Hallo Marcus, Bezug zur Nachricht vom 12.03.2016, 16:13: > Auf unserem Server läuft das elektronische Tagebuch WebUntis (wohlgemerkt, > nicht beim Hersteller gehostet, sondern alles ist komplett bei uns). > Nun bietet das Programm die Möglichkeit, dass sich Schüler ihren persönlichen > Stundenplan anzeigen lassen können. Da der Server aber nicht im Internet frei > zugänglich ist, geht das natürlich nicht ohne Weiteres. Schüler sollen aber > auch keinen > OpenVPN-Zugang erhalten. > Daher die Frage, ob ich mittels einer Firewall-Regel das so öffnen kann, dass > ein Schüler mit einer Internetverbindung WebUntis - und sonst nix! - aufrufen > kann, also so in der Art: "Wenn Du die Adresse x.y.z.a:8080 aufrufst, dann > wirst du zu > server:8080/WebUntis/... umgeleitet und kannst dich da anmelden..." > (LDAP-Anmeldung, authentifiziert durch unseren Server).
Es gibt 2 IMHO Möglichkeiten
Einfach ist in der Regel auch unsicher, denn die Menschen (Programme) im
Internet sind nicht nur gut, sondern versuchen unter anderem Rechner, die nicht
geschützt sind, (automatisch) zu kompromittieren :-|
Das ist nie persönlich gemeint!
Schau Dir dazu mal das IDS-Log und die Zugriffsversuche aus den "bösen"
IP-Ländern auf ipfire an.
1. Möglichkeit: Weiterleitung der Pakte, die aus dem roten Netz kommen auf
einen Rechner im internen grünen Netz.
Einfach aber ein großes Sicherheitsproblem.
Die Sicherheitsprobleme:
Alle Rechner aus dem Internet können jetzt auf diesen Rechner über
diesen Port zugreifen (und wenn der offene Port gefunden ist, werden es auch
viele tun).
Rechner können versuchen Accounts zu knacken oder Softwarelücken
auszunutzen.
Sie können, wenn es ein Zugriff ohne https ist, den Datenverkehr einfach
mitlesen und die gewonnen Accountdaten verwenden.
Wer den grünen Server besitzt, der hat Zugriff auf alle Rechner im
lokalen Netz
Sicherung:
a) nur HTTPS-Datenverkehr zulassen.
b) den grünen/internen Server absichern (fail2ban, nicht immer möglich,
Firewallregeln, Updates),
(Mit für mich beruhigender Sicherheit kann ich das nicht tun!)
c) Apache auf dem Server absichern!
(Mit für mich beruhigender Sicherheit kann ich das nicht!)
d) geoIP Block im IPfire aktivieren (Achtung nur bei bestimmten port
forwarding Einstellungen möglich)
e) Server in das gelbe Netz hängen, dann kann zumindest das grüne Netz
nicht direkt angegriffen werden.
Die Möglichkeit 1 im grünen Netz würde ich NIE wählen!
Ich hätte das Gefühl ich würde eine Eingangstür im Haus immer offen lassen.
2. Möglichkeit: Mit einem Reverse Proxy (pound auf ipfire) als L7-Gateway auf
IP-Fire auf einen internen (gelben) Server zugreifen und nur HTTPS erlauben.
Das ist etwas komplizierter, da pound konfiguriert werden muss,
aber es ist IMHO immer noch die sicherste Lösung, wenn der Server auch noch
im gelben Netz ist.
Sicherung:
Es gibt kein Schlupfloch, IPFire ist weiterhin für die Sicherheit für
Verbindungen aus Rot zuständig (dafür ist er ja gebaut).
Der rote Netzverkehr endet im ipfire auf pound.
Zusätzliche Sicherheiten für IP-Fire gibt es mit GeoIP-Block und IDS mit
Guardian und
in den Firewallregeln für den Zugriff auf den Port von pound einen
Zeitrahmen setzen, IP-verbindungen pro IP-Adresse und Ratenlimitierung setzen.
Alles eine Frage der Paranoia :-)
Sicherere und einfache Lösungen gibt es nicht.
--
Mit freundlichen Grüßen
Willi Platzer
(Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und
Mediendidaktik )
Ich bin. Aber ich habe mich nicht. Darum werden wir erst.
E. Bloch
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.lehrerbüro.
. mailto:[email protected]
. telefon:.(+49)6151/136283
. mobile:.(+49)16097528937
. skype:platzer.willi?call
.studienseminar.für.berufliche.schulen.in.darmstadt
. http://sts-bs-darmstadt.bildung.hessen.de/
. telefon:.(+49)6151/3682510
. fax:.(+49)6151/3682519
.heinrich-emanuel-merck-schule
. http://www.hems.de
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.Diese E-Mail wurde digital signiert.
.Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt,
.ignorieren Sie bitte die angehaengte Signatur-Datei.
0x0DCC4EE3.asc
Description: application/pgp-keys
signature.asc
Description: OpenPGP digital signature
_______________________________________________ linuxmuster-user mailing list [email protected] https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
