Externer Zugriff auf dem Server

[romeo2002 10]

:( Hi Leute! Hab ein Problem. Ich habe vor kurzem einen VPN - Server eingerichet. Alles funktioniert wunderbar. So mein Problem: Wenn ich von Remote über den Browser \\xxx.xxx.xxx.xxx (Ip-Adresse) eingebe kann ich auf die Serverfreigaben zugreifen,obwohl das nicht erwünscht ist, weil fremde auch die Daten sehen können :mad: . Es soll ja alles über VPN laufen und die Daten verschlüsselt übetragen werden. Vor dem einrichten war das auch so. Wie kann ich verhindern dass niemand einfach über den Browser auf den server gelangt, ???

 

Danke im vorraus.

[romeo2002 10]

Hey Leute will mir denn keiner weiterhelfen??? Ich komme nicht mehr weiter. Die Freigaben sind immer noch für fremde zu sehen.

Sie haben zwar keine Rechte die Daten zu modifizieren, können aber die Freigaben sehen. Bitte helft mir.

[Nic 10]

Hm...

 

Also ob du dem Server sagen kannst, dass er NUR VPN-Verbindungen zulässt weis ich nicht. Aber wenn du das nicht tust wird er auch seine Freigaben anzeigen. VPN ist ja eher ne "sichere" Verbindung über ein "nicht vertrauenswürdiges" Netz. Vermutlich (in deinem Fall) das Internet...

 

Aber nach deiner Aussage greifst du via UNC-Pfad (siehe dein Text \\xxx.xxx.xxx.xxx) zu. Das geht (meines Wissens) übers Internet so nicht.

 

Schlussfolgerung: Du greifst momentan über LAN und nicht über ne WAN Verbindung zu...

 

Wenn du vermeiden willst, dass nicht befugte Personen sich die Freigabenamen anzeigen lassen, musst du diese mit einem angefügten"$" verstecken und dann nur den Befugten den Freigabenamen bekanntgeben.

 

Wenn die Anzeige der Freigabe ok ist aber der Inhalt der Ordner nicht aufgelistet werden soll, bekommst du das über NTFS-Berechtigungen hin. Da kann man einfach eine Berechtigungsart "Ordnerinhalt auflisten" geben oder nehmen...

 

so weit mal...

 

Gruss

 

 

Nic

[romeo2002 10]

Danke Nic für Deine Antwort. Wir haben eine öffentlich IP-Adresse und ich kann von über den UNC Pfad via WAN direkt auf dem Server zugreifen. Das mit dem "$" ist mir schon klar, doch die Benutzer müssen ohne Aufwand schnell auf die Freigaben zu greifen können. Vielleicht gibt es da noch eine andere Lösung???

[nobi 10]

Hallo

 

meine empfehlung - sucht Dir möglichst schnell eine Firewall die VPN integriert hat. Dann brauchst noch ne gute Clientsoftware z.B. PGP die 3DES IPsec Verschlüsslung unterstüzt.

 

VPN von Windows 2000 ist sehr kompliziert zuinstallieren und nur unter W2000 / XP mit der Verschlüsslung 3DES, IPsec nutzbar. Alles andere ist ein nicht kalkulierbares Sicherheitsrisiko und somit Schrott.

 

Gruss Nobi

[joemc26 10]

Frage Hat dein server eine oeffentliche IP ?

wenn ja ist das schlecht sehr schlecht

 

joemc26

[Dr.Melzer 191]

Warum ist eine öffentliche Ip-Adresse schlecht?

[joemc26 10]

Also ich wuerde nie einen Server meiner Firma eine öffentliche IP geben .

NIEMALS wegen der sichheit :shock:

 

joemc26

[Dr.Melzer 191]

Oft ist es erwünscht, dass er von aussen erreichbar ist. Zum Beispiel bei Web- oder Mailservern. Wir haben hier bei uns mehrere Server mit öffentlichen IP-Adressen laufen, weil das so gewünscht ist und auch Sinn macht.

[joemc26 10]

Ich will dich ja nicht angreifen. Aber sowas macht man einfach nicht !! Auch einen WEB oder MAIL server braucht keine öffentliche IP !! Man kann sie trotzdem erreichen (NAT)

[Christoph82 10]

Da muss ich joemc allerdings recht geben .

Ist ne wirklich arge sicherheitslücke!

Sowas macht man wirklich nicht wenn man ein bisschen was im Kopf hat!

Nicht persönlich gemeint!!!!!!!!!

 

ABER WIESO SOLLTE EIN WEB Oder MAIL-Server eine öffentliche IP besitzen ????

 

Haste schon mal was von DMZ gehört????

[Atila 10]

Hallo Leute,

 

bevor die Sache persönlich wird ;-) - bitte romeo2002 kannst Du uns die genaue NW Infrastruktur (z.B. Firewall, Router...) angeben, erst dann kann man beurteilen ob es fährlässig ist oder man nach bestem wissen und gewissen gehandelt hat.

 

Wobei die frage ist, mit welchem Aufwand man unkritische Daten schützen will, zudem bin ich mir sicher das ein Admin, Daten die kritisch sind, sowieso in einem anderen Aspekt sieht und sehen sollte weil er dafür PERSÖNLICH haftbar gemacht werden kann !!!!

 

 

Gruss

[Dr.Melzer 191]

Selbstverständlich ist das korrekt, dass eine Firewall mit DMZ die sauberste Lösung ist. Sofern es eine Hardwarefirewall "in the Box" ist hat diese die öffentliche IP-Adresse. In dem Momentaber, wen du Softwarefirewalls (den ISA-Server von MS zum Beispiel, oder den Bordermanager von Novell) laufen diese auf einem Server, welcher auf mindestens einer Netzwerkkarte eine öffentliche IP-Adresse benötigt.

[nettocc 10]

das zauberwort heisst DMZ was so viel bedeutet wie demilitarisierte zone.

die ist ein weiteres device auf einer firewall (non homeoffice - viel teuer), welches fähig ist server öffentlich zu adressieren und diese trotzdem zu schützen.