Hallo!
Ich habe vor, in meinem Netzwerk einen Web-/Proxy-Server zu betreiben. Außer einem Virenscanner und einer NAT-Firewall habe ich keinen weiteren Schutz. Was könnte ich noch zusätzlich für die Sicherheit tun?
Vielen Dank schon mal...
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
thomas woelfer 
Ruddl „WEBSERVER“
Mir ist nicht ganz klar was Du genau willst: Soll der Webserver und der Proxy-Server in deinem LAN laufen, oder soll das ein öffentlich zugänglicher Webserver werden? Im zweiten Fall soll er aber dann wohl kaum in deinem LAN betrieben werden.... ?
Wenn ich mir das richtige zusammenreime willst Du eine Internetverbindung die sowohl von deinem LAN als auch vom öffentlichen Webserver verwendet wird. Das dabei allgemein übliche Setup sieht so aus:
Internet|--[fw]--[subnetz]--[fw]--[lan-gw]
Den Bereich zwischen den beiden Firewalls nennt man dmz (demilitarized zone).
Die äußere Firewall kümmert sich um Angriffe von außen und stellt sicher das von innen keine Pakete rausgehen die nicht raus sollen. Die innere Firewall macht mehr oder minder das gleiche, aber betriebt zusätzlich NAT.
Im subnetz befinden sich alle Rechner die öffentlich zugänglich sein sollen, also z.b. der Webserver.
Auf diesen Rechner sollten strenge Sicherheitsregeln gelten: Kein Zugriff von außen ausser auf die angebotenene Dienste. Auf dem Webserver sollte z.b. ausschliesslich der HTTP und der SSH Dienst von aussen zu erreichen sein - sonsts nicht.
Außerdem kann es nicht schaden wenn irgendwo im subentz ein IDS System läuft.
Wuschel
Ruddl thomas woelfer „Kommt drauf an“
Also der Webserver soll öffentlich zugänglich sein, d.h. natürlich ständig online. Gleichzeitig dient er aber auch als Proxy für´s LAN.
Ich habe im Router nur den Port 80 freigegeben für http, möchte evtl. noch weitere Ports für ftp öffnen.
Die anderen Rechner im Netz sind nach außen hin nicht sichtbar, der Internet-Traffic läuft über den Server und ist noch zusätzlich durch eine anonyme IP versteckt.
Meine Frage war nun, was ich noch zusätzlich gegen Gefahren (Trojaner, DDOS) tun kann, um den Schutz zu verbessern.
Für ftp muss ich ja recht viele Ports freigeben (20-21, 1025-1281) wegen der Firewall des Routers. Kann ich diese irgendwie überwachen/schützen und können diese denn auch für Angriffe von außen genutzt werden?
Für mich ist die Materie noch recht neu, daher meine evtl. etwas umständlichen Fragen.
Thx
xafford Ruddl „Kommt drauf an“
du mußt für ftp nur den port 21 bzw 20 öffnen wenn du eine firewall benutzt, die als statefull-packet-filter arbeitet, was die meisten machen. das öffnen der rückkanäle übernimmt die firewall selbst.
wenn ich deine ausführungen richtig interpretiere dann ist das ganze eher eine semiprofessionelle lösung und ich vermute mal, du hast keine feste ip-adresse. über trojaner brauchst du dir im allgemeinen auf dem server keine gedanken zu machen wenn du nicht auf dem server auch sufst oder arbeitest. wenn ich richtig vermute, dann nutzt du wohl windows als OS für den server, welcher webserver soll laufen? welches windows? falls du keine feste ip hast, welche art portmapping nutzt du? ist dein server leistungsfähig genug um ftp, http, firewall, nat, proxy und alle anderen dienste zu verkraften, schafft er die I/O zugriffe wenn ftp, proxy und webserver gleichzeitig auf die platte/n zugreifen (scsi, FC?).
alles in allem scheint dein lösungsansatz sehr unsauber, falls du doch über eine feste ip verfügst würde ich an deiner stelle das konzept noch einmal überdenken, falls nicht, dann mußt du dir mehr sorgen über mögliche sicherheitslöcher in ftp und http machen als über DDoS.
Ruddl xafford „Kommt drauf an“
Hallo!
Klar handelt es sich bei mir nicht um ein professionelles Projekt, sondern lediglich um eine private website und evtl. ein paar downloads dazu. Ich habe auch keine feste IP, aber das dynamische IP-Posting von no-ip.com funktioniert sehr gut.
Ich benutze für das alles einen recht billigen Rechner mit 40 GB IDE-HDD. Für meine Zwecke ist das völlig ausreichend. Weiterhin habe ich den Barricade 7004 von SMC, mit dem ich die eintreffenden Anfragen zum Server leiten kann. Für ftp reichen die Ports 20-21 nicht aus. Ich habe gelesen, dass man die 256 Ports oberhalb von Port 1024 auch freigeben muss. Das klappt dann auch. OS ist Win2000 Adv. Server mit IIS. Auch das funzt zufriedenstellend. Zum Surfen nutze ich den Rechner nicht direkt, sondern als Proxy mit Webwasher.
Ob das ganze jetzt unsauber ist oder nicht ist mir eigentlich recht gleichgültig, da es für einen Anfänger doch echt gut funktioniert.
Ich wollte lediglich ein paar Tipps zur Sicherheit meines Servers haben.
Thx
xafford Ruddl „Kommt drauf an“
okay, unter den voraussetzungen kann man damit recht gut leben, obwohl ich dir beim webserver eher zu apache raten würde, ansonsten mußt du deinen IIS ständig up-to-date halten, was patches angeht, da er durch scripting sehr anfällig ist, was zur korrumpierung deines ganzen lans führen kann. diese gefahr ist größer, als viren oder tronajer und DDoS. du solltest den server auch nicht als surf und arbeitsrechner nutzen und keinen user einloggen. erstelle für webserver und ftp ein eigenes, stark beschränktes lokales konto und gib ihm nur die unbedingt erforderlichen rechte auf dem system. konfiguriere die eingebaute firewall des routers so, daß sie alle anderen ports schließt bis auf die, die du wirklich brauchst (hast du ja anscheinend schon). wenn der router die ports für ftp braucht, so arbeitet er wohl nicht nach dem statefull-packet-modell, was nciht weiter schlimm ist, nur das ganze etwas komplizierter macht, oder meine erfahrungen mit ftp sind schon zu verstaubt, was auch möglich ist.
was nocht ganz hilfreich ist wäre auf dem server alle dienste zu stoppen, die du nicht explizit brauchst und das webroot auf eine eigene partition zu legen (eigene platte wäre besser). außerdem solltest du regelmäßig deine logs überprüfen um eine infektion mit würmern die den IIS lieben zu unterbinden, da diese für andere serveradmins ziemlich nervend sein können. meine logs z.b. laufen ständig voll mit anfragen infizierter IIS.
h_a_n_d
