ich habe einen debianserver eingerichtet.
er hat eine class c ip und ist nur aus dem internen netz erreichbar.
auf diesem server läuft ein apache2.
nun soll der apache server auch von "außen" erreichbar sein.
mein vorschlag war in der firewall nun eine port für den apache freizugeben und diesen auf port 80 des servers weiterzuleiten.
so ist maximal der apache nach außen erreichbar. im internen netz können jedoch alle anderen dienste wie ssh etc weiter genutzt werden.
mein chef meinte nun das port forwarding unsicher sei, weil es "hackbar" wäre. auf meine nachfrage konnte er mir aber nicht sagen wie oder was genau er damit meinte.
statt dessen wollte er den server lieber komplett in die dmz stellen.
daraufhin habe ich ihn für verrückt erklärt, da imho die lösung mit der dmz weitaus unsicherer für den server wäre.
er meinte aber meine variante wäre unsicherer für das interne netzwerk, wobei ich davon ausgehe das ein offener port sicherer als viele offene ports sind...
wie seht ihr das?
und was ist überhaupt an der aussage des "hackbaren" portforwarding dran? imho nämlich garnix...
ist portforwarding sicher ?
Also das Portforwarding ist schon sicher, aber trotzdem hat dein Chef Recht!
Das Problem besteht nicht darin das man das Portforwarding aushebeln kann, sondern das der Server an und für sich unsicher sein kann. Deswegen stellt man die Teile ja in die DMZ, damit der Eindringling nicht ins komplette LAN kommt wenn er den Server gekackt hat.
Selbst wenn du nur das nötigste auf machst, also Port 80 und sonst nix kann dir keiner Garantieren das der Apache oder seine mods gecrackt werden.
Daher lieber in die DMZ damit!
Das Problem besteht nicht darin das man das Portforwarding aushebeln kann, sondern das der Server an und für sich unsicher sein kann. Deswegen stellt man die Teile ja in die DMZ, damit der Eindringling nicht ins komplette LAN kommt wenn er den Server gekackt hat.
Selbst wenn du nur das nötigste auf machst, also Port 80 und sonst nix kann dir keiner Garantieren das der Apache oder seine mods gecrackt werden.
Daher lieber in die DMZ damit!
Cheers, Maikel
------------
BGLUG
------------
Linus Torvalds:
"Only wimps use tape backup: _real_ men just upload their important stuff on ftp, and let the rest of the world mirror it
"
------------
BGLUG
------------
Linus Torvalds:
"Only wimps use tape backup: _real_ men just upload their important stuff on ftp, and let the rest of the world mirror it
"Noch mal. Der Server in der DMZ ist genauso sicher wie der selbe Server im Lan!
Wo soll denn der Unterschied bestehen zwischen einem Server der nur einen offenen Dienst/Port im Netz anbietet (Port 80) und sonst nix und einem Rechner der Port 80 anbietet und alle anderen Ports (die er gar nicht anbietet) werden durch eine FW geschützt?
Wo soll denn der Unterschied bestehen zwischen einem Server der nur einen offenen Dienst/Port im Netz anbietet (Port 80) und sonst nix und einem Rechner der Port 80 anbietet und alle anderen Ports (die er gar nicht anbietet) werden durch eine FW geschützt?
Cheers, Maikel
------------
BGLUG
------------
Linus Torvalds:
"Only wimps use tape backup: _real_ men just upload their important stuff on ftp, and let the rest of the world mirror it"
------------
BGLUG
------------
Linus Torvalds:
"Only wimps use tape backup: _real_ men just upload their important stuff on ftp, and let the rest of the world mirror it
"Wie das? Ist das LAN nicht von der DMZ durch eine Firewall abgeschottet?gms hat geschrieben:durch das Portforwarding wird der DMZ ein Service zur Verfügung gestellt.
Wenn dieses Service jedoch gecrackt wird, ist das interne LAN kompomitiert.
Daher führt jegliches Portforwarding vom internen LAN in die DMZ, die DMZ ad absurdum
Auch wenn der Service auf dem Server in der DMZ auch vom internen Lan benutzt wird, sehe ich noch keinen Weg DMZ -> LAN.
Wäre für ein Erklärung dankbar.
es sind durchaus noch andere ports offen. diese werden aber nur aus dem internen lan gebraucht. in der dmz besteht imho außerdem kein schutz durch die firewall...Maikel hat geschrieben:Noch mal. Der Server in der DMZ ist genauso sicher wie der selbe Server im Lan!
Wo soll denn der Unterschied bestehen zwischen einem Server der nur einen offenen Dienst/Port im Netz anbietet (Port 80) und sonst nix und einem Rechner der Port 80 anbietet und alle anderen Ports (die er gar nicht anbietet) werden durch eine FW geschützt?
Die Apache Prozesse laufen doch im LAN und nicht in der DMZ. Daher wer den Apache gecrackt hat, hat einen Server im LAN gecrackt, auch wenn das Service (Port) über die DMZ führt.lochkarte hat geschrieben: Wie das? Ist das LAN nicht von der DMZ durch eine Firewall abgeschottet?
Auch wenn der Service auf dem Server in der DMZ auch vom internen Lan benutzt wird, sehe ich noch keinen Weg DMZ -> LAN.
Sag ich doch die ganze Zeit.
Um nen Server zu knacken muss man die Lücke im angebotenen Dienst finden. Und der Dienst ist offen. Egal ob der Rechner in der DMZ im LAN oder frei im INet steht.
Daher hat der Server defacto nix im Netz zu suchen sondern in der DMZ.
Um nen Server zu knacken muss man die Lücke im angebotenen Dienst finden. Und der Dienst ist offen. Egal ob der Rechner in der DMZ im LAN oder frei im INet steht.
Daher hat der Server defacto nix im Netz zu suchen sondern in der DMZ.
Cheers, Maikel
------------
BGLUG
------------
Linus Torvalds:
"Only wimps use tape backup: _real_ men just upload their important stuff on ftp, and let the rest of the world mirror it"
------------
BGLUG
------------
Linus Torvalds:
"Only wimps use tape backup: _real_ men just upload their important stuff on ftp, and let the rest of the world mirror it
"Mir scheint als redet ihr alle aneinander vorbei ;)
Ich fasse noch mal zusammen: Wenn ich einen Server, der neben dem Webserver auch meine sonstigen Daten (streng geheime Unterlagen etc...), in eine DMZ stelle und Zugriffe von aussen darauf zulasse, dann brauche ich auch keine DMZ. Denn auf die Clients im LAN kommt es mir sicher nicht an. Die wichtigen Daten liegen auf dem Server.
In dem Fall sollte man einen zweiten Rechner benutzen und den in die DMZ stellen. Auf diesem Rechner ist dann einfach nichts wichtiges drauf.
Desweiteren ist der Rechner in der DMZ sehr wohl von der Firewall geschützt. Zumindest wenn es eine richtige Firewall ist die Portfilter usw. sowohl vor der DMZ als auch vorm LAN hat (getrennte Interfaces selbstverständlich).
Dann wird von aussen ja z.B. nur der Port 80 auf dem Server in der DMZ erreichbar sein. Und auch andere Dinge wie Syn Attacken und gespoofte Pakete können von der Firewall möglichweise noch abgefangen werden um den Rechner in der DMZ zu schützen.
Vom LAN her ist ja vielleicht gar kein Zugriff auf die Kiste in der DMZ notwendig, oder (also wenn der Rechner nicht mehr die wichtigen Daten enthält meine ich). Dann braucht zum LAN hin gar kein Port geöffnet werden und wenn der Rechner geknackt werden würde, ist das LAN noch so lange sicher wie die Firewall sicher ist.
Ich fasse noch mal zusammen: Wenn ich einen Server, der neben dem Webserver auch meine sonstigen Daten (streng geheime Unterlagen etc...), in eine DMZ stelle und Zugriffe von aussen darauf zulasse, dann brauche ich auch keine DMZ. Denn auf die Clients im LAN kommt es mir sicher nicht an. Die wichtigen Daten liegen auf dem Server.
In dem Fall sollte man einen zweiten Rechner benutzen und den in die DMZ stellen. Auf diesem Rechner ist dann einfach nichts wichtiges drauf.
Desweiteren ist der Rechner in der DMZ sehr wohl von der Firewall geschützt. Zumindest wenn es eine richtige Firewall ist die Portfilter usw. sowohl vor der DMZ als auch vorm LAN hat (getrennte Interfaces selbstverständlich).
Dann wird von aussen ja z.B. nur der Port 80 auf dem Server in der DMZ erreichbar sein. Und auch andere Dinge wie Syn Attacken und gespoofte Pakete können von der Firewall möglichweise noch abgefangen werden um den Rechner in der DMZ zu schützen.
Vom LAN her ist ja vielleicht gar kein Zugriff auf die Kiste in der DMZ notwendig, oder (also wenn der Rechner nicht mehr die wichtigen Daten enthält meine ich). Dann braucht zum LAN hin gar kein Port geöffnet werden und wenn der Rechner geknackt werden würde, ist das LAN noch so lange sicher wie die Firewall sicher ist.
Mit Schutz durch die FW meinte ich auch den Server im LAN!spame hat geschrieben:es sind durchaus noch andere ports offen. diese werden aber nur aus dem internen lan gebraucht. in der dmz besteht imho außerdem kein schutz durch die firewall...Maikel hat geschrieben:Noch mal. Der Server in der DMZ ist genauso sicher wie der selbe Server im Lan!
Wo soll denn der Unterschied bestehen zwischen einem Server der nur einen offenen Dienst/Port im Netz anbietet (Port 80) und sonst nix und einem Rechner der Port 80 anbietet und alle anderen Ports (die er gar nicht anbietet) werden durch eine FW geschützt?
Aber mal neben der Diskussion über die DMZ.
Meinst du wirklich es ist ne gute Lösung nen "Allround-Server" ins Netz zu hängen?
Mann kann ja im Intranet verschiedene Serverdienst auf einer Kiste laufen lassen. Z.B. den Fileserver und nen Apache für Firmen-Lan. Aber wie bitte kommst du auf die Idee nen Webserver mit anderen wichtigen Daten und Diensten zu mischen und zusammen verfügbar zu machen?
Ein Server mit wichtigen Daten (Fileserver oder nen PDC) sollten, besser müssen zum Internet hin 100% dicht sein.
Webserver oder Mailrelays gehören in die DMZ weil sie von außen erreichbar sein sollen. Und jeder Rechner der erreichbar ist hat auch Schwachstellen.
Dessen sollte man sich bewusst sein und wenn man da nicht fit drin ist sollte man die Finger von lassen. Denn ich möchte nicht der Admin sein der nen geknacktes LAN hat weil da nen Rechner alle Dienst ins Netz anbietet.
Cheers, Maikel
------------
BGLUG
------------
Linus Torvalds:
"Only wimps use tape backup: _real_ men just upload their important stuff on ftp, and let the rest of the world mirror it"
------------
BGLUG
------------
Linus Torvalds:
"Only wimps use tape backup: _real_ men just upload their important stuff on ftp, and let the rest of the world mirror it
"Meinst du wirklich es ist ne gute Lösung nen "Allround-Server" ins Netz zu hängen?
Mann kann ja im Intranet verschiedene Serverdienst auf einer Kiste laufen lassen. Z.B. den Fileserver und nen Apache für Firmen-Lan. Aber wie bitte kommst du auf die Idee nen Webserver mit anderen wichtigen Daten und Diensten zu mischen und zusammen verfügbar zu machen?[/quote]
ist nich gemischt. der webserver is für unser otrs.
die kundedaten die übers otrs reinkomm seh ich als wichtige daten an.
nun ist aber das problem das eine zweigstelle in ner andren stadt ebnfalls zugriff auf das teil braucht. daher wollt ich einfach den port 80 nach außern durch schleifen...
erschien mir sicherer als die dmz.
kann aber sein ich ha da eh nen verständnisproblem. muss erst nochmal nachfrage ob die firewall auch in der dmz greift...
wenn dem so ist werd ich das ding natürlich in die dmz stelln...
edit:
ok. is geklärt. firewall wirk auch in der dmz.
sorry.war mir nicht klar.
problem gelöst
Mann kann ja im Intranet verschiedene Serverdienst auf einer Kiste laufen lassen. Z.B. den Fileserver und nen Apache für Firmen-Lan. Aber wie bitte kommst du auf die Idee nen Webserver mit anderen wichtigen Daten und Diensten zu mischen und zusammen verfügbar zu machen?[/quote]
ist nich gemischt. der webserver is für unser otrs.
die kundedaten die übers otrs reinkomm seh ich als wichtige daten an.
nun ist aber das problem das eine zweigstelle in ner andren stadt ebnfalls zugriff auf das teil braucht. daher wollt ich einfach den port 80 nach außern durch schleifen...
erschien mir sicherer als die dmz.
kann aber sein ich ha da eh nen verständnisproblem. muss erst nochmal nachfrage ob die firewall auch in der dmz greift...
wenn dem so ist werd ich das ding natürlich in die dmz stelln...
edit:
ok. is geklärt. firewall wirk auch in der dmz.
sorry.war mir nicht klar.
problem gelöst