Hallo,

wenn ich einen Webserver (IIS 5) über SSL 443 mit statischer IP ins Internet stellen möchte und von Windows 2000 her alle Ports bis auf 443 sperre, wäre eine Linuxfirewall davor zweckmässig ???

Die Firewall würde doch nur den Port Routen oder Forwarden da ich keine genauen Regeln definieren kann, da jeder im Internet diesen Server erreichen soll.

Also konkret die Frage:
IIS5 NUR mir SSL. Ist eine Firewall zweckmässig ???

Antworten wie "Firewall brauchtste imma weil cool" wenn möglich mit Begründung ;-)

Dankäääääääää

(warum bin ich ein neues Mitglied und warum habe ich nur 7 Beiträge *moootz*)

wenn alle deine Dienste richtig konfiguriert sind und nach aussen nur dein Port 443 lauscht, dann brauchst du eigentlich keine FW.

Aber warum IIS? *SCNR*
HTH

Hallo,

du hast recht, wenn dich und deinen IIS ein nimda erwischt, bringt auch die beste Firewall nichts :). Nein, eine reine Protocol-Layer FW ( wie iptables) bringt dir da nichts, du müsstest dann schon einen Application-Level-GW vorschalten (zB. Checkpoint Firewall-1). Schon am Namen kannst du eigentlich sehen, dass das ins Geld geht. Aber das ist wahrscheinlich für dein (jetzt mal geschätzt) privates Vorhaben irrelevant, denn mal ehrlich: so viel Traffic kommt da auch nicht an.
Die große Schwachstelle in deiner Config ist sicherlich der IIS bzw. Win2k Server oder was auch immer drunter steckt. Auf jeden Fall täglich Bugtraq oder CERT.

hph, emwe

naja, wer sagt den das ich linuxforen nur privat nutze *ggg*

es geht sich um eine Firmenanbindung mit SSL, und den IIS muß ich deshalb nehmen weil auf dieser Kiste Cold Fusion läuft. Der Server muß nächste Woche Dienstag im Netz stehen und bis dahin bekomme ich das mit dem Apache (Drittanbietermodul) sicher nicht geregelt soweit dies überhaupt möglich ist. Das Microsoft jeden Tag neue Sicherheitslücken hat ist mit bekannt, aber wenn ich bedenke das ich regelmäßig von SuSE (Subscripten) mails bekomme wegen Sicherheitslücken tut sich da auch nicht viel. Und den IIS nur in SSL laufen zu lassen sollte doch schon etwas einschränken als nen normalen 80iger.

Also werde ich die Kiste ohne Firewall ins Netz stellen und hoffen das alle brav sind.

Danke und Gruß

Matthias

achso, jetzt wo Ihr geantwortet habt kann ich es ja sagen *ggg*

Mathew <--- unter anderem MCSE *lol*

was zum geier ist MCSE ????

MCSE = Microsoft Certified Systems Engineer

@Mathew
Der Vergleich SuSE vs. IIS hinkt (und zwar gewaltig). Allein, weil du x tausend Programme (von denen du die meisten nicht einsetzen wirst) mit einem einzigen Produkt vergleichst.
Wobei natürlich auch Apache nicht fehlerfrei ist (wie die letzte Sicherheitslücke demonstrierte).


Und den IIS nur in SSL laufen zu lassen sollte doch schon etwas einschränken als nen normalen 80iger. Du bist sicher das du den MCSE Titel hast? :D
Ob mit oder ohne SSL spielt genau gar keine Rolle.:eek:

Hiiilllllfffeeeeee.

ColdFusion läuft auch unter Linux zusammen mit dem Apachen und das wunderbar! Warum teure Lizenzgebühren für ein OS zahlen und dann noch den Webserver mit den meisten bekannten Sicherheitslücken nutzen???? In der httpd.conf ist es ein addmodule mod_coldfusion und das mod noch in's libexec dir des Apachen werfen. That's it. Nix mit Drittanbietermodul oder so.

Verstehe ich nicht...

Du kannst deinen IIS auch mit certifikaten absichern.

Du machst in deiner Firma ne PKI auf und dein IIS nimmt dann nur noch Anfragen von Browsern mit einen gültigen Certifcat an.


das ist dann noch sicherer!!

Gruß an alle

PS:

Ich habt doch sicherlich auch von dem Exploit für Appache und BSD gehört.

Das Exploit kann man auf alles BS umschreiben.

Und somit sind 75 % aller Webserver geferdet.


Denn Appache Admins schauen nicht so oft auf Bugtrack und co vorbei.

Ich weiss, ich weiss: don't feed the trolls
Ich kanns aber einfach nicht unkommentiert lassen :(

@hooker
Ursprünglich wollte ich auf deine einzelnen Bemerkungen eingehen, habe mich jetzt aber doch zu einer etwas allgemeineren Aussage entschlossen: Du hast keine Ahnung (eine differenziertere Kritik, war mir aufgrund deiner Falschaussagen leider nicht mehr möglich).

Im Linux/Uniix bereich hab ich auch weniger ahnung,.


Im NT/2000 bereich bin ich schon länger zuhause. Mein 1. IIS ist seid
3,5 Jahren Online .

Und der wurde noch nicht gehackt, versucht wurde es oft.
Aber man Windows halt auch dichtmachen.


Gruß

Hi!

Also hier in der Firma administriere ich auch 4 Webserver mit W2k und ColdFusion...
die Dinger stehen in einer DMZ hinter ner Linux-IPCHAINS Firewall...

Meiner Erfahrung nach ist das nicht wirklich das gelbe vom Ei...
Mit dem IIS biste monatlich mit HotFixes beschäftigt.
Von der stabilität wollen wir mal garnicht erst reden...
Mittlerweile lassen wir per script die IIS und ColdFusion Dienste jede Nacht restarten... ist besser als dass die Dinger einmal in der Woche tagsüber wegschmieren. (was nicht heissen soll, dass das nicht trotzdem ab und zu mal vorkommt).

Durchschnittliche uptime der Server liegt zwischen 60 und 90 Tagen...
Dann muss die ganze Kiste restartet werden (was aber durch manche HotFixes bedingt sowieso passieren muss).

Experimentellerweise baue ich gerade einen debian-Server mit ColdFusion auf. Evtl. wird das ganze auch noch mit FreeBSD ausgetestet.

Das Zusammenspiel und die Installation von ColdFusion zum Apache lief einwandfrei.

Wie das ganze nun in der Praxis aussieht, wird die Zeit beweisen.

Es ist übrigens auch möglich, den ColdFusion server als Distributed Version zu installieren (habe ich auch Testweise gemacht). Dann läuft der CF-Server auf einer anderen Kiste als der Webserver (Apache oder IIS).
Funktioniert auch einwandfrei und auch über Firewall-grenzen hinaus!
Sprich der CF-Server muss nicht auf dem im Web stehenden Server installiert sein... gibt noch ein wenig zus. schutz vor irgendwelchen exploits die evtl. mal auftauchen könnten...

so - hoffe ein wenig geholfen zu haben :)

Greetz

Jörg

Das stimmt mit den Patchen ist manchmal lästig.

Ich bekomm die nachrichten ob ein neuer Patch verfügbar ist per diversen Newslettern.

Aber wenn du am Appache was neues einbauen willst musst du die deamon doch auch beenden und Quellcode compilieren.

Gruß an alle

@hooker
Anscheinend soll ich das doch nicht ganz so pauschaliesieren, bitte dich gleichzeitig darum in Zukunft das selbe zu tun.

Ich habt doch sicherlich auch von dem Exploit für Appache und BSD gehört. Ja, darauf hatte ich bereits w. o. angespielt.
Das Exploit kann man auf alles BS umschreiben Das spielt keine Rolle (mehr), da es bereits eine Lösung für dieses Problem gibt.
Im Linux/Unix bereich hab ich auch weniger ahnung. Möchte dir nicht zu nahe treten, aber das war offensichtlich.
Denn Apache Admins schauen nicht so oft auf Bugtraq und co vorbei. Meiner Erfahrung nach sind Unix Admins i.d.R. besser informiert als MS Admins. Als gutes Beispiel wie schlecht denn die MS Admins (bereits waren): 800.00 Infektionen von IIS-Servern (http://www.heise.de/newsticker/data/lab-02.08.01-000/default.shtml)


Im NT/2000 bereich bin ich schon länger zuhause. Mein 1. IIS ist seid
3,5 Jahren Online. Das bezweifle ich nicht und kann/will auch keine Aussage über deine Kenntnisse in diesem Bereich machen.
Das dein IIS ca. 3,5 Jahre Online ist, wage ich aber zu bezweifeln. Sonst müsstest du immer noch bei Version 2.0 (oder so) herumgeistern. Du meinst sicherlich, dass du seit 3,5 Jahren IIS einsetzt.



Ich bekomm die nachrichten ob ein neuer Patch verfügbar ist per diversen Newslettern. Ich hoffe auch, dass du zuvor auch über die Sicherheitslücke einen Newsletter bekommen hast, denn u. U. ist es bis der Patch herauskommt bereits zu spät. Aber genauso läuft es auch mit Sicherheitslücken im Apache (die IMHO nicht so häufig auftreten wie beim IIS).

Aber wenn du am Appache was neues einbauen willst musst du die deamon doch auch beenden und Quellcode compilieren. Kompiliert werden muss er nicht unbedingt, da du ja (je nach eingesetzter Distribution) bereits fertige Pakete bekommst. AFAIK kann man den Apache auch parallel betreiben (neue Anfragen werden durch die neue Version beantwortet bereits bestehende durch die alte Version, dadurch entsteht keine Pause).

PS: Apache schreibt man nur mit einem p

@Rappi

mail mir doch mal bitte die anleitung für die distributed-installation von coldfusion.

THX

würd Dir ja gern ne mail schicken, nur leider hast du mails übers Board disabled...

Die Anleitung für Distributed ColdFusion hab ich noch auf unserem Development-Server liegen:

http://dev.kogag.de/DistributedColdFusion.htm

Hoffe das hilft :)

hab nur Erfahrung mit Coldfusion und Win NT4 - das mit dem täglichem Neustart-Script werd ich mir merken :) .Grauenhaft instabil ist das ganze. Auf gar keinen Fall zu empfeheln, DR: Watson lässt grüßen!
Coldfusion läuft auch auf einer Linuxkiste und zwar DEUTLICH stabiler. Untzer Win2k hab ich noch keine Erfahrung sammeln dürfen....

@jinto

>Anscheinend soll ich das doch nicht ganz so pauschaliesieren, bitte dich gleichzeitig darum in Zukunft das selbe zu tun.

Villeicht hätte ich mich auch besser ausdrücken sollen ;)

> Ja, darauf hatte ich bereits w. o. angespielt.
>quote:Das Exploit kann man auf alles BS umschreiben
hatte dein Kommentar auch erst später gelesen

> Das spielt keine Rolle (mehr), da es bereits eine Lösung für dieses Problem gibt.

Stimmt für Nimda gibt es auch schon eine lösung, und für den SSHD auch.
Aber ich glaube das das viele private das nicht so richtig mitbekommen.
Außer wenn sie ct oder heise nachschauen

> 3,5 Jahre (IIS )?
nicht den IIS5, das war der 4er, der kam damals im Option Pack für NT, c.a. 3 Jahre her.


Apache, du hast wie fast immer recht .!

Also schönes wochenede. Gruß an alle