Server mit Internet-Zugriff in einem Firmennetzwerk

Dieses Thema im Forum "Security Talk" wurde erstellt von BloodyMary, 11.07.2007.

  1. #1 BloodyMary, 11.07.2007
    BloodyMary

    BloodyMary Pornophon

    Dabei seit:
    15.03.2005
    Beiträge:
    615
    Zustimmungen:
    1
    Ort:
    Bayern
    Hallo,
    Ich habe mir (erstmal experimentell) einen Server aufgesetzt, der mit Apache, PHP MySQL etc., einem Gameserver und u.U. noch anderen Server Applikationen laufen soll.
    Das System ist ein Gentoo 2007.
    Das ding soll in der Firma von meinem Vater stehen, weil dort eine schnellere Internetanbindung ist.
    Die Administration etc. will ich per SSH von Zuhause machen.

    Das Firmennetzwerk ist ein Class-B netzwerk.
    Die Clients sind Hauptsächlich Windows 2000 und ein Server ist Netware Small Business (d.H. noch kein Linux dahinter), testweise läuft ein Win2003 Server.

    Meine Vorschläge zum Schutz des Netzwerkes wenn (mein) Server da steht:
    Ein Anderes Netz - Geht leider nicht Physikalisch, da der Router nur einen Port hat, er unterstützt aber mehrere IP-Adressen.
    Subneting - Das Netz mit der Subnetmask auf 2 Hosts beschränken.
    ->Folgender Nachteil: Falls der Server gehackt wird, und der Hacker/Cracker root-zugriff erlangt, bruacht er lediglich ein bisschen die Ports zu belauschen, um herraus zu finden welche Netze noch im Netzwerk vorhanden sind. Danach ändert er die Konfiguration des Netzadapters und ist drin...

    root-Zugriff per SSH verbieten - Hat für mich leider den Nachteil, das ich wenn ich Software installieren will, oder Irgendwas an der Konfiguration ändern will, mich physikalisch an den Rechner begeben muss...

    Sichere Passwörter - Klar gibts nur automatisch generierte PWs die möglichst lang sind.

    Ich habe von einem wörtlich "chroot-jail" in dem die Server Applikationen gestartet werden, gelesen. Wie genau funktioniert das?

    Gibt es die Möglichkeit einen priviligierten user zu erstellen, der die gleichen Rechte wie root hat, aber nicht die Netzwerk konfiguration ändern darf?
    Wenn ja wie?

    Angenommen jemand erlangt zugriff auf die Konsole... wie auch immer, wie kann ich den Schaden möglichst gering halten?

    Habt ihr Erfahrungen gemacht, mit sowas gemacht?
    Habt ihr noch Tipps was ich auf jeden fall beachten sollte, und wie ich vorallem das andere Netzwerk am besten schütze?
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. kames

    kames Eroberer

    Dabei seit:
    11.07.2007
    Beiträge:
    67
    Zustimmungen:
    0
    Ort:
    NRW
    Ich würde erstmal in der Firma eine richtige Firewall installieren. z.B. IPCOP.

    dann kannst du deinen Rechner in die DMZ stellen.

    Hat nicht nur vorteile für deinen Server, sonder die Firma hat auch ne gute Firewall.

    Sorry ist zwar nicht direkt auf deine frage eine Antwort,
    aber egal wie du es machst ( immer mit ner richtigen Firewall )
     
  4. b00

    b00 Haudegen

    Dabei seit:
    28.03.2007
    Beiträge:
    597
    Zustimmungen:
    0
    Ort:
    /root
    den experimentoer server mittels eines rooters segmentieren. und auf dem rooter nur ein paar ACCEPT's für ssh forward oä und ansonsten ein generelles DENY. so ist das firmennetzwerk vor deinem server geschützt und (was ich viel wichtieger finde) dein server vor dem firmennetzwerk. selbst wenn jmd deinen server/firmennetzwerk hackt (was ja bei einem experimentier server schonmal passieren kann) muss er erst noch den rooter hacken.

    btw was hast du gegen ssh root login? ich empfinde das genauso sicher wie ein local login.
     
  5. grey

    grey -=[GHOST]=-

    Dabei seit:
    28.07.2006
    Beiträge:
    303
    Zustimmungen:
    0
    Hi,

    warum solltest du keine Software installieren können, wenn sich root nicht via ssh anmelden darf?
    Mein Weg wäre in dem Fall:
    • ssh-Zugang für alle User außer deinem Account verbieten
    • ssh-Zugang für User nur via Auth-Key
    • zum installieren von Software per su root werden

    BTW: Die Idee mit dem Cop ist gut. Dadurch kannst du die Netzwerke trennen.
    Hast eine Firewall (incl. Proxy, NTP-Server, DHCP-Server und Snort).
     
  6. #5 saeckereier, 16.08.2007
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Ohne eine DMZ ist das grob fahrlässig den Rechner da hinzustellen. Besonders mit Software wie Gameservern und ähnlichem drauf die ja nun wirklich nicht die sicherste ist. Selbst mit einer DMZ und einer richtigen Firewall würde ich da mehr als einmal drüber nachdenken..
     
Thema:

Server mit Internet-Zugriff in einem Firmennetzwerk

Die Seite wird geladen...

Server mit Internet-Zugriff in einem Firmennetzwerk - Ähnliche Themen

  1. CentOS 7: Falsche Metric bei regelbasiertem Routing nach Server-Reboot

    CentOS 7: Falsche Metric bei regelbasiertem Routing nach Server-Reboot: Hallo zusammen Ich möchte unseren existierenden SFTP Server durch einen neuen Server mit CentOS 7 ersetzen. Da der Server einerseits direkt via...
  2. Empfehlung für Server Distribution

    Empfehlung für Server Distribution: Hallo, ich habe hier zu Hause einen kleinen Heimserver, auf welchem ich ein paar Daten für den Zugriff im Haus, einen kleinen Web Service für...
  3. Buch-Weitergabe: Linux-Server mit Debian 6 (Squeeze)

    Buch-Weitergabe: Linux-Server mit Debian 6 (Squeeze): Autor des Buches: Eric Amberg ISBN: 3-8266-5534-0 Praxisumpfang: Backoffice-Server, Root-Server, Linux als Gateway, Server-Security Viele...
  4. Hundertserver sucht Dich: Linux Spezialisten in Berlin.

    Hundertserver sucht Dich: Linux Spezialisten in Berlin.: Hundertserver sucht einen Linuxspezialiten in Berlin Hundertserver über sich: "Hundertserver bietet Unternehmen die Möglichkeit, digitale...
  5. Autehtifizierung gegen Password Server nach Update SAMBA 3.6.6

    Autehtifizierung gegen Password Server nach Update SAMBA 3.6.6: Hi... ich bekomme einfach den "Dreh" nicht an meine Recherche/Suche nach einer Lösung: Ein Samba 3.5.6 (läßt sich leider z.Z. nicht updaten) läuft...