Sicherheit Fernzugriff

  • Hallo zusammen,

    da ich nach längerer Suche nicht wirklich viel zu dem Thema gefunden habe, verfasse ich hier mal meinen ersten Beitrag im Forum.

    Und zwar geht es um die Anbindung mobiler Geräte an den David Server, so dass übers Smartphone auf Mails, Termine und Adressen zugegriffen werden kann. Grundsätzlich ist mir die Technik klar und testweise funktioniert die Sache bei uns im Unternehmen auch schon. Allerdings muss der Server ja von außen über bestimmte Ports erreichbar sein, was sich mit einer Portweiterleitung im Router einfach realisieren lässt.

    Nun ist eine solche Weiterleitung der Ports auf einen Server in der Domäne sicherheitstechnisch nicht ganz unbedenklich. In anderen Forenbeiträgen habe ich gelesen, der Mailserver solle deshalb in eine DMZ. In der DMZ hätte David dann aber keine Verbindung mehr zur Domäne (wenn man da nicht wieder alle möglichen Ports intern öffnet, damit eine Verbindung mit dem AD hergestellt werden kann), was mit Sicherheit zu Problemen führt.

    Um es auf den Punkt zu bringen : Der David-Server soll von außen erreichbar sein, ohne dass die Sicherheit des Unternehmens übermäßig gefährdet wird.

    Was denkt Ihr darüber, und wie macht Ihr das in der Praxis?

    Gruß

    Dennis

    Einmal editiert, zuletzt von frankstein (24. September 2013 um 11:49)

  • Hallo,

    kann niemand etwas dazu sagen? Genutzt wird die Funktion ja doch von recht vielen. Wie macht Ihr das? Im Moment sehe ich nur die 3 Möglichkeiten: einfaches Portforwarding ohne Schutzmaßnahmen, DMZ oder VPN.
    Alle Lösungen überzeugen mich aber nicht richtig, bzw. lassen sich gar nicht so einfach umsetzten. Vielleicht gibt es ja noch weitere Optionen, an die ich noch nicht gedacht habe. Ich freue mich über jede Anregung.

    Viele Grüße

    Dennis

  • Hallo,

    ich würde nur einen einzelnen Port via Portforwarding auf die Webbox umleiten, dafür würde ich ausschließlich HTTPS verwenden, mit einer vom Standard (443) abweichenden Portnummer.
    Wie HTTPS (TLS) in der Webbox aktiviert werden kann, dazu gibt es hier im Forum ausreichend Hinweise. Aufgrund einer Sicherheitslücke sollte auf die Freigabe von öffentlichen Ordnern verzichtet werden.
    Damit ist der Onlnezugriff von außen über Webbrowser und über Smartphones möglich. Eine Synchronisation der Daten (Mails, Kalender, Kontakte) ist mit Zusatzsatzsoftware (z.B. Cosynus) machbar.

    Viel Erfolg
    Jens Osterwohldt

    Spezialist bei David Problemen, oder bei der Migration zu Kerio Connect (ebenfalls von AVM KEN! 4).

  • Einen Kommunikations-Server in eine DMZ-Zone - also völlig offene Umgebung - zu stellen halte ich für Schwachsinn. Sinn macht das nur, wenn der Server als Honeypot für einen Virenschutz-Hersteller genutzt werden soll. Ich gehe davon aus, das die Schreiber der Empfehlung "Server in DMZ" überwiegend im kriminellen Umfeld tätig sind und Dumme suchen, die ihren Server für sie öffnen. Den Forenbeiträgen sehen Sie natürlich nicht an, wes Geistes Kind die Schreiber sind. -

    Die Empfehlung von Herrn Osterwohldt ist richtig.
    Aber zunächst sollten Sie eine Remote-Webbox und (!) ein Smartphone mit David-App überhaupt mal ans Laufen bringen. Benutzen Sie dazu erst einmal die einfachste Variante: Port 80 ein- und ausgehend zur IP Ihres David-Servers. Sobald Sie mit den nötigen Einstellungen einigermaßen vertraut sind können Sie die David-Kommunikation auf https (gesichert) umstellen. Vordefiniert ist Port 443. Einen anderen https-Port zu nutzen ist zwar möglich, erfordert aber Mehraufwand und Erfahrung in der Remote-Nutzung von David-Daten.

    Einen Anfänger dürfte die David-Remote-Nutzung über Non-Standard-Ports ziemlich überfordern. Lassen Sie sich daher von einem Tobit Premium Parter oder einem Tobit Solution Partner helfen, wenn Sie nicht weiterkommen. Die meisten Einstellungen lassen sich per Fernwartung vornehmen. Lediglich für die Scmartphone-Konfiguration sind die Fernwartungstools noch nicht ausgereift genung.

  • Ich gehe davon aus, das die Schreiber der Empfehlung "Server in DMZ" überwiegend im kriminellen Umfeld tätig sind und Dumme suchen, die ihren Server für sie öffnen.

    Ich wiederum gehe davon aus, dass Du auch in Sachen DMZ überhaupt keine Ahnung hast (NULL), sonst würdest Du nicht so einen Schwachsinn schreiben!
    Solltest mal darüber nachdenken, Dein Computerbild-Abo zu kündigen und das Geld in eine Schulung zu investieren, statt über kriminelle Machenschaften zu spekulieren.

  • Mein Statement zu DMZ bezieht sich auf völlig Port-offene Systeme und Pseudo-DMZ.
    Siehe dazu:

    Selbst wenn eine echte DMZ existiert, so wird sich ein erfahrener Hacker davon nicht aufhalten lassen.
    Es sei denn, es findet keinerlei Kommunikation zwischen DMZ-Rechnern und Intranet statt.
    Sobald auch nur eine LAN-Verbindung zwischen Intranet und DMZ existiert können die Rechner des Intranets gehackt werden.
    Konstruktionsrechner für Entwickler sollten daher während der normalen Arbeit völlig vom Internet getrennt sein.

    Im übrigen: Ein David ohne Verbindung zur Domäne wäre kaum zu administrieren, da die Zugriffsberechtigungen die Windows Sicherheits-IDs nutzen.

    3 Mal editiert, zuletzt von Arno (3. Oktober 2013 um 13:55)

  • Selbst wenn eine echte DMZ existiert, so wird sich ein erfahrener Hacker davon nicht aufhalten lassen.


    Auch die von Dir beschriebenen "Erfahrenen Hacker" (meist russischer Herkunft) haben in einer DMZ
    mit mehrstufigem Sicherheitskonzept hinter mindestens einer Hardware Firewall so ihre Probleme...

    Genau das ist der Grund, weshalb zunehmend kleinere Unternehmen angegriffen werden. Die haben nämlich
    entweder kein Moos für zwei kleine Hardware Firewalls, oder einen ganz ganz schlechten Betreuer/Admin, der
    überhaupt keine Ahnung hat und den Server-Betrieb in einer DMZ als potentiell kiminell einstuft.

  • Einer dieser Hacker über die ich schrieb kam nicht aus Russland, sondern war als promovierter Mathematiker bei Siemens beschäftigt ...

    Zurück zum Thema:
    Eine brauchbare Firewall ist sinnvoller als zwei kaskadierte Firewalls unzureichender Qualität.
    Vorausgesetzt die Firewall ist brauchbar, dann empfehle ich ein Vorgehen wie oben beschrieben: erst mal mit Port80 eingehend offen zur Server-IP anfangen und checen, ob alles läuft. Wenn ja, dann erst weitere Restriktionen einführen.
    Alles andere überfordert die meisten Systembetreuer, die noch nicht lange mit David Webbox und David App zu tun hatten.

    Einmal editiert, zuletzt von Arno (3. Oktober 2013 um 17:31)

  • Einer dieser Hacker über die ich schrieb kam nicht aus Russland, sondern war als promovierter Mathematiker bei Siemens beschäftigt ...


    Meinetwegen auch die Fleischfachverkäuferin von nebenan. Völlig wurscht, oder? Wenn man zu faul oder zu blöd ist die Türen zu verschließen, darf man sich halt nicht wundern, wenn plötzlich ein Fremder in der guten Stube steht!


    Eine brauchbare Firewall ist sinnvoller als zwei kaskadierte Firewalls...


    Blödsinn! Zwei von einander unabhängig arbeitende HW-Firewalls (bestenfalls von zwei unterschiedlichen Herstellern) bringen mehr Sicherheit als nur eine. Ist der Angreifer durch eine Firewall durch (oder fällt sie aus sonstigen Gründen aus), muss er zusätzlich durch die Zweite. Andernfalls stehen ihm sofort alle Türen auf!

    Zwei kleine 1.000.- Büchsen von meinetwegen Checkpoint/Watchguard reichen für die meisten kleinen Betriebe mit etwa 10 bis 50 EDV-Arbeitsplätzen oftmals vollkommen aus.

    Schaut man sich dem gegenüber mal so manche Server an (meist offene FTP-Server), wird einem wirklich übel...
    Da findet man von privaten p*rnos bis zu Kennwörtern und Lizenzschlüsseln so ziemlich alles, was der Öffentlichkeit nicht frei zugänglich sein sollte.

    Da darf man dann auch nicht böse sein, wenn jemand aus der Bekanntschaft/Schule/Firma solche Filmchen entdeckt oder irgendwer die Kennwörter und Lizenzschlüssel kopiert.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!