Ist es sicher, einen Webserver hinter einer Firewall auszuführen?

7

Derzeit haben wir eine Linux-basierte Firewall, die unsere öffentliche IP-Adresse NAT, um den Internetzugang auf die PCs unserer Mitarbeiter zu ermöglichen, und einen Windows Server 2003 für internes Filesharing.

Ich möchte Redmine / SVN (einen Bugtracker) intern hinter dieser Firewall unter Verwendung eines Linux-Servers hosten. Auf diesen Webserver wird von unseren Kunden extern zugegriffen, damit sie Fehlerberichte veröffentlichen können. Dies bedeutet, dass ich Port 80 und 22 an der Firewall öffnen muss, um Zugriff auf den Webserver zu erhalten, und dass ich ihn von zu Hause aus SSH-fähig machen kann.

Nehmen wir jedoch an, ich verwende passwortbasiertes SSH für den Webserver und jemand hat es geknackt. Bedeutet das, dass der Cracker pingen und auf andere Server und PCs im Netzwerk zugreifen kann?

Serienmotor
quelle
2
Ja, wenn jemand in einen internen Host einbricht (Linux-Server in Ihrem Beitrag), hat er Zugriff auf alle Hosts in einem privaten Subnetz, das NATed ist.
Hrvoje Špoljar

Antworten:

12

Ja. DMZ löst dieses Problem. Sie können DMZ unter Linux (separates Netzwerk) mit einer weiteren Netzwerkkarte oder einem VLAN erstellen.

In der Computersicherheit ist eine DMZ oder entmilitarisierte Zone ein physisches oder logisches Subnetz, das die externen Dienste eines Unternehmens enthält und einem größeren nicht vertrauenswürdigen Netzwerk, normalerweise dem Internet, aussetzt. Der Begriff wird von Fachleuten der Informationstechnologie normalerweise als DMZ bezeichnet. Es wird manchmal als Perimeter-Netzwerk bezeichnet. Der Zweck einer DMZ besteht darin, dem lokalen Netzwerk (LAN) einer Organisation eine zusätzliche Sicherheitsebene hinzuzufügen. Ein externer Angreifer hat nur Zugriff auf Geräte in der DMZ und nicht auf andere Teile des Netzwerks.

dmz

ooshro
quelle
9
Dies setzt natürlich voraus, dass die Verbindung zwischen dem Computer in der DMZ und dem internen Netzwerk ordnungsgemäß gesperrt ist. Mir ist klar, dass Sie das wahrscheinlich wissen, aber ich füge es hinzu, weil ziemlich viele Leute es nicht zu wissen scheinen. Sie wären überrascht, wie viele Leute einen Computer in der DMZ ablegen und eine "Alles zulassen" -Regel zwischen diesem und dem internen Netzwerk in der Firewall ausführen, was ein großer Fehler ist.
Rob Moir
Ihre Linux-basierte Firewall kann wahrscheinlich Ihre DMZ erstellen, normalerweise ein separates Subnetz. Kann eine separate Netzwerkkarte verwenden, muss dies aber nicht.
Paul
5

@ooshro gab eine gute Antwort zu DMZs, aber ich möchte hinzufügen, dass Sie zusätzliche Schritte zur Sicherung Ihres externen Zugriffs beachten sollten, um die Möglichkeit einer Gefährdung Ihres Hosts zu begrenzen.

Stellen Sie zunächst sicher, dass Sie die richtigen Firewall-Regeln auf dem Linux-Bugtracker-Server eingerichtet haben. Da es öffentlich zugänglich ist, sollten Sie den Zugriff in und aus dem Computer streng kontrollieren. Die meisten Firewall-Konfigurationen konzentrieren sich darauf, eingehende Verbindungen von außen zu blockieren. Das ist ein guter erster Schritt, aber Sie sollten auch ausgehende Verbindungen sperren. Wenn dieser Server beispielsweise nicht nach außen ssh muss, sollte eine Firewall-Regel dies blockieren.

Installieren Sie eine minimale Anzahl von Softwarepaketen auf dem Server. Benötigen Sie wirklich Netzwerkdienstprogramme wie tcpdump oder traceroute? Wahrscheinlich nicht, aber sie können für jemanden von unschätzbarem Wert sein, der in Ihre Maschine einbricht.

Führen Sie zusätzliche Schritte aus, um eingehendes SSH auf dem Linux-Server zu sichern. Sie sollten so etwas wie Denyhosts ausführen , um automatische Anmeldeversuche zu blockieren. Wenn nur Administratorbenutzer wie Sie über ssh auf die Box zugreifen, führen Sie Ihren ssh-Server an einem anderen Port aus, um die automatisierten ssh-Anmeldeversuche erneut zu reduzieren.

Lassen Sie keine Nur-Passwort-SSH-Anmeldungen für die Box zu, sondern verwenden Sie vorgenerierte öffentliche / private Schlüsselpaare. Sehen Sie sich an, wie Sie die Google Two Factor-Authentifizierung ausführen, damit Sie sich beim Anmelden zusätzlich schützen können.

Phil Hollenback
quelle
1
+1 für Denyhosts. Alternativ ist fail2ban eine gute Lösung und kann Trigger an Ihre Firewall senden, um die fehlerhafte Quell-IP-Adresse zu blockieren.
Joe
0

Zusätzlich zu @ ooshros Antwort. Es ist auch besorgniserregend, alles in einer DMZ zu haben. Wenn einer dieser Dienste kompromittiert wird, kann der Angreifer die gesamte DMZ viel einfacher kompromittieren, wodurch eine größere Plattform zum Durchlaufen der Firewall bereitgestellt wird.

Rory Alsop
quelle
Könnten Sie erklären, "... bietet eine größere Plattform, um zu versuchen, durch die Firewall zu gelangen"? Ich verstehe es nicht
Serienmotor
Wenn ich nur einen Webserver kompromittiert habe, kann ich versuchen, seine Verbindungen zur Ackend-App oder -Datenbank zu verwenden. Wenn ich auch einen Mailserver und einen DNS-Server usw. habe, stehen mir weitere Verbindungen zur Verfügung, um nach Schwachstellen
Rory Alsop