Überlegungen zur Sicherung einen M$Servers

[/dev/null]

Ich bin gerade dabei mir ein Securitykonzept für so eine Windoofgurke aus zu denken. Leider bietet der Anbieter nur eine JuniperFW mit 100MBit/s-Ports an. Natürlich würde ich nur ungern auf die mit 1GBit/s recht interessante Bandbreite verzichten.

Momentan überlege ich gerade mit er integrierten Firewall zu arbeiten.

Mal angenommen ich würde diese nutzen und nur den RDP-Port für eine bestimmte, nur mir zugängliche IP öffnen... Ist das rein von der Securitysicht her zu vertreten?

BG
/dev/null

[rudelgurke]

Das Problem bei Windows Kisten ist meist dass der geneigte Admin "vergisst" den ganzen "MS Network" zu deaktivieren, wenn nicht benötigt und dann die Kiste fröhlich vor-sich-hin-broadcast'ed wer denn noch so da ist.
Davon abgesehen, idealer wäre natürlich ein VPN und RDP komplett vom öffentlichen Netz zu trennen, wenn dass keine Option ist bleibt unterm Strich doch nur das Sperren auf eine / mehrere Quell-IP's.
Es gibt sicher noch andere Lösungen (SSH Server unter Windows und via Port-Forwarding) womit man sich dann zusätzliche Dienste auf die Kiste zieht mit ihren ganz eigenen Problemen.

[/dev/null]

Hey danke für die Antwort...

Also wer "vergisst" alles ausser den notwendigen Diensten in Richtung WWW zu deaktivieren ist ehrlich gesagt selbst schuld. Keine Sorge, das passiert mir nicht! :-P

Das mit dem SSHServer und dem Tunneln des RDPs hatte ich mir auch schon überlegt, aber im Grunde genommen möchte ich keine - mögliche - Fehlerquelle mehr dazwischen haben.

Letztlich ist es dann einfach auf eine IP-Beschränkung raus gelaufen, was an sich ganz praktisch ist. Für die Admins hat sich, da diese ohnehin alle von der gleichen IP kommen und ich habe eine deutliche Steigerung der Sicherheit.

BG
/dev/null

[ddm3ve]

Hey danke für die Antwort...
Also wer "vergisst" alles ausser den notwendigen Diensten in Richtung WWW zu deaktivieren ist ehrlich gesagt selbst schuld. Keine Sorge, das passiert mir nicht! :-P

Das sagst Du.... aber kontrollierst Du das auch, dass die Dienste wirklich geblockt sind?
Ich bin btw. eine wenig weg vom "Ich brauch 1 Gibt".

Viele Dienste aber auch Server werden bewusst gedrosselt.
Der Schaden eines unbegrenzten Missbrauchs kann gross sein.

[/dev/null]

Das sagst Du.... aber kontrollierst Du das auch, dass die Dienste wirklich geblockt sind?
Ich bin btw. eine wenig weg vom "Ich brauch 1 Gibt".

Viele Dienste aber auch Server werden bewusst gedrosselt.

Von brauchen kann - zumindest noch - nicht die Rede sein, aber warum soll ich darauf verzichten, wenn's gratis dabei ist? Die volle Bandbreite hat die Kiste ohnehin nicht, aber zwischen 200 und 400 MBit/s sind schon "drinnen". ;-)

BG
/dev/null

[ddm3ve]

Der Schaden, wenn Dein Server umgebremst raus feuert, nach einer feindlichen Übernahme kann gross sein.
Darum bin ich persönlich vom "ich brauche", weg. Die Meisten Server müssen sich ohnehin die Redundante 10 Gibt teilen, da bleiben dann theoretisch für jeden einzelnen 10MBit übrig. Gedrosselt wird es auf 100Mbit und auch entsprechend überwacht. Wenn Anomalien entstehen wird's geprüft.

Leider kommt es gelegentlich einfach vor, dass durch veraltete PHP Script etc. sich auch mal Schadcode einschleußt.
Mit einer entsprechenden Drosselung lässt sich der Schaden reduzieren.

Die Frage ist also, welchen Traffic verursacht Deine Maschine, was also wird benötigt um Deine Besucher zufrieden zu stellen, und was davon ist nur potentielle "Risiko" ohne echten nutzen?
Die Frage musst Du Dir aber selber stellen und auch selbst entscheiden. Ich wollte Dir nur dazu anregen, warum viel Bandbreite nicht unbedingt immer gut ist.