interne webanwendung öffentlich zugänglich machen [gelöst]

[rene04]

hallo,

was wäre der geschickteste weg eine webanwendung mit datenbank im internen netz fürs internet freizugeben(MediaWiki).

wir haben einen webserver in einer dmz stehen und die anwendung läuft auf nem server im internen netz.

kann ich da ne indexseite bauen fürs internet welche auf den internen server weiterleitet?
oder muss ich die webanwendung auf den webserver in der dmz stellen so das diese nur die datenbankverbindung ins interne netz herstellt.

gruesse rene

[Bert]

Am einfachsten wäre wohl, wenn Du das Wiki auf den Server in der DMZ verlegst. Alternativ kannst Du auf dem Server in der DMZ einen Proxy für das Wiki im internen Netz einrichten. Ich denke das geht auch mit dem Apachen, aber die Details dazu kenn ich nicht

Bert

[ThorstenS]

Ich habe das mit mod_proxy in der httpd.conf[ realisiert:

Code: Alles auswählen

        ProxyRequests Off
        ProxyPass /egroupware http://192.168.66.12/egroupware
        ProxyPassReverse /egroupware http://192.168.66.12/egroupware

Dazu noch die FW angepaßt und fertig.

[rene04]

@thorstenS:

kannst du das etwas genauer erklären wie du vorgegenagen bist?
das hört sich gut an.

@bert: ich mag ungern die anwendung mit samt der db in der dmz auf einem webserver liegen haben.

gruesse rene

[ThorstenS]

Hi rene,
ich habe nicht mehr gemacht als schon beschrieben:
1. in der apache config mod_proxy geladen
( LoadModule proxy_module /usr/lib/apache/1.3/libproxy.so )
2. die o.g. Zeilen in die passende virtual host Sektion eingetragen
3. in der Firewall die Kommunikation von DMZ-Webserver und internem Server für Port 80 freigeschaltet.

Damit kann ich öffentlich über https://www.domain.tld/egroupware auf den Webserver zugreifen, der unter http://192.168.66.12/egroupware läuft.

that's it

[rene04]

alles klar, dann werde ich das wohl auch mal probieren.

danke

gruesse rene

[rene04]

hi thorsten,

würde da gerne etwas mehr drüber lesen. gibt es da was auf deutsch???

gruesse rene

[ThorstenS]

Hi Rene,
kann ich dir nicht sagen, ich lese hauptsächlich englische Dokus. Auch wenn ich deutsche Dokus mag, so sind die englischen meist aktueller...
Such nach den oben genannten Stichwörternbei google und grenze die Sprache ein.

blogsearch.google.com könnte auch eine Anlaufstelle sein, sry mehr kann ich dir dazu nicht sagen.

[rene04]

alles klar, danke.

gruesse rene

[herrchen]

nur mal so angemerkt:
wenn du dem webserver in der DMZ zugriff ins interne netz gibst, ist der sinn der DMZ dahin.

herrchen

[rene04]

hallo,

das habe ich mir auch überlegt. meine weiterführenden überlegungen gehen jetzt eher in richtung vpn oder vnc.

das ist sicherer.

gruesse rene

[meandtheshell]

nur mal so angemerkt:
wenn du dem webserver in der DMZ zugriff ins interne netz gibst, ist der sinn der DMZ dahin.

herrchen

da du es aussprichst - komisches design das alles? - die datenbank und der webserver gehören in die DMZ - backup der DB und evt. der daten am webserver triggerst du dann vom internen LAN heraus - die firewall zwischen DMZ und internem LAN ist dann so eingerichtet das der Webserver oder der DB server niehmals von selbst verbindungen ins LAN aufbauen kann ...

so wie das jetzt ist kannst du die DMZ für marketing zwecke auf plakaten anführen aber sonst ...?

markus

[meandtheshell]

@bert: ich mag ungern die anwendung mit samt der db in der dmz auf einem webserver liegen haben.

bert hat aber recht - so wird es gemacht

[rene04]

ihr meint also das eine dmz auszeichnet das alles was in ihr steckt keine verbindung zum internen netz aufbauen darf, auch nicht wenn dieser explizit durch eine firewall geöffnet wurde? hmmm, und was ist wenn der webserver in der dmz gehackt wird? dann kommen die auch an die db ran. oder wie darf ich mir das vorstellen? bin da etwas unerfahren.

gruesse rene

[herrchen]

ihr meint also das eine dmz auszeichnet das alles was in ihr steckt keine verbindung zum internen netz aufbauen darf,

ja, definitiv.

herrchen

[rene04]

aha, so langsam verstehe ich den sinn einer dmz was für eigenschaften hat die noch so?

gruesse rene

[herrchen]

aha, so langsam verstehe ich den sinn einer dmz ;) was für eigenschaften hat die noch so?

http://de.wikipedia.org/wiki/DMZ

herrchen

[rene04]

danke.

gruesse rene

[meandtheshell]

http://en.wikipedia.org/wiki/Demilitari ... mputing%29

ihmmm, und was ist wenn der webserver in der dmz gehackt wird? dann kommen die auch an die db ran.

worst case bei dem Szenario ja - wenn du aber die FW zw. externem Netz und DMZ sehr gut (hehe - musst nat. wissen was du tust - lesen!) aufbaust wird das schwer - dann nat. den server selber harden usw.

1)
hier ist dann die DB/Webserver worst case am Galgen - du kannst aber durch laufende Integritätstests, durch Intrusion Protection usw. das alles recht gut in den Griff bekommen - zerlegt einer wirklich deinen Server in der DMZ naja dann musst du eben Analysieren/Maßnahmen ergreifen das das nicht mehr auf dem Weg geht 100% sicherheit gibt es sowieso nicht - DANN KANNST DU ABER DIE DB USW. AUS DEM LAN HERAUS HERSTELLEN
Kernaussage ist, dass sich das kontrollieren lässt! - Szenario 2 nicht

2)
der jetztige Fall bei dir - alles wie oben + über den DB Server komme ich ins LAN ...

Quizfrage: vom LAN bleibt noch etwas über (DB Recovery ist möglich)?

[ ] ja
[ ] nein

markus

[rene04]

das erscheint mir alles recht sinnvoll.

zu deiner quizfrage: da ich die db backups über ein bandlaufwerk sichere, ja. aber das gelbe vom ei ist es trozdem nicht, das stimmt schon. werde wir wohl diesbezüglich mal eine umstrukturierungsstraterkie ausdenken müssen.

danke für die hinweise.

gruesse rene

[McClane]

@bert: ich mag ungern die anwendung mit samt der db in der dmz auf einem webserver liegen haben.

bert hat aber recht - so wird es gemacht

Also ich stelle meine Exchange Datenbanken beispielsweise NICHT in eine DMZ. Dann kann ich meine Firmenrechner auch gleich alle an einen Hub hängen und mit öffentlichen IPs versehen.
Im Exchangefall wird auch mit Reverseproxies oder mit Frontendservern gearbeitet, damit nicht gleich die ganze Datenbank offen liegt wenn der Proxy in der DMZ gehackt wurde.

[meandtheshell]

Also ich stelle meine Exchange Datenbanken beispielsweise NICHT in eine DMZ. Dann kann ich meine Firmenrechner auch gleich alle an einen Hub hängen und mit öffentlichen IPs versehen.
Im Exchangefall wird auch mit Reverseproxies oder mit Frontendservern gearbeitet, damit nicht gleich die ganze Datenbank offen liegt wenn der Proxy in der DMZ gehackt wurde.

ja - und das ist schlecht - den so oder so triggerst du von der DMZ ins LAN eine verbindung - d.h. das wird ausgenutzt um ins LAN vorzudringen den die Firewall zwischen DMZ und LAN muss das in deinem Fall dann über den Reverseproxie erlauben

wenn du angst um die DB hast dann kannst du eben noch einen rechner in die DMZ stellen (oder Vserver auf der gleichen maschine) wo du versch. datenbanken aus einer großen machst und somit disjunkte mengen hast wobei du dann aus Jux und Tollerei jeden Vserver mit DB drinnen so resktriktiv aufbauen kannst, dass erstens das hineinkommen zu dem teil der DB extrem schwer ist (da muss ein wizard ran und der rauft sich die haare aus) und nochdazu hast du worst case nur einen teil der DB offen liegen - ABER NEVER EVER hat eine maschine zugriff auf daten im LAN d.h. sie kann sebstständig Verbindungen aufbauen ...

markus

[McClane]

Wenn die Datenbank sowohl von intern auch als von extern genutzt werden soll geht das nun mal nicht anders.

[meandtheshell]

Wenn die Datenbank sowohl von intern auch als von extern genutzt werden soll geht das nun mal nicht anders.

? dann beantworte mir eine frage - wie schaffen es dann 1000de von Admins ein mailsystem in einer DMZ zu betreiben - das prinzip ist immer das gleiche

markus

[McClane]

Wer betreibt denn bitte ein Mailsystem in einer DMZ???
Dort setze ich ein Mailrelay rein. Aber mehr auch nicht. Zumindest wenn mir meine Daten wichtig sind. Aber alle anderen brauchen auch keine Firewall.