Hallo,
habe hier einen SUSE Rechner laufen, der als Sicherungspc dienen soll. Jetzt hat dieser allerdings eine öffentliche IP, wie jeder Rechner unseres Netzes. Eine SUSE-Firewall läuft, aber trotzdem: ist dies sicher genug? Weiterhin ist geplant ein Intranet basierend auf Weblog (Wordpress) einzurichten. Hierzu muss aber doch ein lokaler Webserver installiert werden, der dann auch von außen zu erreichen wäre. Welche Alternative gibt es?
danke!
eine öffentliche IP,
wie jeder Rechner unseres Netzes.
Gibt es dafür einen konkreten Grund?
der dann auch von außen zu erreichen wäre.
Erreichbar ‚wäre‘ oder ‚sein sollte‘?
Gruss
Schorsch
Der Rechner muss nicht von außen erreichbar sein. Sollte nur für das Intranet der Fall sein.
Warum er eine öffentliche IP hat, muss ich erst erfragen. Sinn macht das nicht, oder?
Der Rechner muss nicht von außen erreichbar sein. Sollte nur
für das Intranet der Fall sein.Warum er eine öffentliche IP hat, muss ich erst erfragen. Sinn
macht das nicht, oder?
Die Tatsache, dass Rechner eines Netzes eine öffentliche IP-Adresse haben, sagt nicht grundsätzlich etwas über die Struktur des Netzes aus. Wenn die Rechner über einen zentralen Router mit dem Internet kommunizieren, kann eine Firewall auf oder vor dem Router jederzeit eine beliebig vollständige Abschottung von aussen nach innen erreichen (und vice versa). Damit ist die Vergabe öffentlich erreichbarer Adressen im internen Netz lediglich Geld- und Adressverschwendung.
Werden aber gezielt öffentliche Adressen verwendet, um Serverdienste ins Internet (und sei’s nur Emule oder ICQ) nach Bedarf jederzeit auf jedem Rechner zur Verfügung stellen zu können, deutet dies - je nach Sicherheitsbedarf des internen Netzes - auf eine sehr bedenkliche Struktur hin.
Gruss
Schorsch
Da es sich um einen Rechner in einem Uni Netzwerk mit öffentlichen Adressen handelt, ist es genügend gesichert. Ich denke, dass die Uni den Rechnern öffentliche IPs zuweist, geht in Ordnung?!
Wenn nun aber ein Webserver speziell für das Intranet auf dem Rechner laufen würde, wäre es ja auch öffentlich. Kann man dies verhindern?
Wenn nun aber ein Webserver speziell für das Intranet auf dem
Rechner laufen würde, wäre es ja auch öffentlich. Kann man
dies verhindern?
Da stellt sich die Frage, wo die Öffentlichkeit anfängt. Handelt es sich um ein Institutsinternes Intranet? Soll es Uni-weit zugreifbar sein? Wenn ja, wo ist der äussere Perimeter der Uni anzusiedeln - gehören beispielsweise angeschlossene Studentenwohnheime noch dazu…?
Ich sehe zwei verschiedene Lösungsansätze: Beim Institut Beschränkung des Zugriffs auf einen festgelegten, dem Institut zugeordneten Adressbereich oder zwingend vorausgesetzte Authentifikation für den Intranet-Zugriff, z. B. über Smartcards.
Gruss
Schorsch
es soll nur für ein Institut erreichbar sein.
Ich habe an die Absicherung über htaccess gedacht.
Aber generell: in wieweit ist ein Webserver ein Sicherheitsrisiko, wenn nur die öffentliche IP bekannt ist?
Reicht eine normale Firewall von Linux aus?
Ist mir alles irgendwie eine heikle Sache…
Hallo,
habe hier einen SUSE Rechner laufen, der als Sicherungspc
[…]
werden, der dann auch von außen zu erreichen wäre. Welche
Alternative gibt es?
Möchtest du jetzt, das wir alle 100 Artikel aus http://entwickler.de/zonen/portale/psecom,ps_lo,80,i… lesen und dir dan sagen, was drin steht?
der hinterwäldler
Hallo,
habe hier einen SUSE Rechner laufen, der als Sicherungspc
[…]
werden, der dann auch von außen zu erreichen wäre. Welche
Alternative gibt es?Möchtest du jetzt, das wir alle 100 Artikel aus
http://entwickler.de/zonen/portale/psecom,ps_lo,80,i…
lesen und dir dan sagen, was drin steht?
Was soll eigentlich bei jeder unpassenden Gelegenheit der Hinweis auf irgendwelche unpassenden Artikel eines Entwicklerportals, wenn es um Netzwerksicherheit geht?
Würd mich mal interessieren.
Aber generell: in wieweit ist ein Webserver ein
Sicherheitsrisiko, wenn nur die öffentliche IP bekannt ist?
Reicht eine normale Firewall von Linux aus?
Du musst klar unterscheiden zwischen öffentlicher Adresse und Erreichbarkeit aus dem Internet. Zwar ist die öffentliche Adresse Voraussetzung für eine Erreichbarkeit ohne NAT, sie erzwingt aber keine öffentliche Erreichbarkeit. Wenn das Institut über genau einen Backbone ans Uninetz angeschlossen ist, reicht eine Firewall zwischen Backbone und Institutsnetz, um dieses beliebig privat zu fahren.
Zur Frage: Von einem Server, der öffentlich erreichbar ist, braucht nichtmals die IP-Adresse bekannt zu sein, um alle Dienste ermitteln zu können, die dieser anbietet. Dafür reicht ein Portscan über eine Adress-Range aus. Wenn dieser Server neben http(s) z. B. Windows/Samba-Dateifreigaben anbietet, hast du zunächst verloren. Natürlich kannst du aber eine Firewall zw. Server und Internet stellen und ihn nach Innen öffnen. Das setzt aber eine klare, definierte und physisch abgebildete Trennung zw. Innen und Aussen voraus.
Was du zu allererst benötigst, ist eine exakte Vorstellung über die Topologie des Netzes, seine Aussenbeziehungen und über die Position, an welche du den Server in dieser Topologie stellen willst.
Gruss
Schorsch
Hallo,
Was soll eigentlich bei jeder unpassenden Gelegenheit der
Hinweis auf irgendwelche unpassenden Artikel eines
Entwicklerportals, wenn es um Netzwerksicherheit geht?Würd mich mal interessieren.
Wenn du dem Link gefolgt wärst, hättest du festgestellt, das sich die Autoren in einem Lehrgang über die Sicherheit und der Konfiguration von Netzwerken auseinandersetzen. Es werden gleichermaßen Admins und Programierer angesprochen. Diskutiert wurde auch über Firewalls als Konzept, jedoch nirgends in den fast 100 Beiträgen über PFWs. Diese Artikelserie wurde absichtlich den Entwicklern von Sicherheitssoftware vor die Nase gesetzt. Angenommen haben sie diese noch nicht, ob sie es tun werden bleibt fraglich.
Das http://groups.google.com/group/oecher.computer/brows… könnte dich unter Umständen auch interessieren? (Für die Anzeige (verm. von RTH Aachen) musst du etwas Geduld aufgringen.)
der hinterwäldler
Wenn du dem Link gefolgt wärst, hättest du festgestellt, das
sich die Autoren in einem Lehrgang über die Sicherheit und der
Konfiguration von Netzwerken auseinandersetzen.
Und ich hatte den Eindruck, bei der Artikelserie ginge es um die Entwicklung sicherer Webapplikationen. Wie man sich täuschen kann
Schorsch