Windows Server 2012 - Direkt im Internet Sicherheit

[mygil 10]

Hallo!

 

Ich möchte einen Windows Server 2012 Standard im Internet als Webserver (IIS) für ASP.NET Webanwendungen betreiben.

Für diesen Zweck habe ich einen Rootserver (bei www.hetzner.de) gemietet und mittels Hyper-V eine virtuelle Maschine erstellt (Windows Server 2012 Standard inkl. IIS).

Der Server läuft für meine Test und Developing Zwecke einwandfrei.

 

In einem normalen lokalen Netzwerk würde ich so einem Server durch Firewalls/Routers/Port-Regeln und separaten Datenbankserver etc. absichern.

 

Wie kann man aber so einen virtuellen Webserver der direkt im Internet steht absichern?

 

Danke für eure Hilfe im Voraus.

myGil

 

 

 

[daabm 1.391]

Genauso - dafür gibt es die Windows-Firewall :)

[mygil 10]

Hallo!

 

Danke für die Antwort - obwohl ich jetzt ein wenig überrascht bin.

 

Ich dachte ich würde hier jetzt auf eine Menge an Sicherheitsprobleme hingewiesen werden und jede Menge Gründe warum ich das so auf keinen Fall betreiben dürfte.

Im Augenblick verwendet der Server nur die Windows-Firewall mit allen Standard-Einstellung nach einer neu Installation.

Die Windows Updates halte ich selbstverständlich aktuell.

 

Gibt es hier kein bedenken die ich noch berücksichtigen müsste wenn ich diesen Webserver zukünftig für kommerzielle Anwendungen betreiben möchte?

Hat jemand zudem noch einen Tipp mit welchen (wenn möglich kostengünstigen) Virenscan ich diesen Server ausstatten sollte?

 

lg myGil

[Pitti259 15]

Ich muss vorausschicken, kein Virtualisierungsspezi zu sein. Aber, mir wurde in einem Audit mal ein Konstrukt vorgelegt, wo auf einer Virtualisierungsplattform mehrere Server an einer ebenfalls virtualisierten Linux-Firewall hingen. Und nur die Firewall ging tatsächlich in die pöse Internetwelt hinaus. Wäre dies nicht das Richtige für diese Anforderung?

 

Falls ich mir hier einen Bären habe aufbinden lassen, bitte ich um Rückmeldung.

 

Nochmals aber, sind denn die Daten auf dem Server schutzbedürftig? Die Anwendungen, sind diese schutzbedürftig? Gibt es vertrauliche Informationen auf dem Server? Könnte es ausreichen, den Server ein zwei Mal pro Tag aus einem Image heraus automatisiert neu aufzusetzen, um die Einbettung von Schadsoftware zu vereiteln?

 

Kernfrage, wovor muss der Server geschützt werden?

bearbeitet 8. April 2015 von Pitti259

[daabm 1.391]

Gegenfrage: Microsoft läßt naturgemäß alle seine Webseiten auf IIS laufen (http://toolbar.netcraft.com/site_report?url=https://login.live.com) - warum sollte ein IIS nicht direkt im Internet stehen dürfen?

[NeMiX 76]

Ich muss vorausschicken, kein Virtualisierungsspezi zu sein. Aber, mir wurde in einem Audit mal ein Konstrukt vorgelegt, wo auf einer Virtualisierungsplattform mehrere Server an einer ebenfalls virtualisierten Linux-Firewall hingen. Und nur die Firewall ging tatsächlich in die pöse Internetwelt hinaus. Wäre dies nicht das Richtige für diese Anforderung?

 

 

Das kenne ich von einigen kleineren Firmen auch. Als VM läuft PFSense, Verwaltung des Host/VMs geht nur per VPN an die PfSense.

Nach außen ist nur 80/443 geöffnet per Weiterleitung an den IIS. 

Damit minimiert man die Angriffspunkte.

Regelmässige Updates und checken der Logs sollte trotzdem dazugehören.

 

Und was häufig vergessen wird sind Exploits in den Webanwendungen. Ob dann ein Apache oder IIS läuft ist dann fast egal und das kannst du mit wenig Geldmitteln nicht abfangen.

[mygil 10]

Hallo!

 

Danke für eure Antworten! 

 

 Gegenfrage: Microsoft läßt naturgemäß alle seine Webseiten auf IIS laufen (http://toolbar.netcr.../login.live.com) - warum sollte ein IIS nicht direkt im Internet stehen dürfen? 

Ich selbst hab absolut keine Einwände und praktisch genau die Frage stelle ich ja an das Forum hier :)

(

Hatte mal einen Windows Server Essential mit Standard-Firewall-Einstellungen zu Testzwecke auf der gleichen Art im Einsatz.
Anfang lief alles perfekt dann wurden alles extrem langsam und ich bekam Abuse-Meldungen.

Die Ursache/Lösung war sehr einfach: Mann muss unbedingt die Ports der DNS-Dienste sperren.

 

Diesmal hab ich mir gedacht ich frag mal in das Forum ob jemand zufällig genau so einen Tipp für mich hat :)

)

 

 

Nochmals aber, sind denn die Daten auf dem Server schutzbedürftig? Die Anwendungen, sind diese schutzbedürftig?

Jeder kleine Webshop beinhaltet doch schon jede Menge schutzbedürftige Kundendaten und zwar aus Sicht des Kunden und des Webshop-Besitzers.

 

Kernfrage, wovor muss der Server geschützt werden?

Nichts besonders aber es handelt sich halt um einen Webanwendung und da kann ja jeder Mensch etwas böses versuchen.

 

 

 

Also ich glaub inzwischen dass ich das schon richtig mache!

Könnt ihr mir noch einen Tipp geben was man heutzutage für einen Windows SErver 2012 am besten für einen Virenscan verwendet?

 

 

Danke!

lg myGil

[monstermania 53]

Moin,

also wenn das System regelmäßig gepatcht wird sehe ich eigentlich auch kein Problem darin einen Windows Server direkt im Internet zu betreiben.

Machen hier im Forum sicherlich auch sehr viele so (z.B. Exchange).

 

Wenn Du ein höheres Sicherheitsniveau erreichen willst bietet sich ein Reverse-Proxy an wie Ihn z.B. diverse UTM-Lösungen anbieten. Dort hängt dann nur die UTM direkt im Internet. Die Daten zum Webserver laufen dann zunächst über die UTM und können dort nochmals geprüft werden.

 

Der überwiegende Teil der Sicherheitslecks entstehen eh durch Fehler in der Programmierung der eigentlichen Webanwendung und nicht durch den eigentlichen Webserver selbst. Siehe diverse Bugs in Webshops, CMS-Systemen usw. Da nutzt Dir dann auch das Patchen des Webservers nichts (und auch kein Reverse-Proxy)!

 

Gruß

Dirk

[mygil 10]

Hallo!

 

Also ich bin mir jetzt um einiges sicherer dass das mit meinem virtuellen IIS Webserver im alles Internet passt!

Die Anwendungen die ich entwickle passen auf jeden FAll: Da verwende ich ASP.NET MVC inkl. den fertigen Membership Authentifizierung und Autorisierung Funktionen sowie Clientseitiges und Serverseite Validierung und halt mich auch sonst an die Spielregel. WEnn es mal ernster wird dann gibt's https :)

 

Danke für eure Feedbacks!

lg myGil

[daabm 1.391]

Die Ursache/Lösung war sehr einfach: Mann muss unbedingt die Ports der DNS-Dienste sperren.

Das gehört aber fast zu den "Basics" :D

 

Man "sperrt" keine Ports, sondern man blockt inbound alles und macht nur genau das auf, was von außen auch gebraucht wird - hier vmtl. also nur 80/443 und nur für den IIS WWW-Dienst.

 

Und wer noch eine Nummer sicherer gehen will, blockt auch outbound alles und macht nur genau das auf, was gebraucht wird. Das kann aber etwas Arbeit bedeuten :)

[mygil 10]

Genau so kenn ich das von Firewalls oder Routers.

Zuerst wird alles gesperrt und dann wird nur das wirklich benötigte geöffnet.

 

Macht man das bei einer Windows Firewall nach einer neu Installation auch so oder wie?

Würd Sinn ergeben :)

 

myGil

[Dukel 461]

Der überwiegende Teil der Sicherheitslecks entstehen eh durch Fehler in der Programmierung der eigentlichen Webanwendung und nicht durch den eigentlichen Webserver selbst. Siehe diverse Bugs in Webshops, CMS-Systemen usw. Da nutzt Dir dann auch das Patchen des Webservers nichts (und auch kein Reverse-Proxy)!

 

Dafür gibt es WAF (Web Applications Firewalls), die bestimmte Angriffe unterbinden können. Diese sind auch meist als Reverse Proxy implementiert.

Aber wie bei allen Sicherheitsthemen: Es helfen keine einzelne Tools und Lösungen sondern man benötigt ein komplettes Konzept und man muss dranbleiben.

[NeMiX 76]

 WEnn es mal ernster wird dann gibt's https :)

 

 

Tu dir und deinen Kunden doch einen gefallen und mach direkt alles per https. Einfach http auf https per default weiterleiten und alle sind glücklich. Von einem vernünftigen Shop der neustartet und das direkt macht wäre ich direkt positiv begeistert.

[mygil 10]

Danke für den Tipp!

 

Ich wollte mir das Thema HTTPS eigentlich noch "aufbewahren" aber jetzt hab ich mir diesbezüglich ein schlauer gemacht, gelernt und umgesetzt!

ASP.NET MVC sowie alles anderen von Microsoft! ROCKS !!!

 

lg myGil