Zurück   EffizienzGurus Forum > Software & mehr > Netzwerk, Sicherheit & Co

Hinweise

Webanwendung auf Server veröffentlichen

Dieses Thema wurde 11 mal beantwortet und 2115 x angesehen.

Antwort
 
Themen-Optionen
Alt 29.09.2009, 09:06   #1
Greenhorn
 
Registriert seit: 09.2009
Beiträge: 6
Standard Webanwendung auf Server veröffentlichen

Hallo,

Was ich tun möchte ist folgendes:
- Wir haben auf einem Server eine Webanwendung laufen (Interne IP x.x.x.100)
- Diese Webanwendung sollte nun auch außerhalb des Firmennetzwerkes erreicht werden können

Da ich auf dem Gebiet Netwerksicherheit recht neu bin habe ich ein paar Frage bzw. wäre um ein paar Tips dankbar.

- Da wir DSL Business haben sollte sich die IP Adresse nicht ändern. Somit sollte ein Zugriff von außen über die IP bzw. DNS (REMOTE_ADDR) grundsätzlich möglich sein?
- Alles was zu tun ist wäre die den Port auf der Fritz Box freizuschalten?
- Wie ist dann aber die öffentliche IP Adresse der Webanwendung da gibt es ja nur eine interne IP Adresse (Interne IP x.x.x.100) die nach außen nicht sichtbar ist?
- Wie sicher ist das ganze in Bezug auf das restliche Netzwerk? Sollte man andere Vorgehen wählen?

Vielen Dank schonmal.
MoreThanWords ist offline   Mit Zitat antworten
Alt 29.09.2009, 09:14   #2
EffizienzGuru
Admin in Rente
 
Benutzerbild von Chibu
 
Registriert seit: 10.2006
Beiträge: 6.239
Standard

Hier im Unternehmen wird dies über VPN geregelt. Voraussetzung hierfür ist ein VPN-fähiger Router. Über den entsprechenden VPN-Client kann man quasi mit seinem PC/Notebook von jedem beliebigen Ort weltweit die vorher definierten bzw freigegebenen Aufgaben auf dem Server erledigen. Vorteil des VPN-systems: Es ist verschlüsselt, somit kein unberechtigter Zugriff ohne Weiteres möglich.
Chibu ist offline   Mit Zitat antworten
Alt 29.09.2009, 11:26   #3
Greenhorn
 
Registriert seit: 09.2009
Beiträge: 6
Standard

Ich denke, dass wir beides benötigen. Für interne Mitarbeiter würde man für die VPN Variante wählen.

Unsere Kunden sollten aber Zugriff zu einem internen Tool haben (Webanwendung) für das es sicherlich einfacher wäre den Port für diese Webanwendung zu öffnen. Ist dies ohne weiter Bedenken möglich?
MoreThanWords ist offline   Mit Zitat antworten
Alt 29.09.2009, 12:40   #4
Administrator in Rente
Bughunter
 
Benutzerbild von buyman
 
Registriert seit: 09.2006
Ort: Salzburg (Österreich)
Beiträge: 3.571
Standard

Zitat:
Zitat von MoreThanWords Beitrag anzeigen
Ich denke, dass wir beides benötigen. Für interne Mitarbeiter würde man für die VPN Variante wählen.

Unsere Kunden sollten aber Zugriff zu einem internen Tool haben (Webanwendung) für das es sicherlich einfacher wäre den Port für diese Webanwendung zu öffnen. Ist dies ohne weiter Bedenken möglich?
Die Frage können wir dir nicht so einfach beantworten. Sofern auf die Anwendung jeder (nicht nur eure Kunden) Zugriff haben darf (oder die Anwendung selbst schon eine Zugangskontrolle eingebaut hat (Username/Passwort)) und der Server gut konfiguriert/abgesichert ist sollte es so funktionieren.

Ich persönlich würde allerdings eher einen eigenen Server für dieses Problem abstellen. Dieser hängt dann in einem eigenen Netz, ist vom Internet aus erreichbar (und auch vom lokalen Netzwerk) hat aber keinen Zugriff aufs lokale Netzerk. Sollte dann etwas passieren wäre das Netzwerk nicht kompromitiert sondern nur der Server.
__________________
Früher im Sandkasten war das alles viel einfacher:
Da gabs was mit der Schüppe auf die Fresse ... und gut wars - aber Heute?
Werd auch du ein Guru
buyman ist offline   Mit Zitat antworten
Alt 29.09.2009, 14:27   #5
Greenhorn
 
Registriert seit: 09.2009
Beiträge: 6
Standard

Vielen Dank für die Antworten und Anregung.

Die Webanwendung selbt hat eine Zugriffskontrolle eingebaut. Würde aber einen einen kompletten WebServer mit Tomcat voraussetzen, da zus. Programme auf dem Server notwendig sein würden.

Zitat:
Ich persönlich würde allerdings eher einen eigenen Server für dieses Problem abstellen. Dieser hängt dann in einem eigenen Netz, ist vom Internet aus erreichbar (und auch vom lokalen Netzwerk) hat aber keinen Zugriff aufs lokale Netzerk. Sollte dann etwas passieren wäre das Netzwerk nicht kompromitiert sondern nur der Server.
Wäre es denn einfach vor Ort einen eigenen Server abzustellen der von Außen sowie vom internen Netzwerk zugegriffen werden kann aber keinen Zugriff aufs interne Netzwerk hat oder sollt man hier lieber einen Provider wählen, der dieses zu Verfügung stellt?
MoreThanWords ist offline   Mit Zitat antworten
Alt 29.09.2009, 15:06   #6
Administrator in Rente
Bughunter
 
Benutzerbild von buyman
 
Registriert seit: 09.2006
Ort: Salzburg (Österreich)
Beiträge: 3.571
Standard

Zitat:
Zitat von MoreThanWords Beitrag anzeigen
Wäre es denn einfach vor Ort einen eigenen Server abzustellen der von Außen sowie vom internen Netzwerk zugegriffen werden kann aber keinen Zugriff aufs interne Netzwerk hat oder sollt man hier lieber einen Provider wählen, der dieses zu Verfügung stellt?
Kommt auf den Router an der verwendet wird. Ich verwende daheim einen IPCop-PC Router (Ok, durch einen Modemwechsel ist das ganze bei mir aktuell besch* konfiguriert - doppeltes NAT aber erstmal musste das ganze wieder laufen) der sowas von Haus aus unterstützt (entsprechende Anzahl von Netzwerkinterfaces vorausgesetzt).
__________________
Früher im Sandkasten war das alles viel einfacher:
Da gabs was mit der Schüppe auf die Fresse ... und gut wars - aber Heute?
Werd auch du ein Guru
buyman ist offline   Mit Zitat antworten
Alt 30.09.2009, 07:21   #7
Greenhorn
 
Registriert seit: 09.2009
Beiträge: 6
Standard

Das mit dem IPCop-PC Router wäre denke ich eine sehr gute Lösung.

Vielen Dank.
MoreThanWords ist offline   Mit Zitat antworten
Alt 30.09.2009, 10:04   #8
Administrator in Rente
Bughunter
 
Benutzerbild von buyman
 
Registriert seit: 09.2006
Ort: Salzburg (Österreich)
Beiträge: 3.571
Standard

Welchen Router verwendet ihr bisher - evtl. kann eurer das schon?
__________________
Früher im Sandkasten war das alles viel einfacher:
Da gabs was mit der Schüppe auf die Fresse ... und gut wars - aber Heute?
Werd auch du ein Guru
buyman ist offline   Mit Zitat antworten
Alt 05.10.2009, 10:32   #9
Greenhorn
 
Registriert seit: 09.2009
Beiträge: 6
Standard

Wir haben bisher nur einen DSL Router "FrizBox 7170" der dies wohl nicht unterstützt.

Ich habe mal 2 Diagramme beigefügt wie der Aufbau des Netzwerks ausieht bzw. aussehen müsste. Wäre das so richtig mit dem IPCop Router?

Was für einen IPCop Router würdest du denn empfehlen?

Da mein Chef dem ganzen etwas kritisch mit allem was mit dem "öffentlichen" Zugriff über Internet gegenüber steht hätte ich noch 2 Fragen:
Wie sicher würdest du das ganze den auf einer Scala von 1 - 10 einschätzen?
Im Vergleich dazu wenn man bei einem Provider einen Server anmietet?

Ich hoffe ich belästige dich nicht mit meinen Fragen - möchte aber bevor wir uns entscheiden ein Gefühl dafür bekommen.
Angehängte Grafiken
Dateityp: jpg Netzwerk_aktuell.jpg (59,9 KB, 6x aufgerufen)
Dateityp: jpg Netzwerk_mit_IPCOP.jpg (81,8 KB, 5x aufgerufen)
MoreThanWords ist offline   Mit Zitat antworten
Alt 05.10.2009, 11:10   #10
Administrator in Rente
Bughunter
 
Benutzerbild von buyman
 
Registriert seit: 09.2006
Ort: Salzburg (Österreich)
Beiträge: 3.571
Standard

Zitat:
Zitat von MoreThanWords Beitrag anzeigen
Wir haben bisher nur einen DSL Router "FrizBox 7170" der dies wohl nicht unterstützt.
Sieht leider nicht so aus. Es gibt allerdings Router die für den Firmeneinsatz gedacht sind - einfach mal den Händler eures Vertrauens fragen. Kostenpunkt kann ich hier leider (noch) keinen nennen.

Eine Opensource Lösung wäre da zb. die Endian-Firewall - die gibts fertig mit Hardware + Support.

Zitat:
Zitat von MoreThanWords Beitrag anzeigen
Ich habe mal 2 Diagramme beigefügt wie der Aufbau des Netzwerks ausieht bzw. aussehen müsste. Wäre das so richtig mit dem IPCop Router?
Prinzipiell richtig, allerdings hättest du da wahrscheinlich doppeltes NAT. Für den Heimuser idr. unerheblich aber kann zu Problemen kommen weil du quasi 2 Router hintereinander hast. Deswegen sollte die Fritzbox auf Single-User Betrieb/Modem Betrieb (oder wie auch immer das heißen mag) umkonfiguriert werden.
Das ist genau das Problem das ich auch habe - leider kann ich aktuell nicht aufs Netz verzichten sonst hätte ich das bei mir schon geändert ...

Zitat:
Zitat von MoreThanWords Beitrag anzeigen
Was für einen IPCop Router würdest du denn empfehlen?
Sehr gute Frage. Dir ist bewusst, dass IPCop "nichts weiter" ist als eine Linux Distribution (Firewall Distribution um genau zu sein). Ich hatte ursprünglich einen alten PC dafür abgestellt (wie auch manche meiner Freunde) und den mit genügend Netzwerkkarten bestückt.

Mittlerweile habe ich das ganze gegen neuere Hardware ausgetauscht - genaueres findest du hier: Der 5W PC / LowPower Linux Router
Gleich ein Tipp dazu: nimm ein Board mit RTC-Batterie. DIe muss ich bei mir noch nachrüsten.

Zitat:
Zitat von MoreThanWords Beitrag anzeigen
Da mein Chef dem ganzen etwas kritisch mit allem was mit dem "öffentlichen" Zugriff über Internet gegenüber steht hätte ich noch 2 Fragen:
Wie sicher würdest du das ganze den auf einer Scala von 1 - 10 einschätzen?
Im Vergleich dazu wenn man bei einem Provider einen Server anmietet?

Ich hoffe ich belästige dich nicht mit meinen Fragen - möchte aber bevor wir uns entscheiden ein Gefühl dafür bekommen.
Wenn der Router gut ist (und richtig konfiguriert) sollte es da keine Probleme geben (sonst würde ich mir nämlich schon ernsthaft sorgen ums Firmennetz machen ).
__________________
Früher im Sandkasten war das alles viel einfacher:
Da gabs was mit der Schüppe auf die Fresse ... und gut wars - aber Heute?
Werd auch du ein Guru
buyman ist offline   Mit Zitat antworten
Alt 05.10.2009, 11:25   #11
Greenhorn
 
Registriert seit: 10.2009
Beiträge: 2
Standard

Also ich würde mal schauen, welche Dienste wer braucht, und diese dann auf verschiedene Server verteilen. Das Konzept der DMZ würde ich mir auf alle Fälle mal genauer ansehen.
Die Firewall würde dann so konfiguriert werden, dass nur einzelne Ports aus dem Internet auf den "echten" Server weitergeleitet werden (und dieser nur über eine weitere Firewall in das interne Netzwerk kommt).

Zur Sicherheit allgemein: Egal ob du einen Server mietest oder das Firmennetzwerk aufbohrst - wie sicher die Lösung ist, hängt zu 90% vom Sicherheitskonzept und desen Umsetzung ab. Die restlichen 10% sind IMO Glück.
cruxy ist offline   Mit Zitat antworten
Alt 05.10.2009, 12:00   #12
Greenhorn
 
Registriert seit: 09.2009
Beiträge: 6
Standard

Super - Vielen Dank für Eure Antworten und Hinweise. Ich denke, dass ich nun ein gutes Bild sowie Anhaltspunkte habe um mich entsprechend weiter zu informieren.
MoreThanWords ist offline   Mit Zitat antworten
Antwort

Lesezeichen

Themen-Optionen

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are aus
Pingbacks are an
Refbacks are aus

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
FTP-Server im LAN rct2 Netzwerk, Sicherheit & Co 13 11.04.2008 16:06
USV für 2 Server [CH]IlvlAIRA Konfiguration und Aufrüstung (Kaufberatung) 5 15.02.2008 15:55
Lan-Server aLpina27 Konfiguration und Aufrüstung (Kaufberatung) 1 01.12.2006 22:10


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:14 Uhr.


Powered by vBulletin® Version 3.7.5 (Deutsch)
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
Search Engine Friendly URLs by vBSEO 3.2.0

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41