Sicherheit

Xb2.Net von Boris Borzic

Moderator: Moderatoren

Antworten
Benutzeravatar
Jan
Marvin
Marvin
Beiträge: 14641
Registriert: Fr, 23. Sep 2005 18:23
Wohnort: 49328 Melle
Hat sich bedankt: 21 Mal
Danksagung erhalten: 87 Mal
Kontaktdaten:

Sicherheit

Beitrag von Jan »

Moin,

mal so ins Blaue rein eine Frage: Es gibt einen ADS im Netzwerk. Der läuft auf einem virtuellen Server in einer abgeschottetten IP-Bereich. Geschützt ist das ganze Servergebilde nach außen durch eine professionelle Firewall.

Wie sicher kann man den ADS an eine XB2.Net-Anwendung linken? Man müsste sehr sicher in der Firewall eine Regel einbauen, die den Zugriff von genau diesem XB2.Net-Server auf exakt nur den ADS (nicht einmal den virtuellen Server, wenn das geht) einrichten. SSL wäre sehr sicher möglich.

Kann man das Ganze so abschotten, das von außen kein Blödsinn getrieben werden kann?

Jan
Mitglied der XUG Osnabrück
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
Benutzeravatar
nightcrawler
1000 working lines a day
1000 working lines a day
Beiträge: 650
Registriert: Di, 24. Apr 2012 16:33
Wohnort: 72184 Weitingen
Hat sich bedankt: 3 Mal
Danksagung erhalten: 96 Mal
Kontaktdaten:

Re: Sicherheit

Beitrag von nightcrawler »

Hallo Jan,
die XB2.NET Anwendung läuft in der DMZ? Dann brauchst Du in der Firewall nur eine Regel, welche von dem Webserver der DMZ - und nur von da - einen UDP Port an den ADS - und nur dahin - weiterleitet. Evtl musst Du noch die Gegenrichtung freigeben, da bin ich mir nicht mehr so sicher. Von außen kann man nicht kapern, weil die Zugriffe vom Internet nicht an den internen ADS durchgeleitet werden.
Als zusätzliche Sicherheit kannst Du statt des IP PORTs den INTERNET PORT verwenden und das ganze über eine "AIS" (Advantage Internet Server) Vebindung steuern. Dort muss man dann das Dictionary für Internet Zugriff freigeben (also nur dieses ADD anfassbar), den User im Dictionary anlegen und für Internet Zugriff freischalten. Zudem kann das Dictionary noch über MAX LOGIN ATTEMPTS gegen Brute Force Attacken geschützt werden.

Hoffe, das verwirrt nicht allzusehr;)
--
Joachim
Joachim Dürr Softwareengineering
https://www.jd-engineering.de
Benutzeravatar
Tom
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 9345
Registriert: Do, 22. Sep 2005 23:11
Wohnort: Berlin
Hat sich bedankt: 100 Mal
Danksagung erhalten: 359 Mal
Kontaktdaten:

Re: Sicherheit

Beitrag von Tom »

Ich verstehe die Anfrage nicht ganz. Den Xb2.Net-Server baut man selbst. Man entscheidet, was er kann, welche Protokolle er zulässt (oder welche selbstgestrickten Protokolle er anbietet), auf welche Anfragen er wie reagiert, auf welchen Ports er lauscht (die dann natürlich für die Firewall freigegeben sein müssen) usw. usf. Das ist einer der großen Vorteile einer solchen, propreitären Lösung, die auch noch auf exotischer Technik basiert, also selten angegriffen wird (während jeder Apache/IIS, der zehn Sekunden am Netz hängt, in dieser Zeit schon mehrere hundert Attacken erleben wird). Wenn man natürlich einen simplen HTTP-Server aufsetzt und einfach die gesamte Verzeichnisstruktur freigibt, kommt man über den so gestalteten Xb2.Net-Server an alles mögliche. Aber das macht ja keiner. Gegenfrage, Jan: Was genau machst Du?
Herzlich,
Tom
Benutzeravatar
Jan
Marvin
Marvin
Beiträge: 14641
Registriert: Fr, 23. Sep 2005 18:23
Wohnort: 49328 Melle
Hat sich bedankt: 21 Mal
Danksagung erhalten: 87 Mal
Kontaktdaten:

Re: Sicherheit

Beitrag von Jan »

Tom,

das Du die Frage nicht ganz verstehst mag sein. Das kommt daher das ich die Materie nicht ganz verstehe. Und deswegen einfach mal eine "blöde" Frage an die gestellt habe, die sich da mehr und besser auskennen.

Wenn das zum Tragen kommen würde wären da mind. drei Fachleute im Boot: Einer der Fachmann für XB2.Net ist, einer der sich hervorragend mit ADS auskennt (hat sich hier ja auch schon zu Wort gemeldet :-D , der weiß noch ganrichts von seinem Glück), und eine Supportfirma für die Firewall und die Serverlandschaft (die machen das jetzt schon alles und kennen den Server in- und auswendig). Ich selber wäre da ziemlich raus, höchstens auf Ebene der Koordination und der Vorgaben für die Weboberfläche und die Geschäftslogik dabei. Wobei ich in der Geschäftslogik eventuell auch einigen Code beisteuern würde, aber wenn dann eher weniger.

Mir ging es einfach nur darum festzustellen, ob wir das Projekt überhaupt anfangen sollten. Gäbe es da grundsätzliche Probleme, würden wir direkt einen anderen Weg suchen.

Jan
Mitglied der XUG Osnabrück
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
Benutzeravatar
Jan
Marvin
Marvin
Beiträge: 14641
Registriert: Fr, 23. Sep 2005 18:23
Wohnort: 49328 Melle
Hat sich bedankt: 21 Mal
Danksagung erhalten: 87 Mal
Kontaktdaten:

Re: Sicherheit

Beitrag von Jan »

Die Frage hat sich unerwartet weiterentwickelt.

Eine Abteilung bei meinem Kunden möchte den Auftrag natürlich für sich gewinnen. Die würden das dann in reiner Web-Programmierung in PHP erledigen. Deren Haupt-Argument: Für einen Xb2.NET Webserver benötigt man einen Root-Server. Mit Windows. Da kennt sich hier keiner wirklich mit aus, die können nur Linux und managed Server. Wer also soll sich um Patches und all die anderen Verwaltungsaufgaben kümmern?

Zugegeben: So ein Server muß professionell gewartet werden, damit da nicht irgendwelche bösen Buben Blödsinn mit oder drauf anstellen.

Aber ist das wirklich sooo kompliziert, einen Root-Server sicher zu halten? Worauf muß man bei sowas achten?

Ich kann mir einfach nicht vorstellen das Boris mit Xb2.NET ein Produkt auf den Markt bringt, das zwar ansich gut ist, aber die Kunden in der benötigten Serververwaltung nur mit externen Profis klarkommen können. Da würde es doch überhaupt keinen Markt für geben. Oder seh ich das komplett falsch?

Jan
Mitglied der XUG Osnabrück
Mitglied der XUG Berlin/Brandenburg
Mitglied des Deutschsprachige Xbase-Entwickler e. V.
Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 15688
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Hat sich bedankt: 65 Mal
Danksagung erhalten: 33 Mal
Kontaktdaten:

Re: Sicherheit

Beitrag von brandelh »

Was ein "Server" Profi kann und ist - ist sehr flexibel ... :roll:

Wenn eine Firma eine eigene EDV hat und eigene Server verwaltet, sollte dort auch jemand sitzen der das handhaben kann.
Ab 10 bis 15 PCs im Firmennetz macht man das ja auch nicht mehr nebenbei ...

Auch hängt die Sicherheit nicht am Betriebssystem, sondern auch am Design der Anwendung und PHP Lücken und Programmierfehler damit sind ja auch häufig schon erwähnt worden.
Gruß
Hubert
Antworten