2kServer in DMZ: Wie sichern?

[von Hohenstein 10]

Hallo zusammen,

 

ich habe vor den Linuxrechner in unserer DMZ durch einen Win2kServer zu ersetzten.

 

Was sollte ich tun, dass der Server dort halbwegs sicher ist. was tut man "normal"?

 

Wie gesagt, der Server sitzt in ner DMZ einer Firewall und leitet die Mails weiter an unseren Mailserver.

 

theoretisch sollte der Server doch schon relativ sicher sein, weil er hinter der Firewall sitzt?!

 

Was würdet ihr zusätzlich tun? (es sollte wie immer wenig kosten!)

 

Danke!!

 

Gruß Michael

[edv-olaf 10]

Hallo,

 

du schreibst zwei Dinge, die deine Frage etwas paradox klingen lassen.

1.) Ist der Linux-Rechner nicht sicher? Warum Windows?

Schau dir die Anzahl der bekannten Sicherheitslücken an und vergleiche, was sicherer ist.

2.) Es sollte immer wenig kosten, was würdet Ihr tun?

Vergleiche die Kosten für Linux und Windows-Server und überlege dann, ob dein Vorhaben sinnvoll ist.

 

Grüße

Olaf

[von Hohenstein 10]

Da ich mich mit Linux nicht auskenne, und zudem den Server noch für andere Programme (die nur unter Win laufen) brauche ist es erforderlich. Das ist nicht die Frage. Die Frage ist wie bringe ich den Server billig sicher?

[Dr.Melzer 191]

Original geschrieben von von Hohenstein

Die Frage ist wie bringe ich den Server billig sicher?

 

Streiche die Wortkombination "billig" und "sicher" aus deinem Wortschatz.

Wenn du bestimmte Anforderungen (sicher) hast ist alles andere (billig) nur zweitrangig!

 

Wenn du eine Firewall mit DMZ (ich hoffe doch eine dedizierte Hardwarefirewall) hast ist das schon ganz gut. Du solltrest auf alle Fälle inen aktuellen Virenscanner darauf (Server) laufen haben und alle Ports die nicht genutzt werden auf der Firewall deaktivieren.

 

Möglicherweise macht ein intrusion detection system (nicht billig) bei euch Sinn.

[von Hohenstein 10]

ja, es ist eine dedizierte Hardwarefirewall.

Virenscanner (Symantec Coperate Edition) ist vorhanden.

Ports die nicht gebrauchtwerden sind zu.

 

was bietet mir ein intrusion detection system genau? ich gehe davon aus, dass es mit medet (wie auch immer; vielleicht per mail) wenn jemand einen Angriff startet... und ist da noch was?

über welche Preisklasse sprechen wir?

 

Danke Dr.Melzer.

 

Gruß Michi

[Dr.Melzer 191]

Ein IDS scannt den gesamten Datenstrom nach Mustern, die unüblich sind und so auf einen Angriff schliessen lassen.

Je nach Konfiguration werden die verdächtigen Datenpakete verworfen oder nur gemeldet. Das alles passiert in Echtzeit und erfordert eine dedizierte Appliance, ähnlich wie eine Firewall. Einige Firewalls haben so etwas bereits rudimentär implementiert.

 

Wir setzen die Produkte von NetScren ein. Die kleinste kostet um die 10.000,- Euro.

[von Hohenstein 10]

ok, 10000€ habe ich nicht in meinem Budget. Aber ich erkundige mich nochmal genau, ob unsere Firewall das kann und wenn ja was sie mit den Packeten macht!

 

Aber ich mein auf dem W2k Server selbst, muss ich da garnichts beachten, bzw einstellen, dass er "sicherer" wird? Sorry, wenn ich so "dumm" nachfrag, aber ich dachte immer einen Win-Server muss man erst sicher machen...

[Dr.Melzer 191]

Original geschrieben von von Hohenstein

Aber ich mein auf dem W2k Server selbst, muss ich da garnichts beachten, bzw einstellen, dass er "sicherer" wird? Sorry, wenn ich so "dumm" nachfrag, aber ich dachte immer einen Win-Server muss man erst sicher machen...

 

Wenn du alle Servicepacks und sicherheitspatches installiert hast und lokal ein Virenscanner (auch für die Exchange Datenbank) läuft ist der Server sicher.

[edv-olaf 10]

Hi,

 

wie wäre es denn, wenn du den Mailkram auf Linux lässt und für die anderen Progs (welche müssen da eigentlich in der DMZ laufen?) einen zweiten Server hinbaust?

 

Ich will dich keinesfalls von deiner Idee abbringen, möchte aber zu bedenken geben, dass mit sendmail/procmail o. ä. auf Linux eine einfache simple Datei reicht, um alle Mails problemlos umleiten zu können. Noch einfacher wirst du es nirgends finden (nicht mal bei Novell GroupWise ;)).

 

Den Aufwand, den du für Exchange treiben musst, kann ich nicht genau abschätzen aber ich denke, einige Konfig-Fehler hast du am Anfang immer zu beseitigen, wohingegen der Linux-Mailer bereits läuft. Außerdem gebe ich zu bedenken, je mehr Dienste auf einem Server laufen, umso mehr Fehler können auftreten und umso mehr Patches musst du einspielen. Und das kostet wieder Zeit und Geld - und das habt ihr ja nach deiner Aussage nicht unbedingt in rauhen Mengen. ;)

 

Wie gesagt, ich will dich nicht abhalten, aber ich kann es beim besten Willen nur sehr schwer nachvollziehen, dass die kleine Wissenslücke über Linux-Mailer der Grund sein soll, ein funktionierendes System komplett umzustellen und wieder bei Null zu beginnen.

 

OK, damit es nicht wieder PNs hagelt, zur Sicherheit:

Wie Dr. Melzer schon sagte, sicher und billig zusammen ist fast unmöglich. Um welche Größenordnung reden wir denn überhaupt? 10, 100, 10.000 User? Wie weitreichend wären die Folgen eines Ausfalls durch Viren oder Hacking?

 

Je nach Antwort würde ich sagen, dass ein komplett gepatchter Win-Server hinter einer korrekt konfigurierten Firewall schon viel Wert ist. Bei größeren Userzahlen und höheren Ausfallkosten würde ich auch zu einem IDS greifen, aber nur, wenn Kostenaufwand und Schadenshöhe in einem vernünftigen Verhältnis liegen. Wobei verschiedene Rechner mit verschiedenen Diensten (und möglicherweise unterschiedlichen BS) das Risiko minimieren können.

 

Also, Abschätzung der im GAU zu erwartenden Schadenshöhe, dann ein passendes System entwerfen und implementieren. (Planung ist hier fast alles.)

 

Grüße

Olaf

[Dr.Melzer 191]

Da kann ich Olaf nur Recht geben, so etwas steht und fällt mit der richtigen Planung.

[von Hohenstein 10]

ok, ich werde besonderes Augenmerk auf die Planung legen.

 

ich will den Linuxserver los haben, weil es ein SUSE 8.1 System ist, das sehr anfällig ist (habe ich mir sagen lassen). Zudem habe ich keine Zeit mich so intensiv damit zu befassen, dass ich im Fehlerfall eingreifen könnte.

 

Da ist mir Windows lieber.

 

Wir haben <100 Mitarbeiter. Ein Totalausfall wäre doch recht erheblich (95% Arbeitsausfall). Einen Geldbetrag kann ich nicht abschätzen.

 

Ich informier mich jetzt noch mal über ein IDS. Wenn aber die Kosten nicht in Relation zum Ausfall stehen, belass ich es mal bei einem "sicher"gepatchten Server hinter der Hardwarefirewall (DMZ).

Oder hat da jemand starke Bedenken??

 

Danke für eure Einschätzung.

 

Gruß Michael

[edv-olaf 10]

Original geschrieben von von Hohenstein

..., weil es ein SUSE 8.1 System ist, das sehr anfällig ist (habe ich mir sagen lassen).

Nur Interessehalber: was haben deine Experten im Vergleich zu Windows gesagt?

 

Augenmerk auf Planung ist OK, und lieber dreimal testen, als einmal zu wenig!

 

Welche SW möchtest du auf Windows noch einsetzen? In der DMZ sollte nicht jedes Programm laufen, zumal ich einen Exchange-Server als kritische Application einstufen würde.

 

Grüße

Olaf

[von Hohenstein 10]

Mein Linuxexperte hat gemeint, dass das Linuxsystem so anfällig ist, wie ein nacktes windows.

 

Bei der Software handelt es sich um Symantec SMTP-Gateway. (bei der Enterprise Variante dabei) mit Spamfilter. evtl. noch einen Web-Contentfilter.(auch dabei)

 

Ich möchte das Programm nutzen, wenn wir es schon haben.

Wir haben nämlich immer das Problem, dass wenn wir Mail in Exchange an externe Adressen weiterleiten, umgehen sie den Virenscanner. Dann bekommt der jenige sämtliche Viren ab. der SMTP Gateway sollte das verhindern.

[edv-olaf 10]

Na, OK :)

Danke auf jeden Fall für die ergänzenden Infos. (SuSE8.1 ist wirklich nicht besonders, 7.3 oder 8.2 sind die stabilen Produktivsysteme).

 

Und wenn ihr das SMTP-Gateway für Windows eh da habt, kann ich mich mit Linux-Vorschlägen wohl wieder auf die Backe legen. :D

 

Viel Glück und gutes Gelingen

Olaf

[zuschauer 10]

Hi mullfreak hat mal in Tipps&Links was zum Härten des IIS geschrieben. Die Punkte zum Hardening des TCP/IP-Stacks kölnnten auch für Dich interessant sein !

http://www.mcseboard.de/showthread.php?s=&threadid=3670