Hallo!

Ich würde meinen Home Server gerne in der DMZ meiner Firewall aufstellen. Jetzt meine Frage: Welche Ports werden beim programmieren verwendet. So weit ich das herrausgefunden habe, Port 80 für den Beginn der Verbindung nur wie sieht es danach aus?

Danke für Eure Meldungen

Christian

Komm mal in den Chat. Da sind einige Homeserver-Profis.
www.agrodur.de/gtchat

Hallo Christian,

die komplette Programmierung erfolgt über Port 80 (falls im Projekt nicht anders angegeben).

was bitte genau ist DMZ :confused:

Gestern im Chat hab ich's nicht verstanden, nur so viel, das es die Abkürzung für 'entmilitarisierte Zone' ist :confused: :confused:

Im zivilen Leben war die entmilitarisierte Zone bei mir bisher die Räume, zu denen die Schwiegermutter keinen Zutritt hat. :D

vielleicht hat jemand einen Link, wo der Begriff für jemanden mit fundiertem TCP/IP-Halbwissen ;) entsprechend erklärt ist.

Danke und Gruß

Jörg

Hi Jörg,
guckst du hier:
http://www.msexchangefaq.de/internet/firewall3.htm
Grüße
Christian

Danke Christian, wieder was gelernt :)

Gruß Jörg

Original geschrieben von PeterH
Hallo Christian,

die komplette Programmierung erfolgt über Port 80 (falls im Projekt nicht anders angegeben).

Hallo Peter!

Danke für die Antwort, aber bei eine Http Verbindung wird der Rückkanal ja über einen high port aufgebaut. Ist dies ein fixer oder ein Bereich?

Ich werde heute Abend die Log Files nochmal genau durchsehen, und einige Tests machen, danach werde ich hier die Ergebisse posten.

Danke für Eure Hilfe!!

Christian

Bei HTTP gibts keinen "Rückkanal". Sowas gibts nur bei der DATA-Verbindung von FTP (falls man nicht im PASV-Mode arbeitet).

Sollte also kein Problem sein - technisch passiert da nix anderes als ein simpler Webseitenabruf.

Gruß Matthias.

Hallo Christian,
der Port für den Rückkanal ist nicht festgelegt, sondern wird aus dem nicht reservierten Bereich dynamisch vergeben.

@chris

hallo chris,
es kann zwar sein, dass es dich ein wenig einschränkt, aber hast du mal über vpn nachgedacht? wäre eine nummer sicherer, bevor dir vielleicht mal nachts einer deine rollos hochfährt, nur weil er deinen http-verkehr überwacht hat. besser wäre sowieso https, denn bei reinem http aufruf liegen all deine passwörter als klartext bei deinem isp in den logfiles (aber auf grund der verschwiegenheit deines isp´s kann sowieso nichts passieren ;) ) ich persönlich weiss nicht, welchen webserver der hs einsetzt, aber sicherheitspatches gibt es hier nicht wöchentlich. der hs ist schon ein sehr stabil programmiertes teil, aber dennoch würde ich es nicht darauf anlegen.
jetzt werden wieder einige sagen: "wer macht sich denn die mühe, einen homeserver zu hacken?"
wenn es jemanden mal langweilig ist, und dieser zufällig darüber stolpert, dann wird dieser es auch versuchen. tools dafür gibt es ohnehin derzeit genug.

@alle

diese aussage spiegelt meine persönliche meinung wieder.
ISO, ANSI, DIN, IEEE, ECMA und sonstige Standards interessieren mich nur, soweit Sie für den Privatanwender anwendbar sind. :cool:

Gruss Egnaz

wer zum Hs noch einen PC im dauerbetrieb einsetzt kann diesen PC mittels Linux zum Proxy Server + FLI4l Dsl Router machen !

Beiträge dazu findet man bei Chip / ct

Soweit ich weiß (habe [noch] kein EIB und somit auch keinen HS) kann man sich sogar per Telefon ein einmalig gültiges Passwort per Telefon durchsagen lassen, mit dem man sich dann einloggen kann.
Viele gehen ja auch hin und schalten nach außen nur einen Gastzugriff frei.

Beides schützt einen allerdings nicht vor möglichen Sicherheitslücken im Webserver des HS.

Hallo!

Erstmal zum Status meines Problems, leider noch keine Lösung. Ich werde mal in den nächsten Tagen einen Experten für Linux dransetzten. 

Ich denke das Thema Sicherheit ist auch eine philosophische Frage. Es gibt viele technische Möglichkeiten einen Webserver abzusichern, nur 100% sicher ist nur diesen abzustecken, und das kann ja wohl nicht der Sinn eines Webservers sein.

Für mich ist die Variante DMZ, mit nur Port 80 offen, ein vernünftiger Kompromiss. Auch habe ich den Zugang noch auf die IP Adressen meiner benutzen Arbeitsplätze eingeschränkt. (Büro, Eltern,…)

Eine Alternative ist sicher noch eine verschlüsselte Verbindung, nur wer den Webserver über Port 80 hackt, wird sich davon auch nicht abhalten lassen.

Die Passwörter und andere Einrichtungen tragen zur Sicherheit bei, können einen Einbruch in den Webserver selbst nicht verhindern.

Damit sind wir wieder beim Anfang, jeder muss selbst entscheiden was für Ihn ausrechende Sicherheit bedeutet, ist also eine Philosophie Frage. ;-)

Ich freu mich schon auf Eure Meinung!

Schöne Grüße

Christian

MS: Stellt auch mal Euren eventuell vorhandenen WLAN Access point in Frage. Soll ja vorkommen, dass der Webserver nur im LAN zu errechen ist, aber die WLAN Verbindung für den Palm oder Notebook, der den HS steuert, ist vollkommen offen. 

hallo zusammen,
laut Forum reicht für den HS der Zugriff auf Port 80.
diesen Zugriff kann man auch mit einem Virtual Server erreichen !
solch eine Einstellung in den Routern ist gerade für FTP, http-server hinter einer Firewall geschaffen worden.
siehe Bild

DMZ hingegen stellt den entsprechenden Rechner so als wenn keine Firewall vorhanden ist.

http://www.smc-europe.com/english/support/driver_manual/broad/download/7004_8BR/Handbuch_7004BR..pdf

Hallo!

Ja den Post 80 kann ich bestätigen, und ist auch kein in Ordnung, mein Problem ist nicht im HS zusuchen sondern in meiner Firewall.

Die Virtuellen Server im SMC Router sind NAT Verbindungen durch die "Firewall" (SMZ Router).

Damit wird aber ins normale LAN eine Verbindung geschaffen. Mittels NAT also network address translation.

Sollte es jemand schaffen in einen Rechner einzudringen, der über eine Firewall ins LAN verbunden ist, hat er alle Möglichkeiten im LAN. Da die meisten von uns Windowsrechner im LAN haben, wird’s’ dann richtige gefährlich. :-)

Drum die DMZ, in der DMZ sind nur wenige Server, oder überhaupt nur einer. Damit kann nach einem erfolgreichen Einbruch weniger passieren als im LAN. Die DMZ muss nicht offen sein wie beim SMC Router, es kann auch, und das ist sicher der bessere Weg, nur der benötigten Port offen sein, der Angreifer hat dann nur diesen einen Port und dessen Protokoll für den Angriff zur Verfügung.

Schöne Grüße und frohe Ostern!

Christian

mein Problem ist nicht im HS zusuchen sondern in meiner Firewall.
Wenn man unter Linux die abgelehnten Pakete sehen möchte, reicht eigentlich ein "tail -f /var/log/messages" aus.
Vielleicht kommst du so auf die Lösung...