Hallo Marcus, > Sehe ich das richtig, dass es ziemlich verschiedene Meinungen und > Umsetzungen gibt? Einige haben einfach eine Port-Weiterleitung auf den > grünen Server eingerichtet, einige andere würden so etwas grundsätzlich > nur auf einem Webserver in der DMZ laufen lassen?
ich gehöre auch zu der DMZ Fraktion. > Ich bin etwas unsicher - einerseits habe ich kein Interesse, jetzt die > ganze Installation von WebUntis auf einem neuen Server durchzuführen, > mit allem, was dann dazugehört, damit unsere Kollegen es auch noch aus > dem grünen Netz nutzen können. Aber ich bin zu wenig kompetent in Sachen > Netzabsicherung... ich kann verstehen, dass du es nicht nochmal machen willst. Und die Weiterleitung am Ende, damit der Server auch aus grün erreichbar ist, ist auch nicht ohne. Dazu kommt, dass du auch Pinholes machen mußt, damit der Server in der DMZ den LDAP erreicht. Trotzdem: mach es gleich richtig: better safe than sorry. > Aber ssh läuft doch auch per Portforwarding? Ist das > dann nicht auch tendenziell unsicher? .. da hast du ein falsches Bild. Zuerst mal wird ssh über einen ssh key abgesichert. Und selbst, wenn du das nciht machst, kann man ssh selbst kaum angreifen: es gehen erstmal nur brute Force attacken auf dein Passwort. Ganz anders ist das bei einem Webserver der von außen erreichbar ist. Wenn der auch noch php verwendet ist er in aller Regel noch anfälliger für Angriffe: auch ohne kentnis von Passwörtern. Solche Dienste würde ich mir nie auf den Server holen: schon gar nicht von einem kleinen Anbieter wie Untis die nicht mal OpenSource erschaffen. Es gibt also keine große Community die da in die Quellen schaut. Klar schützt das auch nicht immer: aber da ist besser als nix. Was du machen könntest wäre, dass du in das Documentroot von WebUntis eine .htaccessdatei legst: dann ist schon da der Zugriff gesperrt ohne Passworteingabe. Aber: man muss sich eben zweimal einloggen: einmal zum Aufrufen der Seite und einmal auf der Seite. > > Noch was, wie bringe ich WebUntis denn bei, nur https zu nutzen? das brauchst du nicht unbedingt: wenn du nur 443 weiterleitest, dann geht sowiso nur https. Aus dem Grünen Netz geht noch weiterhin http: aber das sehe ich nicht als so schlimm an. Ansonsten: du kannst das auch in der /etc/apache/sites-availible/ Datei von untis regeln: dass da eben nur 443 geht. Also: ein verschieben in die DMZ wird weh tun, aber es lohnt sich sicherheitstechnisch. Viele Grüße Holger -- Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net _______________________________________________ linuxmuster-user mailing list [email protected] https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
