Topic: SME aus dem www erreichbar - wie ist es richtig?

[JayJay]

Hallo Zusammen,


beim Durchstöbern der Funktionen / Möglichkeiten des SME-Servers stößt man immerwieder auf diverse Geschichten wie "Von außen zugängliche Websites" ... ibay's, Webshares & Co.

Bitte vergebt mir, wenn ich jetzt hier eine doofe Frage dazu stelle. Gebt mir da einfach etwas Hintergrundwissen mit


Wenn ich wie o.g. Websites oder WebShares von außen erreichbar machen will, müsste ich doch den kompletten SME innerhalb der DMZ einsetzen. Korrekt?
Allerdings ist doch dann die Nutzung als DC/DHCP für die Tonne.


Oder aber eine Portweiterleitung durch die FW direkt auf den SME im lokalen LAN machen (aus Sicherheitsgründen nicht zu empfehlen).


Derzeit setze ich den SME innerhalb eines LAN's im "Server only Modus" als DC/DHCP(...) ein.
Das www ist über ein separates Gateway (Router mit Firewall) im LAN erreichbar.






Oder sollte hier der Server und Gateway Modus zum gewünschten Erfolg führen?
(SME-Server+Gateway innerhalb des privaten LAN's und davor einem weiteren separaten Router für die DMZ, der wiederum mit dem www verbindet)



Vielen Dank schonmal für eure Hilfe

[lancelott2]

hallo,

natürlich server und gateway modus. dann natürlich auch alles physikalisch trennen, also nicht beide netzwerkkarten in den switch und dann zum router.

bsp.: client -> swich -> server netzkarte 1
        server netzkarte 2 -> router/fw -> internet

gruß lance

[JayJay]

Hallo Lance,


vielen vielen Dank für die Antwort. Wollte dies mal so bestätigt bekommen. 

Meine bedenken waren hier, dass die Trennung der Netze am SME selber nichtmehr korrekt vollzogen wird (die gleiche HW steht ja einmal in der DMZ -NIC1- und zum anderen im Sicheren Netz -NIC2- .... und von beiden Seiten besteht Zugriff auf den SME)

Ich geh mal davon aus, dass das so passend ist.
Zumal du das ja acuh so bestätigst.



Vielen Dank & Gruß
JayJay

[lancelott2]

Hallo JayJay,

joa, kommt immer darauf an wie sicher du das haben willst . Aber die Netzwerkkarten sind im SME schon einmal pysikalisch getrennt, beide haben ein unterschiedliches Netz und Netzadressen. Diese werden somit im SME softwaretechnisch anderst behandelt. Aber das gleiche Prinzip findest du z.B. auch bei IPCop oder so. Die Frage ist dann immer was du vor hast und
was bei dir Sin macht. 100% Sicherheit findest du nur, wenn du die "DSL-Stecker-Zieh"-Firewall installierst *lach*.

Natürlich kanst du auch noch weitere Firewalls im Netz haben, bei mir z.B. geht das Internet des Servers über die Fritzbox und in der
08/15 Fritzbox ist auch eine einfache Firewall.  Wobei hier immer auch die Kosten/Nutzenfrage abgewogen werden sollte. Strom
fressen alle Kisten *gg*.

Ach ja, ich hatte bei mir einen Test laufen über 6 Monate, SME in der Basis-Version (SSH auf anderen Port, SSH-Deny, SSL-Mail) und in der FritzBox Exposed Host an den SME (also alles offen). Versucht haben es einige auf den Server zu kommen, geschafft hat es keiner *lach*.

Vlt. noch soviel, wo kein offener Port - kann auch nix andoggn und z.B. mit dem Contrib "Service Control"  http://wiki.contribs.org/Service_Control hast du diese auch immer im Blick, oder evtl. noch http://wiki.contribs.org/Dansguardian zusätzlich installieren.

Das System überwachen, updaten und härten gehört natürlich zu den wichtigsten Aufgaben eines Administrators. Für mich ist der
SME schon das perfekteste Server-System.

Ich hoffe das hilft dir weiter

Grüße

Lance

PS: Lance braucht ne Brille *muhahaha*

[JayJay]

Hey Lance,


nochmal supervielen Dank!!

Die "DSL-Stecker-zieh-Firewall" kenn ich auch. Is sehr effektiv *lach*

Klar, 100%ige Sicherheit wird man nie haben. Dennoch will man sich nicht gerade Fehler leisten, die das ganze noch verschlimmern.

Am liebsten würde ich natürlich soviele Ports wie nur möglich zu machen (hab auch Service-Controll drauf), nur braucht man ein  .. zwei :s
So ist zusätzlich schonmal für VPN TCP-1723 und GRE offen. Und SSH auf 222 aus dem sicheren Netz.

Und aktuell bekam ich halt die "Vorgabe" man müsse nun auch "Kunden" einen Downloadbereich aus dem www abieten können (das soll über Netzwerk erfolgen, damit kein Upload auf irgendein Space erforderlich ist).

Daher kam nun die Idee mit den Web-Shares (http://wiki.contribs.org/Webshare).
.... hier dann eventuell auch gleich über einen anderen Port als 80


Falls du hiermit schon Erfahrung hast, wertvolle Tipps nehme ich gerne entgegen



Viele Grüße
JayJay



P.s.: ich muss ganz ehrlich sagen, ich bin auch sehr sehr überraschst vom SME-Server. Es gibt einiges an Möglichkeiten und features ... und bis jetzt echt stabil. Das einzige was bei mir noch hakelt is das printer mapping *g*

[lancelott2]

Hey JayJay,

Ich weis ga ned ob da nicht die normale Webfreigabe schon reichen würde . Webshare is eigentlich mehr zum sicheren Dateiaustausch, aber mit sicherheit auch ein Lösungsweg. Ich denke du bist schon auf dem richtigen Weg.

Wobei ich persönlich alles was mit den bösen Kunden zu tun hat immer gerne aus dem Netz verbanne *lach*. Vlt. ein zweiter SME der nur die Filegeschichte macht und als Webserverfugiert. Dann hast auch gleichzeitig ein "main target" bei dem evtl. Angriffe keine große Rolle spielen. Quasi ein Köder zum beobachten was so tatsächlich im Alltag passiert.

Mit der richtigen Backup-Strategie kann auch nicht wirklich viel passieren . Vlt. noch alles gut dokumentieren dann hast im Worset-Case-Zenario den SME nach kurzer Zeit (bei mir ca. 5 Stunden (getestet!)) wieder am laufen . Mach das mal wenn de n Server per Hand aufsetzen mußt.

Vlt. noch eins, zuviel Sicherheit kostet immer Leistung und kann Fehler verusachen - VPN im internen Netz z.B. nur wenn man es wirklich braucht, aber dann mit SSH-Key.

Ich denke Du griegst das schon hin und das Forum steht rund um die Uhr offen.

Viel Spaß,

lance


PS: Hum vlt. sollt ma mal n SME-Buch rausbringen . *lach*






 

[cactus]

Ach ja, ich hatte bei mir einen Test laufen über 6 Monate, SME in der Basis-Version (SSH auf anderen Port, SSH-Deny, SSL-Mail) und in der FritzBox Exposed Host an den SME (also alles offen).

SSH auf einem andern Port hat nichts mit Security zu tun, das heist Security through obscurity (http://de.wikipedia.org/wiki/Security_through_obscurity und ausgedenther im Englisch: http://en.wikipedia.org/wiki/Security_through_obscurity). Wann du wirklich sicherkeit willst für SSH dann soll man SSH Private/Pubic Schlüsselpare benutzen wie hier beschrieben ist: http://wiki.contribs.org/SSH_Public-Private_Keys

[lancelott2]

Oh man cactus, etz hast mich wieder zum denken gebracht ***kantterknatterrauch** und ja, du hast mal wieder recht . Normal hab ich den SSH auch nicht auf und das war auch nur ein Test um herauszufinden was passiert eigentlich wenn ...

Der Vollständigkeit halber - für VPN sollte man dann die OpenVPN Bridge verwenden - http://wiki.contribs.org/OpenVPN_Bridge .

Hast du mir vlt. ein Tip wie ich mit PHPKi die Schlüssel für Zarfa und z-Push ändere?

Gruß,

Lance

[cactus]

Hast du mir vlt. ein Tip wie ich mit PHPKi die Schlüssel für Zarfa und z-Push ändere?

Nein leider nicht, ich muss auch noch immer umschalten auf den neue PHPki bassierte OpenVPN-bridge Erweiterung.