Hi,
folgende Situation, ein kleines Netz mit 3 Client PCs hängen
an einer Fritzbox. Einer der PCs hat eine Webserveranwendung
am laufen, auf die vom Internet aus zugegriffen wird. Nun ist
es so, dass der Destination Host (XP) ja normal im internen Netz
ist. Die Windows XP Firewall wird mir da nicht wirklich helfen.
Meine Sorge ist das von Aussen ein Angreifer auf das System
zugreift und somit in meinem Netz ist.
Die Idee wäre, hinter die Fritzbox eine Hardware Firewall (z.B.
Netgear) zu installieren. Ausgehend die typischen 2 Ports für
DMZ und Intranet. An den Intranetport einen kleinen Switch an-
schliessen und daran die restlichen Clients. An den DMZ Port
den XP Client mit der Webserver Anwendung.
Würdet ihr es auch so machen? Muss ich auf der Firewall eingehend
und ausgehend erstmal alles blocken und nur die Ports für meine
Webanwendung freischalten, und meinetwegen noch die Windows Ports
für Microsoft Updates etc.
Wenn ich im internen Netz nun auch auf dem anderen Client Daten
austauschen möchte, wie wird dies getan? Wenn ich alle Ports für
solche Datentrasfers öffne, brauche ich ja auch keine Firewall-
lösung mehr.
Was sagt ihr dazu? wie würdet ihr es lösen?
Alternativ würde mir noch einfallen die Webanwendung extern
1&1 etc. laufen zu lassen.
Über Antworten würde ich mich freuen.
Seite 1 von 1
Webserver im internen Netz Absichern. Vorstellung
Anzeige
#2
geschrieben 17. Oktober 2011 - 14:47
ich würde ganz einfach den Host virtualisieren und nur den virtuellen Host freigeben und abgesehen vom 80er Port alles sperren.
#3
geschrieben 17. Oktober 2011 - 14:54
Die Fritbox kennt auch sowas wie eine DMZ.
Die beiden Hausfrauenrouter würden auch ein Doppel-NAT bedeuten.
Die beiden Hausfrauenrouter würden auch ein Doppel-NAT bedeuten.
Admin akbar
#4
geschrieben 17. Oktober 2011 - 15:13
Ich sehe es doch aber richtig, dass ein extra Hardware Firewall die
gescheiteste Lösung ist oder? Bin mir nicht sicher ob die Fritzbox
auch aus 2 verschiedenen Netzen routen kann. Momentan sind alle
Clients im gleichen Netz, wobei ich überlege den Webserver in ein
anderes Netz zu verfrachten.
gescheiteste Lösung ist oder? Bin mir nicht sicher ob die Fritzbox
auch aus 2 verschiedenen Netzen routen kann. Momentan sind alle
Clients im gleichen Netz, wobei ich überlege den Webserver in ein
anderes Netz zu verfrachten.
#5
geschrieben 17. Oktober 2011 - 15:14
@Ludacris
virtualisierung bringt nichts. Ich übernehme dann über Port 80 den virtuellen Rechner und von da aus kann ich dann ins interne Lan pivoten.
virtualisierung bringt nichts. Ich übernehme dann über Port 80 den virtuellen Rechner und von da aus kann ich dann ins interne Lan pivoten.
your IP is 127.0.0.1 or ::1
you are running an OS
you use a Browser
I know so much about you...
you are running an OS
you use a Browser
I know so much about you...
#6
geschrieben 17. Oktober 2011 - 15:24
Eine Hardwarefirewall würde nur dann was bringen, wennd er Traffic dann in ein extra Netz geht.
Admin akbar
#7
geschrieben 17. Oktober 2011 - 15:37
Nein muss es doch nicht. Es ist ja extra vom normalen Netz
aufgezweigt und wird per Portregeln eingeschränkt. In ein
anderes Netz muss das System deswegen nicht. Notfalls könnte
man noch Subnetting betreiben.
aufgezweigt und wird per Portregeln eingeschränkt. In ein
anderes Netz muss das System deswegen nicht. Notfalls könnte
man noch Subnetting betreiben.
#8
geschrieben 17. Oktober 2011 - 16:17
So wirklich extra ist das nicht...
Die Kuh steht auf dem Eis, da werden Portregeln nichts bringen.
Subneting geht nur dann, wenn du zwei Gateways betreibst, das geht mit einfachen Routern nur über eine virtuelle IP. Das wäre dann keine Netztrennung.
Die Kuh steht auf dem Eis, da werden Portregeln nichts bringen.
Subneting geht nur dann, wenn du zwei Gateways betreibst, das geht mit einfachen Routern nur über eine virtuelle IP. Das wäre dann keine Netztrennung.
Admin akbar
#9
geschrieben 17. Oktober 2011 - 17:04
#10
geschrieben 17. Oktober 2011 - 19:01
du meinst VLANs?
Das bringt nur was, wenn aus dem Vlan keine Route zum anderen besteht. Und ich sehe oft, dass dann auf dem Webserver zur einfacheren Verwaltung sowas eingerichtet wird.
Das bringt nur was, wenn aus dem Vlan keine Route zum anderen besteht. Und ich sehe oft, dass dann auf dem Webserver zur einfacheren Verwaltung sowas eingerichtet wird.
your IP is 127.0.0.1 or ::1
you are running an OS
you use a Browser
I know so much about you...
you are running an OS
you use a Browser
I know so much about you...
#11
geschrieben 17. Oktober 2011 - 19:12
Ja klar, aber wo ist dann der sinn hinter 'nem vlan, wenn du erst wieder ne direkt Verbindung rein machst oO...
#12
geschrieben 17. Oktober 2011 - 19:26
Nutzer
Es gibt oft Rechner die 2 NICs haben oder ähnliches und dann passiert sowas halt. Weil man mal schnell an den Rechner ranmöchte.
Z.b. NIC 1 ist nur für das Inet
NIC 2 für das interne LAN
Es gibt oft Rechner die 2 NICs haben oder ähnliches und dann passiert sowas halt. Weil man mal schnell an den Rechner ranmöchte.
Z.b. NIC 1 ist nur für das Inet
NIC 2 für das interne LAN
your IP is 127.0.0.1 or ::1
you are running an OS
you use a Browser
I know so much about you...
you are running an OS
you use a Browser
I know so much about you...
#13
geschrieben 18. Oktober 2011 - 09:44
Ich denke schon das mit Subnetting etwas bringt. Es
sind öffentliche IP Adressen. Somit kann ich nicht
einfach ein weiteres IP Segment herbei zaubern. Da
die DMZ Netztechnisch immer getrennt sein sollte vom
Rest Netzwerk. Da eine Fritzbox als Router auch
Routing Tables unterstützt, denke ich mal mit Sub-
netting weiterzukommen und dann für beide Netze nur
entsprechende Ports aufzumachen.
Wie sind denn diese Netgear Firewalllösungen vor-
eingestellt? Alles blocken?
Hat keiner #Zuhause ein ähnliches Konstrukt mit
Webserver etc. ?
sind öffentliche IP Adressen. Somit kann ich nicht
einfach ein weiteres IP Segment herbei zaubern. Da
die DMZ Netztechnisch immer getrennt sein sollte vom
Rest Netzwerk. Da eine Fritzbox als Router auch
Routing Tables unterstützt, denke ich mal mit Sub-
netting weiterzukommen und dann für beide Netze nur
entsprechende Ports aufzumachen.
Wie sind denn diese Netgear Firewalllösungen vor-
eingestellt? Alles blocken?
Hat keiner #Zuhause ein ähnliches Konstrukt mit
Webserver etc. ?
#14
geschrieben 18. Oktober 2011 - 13:49
Also ich hab das bei mir so, dass ich den Webserver mit meiner Anwendung im lokalen Netzwerk laufen habe. Am Router hab ich den Dienst http erlaubt, so dass man von außen auch auf die Webanwendung zugreifen kann. Abgesichert ist das dadurch, dass ich zum einen ausschließlich diesen Dienst erlaubt und den dazugehörigen Port (80) geöffnet habe, dann ist der Webserver selbst für diesen Einsatz konfiguriert und nicht etwa in irgendeinem Entwicklermodus, der allerhand erlaubt und per htaccess ist auch nur der normale Zugriff vom LAN möglich und von außen passwortgeschützt. Außerdem muß natürlich die Anwendung selbst vernünftig abgesichert sein, also Datenbankzugriffe der Anwendung an sich. Naja und dann sollte man natürlich immer im Bilde sein, was so für Aktivitäten auf dem Server stattfinden.
Bauernregel: Regnets mächtig im April, passiert irgendwas, was sich auf April reimt.
- ← [suche] Programm Zur Grafischen Netzwerkplanung
- Netzwerke
- Fritz 7390 keine N Wlan Verbindung bei 5 Ghz →
Thema verteilen:
Seite 1 von 1