Apple iCal Server hinter EDW 2.5.1

1. offizieller Beitrag

    Ersteinmal hallo zusammen.
    Ich bin was Endian angeht ein absoluter Neuling.
    Habe nun den Auftrag einen Apple Server hinter einem EDW 2.5.1 zu konfigurieren. Dabei sollen die Dienste "Adressbuch-Server" und "Kalender-Server" auch von außen über das Internet zu erreichen sein um so z.B. auch von iphone und Macbooks von unterwegs verwendet werden zu können. Der Zugriff soll immer über die externe (feste) Ip erfolgen. Sowohl im entsprechenden Heimnetz, als auch von unterwegs.
    Für die entsprechenden Ports habe ich eine Portweiterleitung eingerichtet. Der Zugriff aus einem externen Netzwerk (bspw per UMTS vom Handy) klappt einwandfrei. Im lokalen Netz erreiche ich den Dienst jedoch nur über die lokale IP des Servers.

    Lieben Gruß
    Jonas/schmidex

    Einmal editiert, zuletzt von schmidex (21. Oktober 2012 um 16:05)

    • Offizieller Beitrag

    ja solch Probleme kommen mir bekannt vor, von Intern auf den Server in der DMZ.
    Willst du von Intern via IP ( öffentlich ) auf den Server?
    oder von Intern via IP ( Private IP ) auf den Server?

    egal wie hast du die Firewall Regel eingerichtet das du von INTERN nach EXTERN bzw INTERN nach DMZ mit dem passenden Port raus darfst?

    gruß

    Von intern möchte ich auf die öffentliche IP zugreifen. Dazu habe ich den entsprechenden Port (8443) in der Firewall auf die intere IP des Apple Servers weitergeleitet. Zusätzlich habe ich bei Ausgehndem Datenverkehr ebenfalls den Port (8443) freigeschaltet.

    • Offizieller Beitrag

    Hast du mal versucht Intern von Grün nach Orange ( DMZ ) zukommen ?
    Dann musst du unter Firewall / Inter-Zone Datenverkehr die Ports zu lassen.

    Von Intern auf die Öffentliche IP zuzugreifen ist immer schwierig . . . das Paket geht ja auf dem gleichen Weg raus wo es wieder rein kommt . . . . da müsstest du normalerweise Routen . .
    von Intern und extern und in der Firewall freischalten . . . . also 4 regeln anlegen . . was dann ein Loch in das SPI System reist und Spoofing Angriffe erleichtert . .
    Also von Intern besser auf die Interne IP in der DMZ zugreifen . .

    Gruß Sabine

    • Offizieller Beitrag

    Geb Sabine recht, von Intern nach Externe eigene IP ist immer kniffelig.
    Würde es von Intern nach direkt auf die DMZ IP des Servers schicken.
    Oder gibts Konfig. Probleme ?

    Das Problem ist, das auch diverse Handys und Laptops auf den Server zugreifen. Die festen Rechner habe ich natürlich alle über die lokale IP des Servers eingebunden.
    Der traffic von Grün nach Orange wird komplett zugelassen.

    Wo müsste ich wie entsprechende Routen eintragen?
    Wie hoch ist das Risiko bei dieser Lösung?

    Sorry bin auf dem Gebiet echt ein Neuling und sitze hier vor einer Installation die ich nicht selbst gemacht habe.

    Vielen Dank für die Unterstützung

    • Offizieller Beitrag

    Das hat einen Grund warum das nicht geht . . . :!:
    Wenn du eine Route machst gehen alle Anfragen direkt auf den Server ohne durch das SPI System zulaufen.
    Du hast dann keinen Schutz mehr . . . . Z.b. Denial of Service gehen direkt auf den Server und werden nicht mehr verworfen, dein Server geht in die Knie oder bei Sicherheitslücken ist der Angreifer schnell auf dem Server und kann ihn übernehmen.
    Ich habe das gleiche Problem auch schon mal gehabt das die Herren über die Externe Adresse auf einen Server wollten ( sie hätten sich ja sonst 2 IP Adressen merken müssen ), ich konnte ihnen aber schnell klarmachen das das so nicht geht in dem ich Ihnen ein paar Fachbegriffe um die Ohren gehauen habe.
    Du würdest dein ganzes Sicherheitskonzept untergraben . . . und könntest die Firewall auch abschalten . .

    Gruß Sabine

    Okay okay die Begründung verstehe ich und sehe ich ein.

    Dennoch würde ich gerne auch verstehen und testen wie eine entsprechende Route aussieht und eingerichtet wird.
    Du hast weiter oben von vier Regeln gesprochen. Warum soviele? Warum 4?

    Kann ich nicht irgendwie eine Regel erstellen die alle zugriff von intern (GRÜN) auf die externe IP auf die interne Umleitet?
    Sorry stehe wahrscheinlich gerade ein bischen idiotisch da.

    • Offizieller Beitrag

    Wenn du eine externe IP hast kannst du natürlich einen Regel machen das alle Protokolle auf diese IP zuläst.
    Dann bist du aber wahrscheinlich genauso weit wie vorher . . . weil die Ports genau da rein müssen wo sie rausgehen.

    Ich hätte vielleicht besser sagen sollen das geht nicht . . .

    Ich möchte hier auch nicht einen Anleitung geben wie man sein Sicherheitskonzept komplett abschießt . .
    Ich habe so was schon mal gemacht für eine sehr spezielle Anwendung die so nur einmal Programmiert wurde . . . die beiden Stellen waren aber über VPN Verbunden und keine anderer hatte Zugriff von außen auf die Ports . . .

    Gruß Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final