Hazwo 10 Geschrieben 30. Januar 2006 Melden Teilen Geschrieben 30. Januar 2006 Hallo Leute, ich hab da ein Problem. Folgendes Ziel muß ich erreichen. Ich muß einen Windows 2000 Server / IIS 5 in der DMZ einrichten, auf dem für unsere Warenwirtschaft ein ASP Shop läuft. Dieser braucht durch die DMZ ins das interne Netzwerk eine Verbindung mit einem SQL Server 7.0 von MS bzw. eine Postgre SQL Datenbank aktuelle Version. Wir haben intern eine W2k Domäne eingerichtet ADS läuft perfekt DNS ebenso. Es läuft auch ein Exchange 2000 Srv, der den Mailverkehr regelt. Dieser sollte die Mail über den IIS in der DMZ empfangen und verschicken können. Mein Frage ist nun, welche Ports muß ich von der DMZ Richtung internes LAN freischalten, damit Verkehr entsteht und kein riesiges Loch in die Firewall gerissen wird. Für SMTP reicht Port 25 nach intern? Der Webserver ist in bereits in der DMz installiert, aber nicht zur Domäne hinzugefügt worden. Richtig/Falsch? Extern gibt es ein fixe IP. MX Eintrag wird auf Externe WEB Server IP umgeleitet DMZ Ip 10.0.0.1 Web Server 1: z.B 10.0.0.10 Intern Lan 192.168.0.0 Besten Dank im Voraus. Zitieren Link zu diesem Kommentar
Dirk_privat 10 Geschrieben 30. Januar 2006 Melden Teilen Geschrieben 30. Januar 2006 Hi, an Deiner Stelle würde ich es so nicht lösen, damit ist Deine Firewall so dicht wie ein Schweizer Käse! Nun gut. Auf jeden Fall brauchst Du Port 389 (TCP, UDP) für LDAP, Port 88 (TCP, UDP) für Kerberos, Port 53 (TCP, UDP) für DNS, 3268 (TCP) und 3269 (TCP) für den GC und Port 445 (TCP, UDP) für SMB. Das sind mal die, die Du auf jeden Fall brauchst. Dazu kommen die SQL Ports, die ich leider nicht kenne. Wenn Du sowas machst, solltest Du zumindest einen ISA Server oder eine andere Application Firewall dazwischen haben. Gruß Dirk Zitieren Link zu diesem Kommentar
Tobikom 10 Geschrieben 30. Januar 2006 Melden Teilen Geschrieben 30. Januar 2006 Guten Morgen, Der Webserver ist in bereits in der DMz installiert, aber nicht zur Domäne hinzugefügt worden ... Nun gut. Auf jeden Fall brauchst Du Port 389 (TCP, UDP) für LDAP, Port 88 (TCP, UDP) für Kerberos, Port 53 (TCP, UDP) für DNS, 3268 (TCP) und 3269 (TCP) für den GC und Port 445 (TCP, UDP) für SMB. ... Das wiederspricht sich etwas. Wofür braucht er die ganzen Ports wenn der Server nicht Mitglied der Domäne ist? Ich würde sagen, Port 25 (SMTP), 80 (HTTP) evtl. HTTPS (443) von extern in die DMZ. Zudem dann wieder Port 25 und den SQL-Port von der DMZ ins Lan sollten genügen. EDIT: OK, die DNS -Auflösung hab ich vergessen, die sollte natürlich noch sein, am besten von einem Internen DNS-Server. Eine entsprechende Firewall sollte natürlich vorhanden sein. Grüße Tobias Zitieren Link zu diesem Kommentar
Dirk_privat 10 Geschrieben 30. Januar 2006 Melden Teilen Geschrieben 30. Januar 2006 HI, ich dachte er will den Server in der DMZ in´s AD hinzufügen! Ist schwer zu verstehen was das Ziel sein soll. Gruß DIrk Zitieren Link zu diesem Kommentar
Hazwo 10 Geschrieben 30. Januar 2006 Autor Melden Teilen Geschrieben 30. Januar 2006 Hallo, danke erstmal für die raschen Antworten. Ist es notwendig das der Server in die Domäne gehört oder nicht? Dafür müßte ich doch alle oben beschriebenen Ports aufmachen. Der Server soll nur die SMTP weiterleiten von innen nach aussen und umgekehrt. Außerdem Webserver sein und eine Verbindung zum SQL herstellen können. Falls es Sicherheitstechnische Bedenken gibt, bitte mitteilen. Als Firewall wird jetzt Zyxel Zywall 35 UTM eingesetzt In der DMZ steht der Webserver / SMTP ohne Domänenzugriff (zurzeit) Die DMZ hat momentan noch keinen Zugriff ins LAN. Dahinter kommt das Lan mit W2k Domäne und SQL Server, XP Clients, Exchange 2000 Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 30. Januar 2006 Melden Teilen Geschrieben 30. Januar 2006 Hi, ich würde, wie schon empfohlen wurde, einen ISA Server oder ähnliches einsetzen, um den Server in der DMZ abzusichern. Der ISA 2004 Standard ist ganz gut für solche Zwecke. Falls Du gut englisch kannst, und es in Frage kommt natürlich ;) besorg Dir das Buch von T. Shinder zum ISA 2004. Alternativ schau dich auf isaserver.org oder isafaq.de um. Der Server in der DMZ sollte jedenfalls nicht Domain-member sein. Ach so ja: sql port sollte 1433 sein. Ansonsten wurden die Ports ja schon erwähnt. Christoph Zitieren Link zu diesem Kommentar
Hazwo 10 Geschrieben 30. Januar 2006 Autor Melden Teilen Geschrieben 30. Januar 2006 hallo, welche gröberen sicherheitsprobleme könnten entstehen, wenn kein isa server dazwischengeschaltet wird. bzw vorteile. wird der webserver auf dem isa server installiert oder ist zwingend notwendig getrennt zu installieren? Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 30. Januar 2006 Melden Teilen Geschrieben 30. Januar 2006 Hi, auf dem ISA Server sollte keine weitere Software installiert werden. Man kann DNS als Caching-Only installieren und wenn man die Message Screener Komponente von ISA nutzen will, muß man den SMTP Service installieren. Ansonsten ist der ISA eben auch ein Proxy und Reverse Proxy und eine Firewall, die auch auf Application Layer 7 filtern kann. http://www.microsoft.com/isaserver http://www.isaserver.org http://www.msisafaq.de sind gute Informationsquellen zum ISA Server. Christoph Zitieren Link zu diesem Kommentar
BuzzeR 10 Geschrieben 30. Januar 2006 Melden Teilen Geschrieben 30. Januar 2006 Hallo zusammen. Die wichtigste Frage, die wohl vorab zu klären wäre, wäre wohl ob Eurer Webserver von außen für die Öffentlichkeit erreichbar ist, oder nicht. Wenn dem so ist, dann hätte ich ganz massive Bedenken bezüglich der Sicherheit und dem Design Deines Perimeternetzwerkes. Das Design der DMZ würde bei mir etwas anders aussehen. Ich hätte sowohl IIS, Mail, als auch die RDBMS-Server in der DMZ und würde daraufhin die Replikationsstrategien der DB-Server und den Versand der Mails in das interne Netz konfigurieren. Wie Christoph35 richtigerweise geschrieben hat, wären die Rechner in der DMZ nicht Teil der internen Domäne. LG Marco Zitieren Link zu diesem Kommentar
Hazwo 10 Geschrieben 30. Januar 2006 Autor Melden Teilen Geschrieben 30. Januar 2006 Hallo, Webserver soll von aussen erreichbar sein. Allerdings auf einige IP Adressen beschränkt, da das Shopportal nur von einer Kundengruppe benutzt werden darf. Vorerst! Zitieren Link zu diesem Kommentar
BuzzeR 10 Geschrieben 30. Januar 2006 Melden Teilen Geschrieben 30. Januar 2006 Im Hinblick auf Skalierbarkeit und Erreichbarkeit einer solchen Lösung und der daraus resultierenden Rahmenbedingungen würde ich die von mir und Christoph35 genannte Struktur empfehlen. Das hat mehrere Gründe und die will ich Dir auch hier gerne nennen, denn SQL - Injection ist ein echtes Problem Die Rechtevergabe und Verifizierbarkeit von Informationen wird granularer gestaltet Im Falle von Angriffen wäre die genannte Lösung besser geeignet, weil abgeschottet vom internen Netz Du hast somit alle Optionen bezgl. der Skalierbarkeit offen ET CETERA Nun, das ist ein Thema, woran man sich stundenlang aufhalten kann. Ist alles andere als einfach. Viele Fragen gibt es da im Vorfeld zu klären. Zum Beispiel ... Wieviele Kunden sollen darauf Zugriff haben? Wieviele Kunden sollen im erwarteten Maximum bedient werden können? Ist eine Ausweitung auf einen reinen Webshop geplant? ... LG Marco Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.