Windows Server nach außen abschotten

  • Guten Abend,


    angenommen, auf einem netcup VPS soll ein Windows-Server laufen, dieser muss auch nur mittels VPN, ansonsten nicht aus dem Internet, zugänglich sein, wie kann man hier am besten für Sicherheit sorgen? Gibt es hilfreiche Tipps oder ein gutes Tutorial o.Ä.?


    Offenbar ist netcup hier erst einmal "völlig" offen, was die Durchleitung an die VPS betrifft.


    Ich benötige ein paar Denkanstöße,


    Viele Grüße

  • Einfachster Denkanstoß: Nimm Linux wenn es nicht unbedingt Windows sein muss.


    Anderer Denkanstoß welcher häufig empfohlen wird: Eine eigenständige Firewall vor dem Windows Server die entsprechend nur dein VPN durchlässt - der Windows Server ist sonst gar nicht aus dem Internet zu erreichen.

  • Moin,


    ich bin grundsätzlich ein Freund davon Server (egal welches OS) hinter einer "dedizierten" Firewall zu stellen. Dank dem Netcup VLAN lässt sich das auch einfach realisieren. :)


    Dazu brauchst du allerdings einen weiteren Server (VPS 200 reicht dazu völlig aus) sowie das kostenlose VLAN 100. Dann fügst du bei beiden Server eine zweite NIC hinzu. Auf dem VPS 200 installierst du dann eine Firewall z.B. OPNSense. Dort konfigurierst du dann die Firewall sowie das VPN. Beim Windows Server deaktivierst du die NIC mit der öffentlichen IP, die andere NIC erhält die IP Konfiguration aus dem VLAN.


    Uuuund fertich. Ist zwar mit etwas mehr Kosten und Aufwand verbunden aber sicherheitstechnisch bist du damit schon mal in der 1. Klasse. ;)


    MfG

  • Einfachster Denkanstoß: Nimm Linux wenn es nicht unbedingt Windows sein muss.


    Anderer Denkanstoß welcher häufig empfohlen wird: Eine eigenständige Firewall vor dem Windows Server die entsprechend nur dein VPN durchlässt - der Windows Server ist sonst gar nicht aus dem Internet zu erreichen.

    LOL, jetzt habe ich gerade mal gesucht im Internet nach Windows Server absichern. Da kam ein Suchtreffer


    Quote

    Frage:

    Ich möchte meinen Microsoft Windows Server gegen Hacker absichern, was kann ich sinnvolles tun?


    Antwort:

    1. Abschalten

    Soweit fand ich das in Ordnung, aber es ging dann leider weiter mit

    Quote

    Antwort: 1. Abschalten / Deinstallation unbenötiger Dienste.

    Auch nicht schlecht, aber der erste Teil davon, ohne die Fortsetzung, war definitiv wesentlich effektiver.

  • Exception und andere: Genau das ist das aktuelle Setup (opnsense fungiert als Firewall und Windows soll vom Internet abgekapselt werden). Mein Problem ist nur: Wie kann denn die VPN-Gegenstelle den Tunnel öffnen, wenn die öffentliche IP nicht erreichbar ist, weil NIC deaktiviert ist? Oder missverstehe ich hier etwas?

  • Mein Problem ist nur: Wie kann denn die VPN-Gegenstelle den Tunnel öffnen, wenn die öffentliche IP nicht erreichbar ist, weil NIC deaktiviert ist? Oder missverstehe ich hier etwas?

    Das löst du indem OPNsense den VPN part übernimmt. Dazu ist ja die Firewall (unter anderem) da.

    Matrix: @nan0:nan0.dev - IRC: nan0 on hackint.org - Discord? Nein danke!

  • Wie kann denn die VPN-Gegenstelle den Tunnel öffnen, wenn die öffentliche IP nicht erreichbar ist, weil NIC deaktiviert ist? Oder missverstehe ich hier etwas?

    Ganz einfach:

    Zwischen deinem Netzwerk und dem Netcup Netzwerk (Firewall VPS) erstellst du einen VPN.

    Zwischen Firewall und Windows Server brauchst du ja kein VPN. Dazu hast du ja dein VLAN.

  • Sofern die opnsense sicher konfiguriert ist, bin ich also ganz safe mit der Deaktivierung der ersten NIC, korrekt?

    Meines Wissens ist es leider bislang nicht möglich, die primäre Netzwerkschnittstelle im SCP zu deaktivieren (womit sie vom Betriebssystem nicht mehr sichtbar und auch nicht mehr reaktivierbar wäre). Wenn also ein Programm softwaremäßig in der Lage ist, diese Windows-seitig zu reaktivieren, ist es mit der Abschottung vorbei.

    (Ein älterer Diskussionsfaden mit obengenanntem Funktionswunsch und Linux-seitiger Absicherungsmöglichkeit findet sich hier.)

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE

    Edited once, last by m_ueberall ().

    Like 1
  • Dafür muss dieses Programm aber ja erst einmal den Server erreichen. Das kann man nur dadurch der Fall sein, dass woanders eine Schwachstelle ist und es deswegen im internen Netzwerk ist. Dann handelt es sich hier nur um ein Sekundärproblem. Wichtig ist, dass Angriffe auf die öffentliche IP so verhindert werden können. Ich gehe davon aus, das ist das größte Risiko oder liege ich da falsch?

  • Sofern die opnsense sicher konfiguriert ist, bin ich also ganz safe mit der Deaktivierung der ersten NIC, korrekt?

    Jein. Es ist schon mal ein wichtiger und guter Schritt zur Absicherung. Um "ganz Safe" zu sein, müsstest du für das Gesamtprojekt ein ordentliches Sicherheitskonzept entwerfen z.B. ein Berechtigungskonzept, Sicherung und Grundkonfiguration der Anwendung usw.

    Ich gehe davon aus, das ist das größte Risiko oder liege ich da falsch?

    Das müsstes du eigentlich am besten wissen. Wir kennen dein Projekt bzw. dein Vorhaben nicht. Wir wissen nicht, was du mit dem Server vorhast, d.h. welche Anwendungen später drauf laufen, welche User drauf zugreifen sollen usw.


    Den Server hinter einer Firewall zu "verstecken" ist schon mal ein sehr guter Anfang. Das ist aber nur ein Schritt von vielen für ein ordentliches Sicherheitskonzept.

  • In der Praxis gibt es eh keine Sicherheit. Klar, man könnte alles optimal absichern, auch wenn selbst das keine absolute Sicherheit bieten kann. Aber das schränkt dann die Benutzer in ihren Möglichkeiten so ein, dass einem der Kunde den Vogel zeigen würde. Im Endeffekt wird es immer auf einen Kompromiss rauslaufen (müssen), mit dem der Kunde den Server noch zu dem Zweck nutzen kann, für den er ihn braucht.