26. April 2010 15:22
Hallo,
wir möchten gern den CRM Server via https nutzen.
Dazu habe eine 2. Netzwerkarte in den Server eingebaut, und diese 2. Karte in die DMZ gestellt. Jetzt hat der Server 1 Bein in der DMZ und eins bei uns im LAN.
Wir haben noch einen Datenbankserver, auf den der CRM Server zugreifen muss & 3 Domainserver auf die er auch zugreifen muss.
Wir haben jetzt das Problem, das wir sehr viele Ports von der DMZ ins LAN aufmachen müssen damit der Server funktioniert (Netbios, SQl, RPC, Kerberos usw.)
Die Frage ist, ist das die normale Vorgehensweise? Oder gibt es eine schlauere Lösung?
Wie verhindere ich, das ich unzählige RPC - Ports aufmachen muss? Wie verhindere ich Netbios?
Google ist da leider nur ein sehr schwieriger Hilfspartner.
Any Ideas?
Danke
26. April 2010 18:50
Hallo Thomas,
das Zauberwort heißt IFD, Internet Facing Deployment und bedeutet nichts anderes, das CRM über eine Firewall über das Internet zur Verfügung zu sellen, ohne weitere Ports in der Firewall öffnen zu müssen. IFD arbeit komplett über HTTP bzw. HTTPS, weitere Ports werden nicht benötigt.
26. April 2010 23:44
Hallo,
ja, dsas weiß ich, DAS ist die Richtung ins Internet.
Aber was ist denn Richtung LAN? Der CRM Server bruahct doch den SQL-port., Netbios, Keberos usw. ins LAN.
Was ist denn mit den RPC Ports ohne die es auch nicht geht. Und das sind alle von 1024 bis 6555.
Das kann doch nicht im Sinne der Firewall sein, denn wenn ich mich erst mal via Exploit auf dem CRM Server befinde habe ich doch unendlich viele Ports Richtung LAN, inkl. AD Integration.
wie ist das die Vorgehensweise?
Das IFD hab ich ja wie schon beschrieben durchgeführt und es funktioniert auch.
27. April 2010 11:38
Hallo Thomas,
warum hast du dann den Webserver in die DMZ verfrachtet. es ist zwar das normale vorgehen für Webserver und Shops, für das CRM würde ich das aber nicht machen. Lass den Webserver hinter der Firewall und erlaube nur HTTP und HTTPS auf den Server über die Firewall, installiere ein vernünftiges SSL-zertifikat, fertig.
27. April 2010 12:45
Hi,
ich glaube ich muss es plastischer machen:
LAN -->"Lan firewall" ---> <DMZ> ---> "Internet Firewall" -----> Internet
CRM-Server
Web-Server
der CRM - Server hat 2 Netzwerkkarten. Eine Netzwerkkarte ist ans LAN angebunden und hat Freigaben via Kerberos, Netbios, SQL, RPC. Die andere Netzwerkkarte zeigt Richtung Internet. In diese Richtung ist ein Zertifikat installiert und nur HTTPS offen.
Jetzt besteht natürlich die Möglichkeit, sich via Exploit Zugriff über HTTPS auf dem IIS zu beschaffen. Das wäre nicht weiter schlimm, wenn der Rechner nicht nach innen so viele Ports offen hätte.
Ein Destarer wäre es, wenn er dann bei uns im LAN stehen würde. Weil dann wäre ich Administrator auf einem Domainmitgliedserver der in einem Fremden LAN steht. Dort könnte ich ALLLES tun.
Deswegen haben wir den in die DMZ gestellt.
Die Frage ist jetzt wie wir das Portproblem in den Griff bekommen. Ich möchte definierbare Ports in meiner Firewall öffnen und nicht wie RPC das gerne hätte, tausende von Ports die ich nicht kenne.
deswegen die Frage:
gibt es eine Möglichkeit die offenen Ports ins Lan zu beschränken, sprich überwachbar zu machen, oder ein Scenario welches die geringsten Angriffspunkte hat?
Powered by phpBB © phpBB Group.
phpBB Mobile / SEO by Artodia.