---

Hallo 
und ggf. kann mir hier jemand weitergehende Hilfestellung zu dem folgenden Anwendungsprofil und deren Sicherheitsaspekte geben!?

Ich möchte meinem alten Compaq-Server (Proliant 1600) u.a. als privaten Webserver mit XAMPP einsetzten. Dahingehend habe ich Windows 98se für den Webserver-Betrieb und Windows 2000 für sog. "andere Aufgaben" angedacht und installiert.

Beide Betriebssysteme liegen auf einer Fat32-formatierten Platte (Array). Hier liegt dann auch das Web-Verzeichnis; z.B. Homepage o.ä.

Die "anderen Aufgaben" beinhalten eigentlich nur sporadisches Sichern irgendwelcher Dateien von meinen weiteren PCs. Ich verschiebe dann z.B. die zu sicherernden Dateien via LAN auf gesonderte NTFS-Festplatten des Servers.
(Weil W98 kein NTFS erkennt).

Der Server, wie auch alle anderen PC's laufen über einen ext. Router.
Der Router ist für den Server als virtueller Server mit fester IP konfiguriert. Ansonsten bzw. für die anderen PCs werden die IPs automatisch bezogen.

Für den Server-Betrieb über W98 habe ich sicherheitshalber den Server nicht im LAN/Arbeitsgruppe.
Für "andere Aufgaben" über W2000 ist er natürlich im LAN erreichbar eingestellt.

> Firewall gibt es auf beiden "Betriebssystem-Seiten (des Servers)".
> XAMPP - Sicherheitskonsole ist mit Passwörtern ausgestattet.
> Für den Webserver-Betrieb läuft (derzeit zumindest) nur Apache.
> Der Webserver ist über DynDNS erreichbar. Zugriff von außen entweder bei deaktivierter Firewall bzw. Einzel-Freigabe bei laufender Firewall.

FRAGE: Was kann man hinsichtlich Sicherheit noch verbessern?

Bin für jede Hilfestellung dankbar.
Und gemütliche Weihnachten mitsamt gutem Rutsch!

------------------
Lieben Dank
Petra Walier

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Hallo Petra,

mittels Apache solltest Du auch Daten auf den Server schreiben können, d.h. das W2k für besondere Aufgaben kannst Du getrost kicken.

Ich weiß ja, dass Du die Daten bereitstellen willst auf dem Webserver, aber Frage: Soll das auch Dein BACKUP-Server sein?? Wenn ja, finde ich das bedenklich.

Im Linux-Bereich (ich hab keine Ahnung davon, aber so was mal ansatzweise getestet) gibt's die LAMPP's. Eine gesonderte Version, die ich mal hatte war von ??? glaube C't ein Büroserver mit allem pipapo für 9EUR, inkl. DNS, Apache, ... Wäre vielleicht interessant.

Hast Du wie schon mal angedacht die Netze getrennt? (Stichwort DMZ, Du erinnerst Dich?).

Denkbar wäre auch noch der kostespielige  (ca. 3,90EUR) einer weiteren Netzwerkkarte im Server. Über die kannst Du dann die daten auf den Server schaufeln. Setzt aber voraus, dass Du keine NTFS-Partion mit  98 verwendest. Aber unter w2k kannst Du den Webserver ja auch betreiben.

Und fröhliche Weihnachten wünsche ich Dir natürlich ebenso 

------------------
Gruß, der Teddibaer

Besucht mich doch einmal ... oder ... auch zweimal ...
-----------------------------------------------------------------
So Sechs wie mir Fünf gibt's kei' Vier, weil mir Drei die Zwei Einzigste' sin'. 

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Hallo und Danke für die Blitzantwort!

Also ein richtiger "Backupserver" soll er nicht zusätzlich sein/werden.
Ich habe im Server nur (gegebenermaßen) viel Speicherkapazität infolge von insgesamt 6 Platten, je 18 GB zur Verfügung. Und die würde ich gerne nutzen; z.B. um größere Datensätze anderer PCs dort zu "parken" oder zu "sichern". Also vorzugsweise sind das "Arbeitsdaten".

Den Gedanken von Backup's anderer PCs hierher zu transportieren habe ich verworfen (... weil nicht hinbekommen ).
------------------------
Von Linux habe ich ja nun auch keine Ahnung ...        aber lese mich 'mal in "LAMPPs" beiläufig rein.
------------------------
DMZ!  Ja! Also NEIN; -habe dahingehend keine demilitarisierte Zone erstellt. Hatte den seinerzeitigen Hinweis natürlich gelesen; die Umsetzung war mir nicht richtig klar. Muß mich da nochmal reinlesen ... also hab's noch nicht umgesetzt / auch nicht daran gedacht. Danke für die Erinnerung. (Glaube man bräuchte auch einen 2. Router...!?) -> Kümmere mich darum!
------------------------
2. NW-Karte! Achso! Jo, -das ginge wohl auch.
Aber abgesehen davon:
Derzeit klappt das alles soweit prima.
Will ich Daten via LAN verschieben, boote ich mich über W2K rein und habe Zugriff auf FAT32 und NTFS-Platten. Da mit kann ich leben, wenn es sicher ist. Und sicher ist das doch so wohl!(?).

W2K benutze ich übrigens auch noch, weil ich über W98 teils fehlende Treiberunterstützung für Periperiegeräte habe. W98 weil ich teils noch mit alter DOS-Software arbeite.

Daher kommt dieses Hickhack der Betriebssysteme eigentlich.

Aber abgesehen von "Verbesserungen" ist mir derzeit unklar, inwieweit ich nun ""SICHER"" bin, wenn ich z.B. den Server ohne Firewall online habe. Alle anderen Rechner gehen ja automatisch + parallel ebenso über den Router online.
Jeder der anderen PCs hat zwar die Firewall (heißt das eigentlich DER Firewall??) aktiv, dennoch ist mir unklar, ob man von außen über den Server an die anderen PCs herankäme.

------------------
Lieben Dank
Petra Walier

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Der Router hat ja auch noch eine Firewall integriert !?
"Gute" Router haben dann auch eine Portsperre, bzw. eine Portweiterleitung. Diese benötigst Du, wenn Du einen PC als Webserver betreibst, ja ohnehin.

Allerdings ist die, wenn einmal eingetragen, immer aktiv, d.h. auch wenn Du mit w2k arbeitest. Anfragen werden auf den PC geleitet!!!!
Je nachdem welche Dienste auf w2k laufen (z.B. RAS oder ähnliche) besteht grundsätzlich die Möglichkeit, dass Verbindungen hergestellt werden.

Bezgl. der Arbeitsgruppen ist es, je nach Einstellung, möglich, dass alle anderen PC's über deinen Server PC angesprochen werden können. Ich denke dass mit der DMZ wäre sicherer.

In der jetzigen Konstellation 98, w2k, xampp hast Du sehr sehr viele Rädchen, an denen man drehen kann. -> gefährlich!

Ein mögliches Szenario gibt's noch.
Bsp. Dein Server bzw. eine Router mit USB-Anschluß (z.B. FritzBox) könnte eine Wechselplatte (aus dem Server ausbauen und in separates Gehäuse stecken) ansteuern.

Die Platte sollte dann wechselweise am Server bzw. dem Quell-PC hängen, um die Daten zu aktualisieren. (Ansonsten bleiben die PC Firewallmäßig getrennt: Deine PC schliessen explizit den Server aus)

oder

An der FritzBox hättest Du Vorteile: Dyndns, ständiger FTP-Zugriff auf die Platte von allen Rechnern inkl. Firewallfunktionalität.

Sodele, dass soll mal reichen ...

------------------
Gruß, der Teddibaer

Besucht mich doch einmal ... oder ... auch zweimal ...
-----------------------------------------------------------------
So Sechs wie mir Fünf gibt's kei' Vier, weil mir Drei die Zwei Einzigste' sin'. 

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

22.12.'06/22:39h : Büromäßiges Weihnachtsgelage!
... bin gerade nicht mehr ganz nüchtern. Habe bis zur Info  "DMZ wäre sicherer" verstanden; anschließend aber nichts mehr.

'Lese morgen nochmal! Danke. Oder übermorgen.

Frohe Weihnacht und liebe Grüße
Petra

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP