6
Webanwendung sicher bereitstellen?
Hallo zusammen! Ich stehe vor der Aufgabe, eine interne Webanwendung über das Internet erreichbar zu machen. Es ist wäre wichtig, dass diese Anwendung gut geschützt ist, da diese sensible Daten enthält. Ich möchte sicherstellen, dass die vor Angriffen geschützt sind. Die Anwendung selber hat nach meinen Infos keinen weiteren Schutz außer einem Login. Dieses Login ist separat also auch nicht an das AD gekoppelt.
Wir verwenden intern und extern pfSense Firewalls in Kombination, jedoch sind keine eingehenden Dienste (außer VPN) aktiv. Uns steht ein Internetanschluss mit mehreren IP-Adressen sowie ein Active Directory zur Verfügung.
Allerdings habe ich keine Kontrolle über die Clients der Benutzer, von denen einige möglicherweise nicht sehr versiert im Umgang mit IT sind. Daher möchte ich Lösungen vermeiden, die eine Installation oder Konfiguration auf ihren Geräten erfordern. Unsere Zielsetzung ist es, möglichst viele BSI-Richtlinien einzuhalten.
Derzeit tendiere ich dazu, ein Sophos-Produkt einzusetzen, würde aber gerne auch ein oder zwei weitere Ideen in Betracht ziehen. Falls ihr Vorschläge habt, wäre ich dankbar, diese zu hören.
Wir verwenden intern und extern pfSense Firewalls in Kombination, jedoch sind keine eingehenden Dienste (außer VPN) aktiv. Uns steht ein Internetanschluss mit mehreren IP-Adressen sowie ein Active Directory zur Verfügung.
Allerdings habe ich keine Kontrolle über die Clients der Benutzer, von denen einige möglicherweise nicht sehr versiert im Umgang mit IT sind. Daher möchte ich Lösungen vermeiden, die eine Installation oder Konfiguration auf ihren Geräten erfordern. Unsere Zielsetzung ist es, möglichst viele BSI-Richtlinien einzuhalten.
Derzeit tendiere ich dazu, ein Sophos-Produkt einzusetzen, würde aber gerne auch ein oder zwei weitere Ideen in Betracht ziehen. Falls ihr Vorschläge habt, wäre ich dankbar, diese zu hören.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7653958793
Url: https://administrator.de/contentid/7653958793
Printed on: April 27, 2024 at 14:04 o'clock
6 Comments
Latest comment
Moin,
hier findets du viele "Schlagwörter":
Freigabe eines webdienstes nach Außen
Ich würde ein System etablieren, welches eine MFA voraussetzt. Ob nun mit einem der bekannten Apps auf dem Smartphone oder als Hardware-Variante.
Bestenfalls werden an der FW noch Tooles implementiert, die Funktionalitäten wie z.B. Fail2Ban mitbringen.
Auch kann ein Reverse Proxy sinnvoll sein, um den Webserver mit Sicherheitsaufgaben zu entlasten und "komische" Anfragen abzuwehren.
hier findets du viele "Schlagwörter":
Freigabe eines webdienstes nach Außen
Ich würde ein System etablieren, welches eine MFA voraussetzt. Ob nun mit einem der bekannten Apps auf dem Smartphone oder als Hardware-Variante.
Bestenfalls werden an der FW noch Tooles implementiert, die Funktionalitäten wie z.B. Fail2Ban mitbringen.
Auch kann ein Reverse Proxy sinnvoll sein, um den Webserver mit Sicherheitsaufgaben zu entlasten und "komische" Anfragen abzuwehren.
Moin,
eine Web Application Firewall scheint hier angebracht.
Gruß
eine Web Application Firewall scheint hier angebracht.
Gruß
Hallo
welche Webserver setzt Ihr ein?
Wir setzen sichern kritische Anwendungen immer mehrfach ab.
- Webserver härten
- Modsecurity einrichten
- usw..
welche Webserver setzt Ihr ein?
Wir setzen sichern kritische Anwendungen immer mehrfach ab.
- Webserver härten
- Modsecurity einrichten
- usw..
Moin,
Wenn die unbekannte App nichts bietet, dann sollte man das nicht direkt im Netz freigeben. Können die User sich per VPN mit dem Firmennetz verbinden? Das wäre imho die richtige Lösung.
Liebe Grüße
Erik
Zitat von @UnbekannterNR1:
Hallo zusammen! Ich stehe vor der Aufgabe, eine interne Webanwendung über das Internet erreichbar zu machen. Es ist wäre wichtig, dass diese Anwendung gut geschützt ist, da diese sensible Daten enthält. Ich möchte sicherstellen, dass die vor Angriffen geschützt sind. Die Anwendung selber hat nach meinen Infos keinen weiteren Schutz außer einem Login. Dieses Login ist separat also auch nicht an das AD gekoppelt.
Hallo zusammen! Ich stehe vor der Aufgabe, eine interne Webanwendung über das Internet erreichbar zu machen. Es ist wäre wichtig, dass diese Anwendung gut geschützt ist, da diese sensible Daten enthält. Ich möchte sicherstellen, dass die vor Angriffen geschützt sind. Die Anwendung selber hat nach meinen Infos keinen weiteren Schutz außer einem Login. Dieses Login ist separat also auch nicht an das AD gekoppelt.
Wenn die unbekannte App nichts bietet, dann sollte man das nicht direkt im Netz freigeben. Können die User sich per VPN mit dem Firmennetz verbinden? Das wäre imho die richtige Lösung.
Liebe Grüße
Erik
Danke für die Informationen so weit, und ja VPN wäre der richtige weg, aber wie gesagt habe ich leider keinen Einfluss auf die Clients 
und auf die Webserver dummerweise auch nicht.
Ich werde wohl mal mit einer Testversion starten und dann sehen, welche Produkte sich gut integrieren lassen. Die Idee mit dem zweiten Faktor gefällt mir besonders gut.
Für alle mit ähnlichem Problem, es wird am Ende wohl so aussehen:
Internet -> Paketfilter -> Web Application Firewall -> Reverse Proxy (mit OTP auth) -> Paketfilter -> Webserver
Vielleicht auch Reverse Proxy und WAF andersherum.
und auf die Webserver dummerweise auch nicht.Ich werde wohl mal mit einer Testversion starten und dann sehen, welche Produkte sich gut integrieren lassen. Die Idee mit dem zweiten Faktor gefällt mir besonders gut.
Für alle mit ähnlichem Problem, es wird am Ende wohl so aussehen:
Internet -> Paketfilter -> Web Application Firewall -> Reverse Proxy (mit OTP auth) -> Paketfilter -> Webserver
Vielleicht auch Reverse Proxy und WAF andersherum.
Moin,
Unabhängig davon würde ich schauen, dass du für den Zugriff aus dem Internet eine dedizierten Server, in der DMZ in einem eigenen VLAN benutzt wird. So dass sowohl Clients aus dem LAN als auch Internet immer über die WAF und Firewalls gehen. Mit Conditional Access könnte man hier Abstufungen bezüglich MFA vornehmen. Wobei heutzutage eigentlich kein Weg mehr an MFA vorbeiführt - unabhängig ob LAN, WLAN oder Internet.
Gruß,
Dani
Internet -> Paketfilter -> Web Application Firewall -> Reverse Proxy (mit OTP auth) -> Paketfilter -> Webserver
eine WAF ist doch nicht anders wie ein L7 Reverse Proxy. Von daher bringt der Reverse Proxy erst einmal keinen Mehrwert. Viel wichtiger wäre eine Pre Authentication für die gesagte Applikation. So dass keine gezielten Angriff auf den Webserver bzw. dessen Authentification möglich ist. In diesem Zusammenhang lässt in der Regel dann auch MFA integrieren. Auf welchen Weg sei Mal dahingestellt.Unabhängig davon würde ich schauen, dass du für den Zugriff aus dem Internet eine dedizierten Server, in der DMZ in einem eigenen VLAN benutzt wird. So dass sowohl Clients aus dem LAN als auch Internet immer über die WAF und Firewalls gehen. Mit Conditional Access könnte man hier Abstufungen bezüglich MFA vornehmen. Wobei heutzutage eigentlich kein Weg mehr an MFA vorbeiführt - unabhängig ob LAN, WLAN oder Internet.
Gruß,
Dani