Hallo,
hmm, ich glaube, ich hab mich nicht ganz deutlich ausgedrückt:
WebUntis läuft als TomCat-Anwendung auf dem Webserver - d.h. es spricht
nur auf dem Port 8080 an. WebUntis als Anwendung hat keine eigene IP
oder so. Also kann ich doch nicht den Port 443 nutzen, um es von außen
aufzurufen? Ich könnte höchstens irgendeinen hohen Port nehmen, den
öffnen und dann auf Grün:8080 umleiten?
Noch eine Frage: Was wäre denn, wenn ich den WebServer auf dem
coova-Portal (also im blauen Netz) laufen lasse? Die virtuelle Maschine
gäbe es wenigstens schon, das wäre etwas weniger Aufwand.
Nochmals vielen Dank an alle!
Viele Grüße,
Marcus
Am 14.03.2016 um 09:24 schrieb Holger Baumhof:
Hallo Marcus,
Sehe ich das richtig, dass es ziemlich verschiedene Meinungen und
Umsetzungen gibt? Einige haben einfach eine Port-Weiterleitung auf den
grünen Server eingerichtet, einige andere würden so etwas grundsätzlich
nur auf einem Webserver in der DMZ laufen lassen?
ich gehöre auch zu der DMZ Fraktion.
Ich bin etwas unsicher - einerseits habe ich kein Interesse, jetzt die
ganze Installation von WebUntis auf einem neuen Server durchzuführen,
mit allem, was dann dazugehört, damit unsere Kollegen es auch noch aus
dem grünen Netz nutzen können. Aber ich bin zu wenig kompetent in Sachen
Netzabsicherung...
ich kann verstehen, dass du es nicht nochmal machen willst.
Und die Weiterleitung am Ende, damit der Server auch aus grün erreichbar
ist, ist auch nicht ohne.
Dazu kommt, dass du auch Pinholes machen mußt, damit der Server in der
DMZ den LDAP erreicht.
Trotzdem: mach es gleich richtig: better safe than sorry.
Aber ssh läuft doch auch per Portforwarding? Ist das
dann nicht auch tendenziell unsicher?
.. da hast du ein falsches Bild.
Zuerst mal wird ssh über einen ssh key abgesichert.
Und selbst, wenn du das nciht machst, kann man ssh selbst kaum
angreifen: es gehen erstmal nur brute Force attacken auf dein Passwort.
Ganz anders ist das bei einem Webserver der von außen erreichbar ist.
Wenn der auch noch php verwendet ist er in aller Regel noch anfälliger
für Angriffe: auch ohne kentnis von Passwörtern.
Solche Dienste würde ich mir nie auf den Server holen: schon gar nicht
von einem kleinen Anbieter wie Untis die nicht mal OpenSource erschaffen.
Es gibt also keine große Community die da in die Quellen schaut.
Klar schützt das auch nicht immer: aber da ist besser als nix.
Was du machen könntest wäre, dass du in das Documentroot von WebUntis
eine .htaccessdatei legst: dann ist schon da der Zugriff gesperrt ohne
Passworteingabe.
Aber: man muss sich eben zweimal einloggen: einmal zum Aufrufen der
Seite und einmal auf der Seite.
Noch was, wie bringe ich WebUntis denn bei, nur https zu nutzen?
das brauchst du nicht unbedingt: wenn du nur 443 weiterleitest, dann
geht sowiso nur https.
Aus dem Grünen Netz geht noch weiterhin http: aber das sehe ich nicht
als so schlimm an.
Ansonsten: du kannst das auch in der /etc/apache/sites-availible/ Datei
von untis regeln: dass da eben nur 443 geht.
Also: ein verschieben in die DMZ wird weh tun, aber es lohnt sich
sicherheitstechnisch.
Viele Grüße
Holger
_______________________________________________
linuxmuster-user mailing list
[email protected]
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
