Ist es sicher, einen Webserver hinter einer Firewall auszuführen?

Derzeit haben wir eine Linux-basierte Firewall, die unsere öffentliche IP-Adresse NAT, um den Internetzugang auf die PCs unserer Mitarbeiter zu ermöglichen, und einen Windows Server 2003 für internes Filesharing.

Ich möchte Redmine / SVN (einen Bugtracker) intern hinter dieser Firewall unter Verwendung eines Linux-Servers hosten. Auf diesen Webserver wird von unseren Kunden extern zugegriffen, damit sie Fehlerberichte veröffentlichen können. Dies bedeutet, dass ich Port 80 und 22 an der Firewall öffnen muss, um Zugriff auf den Webserver zu erhalten, und dass ich ihn von zu Hause aus SSH-fähig machen kann.

Nehmen wir jedoch an, ich verwende passwortbasiertes SSH für den Webserver und jemand hat es geknackt. Bedeutet das, dass der Cracker pingen und auf andere Server und PCs im Netzwerk zugreifen kann?

Ja. DMZ löst dieses Problem. Sie können DMZ unter Linux (separates Netzwerk) mit einer weiteren Netzwerkkarte oder einem VLAN erstellen.

In der Computersicherheit ist eine DMZ oder entmilitarisierte Zone ein physisches oder logisches Subnetz, das die externen Dienste eines Unternehmens enthält und einem größeren nicht vertrauenswürdigen Netzwerk, normalerweise dem Internet, aussetzt. Der Begriff wird von Fachleuten der Informationstechnologie normalerweise als DMZ bezeichnet. Es wird manchmal als Perimeter-Netzwerk bezeichnet. Der Zweck einer DMZ besteht darin, dem lokalen Netzwerk (LAN) einer Organisation eine zusätzliche Sicherheitsebene hinzuzufügen. Ein externer Angreifer hat nur Zugriff auf Geräte in der DMZ und nicht auf andere Teile des Netzwerks.

@ooshro gab eine gute Antwort zu DMZs, aber ich möchte hinzufügen, dass Sie zusätzliche Schritte zur Sicherung Ihres externen Zugriffs beachten sollten, um die Möglichkeit einer Gefährdung Ihres Hosts zu begrenzen.

Stellen Sie zunächst sicher, dass Sie die richtigen Firewall-Regeln auf dem Linux-Bugtracker-Server eingerichtet haben. Da es öffentlich zugänglich ist, sollten Sie den Zugriff in und aus dem Computer streng kontrollieren. Die meisten Firewall-Konfigurationen konzentrieren sich darauf, eingehende Verbindungen von außen zu blockieren. Das ist ein guter erster Schritt, aber Sie sollten auch ausgehende Verbindungen sperren. Wenn dieser Server beispielsweise nicht nach außen ssh muss, sollte eine Firewall-Regel dies blockieren.

Installieren Sie eine minimale Anzahl von Softwarepaketen auf dem Server. Benötigen Sie wirklich Netzwerkdienstprogramme wie tcpdump oder traceroute? Wahrscheinlich nicht, aber sie können für jemanden von unschätzbarem Wert sein, der in Ihre Maschine einbricht.

Führen Sie zusätzliche Schritte aus, um eingehendes SSH auf dem Linux-Server zu sichern. Sie sollten so etwas wie Denyhosts ausführen , um automatische Anmeldeversuche zu blockieren. Wenn nur Administratorbenutzer wie Sie über ssh auf die Box zugreifen, führen Sie Ihren ssh-Server an einem anderen Port aus, um die automatisierten ssh-Anmeldeversuche erneut zu reduzieren.

Lassen Sie keine Nur-Passwort-SSH-Anmeldungen für die Box zu, sondern verwenden Sie vorgenerierte öffentliche / private Schlüsselpaare. Sehen Sie sich an, wie Sie die Google Two Factor-Authentifizierung ausführen, damit Sie sich beim Anmelden zusätzlich schützen können.

Zusätzlich zu @ ooshros Antwort. Es ist auch besorgniserregend, alles in einer DMZ zu haben. Wenn einer dieser Dienste kompromittiert wird, kann der Angreifer die gesamte DMZ viel einfacher kompromittieren, wodurch eine größere Plattform zum Durchlaufen der Firewall bereitgestellt wird.