none
WEB-Server sichern RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    unser Unternehmen möchte ein paar Server ins Internet bringen um den Kunden die Möglichkeit
    zu geben, auch mal Ware direkt zu konfigurieren (Türen, Fenster, Garagentore u.a.) . Wir leiten über
    ein vorhandenes System diese Dinge direkt zum Hersteller weiter!!

    Damit hier nichts aus dem Ruder läuft .........................

    Wie sichert man solche Server ab, damit kein "Hacker" über diese Server in unser System eindringt??
    DMZ - doppelte DMZ oder ganz was anderes???

    Wer hat ein sowas schon mal realisiert???

    DANKE
    Jürgen
    Donnerstag, 23. Juni 2016 19:56
    |

Antworten

  • Question
    Anmelden
    2
    Anmelden

    Moin,

    das ist mit Sicherheit kein Thema für einen Foren-Thread, zumindest wenn am Ende was Brauchbares rauskommen soll. Aber ich schmeiße mal ein paar Stichworte rein:

    • Verzahnung mit internen Systemen: Diese muss ggfls. gar nicht Real-Time und bidirektional sein. Wenn ihr noch nie einen Webshop betrieben habt, solltet ihr auf gar keinen Fall ein fürs Intranet ausgelegtes System ins Internet stellen und hoffen, es soweit "absichern" zu können, dass nichts passiert. Wenn ihr sämtliche Kommunikation von der internen ERP zum Shop hin ausschließlich in Richtung LAN -> Shop initiiert, kann man darüber auch nicht einbrechen. Man könnte höchstens die Daten verändern, die ihr dann ins ERP abholt, aber dafür gibt es Plausibilitätsprüfungen.
    • "Hacker dringt in mein System ein" ist zu abstrakt. Wenn Du versuchst, zusammen mit einem fachkundigen Berater ein Konzept für die Web-Plattform auf die Beine zu stellen, wirst Du die Gefährdung genau definieren müssen. Wenn solch ein Shop-System Aufträge direkt zu den Zulieferen gibt, so ist es unter Umständen wichtiger, dass der Shop als solcher nicht gehackt wird als dass niemand das Katzenbild vom Desktop der Sekretärin klaut.
    • DMZ, Doppel-DMZ, Reverse Proxy, WAF - es kommt immer darauf an, was am Ende an Kommunikation nach innen initiiert wird. Und mal ehrlich, wenn ihr meinen ersten Punkt beherzigt und den Shop "losgelöst" vom ERP betreibt, solltet ihr ihn auch losgelöst hosten - bei einem Provider, der ein ordentliches Load Balancing, Reverse Proxy, Firewall und SSL Offload davor stellt und euch ggfls. ein gehärtetes Image für einen Webserver zur Verfügung stellt.

    Versucht, einen guten Berater zu finden, und entwickelt diese Strategie mit ihm zusammen. Sonst geht es ziemlich sicher in die Hose - auf die eine oder andere Art.

    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de
    my personal blog (mostly German) -> http://it-pro-berlin.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.


    Donnerstag, 23. Juni 2016 21:09
    |
  • Question
    Anmelden
    1
    Anmelden

    Danke für Eure Antworten,

    ich habe zwischenzeitlich mal ein wenig gesucht und bin auf
    "MS SCM" gestoßen - hier wird von WindowsServer Härtung gesprochen.

    Wäre das der erste Schritt in meinem Vorhaben??

    DANKE
    Jürgen

    Ein Hardening des AD und der Infrastruktur sollte möglichst immer stattfinden. Der SCM ist ein Mittel der Wahl (wenn auch outdated) oder die CIS Benchmarks.

    Doch das Wichtigste ist es den Verkehr an der "Front" richtig zu filtern und zu kanalisieren, sensible Daten der Unternehmensstruktur nicht zu gefährden.

    Zum Thema bringe ich gerne auch Azure wieder ins Spiel :)

    https://azure.microsoft.com/de-de/documentation/articles/guidance-iaas-ra-secure-vnet-dmz/

    https://www.windowspro.de/marcel-kueppers

    I write here only in private interest

    Disclaimer: This posting is provided AS IS with no warranties or guarantees, and confers no rights.



    Donnerstag, 30. Juni 2016 14:01
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hallo Jürgen, 

    es kommt drauf an wie dein Service aufgebaut ist. Hast du nur einen Webserver mit Webseite oder noch Datenbanken die irgendwas machen etc. 

    Welchen Webserver wollt ihr einsetzen Microsoft IIS, Apache oder Content Systeme wie Typo3, Wordpress etc. 

    Realisiert haben das sicher viele von uns. :) Bei mir ist das letzte mal irgendwo im März gewesen. 


    Kind regards, Flo

    Donnerstag, 23. Juni 2016 20:09
    |
  • Question
    Anmelden
    2
    Anmelden

    Moin,

    das ist mit Sicherheit kein Thema für einen Foren-Thread, zumindest wenn am Ende was Brauchbares rauskommen soll. Aber ich schmeiße mal ein paar Stichworte rein:

    • Verzahnung mit internen Systemen: Diese muss ggfls. gar nicht Real-Time und bidirektional sein. Wenn ihr noch nie einen Webshop betrieben habt, solltet ihr auf gar keinen Fall ein fürs Intranet ausgelegtes System ins Internet stellen und hoffen, es soweit "absichern" zu können, dass nichts passiert. Wenn ihr sämtliche Kommunikation von der internen ERP zum Shop hin ausschließlich in Richtung LAN -> Shop initiiert, kann man darüber auch nicht einbrechen. Man könnte höchstens die Daten verändern, die ihr dann ins ERP abholt, aber dafür gibt es Plausibilitätsprüfungen.
    • "Hacker dringt in mein System ein" ist zu abstrakt. Wenn Du versuchst, zusammen mit einem fachkundigen Berater ein Konzept für die Web-Plattform auf die Beine zu stellen, wirst Du die Gefährdung genau definieren müssen. Wenn solch ein Shop-System Aufträge direkt zu den Zulieferen gibt, so ist es unter Umständen wichtiger, dass der Shop als solcher nicht gehackt wird als dass niemand das Katzenbild vom Desktop der Sekretärin klaut.
    • DMZ, Doppel-DMZ, Reverse Proxy, WAF - es kommt immer darauf an, was am Ende an Kommunikation nach innen initiiert wird. Und mal ehrlich, wenn ihr meinen ersten Punkt beherzigt und den Shop "losgelöst" vom ERP betreibt, solltet ihr ihn auch losgelöst hosten - bei einem Provider, der ein ordentliches Load Balancing, Reverse Proxy, Firewall und SSL Offload davor stellt und euch ggfls. ein gehärtetes Image für einen Webserver zur Verfügung stellt.

    Versucht, einen guten Berater zu finden, und entwickelt diese Strategie mit ihm zusammen. Sonst geht es ziemlich sicher in die Hose - auf die eine oder andere Art.

    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de
    my personal blog (mostly German) -> http://it-pro-berlin.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.


    Donnerstag, 23. Juni 2016 21:09
    |
  • Question
    Anmelden
    1
    Anmelden

    Danke für Eure Antworten,

    ich habe zwischenzeitlich mal ein wenig gesucht und bin auf
    "MS SCM" gestoßen - hier wird von WindowsServer Härtung gesprochen.

    Wäre das der erste Schritt in meinem Vorhaben??

    DANKE
    Jürgen

    Donnerstag, 30. Juni 2016 11:42
    |
  • Question
    Anmelden
    0
    Anmelden

    Danke für Eure Antworten,

    ich habe zwischenzeitlich mal ein wenig gesucht und bin auf
    "MS SCM" gestoßen - hier wird von WindowsServer Härtung gesprochen.

    Wäre das der erste Schritt in meinem Vorhaben??

    DANKE
    Jürgen

    Moin,

    nein, es ist der letzte Schritt (vor der Freigabe des Zugriffes an der Firewall ;-)). Der erste Schritt ist eine vernünftige Architektur.

    Gruß

    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de
    my personal blog (mostly German) -> http://it-pro-berlin.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Donnerstag, 30. Juni 2016 11:59
    |
  • Question
    Anmelden
    1
    Anmelden

    Hi,

    Wie sichert man solche Server ab, damit kein "Hacker" über diese Server in unser System eindringt?? DMZ - doppelte DMZ oder ganz was anderes???

    Es wird jedenfalls einiges an Sicherheit nötig sein und auch kosten, zusätzlich kommt das Monitoring und die Zeit.

    Wenn ein ERP im eigenen Haus existiert, kann ein Weg sein, die ERP Daten inkrementell via VPN zu einem sicheren Provider Rechenzentrum zu leiten, welcher Web-Hosts anbietet. Das Hardening dieser dedizierten Server übernehmt Ihr oder das ERP Haus. Die Sicherheitsinfrastruktur davor, der Provider.

    Das ERP muss natürlich mitspielen oder vllt selber was anbieten.

    Gruß,
    Marcel

    https://www.windowspro.de/marcel-kueppers

    I write here only in private interest

    Disclaimer: This posting is provided AS IS with no warranties or guarantees, and confers no rights.

    Donnerstag, 30. Juni 2016 13:54
    |
  • Question
    Anmelden
    1
    Anmelden

    Danke für Eure Antworten,

    ich habe zwischenzeitlich mal ein wenig gesucht und bin auf
    "MS SCM" gestoßen - hier wird von WindowsServer Härtung gesprochen.

    Wäre das der erste Schritt in meinem Vorhaben??

    DANKE
    Jürgen

    Ein Hardening des AD und der Infrastruktur sollte möglichst immer stattfinden. Der SCM ist ein Mittel der Wahl (wenn auch outdated) oder die CIS Benchmarks.

    Doch das Wichtigste ist es den Verkehr an der "Front" richtig zu filtern und zu kanalisieren, sensible Daten der Unternehmensstruktur nicht zu gefährden.

    Zum Thema bringe ich gerne auch Azure wieder ins Spiel :)

    https://azure.microsoft.com/de-de/documentation/articles/guidance-iaas-ra-secure-vnet-dmz/

    https://www.windowspro.de/marcel-kueppers

    I write here only in private interest

    Disclaimer: This posting is provided AS IS with no warranties or guarantees, and confers no rights.



    Donnerstag, 30. Juni 2016 14:01
    |