posterme 10 Geschrieben 15. Februar 2007 Melden Teilen Geschrieben 15. Februar 2007 Hi Leute, bin mir jetzt nicht ganz sicher ob hier rein, oder in Backoffice, wenn dann verschieben bitte :). Folgendes Problem: Wir haben eine neues CMS bekommen, das Zugriff auf seine eigenen Datenbanken auf nem DB-Server benötigt. Jetzt wollt ich es eigentlich so machen, das ich am ISA nur eine Webveröffentlichung für diesen Server, sprich Port 80 und Port 21 mache. Ist das ein großes Risiko ? Gibts evtl. Leute, die ihren Webserver in der Domäne stehen haben? Wie sind da die Erfahrungswerte? Danke im Voraus! Zitieren Link zu diesem Kommentar
posterme 10 Geschrieben 6. März 2007 Autor Melden Teilen Geschrieben 6. März 2007 hmm... noch immer keine antwort :) Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 6. März 2007 Melden Teilen Geschrieben 6. März 2007 Hi, oh den habe ich übersehen. Also grundsätzlich ist das ein absolutes nogo - einen Webserver direkt ins LAN ohne richtige DMZ. Wenn die Maschine dann auch noch in der Domäne hängt dann ist das ein doppeltes nogo. Ein solcher Aufbau gefährtet evtl. vorhandene weitere Systeme und Anwendungen in eurem intranet unnötig. Wenn die Anwendung so kritisch ist, dass ihr sie unbedingt selber betreiben wollt / müßt dann sollte man meiner Meinung nach auch das Geld in die Hand nehmen und einen vernünftigen und vor allem sicheren Aufbau wählen. Vergleiche: Startseite Bundesamt für Sicherheit in der Informationstechnik (Grundsschutzhandbuch) Windows Server How-To Guides: Firewall Szenarien - ServerHowTo.de (Ausführungen zum Aufbau einer "richtigen DMZ") Gruß Zitieren Link zu diesem Kommentar
posterme 10 Geschrieben 6. März 2007 Autor Melden Teilen Geschrieben 6. März 2007 Hi Johannes, danke für das Feedback. Mir wurde gesagt, das wenn ich das IIS-Lockdowntool + SCW verwende, das kein größeres Problem darstellt. IIS Lockdowntool ist aber eh nur für Versionen von IIS vor 6x oder? Problem ist hat, dass das CMS 3 DBs benötigt, die halt jetzt schon auf unserem DB-Server laufen... Ebenso wäre es für den FTP besser, da wir in unserer ADS unsere Partner schon als Benutzer erfasst haben, und sich hier die Verwaltung erleichtern würde, wenn diese für unser partner-extranet und für ftp den selben account nehmen könnten... Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 6. März 2007 Melden Teilen Geschrieben 6. März 2007 Hi, technisch ist das alles kein Thema. Aus Sicherheitsgesichtspunkten jedoch ein absolutes mega nogo. Bei einem Security Audit wäre das ein leutend roter Punkt... Ich kenne euren genauen Aufbau der Systeme jetzt nicht - aber man kann in der Regel hier auch eine Implementierung vornehmen die die Authentifizierung mit internen accounts in der DMZ ermöglicht. Das ganze ist halt eine Kostenfrage. Wie sieht den der geplante Aufbau genau aus? Gruß Zitieren Link zu diesem Kommentar
posterme 10 Geschrieben 6. März 2007 Autor Melden Teilen Geschrieben 6. März 2007 bisher: DMZ: 1 Server (WWW und FTP) Problem: Userverwaltung auf dem DMZ-Server Serververwaltung jetzt gewollt: Domäne: 1 Server (WWW und FTP) 1 Server (DBServer(auch mit ProduktivDBs) [3 verschiedene DBs für CMS]) Das neue CMS greift eben auf 3 DBs zu, die auf unserem Produktiv-DB-Server(2005) liegen. Ebenso werden in naher Zukunft auf Abfragen auf unsere Produktiv-DB geschehen, z.B. für eine Auflistung aller Kunden/Partner/Referenzen etc. Ebenso wäre es leichter für unsere Kunden/Partner, wenn diese den selben Account nutzen könnten, den Sie schon zur Anmeldung an unser ExtraNet verwenden. Somit müsste nur noch ein Account für die externen User gewartet werden. Also du hälst nichts vom Security Configuration Wizard zur Verstärkung der Sicherheit? IIS Lockdown brauch ich für IIS 6.0 nicht mehr oder? noch ne Zwischenfrage: Wenn ich doch den Server in die DMZ stelle, und mit einem Account die Verbindung zur Domäne aufbaue, habe ich doch im Grunde fast das selbe Sicherheitsrisiko oder? Danke ! Zitieren Link zu diesem Kommentar
mcdaniels 29 Geschrieben 6. März 2007 Melden Teilen Geschrieben 6. März 2007 Hey! Auch wenns jetzt nicht unbedingt etwas zur Frage beiträgt, aber WAN ins LAN sollte NIE "einfach so" möglich sein (hat ja eigentlich Johannes eh schon gesagt). ...und sich hier die Verwaltung erleichtern würde, wenn diese für unser partner-extranet und für ftp den selben account nehmen könnten... Das mit der Verwaltungsvereinfachung gilt dann aber auch nur solange, bis dir einer in die Domäne reinzischt und vielleicht selbige aushebelt, dann is nämlich Alarmstufe rot ;) Edit: Bin zwar noch immer nicht ganz bei deiner Erklärung "durchgestiegen", aber würde dir in jedem Fall raten, die Kiste in die DMZ zu stellen und den Zugriff dann von aussen soweit wie möglich per Firewallpolicy einzuschränken. Wenn möglich sollten evtl. nur genau spezifizierte IP Adressen zugreifen dürfen etc... Wie greifen eure Partner denn genau auf das CMS zu? Haben die nen eigenen Internetzugang oder gibts da ne Direktvernetzung oder dgl. Zitieren Link zu diesem Kommentar
posterme 10 Geschrieben 6. März 2007 Autor Melden Teilen Geschrieben 6. März 2007 Hey!Auch wenns jetzt nicht unbedingt etwas zur Frage beiträgt, aber WAN ins LAN sollte NIE "einfach so" möglich sein (hat ja eigentlich Johannes eh schon gesagt). Für was gibts dann so ****e Konfig-Möglichkeiten wie Serververöffentlichung oder Webveröffentlichung? Auf das CMS muss keiner zugreifen können, das Extranet ist ein SPS, das von aussen ebenfalls erreichbar ist... Wurde nach der ISA-FAQ-Seite veröffentlicht, also der SPS fürs Extranet.... Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 6. März 2007 Melden Teilen Geschrieben 6. März 2007 Ich würde Web- und FTP Server schon in eine DMZ stellen, also ein separates IP Netz, und dann die Zugriffsregeln und Netzwerkregeln am ISA entsprechend erstellen. Der ISA kann dann mit 3 Interfaces ausgerüstet sein, oder du erstellst eine Konfig mit 2 FWs zwischen DMZ und Internet einerseits und DMZ und Lan andererseits. Christoph Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 6. März 2007 Melden Teilen Geschrieben 6. März 2007 Hi, wenn du das alles selber ohne externe oder interne Hilfe umsetzen mußt würde ich dir empfehlen auf jeden Fall die entsprechenden Seiten aus dem Grundschutzhandbuch zu studieren. Dir wird dann sehr schnell klar werden, dass ein Aufbau wie er angedacht ist so nicht sicher ist. Liebe Grüße Zitieren Link zu diesem Kommentar
posterme 10 Geschrieben 7. März 2007 Autor Melden Teilen Geschrieben 7. März 2007 Danke Ihr Drei für Eure Antworten ! Aber eine Frage bleibt trotzdem noch: Wieso gibt es am ISA eine Webveröffentlichung. Und warum hat M$ auf ner SPS-Konf so ein Extranet ebenfalls so veröffentlicht wie wir? Danke! :D Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.