn zu fahren...)
Zu deiner letzten Aussage: "Ich bin hier nicht im Diktat und denke mal jeder weiss was ich meine": Stimmt, du bist nicht im Diktat, aber ein gut geschriebener Text macht das Lesen deutlich einfacher... Und du bist derjenige der Hilfe möchte - also darf man sich beim Schreiben auch soviel Mühe geben wie man von demjenigen der Antwort an Mühe für die Antwort erwartet...
Zu den Fragen:
- Ja, eine Firewall ist bei einem "Server" den man ins Web stellt pflicht. Allerdings kein ZoneAlarm oder ähnlichen Müll - sondern eine richtige Firewall.. Dazu gehört leider auch die saubere Einrichtung - d.h. derzeit noch zu vernachlässigen.
- Wie sieht es mit nem Virenscanner aus?
- Mach die DMZ ganz schnell mal wieder aus - und richte einfach nen Forward von nur den Ports ein die du WIRKLICH brauchst!
- Sofern möglich lasse die VPN-Einwahl vom Router erledigen - dann brauchst du gar keine Forwards, die VPN-User sind ja dann teil deines internen Netzwerkes
- xampp usw. als Webserver? Wofür? Ich würde nur die Dienste auf den XP bringen die du WIRKLICH brauchst. Grad weil XP m.W. auf 10 Connections beschränkt ist macht das als Server nicht viel Sinn... (bin bei den 10 Connects nicht wirklich sicher - ich hab XP nie als Server verwenden wollen... Ich kauf mir ja auch kein Fahrrad um auf der Autobahn zu fahren...)
Zu deiner letzten Aussage: "Ich bin hier nicht im Diktat und denke mal jeder weiss was ich meine": Stimmt, du bist nicht im Diktat, aber ein gut geschriebener Text macht das Lesen deutlich einfacher... Und du bist derjenige der Hilfe möchte - also darf man sich beim Schreiben auch soviel Mühe geben wie man von demjenigen der Antwort an Mühe für die Antwort erwartet...
Hallo, ich danke dir für deinen Beitrag.
Ich möchte die Sichertheit mit eurer Hilfe gewährleisten und mein Lückenhaftes Wissen ausfüllen, learning by doing.
zu den Punkten:
-welche firewall kannst du empfehlen?
-DMZ ausmachen ... werde ich gleich mal machen, in der hoffnung das noch alles so funktioniert wie es soll
-mein Router unterstüzt leider kein VPN daher bleibe ich dann doch bei openvpn wurde mir auch von anderen Admins empfohlen
-der Webserver sollte schon sein und das mit den 10 Zugriffen kann ich ja mal testen davon mal abgesehen wird die Site die drauf läuft nicht viele klicks bekommen wenn es die 10 verbindungen bekommt werde ich genug zu tun haben (PC-Notdienst/Kontaktseite)
-Gut du hast recht, ich hoffe du nimmst meine Rechtschreibung so an.
Also danke schonmal für die Tipps denke mal das ich den Server hinter die Routerfirewall stelle, bringt mich schon einiges weiter richtung Sicherheit. Wenn ich das richtig verstehe ist eine DMZ für größere Netzwerke die eine Eigene Hardwarefirewall bzw ein Firewallserver haben, seh ich das richtig?
Ich möchte die Sichertheit mit eurer Hilfe gewährleisten und mein Lückenhaftes Wissen ausfüllen, learning by doing.
zu den Punkten:
-welche firewall kannst du empfehlen?
-DMZ ausmachen ... werde ich gleich mal machen, in der hoffnung das noch alles so funktioniert wie es soll
-mein Router unterstüzt leider kein VPN daher bleibe ich dann doch bei openvpn wurde mir auch von anderen Admins empfohlen
-der Webserver sollte schon sein und das mit den 10 Zugriffen kann ich ja mal testen davon mal abgesehen wird die Site die drauf läuft nicht viele klicks bekommen wenn es die 10 verbindungen bekommt werde ich genug zu tun haben (PC-Notdienst/Kontaktseite)
-Gut du hast recht, ich hoffe du nimmst meine Rechtschreibung so an.
Also danke schonmal für die Tipps denke mal das ich den Server hinter die Routerfirewall stelle, bringt mich schon einiges weiter richtung Sicherheit. Wenn ich das richtig verstehe ist eine DMZ für größere Netzwerke die eine Eigene Hardwarefirewall bzw ein Firewallserver haben, seh ich das richtig?
bekommt werde ich genug zu tun haben (PC-Notdienst/Kontaktseite)
warum glaubt nur jeder, der eine Maus bedienen kann, er wäre der richtige für den Service rund um die EDV? Ach ja, wozu Wissen mitbringen, das kriege ich doch hier für lau...
Gruß, Arch Stanton
Ich würde mich ein wenig zurückhalten mit solchen Bemerkungen, du weisst nicht was ich kann und wie ich mein Wissen erlange. Nur weil ich jetzt einmal Hilfe brauche für ein Thema was ich bis vor kurzem vernachlässigt habe bedeutet das nicht das ich in anderen Bereichen genauso Amateur bin. Ich bin ziemlich jung und mache genug Fehler das gebe ich zu aber ich bekomme bis jetzt jedes Problem gelöst und lerne stets dazu also ich weiss nicht was daran auszusetzen ist!
Ich denke aber zu wissen auf was du anspielst! Die Leute die Ihren Rechner zweimal zusammengebaut haben und dann der Meinung sind das Sie sich auskennen! (So hab ich auch mal angefangen ;)) nur die Leute sind in dem Fall meine Kunden, ich darf denen dann erklären was die falsch gemacht haben und deren Mist ausbügeln!
Ich wollte nur damit sagen dass ich schon einiges mehr drauf habe als ne Maus zu bedienen, trotzdem nicht perfekt bin und nicht alles kann, aber wer kann das von sich behaupten?
Gruß Steven
Ich denke aber zu wissen auf was du anspielst! Die Leute die Ihren Rechner zweimal zusammengebaut haben und dann der Meinung sind das Sie sich auskennen! (So hab ich auch mal angefangen ;)) nur die Leute sind in dem Fall meine Kunden, ich darf denen dann erklären was die falsch gemacht haben und deren Mist ausbügeln!
Ich wollte nur damit sagen dass ich schon einiges mehr drauf habe als ne Maus zu bedienen, trotzdem nicht perfekt bin und nicht alles kann, aber wer kann das von sich behaupten?
Gruß Steven
Du willst ja nur einen Downloadserver für den kleinen Mann. Eine komplette Firewall ist dann dann wohl eher mit Kanonen auf Spatzen, da dir dein VPN mehr oder weniger ja schon genug Sicherheit gibt wenn du es mit OpenVPN und Zertifikaten machst wie im OpenVPN Howto beschrieben:
http://www.openvpn.net/index.php/open-source/documentation/howto.html
XAMP usw. ist vielzuviel Overhead ! Einfach einen Filesharing Webserver auf den XP Rechner wie den Klassiker HFS installieren:
http://www.rejetto.com/hfs/
OpenVPN mit drauf Installieren und als VPN Server einrichten. Auf deinen Clients den OpenVPN Client installieren:
http://openvpn.se/
Du könntest den HFS Server auch einfach nur als HTTPS Server laufen lassen, dann kannst du dir das VPN ganz sparen und einfach mit einem einfachen Port Forwarding im Router (TCP 443) arbeiten !
Ein auch für Laien verständlicher Artikel der ct' erklärt die vollständige Einrichtung mit dem HFS Server:
http://www.heise.de/kiosk/archiv/ct/2007/8/128_kiosk
DMZ Einrichten oder exposed host solltest du in jedem Falle bleiben lassen wie maretz richtig bemerkt. Einzig und allein den OpenVPN Port UDP 1194 musst du auf die statische IP Adresse deinen XP HFS Servers forwarden und gut ist...mehr ist nicht zu machen ! (Sofern du denn mit VPN arbeitest, sonst, mit einfachem Port Forwarding, ist es natürlch nur TCP 80 oder 443)
Das ist im Handumdrehen aufgesetzt und reicht für die Minimalanwendung mit 2 oder 3 Usern eigentlich vollkommen aus !
Für den File Upload empfiehlt sich dann ggf. noch ein FTP Server wie Cerberus:
http://www.cerberusftp.com/
oder Filezilla:
http://www.filezilla.de/
http://www.openvpn.net/index.php/open-source/documentation/howto.html
XAMP usw. ist vielzuviel Overhead ! Einfach einen Filesharing Webserver auf den XP Rechner wie den Klassiker HFS installieren:
http://www.rejetto.com/hfs/
OpenVPN mit drauf Installieren und als VPN Server einrichten. Auf deinen Clients den OpenVPN Client installieren:
http://openvpn.se/
Du könntest den HFS Server auch einfach nur als HTTPS Server laufen lassen, dann kannst du dir das VPN ganz sparen und einfach mit einem einfachen Port Forwarding im Router (TCP 443) arbeiten !
Ein auch für Laien verständlicher Artikel der ct' erklärt die vollständige Einrichtung mit dem HFS Server:
http://www.heise.de/kiosk/archiv/ct/2007/8/128_kiosk
DMZ Einrichten oder exposed host solltest du in jedem Falle bleiben lassen wie maretz richtig bemerkt. Einzig und allein den OpenVPN Port UDP 1194 musst du auf die statische IP Adresse deinen XP HFS Servers forwarden und gut ist...mehr ist nicht zu machen ! (Sofern du denn mit VPN arbeitest, sonst, mit einfachem Port Forwarding, ist es natürlch nur TCP 80 oder 443)
Das ist im Handumdrehen aufgesetzt und reicht für die Minimalanwendung mit 2 oder 3 Usern eigentlich vollkommen aus !
Für den File Upload empfiehlt sich dann ggf. noch ein FTP Server wie Cerberus:
http://www.cerberusftp.com/
oder Filezilla:
http://www.filezilla.de/
Moin,
irgendwie werd ich da jetzt nicht schlau draus. Entweder hast du ein Login mittels VPN - oder ein "freies Login" für den Webserver...
Solltest du jedoch auf die Idee kommen auf deinen Server FREMDE Leute zu lassen dann würde ich dir definitiv ein ernsthaftes System (Linux z.B. - kostet nix ist aber bei weitem nicht umsonst!) zu nutzen. Hier hast du dann auch gleich die nötigen Dienste (Apache Webserver, FTP-Server usw.) drauf -> und ein Remote-Login ist via SSH/SFTP auch möglich...
Hier würde ich in keinem Fall nen XP nehmen -> schon alleine weil es einige einschränkungen gibt (versuche mal das sich 2 Leute gleichzeitig via Remote-Desktop anmelden...).
Bei Linux hast du dann auch kein Problem mit der Firewall -> iptables und nen Text-Editor -> ab gehts
irgendwie werd ich da jetzt nicht schlau draus. Entweder hast du ein Login mittels VPN - oder ein "freies Login" für den Webserver...
Solltest du jedoch auf die Idee kommen auf deinen Server FREMDE Leute zu lassen dann würde ich dir definitiv ein ernsthaftes System (Linux z.B. - kostet nix ist aber bei weitem nicht umsonst!) zu nutzen. Hier hast du dann auch gleich die nötigen Dienste (Apache Webserver, FTP-Server usw.) drauf -> und ein Remote-Login ist via SSH/SFTP auch möglich...
Hier würde ich in keinem Fall nen XP nehmen -> schon alleine weil es einige einschränkungen gibt (versuche mal das sich 2 Leute gleichzeitig via Remote-Desktop anmelden...).
Bei Linux hast du dann auch kein Problem mit der Firewall -> iptables und nen Text-Editor -> ab gehts
Hallo, wieso siehst du Windows nicht als ernsthaftes System? Wenn man alles richtig konfiguriert sollte das doch auch sicher sein. Für Linux gibt es auch immer mehr exploits daher find ich das beides gleichwertig, nur mit windows kenne ich mich besser aus. Aber Ich werde deinen Tipp annehmen ich muss mich früher oder später sowieso mit Linux auseinandersetzen. Wer bald ma mit ner vm rumspielen.
Die DMZ habe ich sofort nach dem ich den Beitrag von Maretz gelesen habe geschlossen und das wie empfohlen per port forwarding geregelt. Auf die Idee hätte ich eigentlich selbst kommen müssen dann habe ich wenigstens meine Firewall.
Bisher kannte ich nur xampp als komlettpacket bzw hab ich nicht weiter nach Alternativen gesucht. Danke ich werde mir HFS mal genauer anschauen.
Danke für deine Ratschläge.
gruss Steven
Bisher kannte ich nur xampp als komlettpacket bzw hab ich nicht weiter nach Alternativen gesucht. Danke ich werde mir HFS mal genauer anschauen.
Danke für deine Ratschläge.
gruss Steven
Ich sehe Windows XP NICHT als ernsthaftes Server-System -> Windows-Server halte ich durchaus für akzeptabel (ich wähle eher nach den Anforderungen die ich habe als danach welches System bunter ist o.ä.).
XP als Server-System halte ich aus verschiedenen Gründen für Müll. Die Anzahl der gleichzeitigen Verbindungen ist beschränkt, nur max. 1 User zur Zeit angemeldet, die Rechteverwaltung via GPO ist immer für alle User (inkl. Admin) auf dem System gültig, ... Es ist eben ein CLIENT-System -> und genauso wie ein Fahrrad nichts auf der Autobahn zu suchen hat gehört ein Client-System nicht zum Server gemacht...
Natürlich kannst du nen XP auch halbwegs sicher bekommen - nur möchte ich behaupten das die Mühe dafür um ein vielfaches höher liegt als bei einem richtigen Server-System -> da die schon dafür vorgesehen sind das dort mehrere User drauf rumtoben...
XP als Server-System halte ich aus verschiedenen Gründen für Müll. Die Anzahl der gleichzeitigen Verbindungen ist beschränkt, nur max. 1 User zur Zeit angemeldet, die Rechteverwaltung via GPO ist immer für alle User (inkl. Admin) auf dem System gültig, ... Es ist eben ein CLIENT-System -> und genauso wie ein Fahrrad nichts auf der Autobahn zu suchen hat gehört ein Client-System nicht zum Server gemacht...
Natürlich kannst du nen XP auch halbwegs sicher bekommen - nur möchte ich behaupten das die Mühe dafür um ein vielfaches höher liegt als bei einem richtigen Server-System -> da die schon dafür vorgesehen sind das dort mehrere User drauf rumtoben...
Na dann hau rein!
Dieses Forum ist nun mal nichts für Warmduscher... wer seine ersten drei Beiträge eingestellt hat und sich dann nicht abmeldet wenn der Ton etwas rauher wird, der erweist sich als tauglich in der alltäglichen Administration. Ich kenne kein Forum, in dem so schnell auf Fragen geantwortet wird. Selbst spezielle Foren, wie z.b. das Forum für die Lancom-Freunde hat nicht soviel Kompetenz versammelt. Da setzt ein Beitrag schon mal Patina an, bevor mal jemand antwortet.
Dein Problem würde ich mit der Monowall lösen, dafür nimmst du einen ausrangierten PC, drei Netzwerkkarten und dann legst Du los. Eine DMZ ist schnell eingerichtet und Du lernst am lebenden Objekt. Gute Infos gibt es hier.
Gruß, Arch Stanton
Dieses Forum ist nun mal nichts für Warmduscher... wer seine ersten drei Beiträge eingestellt hat und sich dann nicht abmeldet wenn der Ton etwas rauher wird, der erweist sich als tauglich in der alltäglichen Administration. Ich kenne kein Forum, in dem so schnell auf Fragen geantwortet wird. Selbst spezielle Foren, wie z.b. das Forum für die Lancom-Freunde hat nicht soviel Kompetenz versammelt. Da setzt ein Beitrag schon mal Patina an, bevor mal jemand antwortet.
Dein Problem würde ich mit der Monowall lösen, dafür nimmst du einen ausrangierten PC, drei Netzwerkkarten und dann legst Du los. Eine DMZ ist schnell eingerichtet und Du lernst am lebenden Objekt. Gute Infos gibt es hier.
Gruß, Arch Stanton
Ja das war mir von vornherein klar nur versuch dir mal als 19 jähriger Azubi eine win2k3 zu kaufen die hab ich nicht unter 250€ gesehen, ich habe mir win2k gekauft dafür aber keine treiber gefunden ausserdem ist das mit den Updates so eine sache da diese eingestellt worden sind. Also bleibt mir nichts anderes übrig ich würde nur zu gerne mit einer Serverversion arbeiten aber es kostet mehr als es nuzt da kann ich auch erstmal mit xp einsteigen, ausserdem habe ich gelesen bzw es so verstanden das die GPOs nicht für den Ganzen PC gelten sondern jeweils für die einzelnen Benutzer. Ich wollte das bei gelegenheit auch noch autesten wie das genau ist aber momentan hänge ich bei openvpn fest.
Hallo, also noch einen rechner wäre jetze übertrieben da ich schon ein notebook als server laufen habe, einen pc als arbeitsplatz bzw client im vpn und ein netbook. Es würde den Rahmen sprengen.
aber danke ich schaus mir trotzdem mal an.
aber danke ich schaus mir trotzdem mal an.
