mygil 10 Geschrieben 7. April 2015 Melden Teilen Geschrieben 7. April 2015 Hallo! Ich möchte einen Windows Server 2012 Standard im Internet als Webserver (IIS) für ASP.NET Webanwendungen betreiben. Für diesen Zweck habe ich einen Rootserver (bei www.hetzner.de) gemietet und mittels Hyper-V eine virtuelle Maschine erstellt (Windows Server 2012 Standard inkl. IIS). Der Server läuft für meine Test und Developing Zwecke einwandfrei. In einem normalen lokalen Netzwerk würde ich so einem Server durch Firewalls/Routers/Port-Regeln und separaten Datenbankserver etc. absichern. Wie kann man aber so einen virtuellen Webserver der direkt im Internet steht absichern? Danke für eure Hilfe im Voraus. myGil Zitieren Link zu diesem Kommentar
Beste Lösung daabm 1.335 Geschrieben 7. April 2015 Beste Lösung Melden Teilen Geschrieben 7. April 2015 Genauso - dafür gibt es die Windows-Firewall :) Zitieren Link zu diesem Kommentar
mygil 10 Geschrieben 8. April 2015 Autor Melden Teilen Geschrieben 8. April 2015 Hallo! Danke für die Antwort - obwohl ich jetzt ein wenig überrascht bin. Ich dachte ich würde hier jetzt auf eine Menge an Sicherheitsprobleme hingewiesen werden und jede Menge Gründe warum ich das so auf keinen Fall betreiben dürfte. Im Augenblick verwendet der Server nur die Windows-Firewall mit allen Standard-Einstellung nach einer neu Installation. Die Windows Updates halte ich selbstverständlich aktuell. Gibt es hier kein bedenken die ich noch berücksichtigen müsste wenn ich diesen Webserver zukünftig für kommerzielle Anwendungen betreiben möchte? Hat jemand zudem noch einen Tipp mit welchen (wenn möglich kostengünstigen) Virenscan ich diesen Server ausstatten sollte? lg myGil Zitieren Link zu diesem Kommentar
Pitti259 15 Geschrieben 8. April 2015 Melden Teilen Geschrieben 8. April 2015 (bearbeitet) Ich muss vorausschicken, kein Virtualisierungsspezi zu sein. Aber, mir wurde in einem Audit mal ein Konstrukt vorgelegt, wo auf einer Virtualisierungsplattform mehrere Server an einer ebenfalls virtualisierten Linux-Firewall hingen. Und nur die Firewall ging tatsächlich in die pöse Internetwelt hinaus. Wäre dies nicht das Richtige für diese Anforderung? Falls ich mir hier einen Bären habe aufbinden lassen, bitte ich um Rückmeldung. Nochmals aber, sind denn die Daten auf dem Server schutzbedürftig? Die Anwendungen, sind diese schutzbedürftig? Gibt es vertrauliche Informationen auf dem Server? Könnte es ausreichen, den Server ein zwei Mal pro Tag aus einem Image heraus automatisiert neu aufzusetzen, um die Einbettung von Schadsoftware zu vereiteln? Kernfrage, wovor muss der Server geschützt werden? bearbeitet 8. April 2015 von Pitti259 Zitieren Link zu diesem Kommentar
daabm 1.335 Geschrieben 8. April 2015 Melden Teilen Geschrieben 8. April 2015 Gegenfrage: Microsoft läßt naturgemäß alle seine Webseiten auf IIS laufen (http://toolbar.netcraft.com/site_report?url=https://login.live.com) - warum sollte ein IIS nicht direkt im Internet stehen dürfen? Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 8. April 2015 Melden Teilen Geschrieben 8. April 2015 Ich muss vorausschicken, kein Virtualisierungsspezi zu sein. Aber, mir wurde in einem Audit mal ein Konstrukt vorgelegt, wo auf einer Virtualisierungsplattform mehrere Server an einer ebenfalls virtualisierten Linux-Firewall hingen. Und nur die Firewall ging tatsächlich in die pöse Internetwelt hinaus. Wäre dies nicht das Richtige für diese Anforderung? Das kenne ich von einigen kleineren Firmen auch. Als VM läuft PFSense, Verwaltung des Host/VMs geht nur per VPN an die PfSense. Nach außen ist nur 80/443 geöffnet per Weiterleitung an den IIS. Damit minimiert man die Angriffspunkte. Regelmässige Updates und checken der Logs sollte trotzdem dazugehören. Und was häufig vergessen wird sind Exploits in den Webanwendungen. Ob dann ein Apache oder IIS läuft ist dann fast egal und das kannst du mit wenig Geldmitteln nicht abfangen. Zitieren Link zu diesem Kommentar
mygil 10 Geschrieben 9. April 2015 Autor Melden Teilen Geschrieben 9. April 2015 Hallo! Danke für eure Antworten! Gegenfrage: Microsoft läßt naturgemäß alle seine Webseiten auf IIS laufen (http://toolbar.netcr.../login.live.com) - warum sollte ein IIS nicht direkt im Internet stehen dürfen? Ich selbst hab absolut keine Einwände und praktisch genau die Frage stelle ich ja an das Forum hier :) ( Hatte mal einen Windows Server Essential mit Standard-Firewall-Einstellungen zu Testzwecke auf der gleichen Art im Einsatz.Anfang lief alles perfekt dann wurden alles extrem langsam und ich bekam Abuse-Meldungen. Die Ursache/Lösung war sehr einfach: Mann muss unbedingt die Ports der DNS-Dienste sperren. Diesmal hab ich mir gedacht ich frag mal in das Forum ob jemand zufällig genau so einen Tipp für mich hat :) ) Nochmals aber, sind denn die Daten auf dem Server schutzbedürftig? Die Anwendungen, sind diese schutzbedürftig? Jeder kleine Webshop beinhaltet doch schon jede Menge schutzbedürftige Kundendaten und zwar aus Sicht des Kunden und des Webshop-Besitzers. Kernfrage, wovor muss der Server geschützt werden? Nichts besonders aber es handelt sich halt um einen Webanwendung und da kann ja jeder Mensch etwas böses versuchen. Also ich glaub inzwischen dass ich das schon richtig mache! Könnt ihr mir noch einen Tipp geben was man heutzutage für einen Windows SErver 2012 am besten für einen Virenscan verwendet? Danke! lg myGil Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 9. April 2015 Melden Teilen Geschrieben 9. April 2015 Moin, also wenn das System regelmäßig gepatcht wird sehe ich eigentlich auch kein Problem darin einen Windows Server direkt im Internet zu betreiben. Machen hier im Forum sicherlich auch sehr viele so (z.B. Exchange). Wenn Du ein höheres Sicherheitsniveau erreichen willst bietet sich ein Reverse-Proxy an wie Ihn z.B. diverse UTM-Lösungen anbieten. Dort hängt dann nur die UTM direkt im Internet. Die Daten zum Webserver laufen dann zunächst über die UTM und können dort nochmals geprüft werden. Der überwiegende Teil der Sicherheitslecks entstehen eh durch Fehler in der Programmierung der eigentlichen Webanwendung und nicht durch den eigentlichen Webserver selbst. Siehe diverse Bugs in Webshops, CMS-Systemen usw. Da nutzt Dir dann auch das Patchen des Webservers nichts (und auch kein Reverse-Proxy)! Gruß Dirk Zitieren Link zu diesem Kommentar
mygil 10 Geschrieben 9. April 2015 Autor Melden Teilen Geschrieben 9. April 2015 Hallo! Also ich bin mir jetzt um einiges sicherer dass das mit meinem virtuellen IIS Webserver im alles Internet passt! Die Anwendungen die ich entwickle passen auf jeden FAll: Da verwende ich ASP.NET MVC inkl. den fertigen Membership Authentifizierung und Autorisierung Funktionen sowie Clientseitiges und Serverseite Validierung und halt mich auch sonst an die Spielregel. WEnn es mal ernster wird dann gibt's https :) Danke für eure Feedbacks! lg myGil Zitieren Link zu diesem Kommentar
daabm 1.335 Geschrieben 9. April 2015 Melden Teilen Geschrieben 9. April 2015 Die Ursache/Lösung war sehr einfach: Mann muss unbedingt die Ports der DNS-Dienste sperren. Das gehört aber fast zu den "Basics" :D Man "sperrt" keine Ports, sondern man blockt inbound alles und macht nur genau das auf, was von außen auch gebraucht wird - hier vmtl. also nur 80/443 und nur für den IIS WWW-Dienst. Und wer noch eine Nummer sicherer gehen will, blockt auch outbound alles und macht nur genau das auf, was gebraucht wird. Das kann aber etwas Arbeit bedeuten :) Zitieren Link zu diesem Kommentar
mygil 10 Geschrieben 9. April 2015 Autor Melden Teilen Geschrieben 9. April 2015 Genau so kenn ich das von Firewalls oder Routers. Zuerst wird alles gesperrt und dann wird nur das wirklich benötigte geöffnet. Macht man das bei einer Windows Firewall nach einer neu Installation auch so oder wie? Würd Sinn ergeben :) myGil Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 9. April 2015 Melden Teilen Geschrieben 9. April 2015 Der überwiegende Teil der Sicherheitslecks entstehen eh durch Fehler in der Programmierung der eigentlichen Webanwendung und nicht durch den eigentlichen Webserver selbst. Siehe diverse Bugs in Webshops, CMS-Systemen usw. Da nutzt Dir dann auch das Patchen des Webservers nichts (und auch kein Reverse-Proxy)! Dafür gibt es WAF (Web Applications Firewalls), die bestimmte Angriffe unterbinden können. Diese sind auch meist als Reverse Proxy implementiert. Aber wie bei allen Sicherheitsthemen: Es helfen keine einzelne Tools und Lösungen sondern man benötigt ein komplettes Konzept und man muss dranbleiben. Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 9. April 2015 Melden Teilen Geschrieben 9. April 2015 WEnn es mal ernster wird dann gibt's https :) Tu dir und deinen Kunden doch einen gefallen und mach direkt alles per https. Einfach http auf https per default weiterleiten und alle sind glücklich. Von einem vernünftigen Shop der neustartet und das direkt macht wäre ich direkt positiv begeistert. 1 Zitieren Link zu diesem Kommentar
mygil 10 Geschrieben 11. April 2015 Autor Melden Teilen Geschrieben 11. April 2015 Danke für den Tipp! Ich wollte mir das Thema HTTPS eigentlich noch "aufbewahren" aber jetzt hab ich mir diesbezüglich ein schlauer gemacht, gelernt und umgesetzt! ASP.NET MVC sowie alles anderen von Microsoft! ROCKS !!! lg myGil Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.