hallo,
folgendes szenario:
internet - firewall - webserver(extranet) - firewall - lan
schreibt mir doch bitte eure vorschläge/ideen, um daten aus dem lan(db-server) auf der extranetwebseite abzubilden. das ganze natürlich top secret.
danke und gruß
rasta
Guter Witz …
Hola, Rasta …
folgendes szenario:
internet - firewall - webserver(extranet) - firewall - lan
schreibt mir doch bitte eure vorschläge/ideen, um daten aus
dem lan(db-server) auf der extranetwebseite abzubilden. das
ganze natürlich top secret.
Huahaha! An diesem Szenario verdienen sich saemtliche IT-Berater derzeitig eine goldene Nase. Und bei einer solch nebulösen Fragestellung wie der deinigen werde auch ich mich hüten in das Thema einzusteigen.
Wenn Du es genauer beschreiben kannst (welche Apps, welche Ports, welche Datenvolumina, welche Firewall-Technik, welche Zugriffsstrategien, welche sonstigen Sicherheitsregeln in der Firma, u. v. a. m.) koennten wir evtl. weiterreden.
So ist Deine Anfrage einfach zu unspezifisch.
Gruss
Th.
E X T R A N E T
hallo chiquita,
evtl ist es extra nebulös gehalten um möglichst viele ideen, anregungen zu erhalten…
fakt ist, ich habe einen webserver, der mit unternehmensdaten versorgt werden will.
variante 1:
dieser holt sich die benötigten daten direkt vom db-server
variante 2:
die datenbank ist lokal auf dem webserver(wird täglich gespiegelt, bzw. über einen webservice mit anstoss aus dem lan uptodate gehalten)
variante 3:
ein webservice im lan, erlaubt den zugriff über einen bestimmten port von außen, und stellt die benötigten daten zur verfügung.
variante 4:
evtl bin ich auch im falschen brett
variante 5:
… …
es gibt viele varianten, auch viele die wenig sinn machen. und darüber hätte ich gerne ideen, anregungen, meinungen.
spezifischer gehts nicht. du wirst mir doch sagen können, wie du so etwas realisieren würdest.
ob das gut, schlecht oder was weis ich ist, entscheidet derjenige der es liest, bzw. das ergebnis einer diskussion, falls es eine gibt.
und eine goldene nase werd ich mir bestimmt daran nicht verdienen.(eher eine blutige…)
gruß
rasta
Huahaha! An diesem Szenario verdienen sich saemtliche
IT-Berater derzeitig eine goldene Nase. Und bei einer solch
nebulösen Fragestellung wie der deinigen werde auch ich mich
hüten in das Thema einzusteigen.Wenn Du es genauer beschreiben kannst (welche Apps, welche
Ports, welche Datenvolumina, welche Firewall-Technik, welche
Zugriffsstrategien, welche sonstigen Sicherheitsregeln in der
Firma, u. v. a. m.) koennten wir evtl. weiterreden.So ist Deine Anfrage einfach zu unspezifisch.
Gruss
Th.
evtl ist es extra nebulös gehalten um möglichst viele ideen,
anregungen zu erhalten…
Ein bisschen mehr, nämlich ob es sich um ein b2b-Portal handelt, ob du b2c machen, ob du lediglich aktuelle Informationen (Vorgangsstati aller Art) bereitstellen willst…, solltest du uns schon mitteilen. Diese Informationen nämlich bestimmen erst, welche Szenarien sinnvoll sind. Auch eine Risikoabschätzung ist erst auf Basis dieser Infos sinnvoll, da diese nur aufgrund einer Gegenüberstellung von Risiken und Nutzen erfolgen kann.
Vorschlag: Du beschreibst, was du realisieren willst, wie du das realisieren willst, und wir schreiben dir dann, warum das so nicht sinnvoll ist 
Völlig ins Blaue hinein irgendwelche denkbare Szenarien zusammenzuschreiben halte ich für nicht sonderlich sinnvoll.
Du hast einen Server in der DMZ, der in zwei Richtungen Daten austauschen muss. Wie er das macht, bleibt völlig deiner Phantasie überlassen. Sobald aber
du wirst mir doch sagen können, wie du so etwas realisieren
würdest.
eine solche Anforderung kommt, musst du schon deutlich konkreter werden.
Gruss,
Schorsch
Hy,
variante 4:
evtl bin ich auch im falschen brett
Jep. Ich sehe nämlich ehrlicherweise den Sicherheitsaspekt (noch) nicht.
spezifischer gehts nicht. du wirst mir doch sagen können, wie
du so etwas realisieren würdest.
MySQL.
Gruß
h.
hallo schorsch,
über das extranet sollen vertreter-daten eingesehen und eingegeben werden können.
dies geht über reine adressdaten bis hin zur provisionsabrechnung, z.b.
über die hardwareseite und technik muss ich mir keine gedanken machen. sondern über die technik der software…
generell – wenn bei der hardware die höchstmögliche sicherheit gewährleistet wird, ist es doch trotzdem sinnvoll, in der softwaretechnik verschiedene sicherheitsstufen einzubauen?!
also, wie die daten auf den webserver bringen?
über einen xml-webservice?
über einen vpn-tunnel?
beides in verbindung?!?
hölt mir doch bittö
rasta
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
über das extranet sollen vertreter-daten eingesehen und
eingegeben werden können.
dies geht über reine adressdaten bis hin zur
provisionsabrechnung, z.b.
Ich gehe mal davon aus, dass du für diesen Zweck keinen unmittelbaren Zugriff auf die Unternehmensdatenbank benötigst, dass, auch wenn aus diesen Daten z. B. unmittelbar Zahlungen resultieren sollte, dies nicht in Echtzeit geschehen muss. Auch kann man wohl annehmen, dass die Zugriffe von aussen nicht in Konkurrenz zueinander oder zu internen Vorgängen stehen. Daher sehe ich keine Notwendigkeit, Transaktionen direkt auf die eigentliche Unternehmens-DB auszuführen.
generell – wenn bei der hardware die höchstmögliche
sicherheit gewährleistet wird […]
Echt? Du hast auch Scissors http://www.physics.usyd.edu.au/~matthewa/scissors.pdf im Einsatz
also, wie die daten auf den webserver bringen?
über einen xml-webservice?
über einen vpn-tunnel?
Ich denke, deine Variante 2, die datenbank ist lokal auf dem webserver(wird täglich gespiegelt, bzw. über einen webservice mit anstoss aus dem lan uptodate gehalten) ist hier ausreichend.
Da ein unmittelbarer Durchgriff auf die interne DB nicht erforderlich ist, besteht kein Grund, vom Webserver in der DMZ einen (in)direkten Zugriff auf die interne DB zu ermöglichen. Auf der internen Firewall kannst du den Webserver also wie einen ‚feindlichen‘ Server im Internet betrachten.
Der interne DB-Server muss natürlich in der Lage sein, Daten in beide Richtungen zu transferieren. Als einfachste Methode sehe ich hier einen ftp-Server in der DMZ, auf den per Put Änderungen in der internen Datenbank und per Get die von den Vertretern geänderten Daten in Form strukturierter Dateien übergeben werden. Im internen Netz hast du also selbst dann keinen angreifbaren Server, wenn ein Angreifer, z. B. aufgrund von Schwächen im Webinterface, den Server in der DMZ übernehmen sollte.
Nachteil wäre die Redundanz der Daten sowie die Notwendigkeit der Definition einer Schnittstelle von Datenbank zu Transferdateien und vice versa. Ausserdem musst du natürlich berücksichtigen, wie zukünftige Anforderungen aussehen können; sind diese nicht auf gleiche Weise abbildbar, ist im Sinne der Transparenz eine andere, einheitliche Methode vorzuziehen.
Gruss,
Schorsch
[OT] (was: E X T R A N E T)
Nachteil wäre die Redundanz der Daten sowie die Notwendigkeit
der Definition einer Schnittstelle von Datenbank zu
Transferdateien und vice versa. Ausserdem musst du natürlich
berücksichtigen, wie zukünftige Anforderungen aussehen können;
sind diese nicht auf gleiche Weise abbildbar, ist im Sinne der
Transparenz eine andere, einheitliche Methode vorzuziehen.
Och, komm schon, ich brauch blosz noch „Synergie-Effekte“, dann hab ich die Reihe voll: http://isd.usc.edu/~karl/Bingo/bbbingo.html
SCNR, Klasse Beitrag,
Gruss vom Frank.
hallo schorsch,
generell – wenn bei der hardware die höchstmögliche
sicherheit gewährleistet wird […]Echt? Du hast auch Scissors
http://www.physics.usyd.edu.au/~matthewa/scissors.pdf im
Einsatz
nein – das ding ist von cisco und nennt sich concentrator
aber erstmal vielen dank für deine antwort.
hilft mir sehr weiter!
viele grüße
rasta
Och, komm schon, ich brauch blosz noch „Synergie-Effekte“,
dann hab ich die Reihe voll:
http://isd.usc.edu/~karl/Bingo/bbbingo.html
Eine selten eloquente grafische Umsetzung des Begriffs Synergieeffekt findest du hier: http://www.dragon24.de/sas/html/synergieeffekt.html
Gruss,
Schorsch