Re: Webserver sicher machen mit IPSec
- From: Frank Lindner <tm15874-seischlauprobierelinuxaus@xxxxxxxx>
- Date: Tue, 02 Aug 2005 15:57:38 +0200
Dennis Böck wrote:
> Vielen Dankf ür die wertvollen Hinweise!
>
> Ich habe mir folgendes überlegt:
> Ich erlaube den Zugriff auf die Ports 137-139 TCP und UDP (ich glaube das
> sind die Ports um auf Netzwerkfreigaben zugreifen zu können) nur noch für
> IP-Adressen die in dem lokalen Bereich von IP-Adressen liegen, die der RAS
> Server bei der VPN Einwahl vergeben hat.
Was soll gemacht werden, es hängt vom Umfeld ab.
UDP/137 - used by nmbd
UDP/138 - used by nmbd
TCP/139 - used by smbd
TCP/445 - used by smbd
für einfaches SMB mit Aufruf über IP funktioniert auch nur TCP/445
Der Kunde ist auch ein Problem, einen smb Port öffnet man eigentlich nur in
einem sicheren LAN, Dein Kunde muß also dann zu Deinem sicheren LAN
gehören.
> Dann dürften ja "Fremde", die sich nicht per VPN authentifiziert haben
> keine Gefahr mehr für netbios darstellen.
Die Fremden kommen über das eth-device und nicht über einen virtuellen
Adapter von VPN, da nimmst Du den Dienst Datei-und Druckfreigabe raus und
schon hört der Adapter nicht mehr auf die o.g. Ports. Das geht auch mit der
FW-GUI für incomming connections.
Und dann den Schalter für Dat.undDruck beim virtuelle VPN setzen, das sollte
auch bei MS-VPN gehen, ich benutze nur OpenVPN und da geht es so, es sollte
aber auch beim MS-VPN Server gehen.
Vielleicht kannst Du Dein Problem damit erledigen.
> Oder gibt es eine bessere Variante?
dem Prinzip nach: WebDAV
ich kann zu der MS Implementierung nur nichts im Detail bzgl. Sicherheit
sagen, außer das sie per se funktioniert..
WebDAV Befehle laufen unter http, WebDAV ist deutlich performanter als smb
und ist mit ssl "sicher".
Deine Kunden können auf freigegebene Ordner beliebig kopieren, löschen und
kopieren. Schau mal in der Windows Hilfe nach WebDAV oder Webordner wie es
bei MS heisst.
> Was die IPSec Richtlinie zum surfen angeht:
> 1. alles verbieten:
> mirrored: no, protocol: any, source port: any, destination port: any,
> source address: any, destination address: any -> block
> 2. surfen erlauben:
> mirrored: no: protocol: tcp, source port: any destination: 80, source
> address: my, destination adress: any -> permit
>
> So kann ich nicht surfen. Aber ich muss doch zuerst alles verbieten, oder
> nicht?
Ich glaube bei Windows03 gilt erstmalig: order does matter
also erst die ACCEPT Regeln
die letze Regel macht dann den DROP auf alles was bis dahin gekommen ist
bei XP war das wohl egal, zumindest steht da bei mir als erstes ein:
IPSecCmd -w REG -p IPRules -r BlockAllPorts -n BLOCK -f *+0
und dann die PASS Regeln
sowas gibt es auch noch:
http://www.systola.com/index.cfm?id=69
manche Hoster vermieten das mittlerweile für Windows-Server
.
- Follow-Ups:
- Re: Webserver sicher machen mit IPSec
- From: Dennis Böck
- Re: Webserver sicher machen mit IPSec
- References:
- Webserver sicher machen mit IPSec
- From: Dennis Böck
- Re: Webserver sicher machen mit IPSec
- From: Frank Lindner
- Re: Webserver sicher machen mit IPSec
- From: Dennis Böck
- Webserver sicher machen mit IPSec
- Prev by Date: Re: Webserver sicher machen mit IPSec
- Next by Date: Re: FTP und Files größer 2GB
- Previous by thread: Re: Webserver sicher machen mit IPSec
- Next by thread: Re: Webserver sicher machen mit IPSec
- Index(es):
Relevant Pages
|
