Hallo zusammen,

ich habe nun seit gestern meinen Homeserver am laufen :) . Im Moment mit CrossOverkabel direkt am PC.
Ich möchte nun gern den HS2 ins Firmennetzwerk einbinden und auch Zugriff von außen auf den HS haben. Nun fragt unser Admin mich über welche Sicherheitmerkmale der HS verfügt. Er will natürlich vermeiden das ich mit dem HS seine Firewalls "tunnele" sprich ein Hacker über den Umweg HS in unser Firmennetzwerk eindringt. Hat jemand ne Idee wie man dies tunneln verhindern kann ? Mit der Suchfunktion hab ich bisher nichts im Forum gefunden.

Gruß Dirk

:confused:

Tunneln ist nicht möglich. Der Homeserver reagiert nur auf Anfragen auf Port 80 (Standardeinstellung). Diesen Port muss dein Admin natürlich freigeben und auf die interne IP des Homeservers umleiten.

Das Einbinden des HS in das Firmennetz sehe ich daher als unkritisch an.

In Deinem Fall läßt du dir idealer Weise von dem Admin einen Port für den HS vorschlagen den du dann im HS einstellst und den er dann auf die IP des HS routet.



Cindom

Port 80 gilt doch als sicherer Port. er ist doch nur für Webseiten geeignet.

Oder sehe ich da was falsch.

Clemens.

Port 80 gilt doch als sicherer Port. er ist doch nur für Webseiten geeignet.
Nö. Port ist Port! Man hat sich nur darauf festgelegt welcher Port für was zuständig ist. Damit die Programme einfach konfigurierbar sind und vorallem das tägliche händling besser ist. Man stelle sich vor die eine Internetseite läuft auf 80 die andere auf 120 wiederum eine auf 40. Da blickt noch keiner mehr durch. Zudem kann es dann höchst wahrscheinlich passieren das sogenante Portkonflikte auftretten. Deswegen festgelegt, aber sicher ist da leider noch lange nichts.

Moderne, gescheite (teuere) Firewalls können verschiedenste Benutzerrechte vergeben. So wäre es denkbar das man die Sicherheit zB mittels MAC Adressen verfeinert und so verhindert das überhaupt ein Unberechtigter ins Netz kommt.

Zudem ist im gegensatz zu einer auf Windows basierenden Visu der HS Mega Sicher!!

Ein aus dem Internet erreichbarer Host steht bei durchschnittlich intelligentem Netzwerkdesign nicht im LAN hinter der Firewall sondern in einem eigenen Segment, der so genannten DMZ. Die DMZ ist sowohl gegen das LAN als auch gegen das Internet per Firewall geschützt. Hintergrund des Designs: Wer einen Host in einer DMZ knackt hat immer noch eine weitere Hürde (Firewall) zwischen dem kompromittierten Host und dem LAN.

Ob der HS "sicher" ist? Keine Ahnung, da kannst Du Dich nur auf Dacom verlassen - und nur Benutzeraccounts mit hinreichend komplexen Usernamen (Admin, Administrator, Superuser u.s.w. sind nur eingeschränkt clever) und komplexen Passwörtern (mind. acht Zeichen incl. Sonderzeichen, Zahlen, Gross- und Kleinschreibung) verwenden.

Jeder Trottel mit einem kewlen Hackerwerkzeug scannt auf Port 80, dann sollte man ihm zumindest den Rest der Übung möglichst schwer machen.

Gruss
Markus

...zumindest kann man sich beim HS theoretisch zig tausend mal falsch anmelden ohne dass der meckert, oder?

Sollte eigentlich nicht so sein !!!
Handlungsbedarf?


Cindom

Man kann das beliebig kompliziert machen, Security geht immer auf Kosten der Usability. Ich verstehe auch nicht, warum ein HS im Allgemeinen vom Internet her direkt erreichbar sein muss (wenn da nicht gerade was präsentiert werden soll). Interne Systeme sind bei mir nur per VPN erreichbar und Ruhe ist.

Gruss
Markus

eines kann der hs doch auch noch:


erst nach anpingen mit einem Telefon, welches vorher dem Benutzer zugewiesen worden ist und welches die angegebene Nummer überträgt! überhaupt erst ins Internet gehen und sich mit dem Portal verbinden, dort muss nun innerhalb von x minuten der Login durch den entsprechenden user erfolgen.

Erst dann ist er überhaupt von aussen zugänglich.

Damit ist dann doch wohl ein absolutes max. an sicherheit gegeben.

und dann besteht ja noch die Möglichkeit, die Interneteinwahl per ISDN zu machen. :rolleyes:

Clemens.

HS / Zugang vom Internet

ohne irgendwie oberlehrerhaft zu klingen:
1. der HS steuert Heizung/Elektro/mission criticals - das Bremssystem Deines Autos würdest du auch nicht ins Internet stellen, auch wenn der Hersteller sagt, daß es sicher ist ---- ohne das ich Schwachstellen des HS kenne
2. Frage Deinen Admin ob Verschlüsselter Zugang inkl. vorheriger Authentisierung möglich sind und trenne den HS vom restlichen LAN (siehe MarkusS - DMZ)


Tim