Server mit Internet-Zugriff in einem Firmennetzwerk

Diskutiere Server mit Internet-Zugriff in einem Firmennetzwerk im Security Talk Forum im Bereich Netzwerke & Serverdienste; Hallo, Ich habe mir (erstmal experimentell) einen Server aufgesetzt, der mit Apache, PHP MySQL etc., einem Gameserver und u.U. noch anderen...

  1. #1 BloodyMary, 11.07.2007
    BloodyMary

    BloodyMary Pornophon

    Dabei seit:
    15.03.2005
    Beiträge:
    615
    Zustimmungen:
    1
    Hallo,
    Ich habe mir (erstmal experimentell) einen Server aufgesetzt, der mit Apache, PHP MySQL etc., einem Gameserver und u.U. noch anderen Server Applikationen laufen soll.
    Das System ist ein Gentoo 2007.
    Das ding soll in der Firma von meinem Vater stehen, weil dort eine schnellere Internetanbindung ist.
    Die Administration etc. will ich per SSH von Zuhause machen.

    Das Firmennetzwerk ist ein Class-B netzwerk.
    Die Clients sind Hauptsächlich Windows 2000 und ein Server ist Netware Small Business (d.H. noch kein Linux dahinter), testweise läuft ein Win2003 Server.

    Meine Vorschläge zum Schutz des Netzwerkes wenn (mein) Server da steht:
    Ein Anderes Netz - Geht leider nicht Physikalisch, da der Router nur einen Port hat, er unterstützt aber mehrere IP-Adressen.
    Subneting - Das Netz mit der Subnetmask auf 2 Hosts beschränken.
    ->Folgender Nachteil: Falls der Server gehackt wird, und der Hacker/Cracker root-zugriff erlangt, bruacht er lediglich ein bisschen die Ports zu belauschen, um herraus zu finden welche Netze noch im Netzwerk vorhanden sind. Danach ändert er die Konfiguration des Netzadapters und ist drin...

    root-Zugriff per SSH verbieten - Hat für mich leider den Nachteil, das ich wenn ich Software installieren will, oder Irgendwas an der Konfiguration ändern will, mich physikalisch an den Rechner begeben muss...

    Sichere Passwörter - Klar gibts nur automatisch generierte PWs die möglichst lang sind.

    Ich habe von einem wörtlich "chroot-jail" in dem die Server Applikationen gestartet werden, gelesen. Wie genau funktioniert das?

    Gibt es die Möglichkeit einen priviligierten user zu erstellen, der die gleichen Rechte wie root hat, aber nicht die Netzwerk konfiguration ändern darf?
    Wenn ja wie?

    Angenommen jemand erlangt zugriff auf die Konsole... wie auch immer, wie kann ich den Schaden möglichst gering halten?

    Habt ihr Erfahrungen gemacht, mit sowas gemacht?
    Habt ihr noch Tipps was ich auf jeden fall beachten sollte, und wie ich vorallem das andere Netzwerk am besten schütze?
     
  2. Anzeige

    Anzeige

    Wenn du mehr über Linux erfahren möchtest, dann solltest du dir mal folgende Shellkommandos anschauen.


    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. kames

    kames Eroberer

    Dabei seit:
    11.07.2007
    Beiträge:
    67
    Zustimmungen:
    0
    Ich würde erstmal in der Firma eine richtige Firewall installieren. z.B. IPCOP.

    dann kannst du deinen Rechner in die DMZ stellen.

    Hat nicht nur vorteile für deinen Server, sonder die Firma hat auch ne gute Firewall.

    Sorry ist zwar nicht direkt auf deine frage eine Antwort,
    aber egal wie du es machst ( immer mit ner richtigen Firewall )
     
  4. b00

    b00 Haudegen

    Dabei seit:
    28.03.2007
    Beiträge:
    597
    Zustimmungen:
    0
    den experimentoer server mittels eines rooters segmentieren. und auf dem rooter nur ein paar ACCEPT's für ssh forward oä und ansonsten ein generelles DENY. so ist das firmennetzwerk vor deinem server geschützt und (was ich viel wichtieger finde) dein server vor dem firmennetzwerk. selbst wenn jmd deinen server/firmennetzwerk hackt (was ja bei einem experimentier server schonmal passieren kann) muss er erst noch den rooter hacken.

    btw was hast du gegen ssh root login? ich empfinde das genauso sicher wie ein local login.
     
  5. grey

    grey -=[GHOST]=-

    Dabei seit:
    28.07.2006
    Beiträge:
    303
    Zustimmungen:
    0
    Hi,

    warum solltest du keine Software installieren können, wenn sich root nicht via ssh anmelden darf?
    Mein Weg wäre in dem Fall:
    • ssh-Zugang für alle User außer deinem Account verbieten
    • ssh-Zugang für User nur via Auth-Key
    • zum installieren von Software per su root werden

    BTW: Die Idee mit dem Cop ist gut. Dadurch kannst du die Netzwerke trennen.
    Hast eine Firewall (incl. Proxy, NTP-Server, DHCP-Server und Snort).
     
  6. #5 saeckereier, 16.08.2007
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ohne eine DMZ ist das grob fahrlässig den Rechner da hinzustellen. Besonders mit Software wie Gameservern und ähnlichem drauf die ja nun wirklich nicht die sicherste ist. Selbst mit einer DMZ und einer richtigen Firewall würde ich da mehr als einmal drüber nachdenken..
     
Thema:

Server mit Internet-Zugriff in einem Firmennetzwerk

Die Seite wird geladen...

Server mit Internet-Zugriff in einem Firmennetzwerk - Ähnliche Themen

  1. Hacker dringen in LineageOS-Server ein

    Hacker dringen in LineageOS-Server ein: Am Wochenende drangen Hacker in einen Server des Android-ROM-Projekts LineageOS ein. Laut den Entwicklern wurden keine sensiblen Daten entwendet...
  2. Samba 4.6 Ads Member Server einseitige Vertrauensstellung

    Samba 4.6 Ads Member Server einseitige Vertrauensstellung: Hallo liebes Forum, seit der Domänen Umstellung in unserer FIrma habe ich Probleme mit dem Zugriff auf die Konten der neuen Domäne über unseren...
  3. Purism stellt Librem Server vor

    Purism stellt Librem Server vor: Der US-amerikanische Hersteller Purism stellt mit dem »Librem Server« ein weiteres Stück Hardware vor, das besonderen Ansprüchen an Freiheit,...
  4. Canonical enthüllt Pläne für Ubuntu Server Installer 20.04

    Canonical enthüllt Pläne für Ubuntu Server Installer 20.04: Canonical hat seine Planung für den Installer von Ubuntu Server 20.04 LTS veröffentlicht. Damit soll die Umstellung auf Subiquity abgeschlossen...
  5. Mir erhält Server-Side-Decorations für XWayland

    Mir erhält Server-Side-Decorations für XWayland: Canonical stattet Mir mit Server-Side-Decorations für die bisher noch experimentelle Unterstützung von XWayland aus. Damit können Anwendungen...
  1. Diese Seite verwendet Cookies um Inhalte zu personalisieren. Außerdem werden auch Cookies von Diensten Dritter gesetzt. Mit dem weiteren Aufenthalt akzeptierst du diesen Einsatz von Cookies.
    Information ausblenden