Server mit Internet-Zugriff in einem Firmennetzwerk

BloodyMary

BloodyMary

Pornophon
Hallo,
Ich habe mir (erstmal experimentell) einen Server aufgesetzt, der mit Apache, PHP MySQL etc., einem Gameserver und u.U. noch anderen Server Applikationen laufen soll.
Das System ist ein Gentoo 2007.
Das ding soll in der Firma von meinem Vater stehen, weil dort eine schnellere Internetanbindung ist.
Die Administration etc. will ich per SSH von Zuhause machen.

Das Firmennetzwerk ist ein Class-B netzwerk.
Die Clients sind Hauptsächlich Windows 2000 und ein Server ist Netware Small Business (d.H. noch kein Linux dahinter), testweise läuft ein Win2003 Server.

Meine Vorschläge zum Schutz des Netzwerkes wenn (mein) Server da steht:
Ein Anderes Netz - Geht leider nicht Physikalisch, da der Router nur einen Port hat, er unterstützt aber mehrere IP-Adressen.
Subneting - Das Netz mit der Subnetmask auf 2 Hosts beschränken.
->Folgender Nachteil: Falls der Server gehackt wird, und der Hacker/Cracker root-zugriff erlangt, bruacht er lediglich ein bisschen die Ports zu belauschen, um herraus zu finden welche Netze noch im Netzwerk vorhanden sind. Danach ändert er die Konfiguration des Netzadapters und ist drin...

root-Zugriff per SSH verbieten - Hat für mich leider den Nachteil, das ich wenn ich Software installieren will, oder Irgendwas an der Konfiguration ändern will, mich physikalisch an den Rechner begeben muss...

Sichere Passwörter - Klar gibts nur automatisch generierte PWs die möglichst lang sind.

Ich habe von einem wörtlich "chroot-jail" in dem die Server Applikationen gestartet werden, gelesen. Wie genau funktioniert das?

Gibt es die Möglichkeit einen priviligierten user zu erstellen, der die gleichen Rechte wie root hat, aber nicht die Netzwerk konfiguration ändern darf?
Wenn ja wie?

Angenommen jemand erlangt zugriff auf die Konsole... wie auch immer, wie kann ich den Schaden möglichst gering halten?

Habt ihr Erfahrungen gemacht, mit sowas gemacht?
Habt ihr noch Tipps was ich auf jeden fall beachten sollte, und wie ich vorallem das andere Netzwerk am besten schütze?
 
Ich würde erstmal in der Firma eine richtige Firewall installieren. z.B. IPCOP.

dann kannst du deinen Rechner in die DMZ stellen.

Hat nicht nur vorteile für deinen Server, sonder die Firma hat auch ne gute Firewall.

Sorry ist zwar nicht direkt auf deine frage eine Antwort,
aber egal wie du es machst ( immer mit ner richtigen Firewall )
 
den experimentoer server mittels eines rooters segmentieren. und auf dem rooter nur ein paar ACCEPT's für ssh forward oä und ansonsten ein generelles DENY. so ist das firmennetzwerk vor deinem server geschützt und (was ich viel wichtieger finde) dein server vor dem firmennetzwerk. selbst wenn jmd deinen server/firmennetzwerk hackt (was ja bei einem experimentier server schonmal passieren kann) muss er erst noch den rooter hacken.

btw was hast du gegen ssh root login? ich empfinde das genauso sicher wie ein local login.
 
Hi,

warum solltest du keine Software installieren können, wenn sich root nicht via ssh anmelden darf?
Mein Weg wäre in dem Fall:
  • ssh-Zugang für alle User außer deinem Account verbieten
  • ssh-Zugang für User nur via Auth-Key
  • zum installieren von Software per su root werden

BTW: Die Idee mit dem Cop ist gut. Dadurch kannst du die Netzwerke trennen.
Hast eine Firewall (incl. Proxy, NTP-Server, DHCP-Server und Snort).
 
Ohne eine DMZ ist das grob fahrlässig den Rechner da hinzustellen. Besonders mit Software wie Gameservern und ähnlichem drauf die ja nun wirklich nicht die sicherste ist. Selbst mit einer DMZ und einer richtigen Firewall würde ich da mehr als einmal drüber nachdenken..
 

Ähnliche Themen

NTP Server verweigert Zugriff auf Quellen - Port 123 blocked?

Problem mit Apache2 + MySQL Server

[HowTo] TeamSpeak 2 - RC2 - Server (Deutsch/Englisch)

Samba als PDC [Short-HOWTO]

Zurück
Oben