Hallo,
ich besitze einen Windows Server 2019 mit 60TB. Dieser ist mit einer Fritzbox 6490 verbunden. Auf diesen Server liegen unsere Daten wie Bilder, Filme usw. Installiert ist auf dem Server KerioConnect, Emby, und ein Webserver. In Hyper-v läuft Ubuntu 18 mit Nextcloud. Einen registrierte Domain habe ich bei Selfhost. Über diese Domain erreiche ich meine Dienste auf meinem Server. Jetzt lese ich im Internet das es fahrlässig ist den Server nicht in einer dmz zu betreiben. Habe ihn aber schon mehrere Jahre so an der Frittbox angeschlossen. Ein bekannter von mir hat noch eine Zyxel USG100 in der Ecke liegen, die er mir geben würde. Unterwegs greife ich mittels OpenVPN auf meine Daten zu. In Moment habe ich einige Ports in der fritzbox geöffnet da ich den Mail server und Webserver betreibe.
Was haltet ihr davon?
Windows Server DMZ
-
wildhor
- Foren-Mitglied
- Beiträge: 155
- Registriert: 23. Feb 2008, 11:16
Windows Server DMZ
CPU: Intel® Core™ i3
Speicher: 32GB Skill DDR-3 1333MhZ
TV Karte: TV-Karte Terratvalue
HDD: 1X Seagate FireCuda SSHD 1Tb [System]
HDD: 1X Seagate 1,5Tb [Backup]
HDD: 8X 8Tb Seagate Archive HDD ST8000AS0002 [Daten]
Motherboard: Asrock Z87 Extreme 6
OS: Windows Server Essentials 2019
Software: Argus Monitor, Kerio Connect, Lights-Out, Emby,
Speicher: 32GB Skill DDR-3 1333MhZ
TV Karte: TV-Karte Terratvalue
HDD: 1X Seagate FireCuda SSHD 1Tb [System]
HDD: 1X Seagate 1,5Tb [Backup]
HDD: 8X 8Tb Seagate Archive HDD ST8000AS0002 [Daten]
Motherboard: Asrock Z87 Extreme 6
OS: Windows Server Essentials 2019
Software: Argus Monitor, Kerio Connect, Lights-Out, Emby,
-
JoachimL
- WHS-Experte
- Beiträge: 1228
- Registriert: 21. Sep 2009, 22:48
Re: Windows Server DMZ
Kurzfassung: nichts.
Langfassung: unterschiedliche Netzwerkzonen bringen meiner Meinung nur dann etwas, wenn Du den Daten oder Benutzern unterschiedliche Risikoklassen zuordnen kannst und dann Regeln erzwingst was erlaubt bzw. verboten sein soll. Wenn Du den ganzen Server in die DMZ stellst (oder eben alles via Dienst nach außen exponierst), dann hast Du hinsichtlich des Servers gar nichts gewonnen. Eine DMZ bringt auch nur dann etwas, wenn Du in der DMZ ein Anwendungsgateway betreibst, dass Benutzer von außen authentifiziert, Berechtigungen zuweist, und den Datenstrom filtert, idealerweise auch das Protokoll wechselt (weil sonst zuviel generisch gemacht wird - die meisten installierten WAFs machen fast nichts sondern erfüllen nur ein Kriterium auf einer Checkliste).
Konkret das Zyxel USG100: das ist keine richtige DMZ, sondern eine Mischung aus Router, Firewall, Proxies, WAF, VPN. Eine solche Mischung würde ich als eher toxisch betrachten, weil ein Programmier- oder Konfigurationsfehler leicht zum Gegenteil des gewünschten führen kann. Obendrein scheint es auch nicht mehr gewartet zu werden - damit machst Du Deinen Sicherheitsstatus eher schlechter. Viele der Funktionen scheinen auch davon motiviert zu sein, die internen Benutzer zu überwachen oder zu gängeln, als Angreifer auszusperren.
Überlege Dir, welche Features Du wirklich brauchst, schon hast (Firewall in der Fritzbox, Virenfilter in NextCloud?), und welche wirklich sinnvoll auf eine extra Box gehören. Und auch ob Du Dich wirklich als potentielles Opfer der NSA, des Mossad, oder so siehst, und ob Deine Bedrohungslage nicht ganz überwiegend von Familienmitgliedern die auf Phishing reagieren gekennzeichnet ist.
Was Du machen kannst/solltest: sowenige Ports wie möglich öffnen, starke Passwörter (für alle Benutzer), Systeme regelmäßig aktualisieren. Jede Kommunikation, auch die im internen Netzwerk verschlüsseln. Statt Windows Server den Windows Server Core nehmen, sinngemäß bei Linux keine Desktop-Installationen. Software die nicht da ist, hat keine Fehler ergo keine Sicherheitslücken und muss nicht gepatcht werden. Und jedem Benutzer dazu bringen Phishingmails gleich zu löschen. Gäste nur ins Gastnetzwerk.
Gruß Joachim
Langfassung: unterschiedliche Netzwerkzonen bringen meiner Meinung nur dann etwas, wenn Du den Daten oder Benutzern unterschiedliche Risikoklassen zuordnen kannst und dann Regeln erzwingst was erlaubt bzw. verboten sein soll. Wenn Du den ganzen Server in die DMZ stellst (oder eben alles via Dienst nach außen exponierst), dann hast Du hinsichtlich des Servers gar nichts gewonnen. Eine DMZ bringt auch nur dann etwas, wenn Du in der DMZ ein Anwendungsgateway betreibst, dass Benutzer von außen authentifiziert, Berechtigungen zuweist, und den Datenstrom filtert, idealerweise auch das Protokoll wechselt (weil sonst zuviel generisch gemacht wird - die meisten installierten WAFs machen fast nichts sondern erfüllen nur ein Kriterium auf einer Checkliste).
Konkret das Zyxel USG100: das ist keine richtige DMZ, sondern eine Mischung aus Router, Firewall, Proxies, WAF, VPN. Eine solche Mischung würde ich als eher toxisch betrachten, weil ein Programmier- oder Konfigurationsfehler leicht zum Gegenteil des gewünschten führen kann. Obendrein scheint es auch nicht mehr gewartet zu werden - damit machst Du Deinen Sicherheitsstatus eher schlechter. Viele der Funktionen scheinen auch davon motiviert zu sein, die internen Benutzer zu überwachen oder zu gängeln, als Angreifer auszusperren.
Überlege Dir, welche Features Du wirklich brauchst, schon hast (Firewall in der Fritzbox, Virenfilter in NextCloud?), und welche wirklich sinnvoll auf eine extra Box gehören. Und auch ob Du Dich wirklich als potentielles Opfer der NSA, des Mossad, oder so siehst, und ob Deine Bedrohungslage nicht ganz überwiegend von Familienmitgliedern die auf Phishing reagieren gekennzeichnet ist.
Was Du machen kannst/solltest: sowenige Ports wie möglich öffnen, starke Passwörter (für alle Benutzer), Systeme regelmäßig aktualisieren. Jede Kommunikation, auch die im internen Netzwerk verschlüsseln. Statt Windows Server den Windows Server Core nehmen, sinngemäß bei Linux keine Desktop-Installationen. Software die nicht da ist, hat keine Fehler ergo keine Sicherheitslücken und muss nicht gepatcht werden. Und jedem Benutzer dazu bringen Phishingmails gleich zu löschen. Gäste nur ins Gastnetzwerk.
Gruß Joachim
WHS r.i.p. - Software die nicht mehr gewartet wird sollte man nicht mehr einsetzen.
Bei mir laufen drei Dell T20, inzwischen alle unter Hyper-V-2019. Darauf viele virtuelle Maschinen, darunter Windows 10 Pro, Ubuntu 18.04/20.04 LTS (teilweise mit Docker), und auch mal andere. Ein T20 läuft 7*24 und stellt u.a. Mailcow-Dockerized und einen Samba-Domain-Controller (ein 2. läuft auf einem NUC) bereit. Klingt vielleicht seltsam, aber so ist das System - alle - mit Bitlocker verschlüsselt und kann vollständig und konsistent gesichert werden - beides sonst unter Linux schwierig bis unmöglich. Zum Sichern dient das von mir entwickelte Lindenberg Software Backup.
Fragen bitte nicht per PN sondern im Forum - dann haben andere auch was davon. Ich poste hier in meiner Freizeit, Ungeduld ist meiner Meinung nach fehl am Platz...
Bei mir laufen drei Dell T20, inzwischen alle unter Hyper-V-2019. Darauf viele virtuelle Maschinen, darunter Windows 10 Pro, Ubuntu 18.04/20.04 LTS (teilweise mit Docker), und auch mal andere. Ein T20 läuft 7*24 und stellt u.a. Mailcow-Dockerized und einen Samba-Domain-Controller (ein 2. läuft auf einem NUC) bereit. Klingt vielleicht seltsam, aber so ist das System - alle - mit Bitlocker verschlüsselt und kann vollständig und konsistent gesichert werden - beides sonst unter Linux schwierig bis unmöglich. Zum Sichern dient das von mir entwickelte Lindenberg Software Backup.
Fragen bitte nicht per PN sondern im Forum - dann haben andere auch was davon. Ich poste hier in meiner Freizeit, Ungeduld ist meiner Meinung nach fehl am Platz...
-
Nobby1805
- Moderator
- Beiträge: 21374
- Registriert: 6. Jun 2009, 17:40
- Wohnort: Essen
Re: Windows Server DMZ
Lustig, wenn man WAF als woman acceptance factor liest 
WHS:inzwischen abgeschaltet Acer H340 mit 1x 1 TB (WD10EAVS), 3x 2 TB (2 WD20EARS und 1 ST2000DM001), PP3+UR2
Server:
Intel Celeron J3455 auf Gigabyte Board, Win 10 Pro x64 21H2, 640 GB (System), 16 TB (Backup), 4 TB (Daten), Lindenberg Backup und LightsOut 3
5 Clients:
1 Intel i5-4670K, ASUS H87-PRO, 32 GB, 250 GB SSD, 2x 500 GB, Win 10 Pro x64 21H2
1 Lüfterlos fürs Wohnzimmer, Intel Celeron N4100, 4 GB, 128 GB, Win 11 Pro x64 21H2
1 AMD Ryzen 7 3700X, Gigabyte AORUS, 32 GB, Win 10 Pro x64 2009
1 Sony Vaio EB 2H4E, Win 10 Home x64 2009
1 Samsung NP-R540-JS09DE, Win 10 Pro x64 2009
WHSListTombstones, ein Tool zur Auflistung aller Tombstones
WHSDisks, ein Tool zur Darstellung und Prüfung der DriveExtender-Konfiguration
WHSDiskNames, ein Tool zur Änderung der Plattennamen in der Konsole
WHSBackup, Infos und Tool zur Backup-DB (2011-Version (auch für WSE2012))
Bitte schreibt bei Fragen und Problemen eure Konfig in die Signatur
Server:
Intel Celeron J3455 auf Gigabyte Board, Win 10 Pro x64 21H2, 640 GB (System), 16 TB (Backup), 4 TB (Daten), Lindenberg Backup und LightsOut 3
5 Clients:
1 Intel i5-4670K, ASUS H87-PRO, 32 GB, 250 GB SSD, 2x 500 GB, Win 10 Pro x64 21H2
1 Lüfterlos fürs Wohnzimmer, Intel Celeron N4100, 4 GB, 128 GB, Win 11 Pro x64 21H2
1 AMD Ryzen 7 3700X, Gigabyte AORUS, 32 GB, Win 10 Pro x64 2009
1 Sony Vaio EB 2H4E, Win 10 Home x64 2009
1 Samsung NP-R540-JS09DE, Win 10 Pro x64 2009
WHSListTombstones, ein Tool zur Auflistung aller Tombstones
WHSDisks, ein Tool zur Darstellung und Prüfung der DriveExtender-Konfiguration
WHSDiskNames, ein Tool zur Änderung der Plattennamen in der Konsole
WHSBackup, Infos und Tool zur Backup-DB (2011-Version (auch für WSE2012))
Bitte schreibt bei Fragen und Problemen eure Konfig in die Signatur
-
JoachimL
- WHS-Experte
- Beiträge: 1228
- Registriert: 21. Sep 2009, 22:48
Re: Windows Server DMZ
WAF ist manchmal halt auch Web-Application-Firewall..WHS r.i.p. - Software die nicht mehr gewartet wird sollte man nicht mehr einsetzen.
Bei mir laufen drei Dell T20, inzwischen alle unter Hyper-V-2019. Darauf viele virtuelle Maschinen, darunter Windows 10 Pro, Ubuntu 18.04/20.04 LTS (teilweise mit Docker), und auch mal andere. Ein T20 läuft 7*24 und stellt u.a. Mailcow-Dockerized und einen Samba-Domain-Controller (ein 2. läuft auf einem NUC) bereit. Klingt vielleicht seltsam, aber so ist das System - alle - mit Bitlocker verschlüsselt und kann vollständig und konsistent gesichert werden - beides sonst unter Linux schwierig bis unmöglich. Zum Sichern dient das von mir entwickelte Lindenberg Software Backup.
Fragen bitte nicht per PN sondern im Forum - dann haben andere auch was davon. Ich poste hier in meiner Freizeit, Ungeduld ist meiner Meinung nach fehl am Platz...
Bei mir laufen drei Dell T20, inzwischen alle unter Hyper-V-2019. Darauf viele virtuelle Maschinen, darunter Windows 10 Pro, Ubuntu 18.04/20.04 LTS (teilweise mit Docker), und auch mal andere. Ein T20 läuft 7*24 und stellt u.a. Mailcow-Dockerized und einen Samba-Domain-Controller (ein 2. läuft auf einem NUC) bereit. Klingt vielleicht seltsam, aber so ist das System - alle - mit Bitlocker verschlüsselt und kann vollständig und konsistent gesichert werden - beides sonst unter Linux schwierig bis unmöglich. Zum Sichern dient das von mir entwickelte Lindenberg Software Backup.
Fragen bitte nicht per PN sondern im Forum - dann haben andere auch was davon. Ich poste hier in meiner Freizeit, Ungeduld ist meiner Meinung nach fehl am Platz...
© Home Server Blog · Streamline theme by StudioPress ·