Re: Windows 2000 Server verliert verbindung ins Internet
From: Daniel Melanchthon (melanchthon_at_gmx.de)
Date: 04/09/04
- Next message: Thomas K.H. Bittner: "Re: VPN - Ping geht mal, mal nicht"
- Previous message: Daniel Melanchthon: "Re: 2 Netzwerkkarten zum "Weiterverbinden""
- In reply to: Thomas Krug: "Re: Windows 2000 Server verliert verbindung ins Internet"
- Next in thread: Markus Lange: "Re: Windows 2000 Server verliert verbindung ins Internet"
- Reply: Markus Lange: "Re: Windows 2000 Server verliert verbindung ins Internet"
- Messages sorted by: [ date ] [ thread ]
Date: Fri, 09 Apr 2004 12:35:51 +0200
Thomas Krug schrieb:
[einen Wust von zitierten Mails und danach viel schlaues]
>>bzg. 2. netzwerkkarte fürs hausnetz:
>>diese gehen auch über die firewall
>>die firewall unterscheidet
>>LAN
>>DMZ
>>WAN
Ich würde an der Stelle mal das gesamte Konzept überdenken. Selbst
wenn die DMZ-Server nur noch eine Netzwerkkarte haben, sind sie in der
Domäne Mitglied. Da mußt Du soviele relevante Ports zwischen DMZ und
LAN öffnen - da lohnt sich überhaut die DMZ-Konfiguration nicht mehr.
Ich würde daher die Konfiguratin komplett ändern.
1. Möglichkeit: Weg mit der DMZ
-------------------------------
Alle Windows-Rechner stehen im LAN. Die Webanwendung wird über
One2One-NAT nach außen zur Verfügung gestellt. Genauso die Email.
Vorteil: Simple Regelkonfiguration. Single-homed Server.
Nachteil: Bei Kompromittierung des IIS ist der Angreifer im LAN.
Der Nachteil wäre aber auch bei der jetzigen Konfiguration und auch
bei korrekter Verwendung der DMZ gegeben, da die IISse
Domainmitglieder sind.
2. Möglichkeit: Eigene Domäne in der DMZ
----------------------------------------
Im LAN gibt es einen File- und Printserver für die USer. In der DMZ
steht die Webandwendung in einer eigenen Domäne.
Vorteil: Zugriffe können sehr sauber über die Firewall geregelt
werden. Es müssen nur minimale Ports geöffnet werden.
Nachteil: Es ist weitere Hardware und Konwhow für die Umstellung
notwendig.
3. Möglichkeit: Linux-Server als Reverse Proxy in der DMZ, Rest im LAN
----------------------------------------------------------------------
Im LAN beherbergst Du die Windows-Server. Der Linux-Server steht in
der DMZ. AUf dem Linuxserver konfigurierst Du den Apache mit mod_proxy
als Reverse Proxy. Anfragen nach der Webanwendung gehen aus dem
Internet auf den Apache und der holt als Client die Anfragen über Port
80 aus dem LAN und liefert sie als Proxy wieder aus.
Vorteil: Einfache Firewallkonfiguration. Hohe Sicherheit. Im Falle
eines Einbruchs ist zuerst der Linuxserver zu überwinden. Dann kommt
man aber immer noch nicht weiter in s LAN - nur Port 80 auf den IIS.
Den muß man dann auch noch überwinden. Wenn alle Systeme auf dem
aktuellen Stand mit Patches versehen sind, braucht der Angreifer
gleichzeitig zwei Sicherheitslücken auf zwei verschiedenen Systemen.
Nachteile: Keine.
Wie Du siehts, empfehle ich Dir Möglichkeit 3 oder, bei entsprechendem
Budget, Möglichkeit 2. Auf jeden Fall sollte die Firewallkonfiguration
mit absolut minimalen Rechten arbeiten. Wichtig ist, dass Du nicht
einfach von LAN oder DMZ ausgehend alles erlaubst, sondenrn nur
explizit gebrauchte Protokolle. Dann kann ein Einbrecher auch nicht
einfach via TFTP Rootkits nachladen.
BTW: http://learn.to/quote für beide von Euch. Der Thread ist so was
von schlecht lesbar ;-)
Gruß!
Daniel
-- SYMPLASSON Informationstechnik GmbH http://www.symplasson.de "What is the color of a chameleon on a mirror?"
- Next message: Thomas K.H. Bittner: "Re: VPN - Ping geht mal, mal nicht"
- Previous message: Daniel Melanchthon: "Re: 2 Netzwerkkarten zum "Weiterverbinden""
- In reply to: Thomas Krug: "Re: Windows 2000 Server verliert verbindung ins Internet"
- Next in thread: Markus Lange: "Re: Windows 2000 Server verliert verbindung ins Internet"
- Reply: Markus Lange: "Re: Windows 2000 Server verliert verbindung ins Internet"
- Messages sorted by: [ date ] [ thread ]
Relevant Pages
|
