Windows Server DMZ

Diskussionen rund um Windows Server 2016 Essentials
Antworten
Benutzeravatar
wildhor
Foren-Mitglied
Beiträge: 155
Registriert: 23. Feb 2008, 11:16

Windows Server DMZ

Beitrag von wildhor » 10. Aug 2019, 13:10

Hallo,
ich besitze einen Windows Server 2019 mit 60TB. Dieser ist mit einer Fritzbox 6490 verbunden. Auf diesen Server liegen unsere Daten wie Bilder, Filme usw. Installiert ist auf dem Server KerioConnect, Emby, und ein Webserver. In Hyper-v läuft Ubuntu 18 mit Nextcloud. Einen registrierte Domain habe ich bei Selfhost. Über diese Domain erreiche ich meine Dienste auf meinem Server. Jetzt lese ich im Internet das es fahrlässig ist den Server nicht in einer dmz zu betreiben. Habe ihn aber schon mehrere Jahre so an der Frittbox angeschlossen. Ein bekannter von mir hat noch eine Zyxel USG100 in der Ecke liegen, die er mir geben würde. Unterwegs greife ich mittels OpenVPN auf meine Daten zu. In Moment habe ich einige Ports in der fritzbox geöffnet da ich den Mail server und Webserver betreibe.

Was haltet ihr davon?
CPU: Intel® Core™ i3
Speicher: 32GB Skill DDR-3 1333MhZ
TV Karte: TV-Karte Terratvalue
HDD: 1X Seagate FireCuda SSHD 1Tb [System]
HDD: 1X Seagate 1,5Tb [Backup]
HDD: 8X 8Tb Seagate Archive HDD ST8000AS0002 [Daten]
Motherboard: Asrock Z87 Extreme 6
OS: Windows Server Essentials 2019

Software: Argus Monitor, Kerio Connect, Lights-Out, Emby,

JoachimL
WHS-Experte
Beiträge: 1169
Registriert: 21. Sep 2009, 22:48

Re: Windows Server DMZ

Beitrag von JoachimL » 10. Aug 2019, 18:56

Kurzfassung: nichts.

Langfassung: unterschiedliche Netzwerkzonen bringen meiner Meinung nur dann etwas, wenn Du den Daten oder Benutzern unterschiedliche Risikoklassen zuordnen kannst und dann Regeln erzwingst was erlaubt bzw. verboten sein soll. Wenn Du den ganzen Server in die DMZ stellst (oder eben alles via Dienst nach außen exponierst), dann hast Du hinsichtlich des Servers gar nichts gewonnen. Eine DMZ bringt auch nur dann etwas, wenn Du in der DMZ ein Anwendungsgateway betreibst, dass Benutzer von außen authentifiziert, Berechtigungen zuweist, und den Datenstrom filtert, idealerweise auch das Protokoll wechselt (weil sonst zuviel generisch gemacht wird - die meisten installierten WAFs machen fast nichts sondern erfüllen nur ein Kriterium auf einer Checkliste).

Konkret das Zyxel USG100: das ist keine richtige DMZ, sondern eine Mischung aus Router, Firewall, Proxies, WAF, VPN. Eine solche Mischung würde ich als eher toxisch betrachten, weil ein Programmier- oder Konfigurationsfehler leicht zum Gegenteil des gewünschten führen kann. Obendrein scheint es auch nicht mehr gewartet zu werden - damit machst Du Deinen Sicherheitsstatus eher schlechter. Viele der Funktionen scheinen auch davon motiviert zu sein, die internen Benutzer zu überwachen oder zu gängeln, als Angreifer auszusperren.

Überlege Dir, welche Features Du wirklich brauchst, schon hast (Firewall in der Fritzbox, Virenfilter in NextCloud?), und welche wirklich sinnvoll auf eine extra Box gehören. Und auch ob Du Dich wirklich als potentielles Opfer der NSA, des Mossad, oder so siehst, und ob Deine Bedrohungslage nicht ganz überwiegend von Familienmitgliedern die auf Phishing reagieren gekennzeichnet ist.

Was Du machen kannst/solltest: sowenige Ports wie möglich öffnen, starke Passwörter (für alle Benutzer), Systeme regelmäßig aktualisieren. Jede Kommunikation, auch die im internen Netzwerk verschlüsseln. Statt Windows Server den Windows Server Core nehmen, sinngemäß bei Linux keine Desktop-Installationen. Software die nicht da ist, hat keine Fehler ergo keine Sicherheitslücken und muss nicht gepatcht werden. Und jedem Benutzer dazu bringen Phishingmails gleich zu löschen. Gäste nur ins Gastnetzwerk.

Gruß Joachim
WHS 2011 r.i.p. - Software die nicht mehr gewartet wird sollte man nicht mehr einsetzen.
Bei mir laufen drei Dell T20, teils mit Hyper-V-2016 (noch, 2019 in Planung), teils mit Windows 10 Pro. Einer läuft 7*24 und stellt u.a. Mailcow-Dockerized und einen Samba-Domain-Controller bereit. Klingt vielleicht seltsam, aber so ist das System mit Bitlocker verschlüsselt und kann vollständig und konsistent gesichert werden - beides sonst unter Linux schwierig bis unmöglich.
Die anderen dienen der Softwareentwicklung und als Backup-Server - eigene Software.
Fragen bitte nicht per PN sondern im Forum - dann haben andere auch was davon. Ich poste hier in meiner Freizeit, Ungeduld ist meiner Meinung nach fehl am Platz...

Benutzeravatar
Nobby1805
Moderator
Beiträge: 20990
Registriert: 6. Jun 2009, 17:40
Wohnort: Essen

Re: Windows Server DMZ

Beitrag von Nobby1805 » 10. Aug 2019, 20:48

Lustig, wenn man WAF als woman acceptance factor liest 😊
WHS: Acer H340 mit 2x 1 TB (WD10EAVS), 2x 2 TB (WD20EARS), PP3+UR2
5 Clients:
1 Intel i5-4670K, ASUS H87-PRO, 16 GB, 250 GB SSD, 2x 500 GB, Win 10 Pro x64 1903
1 Lüfterlos fürs Wohnzimmer, Intel Celeron D 1900, 4 GB, 240 GB, Win 10 Pro x64 1903
1 HP G 5230, Win 10 Pro 1809
1 Sony Vaio EB 2H4E, Win7 Home Prem. x64 (bleibt auf W7 weil Sony keine W10-Grafiktreiber anbietet :cry: )
1 Samsung NP-R540-JS09DE, Win 10 Pro x64 1803


WHSListTombstones, ein Tool zur Auflistung aller Tombstones
WHSDisks, ein Tool zur Darstellung und Prüfung der DriveExtender-Konfiguration
WHSDiskNames, ein Tool zur Änderung der Plattennamen in der Konsole
WHSBackup, Infos und Tool zur Backup-DB (2011-Version (auch für WSE2012))
Bitte schreibt bei Fragen und Problemen eure Konfig in die Signatur

JoachimL
WHS-Experte
Beiträge: 1169
Registriert: 21. Sep 2009, 22:48

Re: Windows Server DMZ

Beitrag von JoachimL » 11. Aug 2019, 12:33

:) WAF ist manchmal halt auch Web-Application-Firewall..
WHS 2011 r.i.p. - Software die nicht mehr gewartet wird sollte man nicht mehr einsetzen.
Bei mir laufen drei Dell T20, teils mit Hyper-V-2016 (noch, 2019 in Planung), teils mit Windows 10 Pro. Einer läuft 7*24 und stellt u.a. Mailcow-Dockerized und einen Samba-Domain-Controller bereit. Klingt vielleicht seltsam, aber so ist das System mit Bitlocker verschlüsselt und kann vollständig und konsistent gesichert werden - beides sonst unter Linux schwierig bis unmöglich.
Die anderen dienen der Softwareentwicklung und als Backup-Server - eigene Software.
Fragen bitte nicht per PN sondern im Forum - dann haben andere auch was davon. Ich poste hier in meiner Freizeit, Ungeduld ist meiner Meinung nach fehl am Platz...

Antworten