Heimlösung mit Draht zur Außenwelt

h0lzk0pf

Cadet 1st Year
Registriert
Sep. 2015
Beiträge
12
Hallo Leute,

folgende Situation:

Ich wollte mir bereits seit längerem eine NAS kaufen. Jetzt hätte ich auch die Möglichkeit einen PC mit Raid zu bekommen und als Server einzurichten.
An folgendes hatte ich gedacht:
- Windows Home Server 2011 als Backup und Datenschleuder für das Heimnetzwerk und Zugriff von Extern.
- Windows Exchange Server: Ich würde gerne meinen eigenen Mailserver haben. Bin zwar bereits bei Posteo aber die Emails auf dem eigenen Server zu haben wäre schon praktisch.
- Windows Sharepoint Server: Ich würde gerne eine komfortable Kommunikationsplattform für mich und Doktoranden einrichten.
Da ich an unterschiedlichen Orten arbeite ist gerade der Zugriff auf meine Daten von außen notwendig. (Ich finde externe Festplatten und USB-Sticks auf dauer unpraktisch)

Häufig wird Anfänger davon abgeraten einen Server nach außen hin zu betreiben. Wäre dies bei dieser Konfiguration auch bedenklich?
PS: Über unser Dreamspark bekommen ich fast jedes MS Programm.
 
Bedenklich ist das immer, hast du denn die nötigen Kenntnisse um den Server abgesichert und up-to-date zu betreiben?
Sagt dir hardening was?
Kannst du die Verantwortung tragen, wenn was passiert (insbesondere wenn Doktoranden und ihre Daten betroffen sind?)

Es gibt unter anderem vom BSI Richtlinien zum Betrieb von öffentlichen Servern, wenn du dich an die hälst, ist das meiner Meinung nach durchaus vertretbar.
 
Ich würde natürlich 1x pro Woche die Daten über eine externe HDD sichern. (Zusätzlich natürlich stets ein Mirror).
Den Sicherungszyklus würde ich den Benutzern mitteilen und eben empfehlen in aktiven Zeiten selbständig Updates von gerschriebenem etc durchzuführen.

Auf den Server selber sollte nur ich Zugriff haben. Hier kann ich natürlich ein Hardening durchführen wobei bei Windows Home Server 2011 die Bandbreite wohl nicht so groß ist wie bei WS2012R2.
In Sharepoint und Exchange werden den Leuten Benutzerkonten zugewiesen mit entsprechenden Zugriffsrechten. Sollte/kann auch bei solchen Servern ein Hardening durchgeführt werden? Ich dachte das bezieht sicher eher auf ein OS.

PS: Wäre für meine Zweckse WS2012R2 die bessere Wahl oder wäre das wie mit Kanonen auf Spatzen zu schießen? Bei Windows Server muss man wohl mit deutliche mehr Einarbeitungszeit rechnen.
 
Zuletzt bearbeitet:
Mir gehts nicht um die Backups, die brauchst du auch ohne im Netz zu hängen. Mir gehts um Angriffe - wenn da was geleakt wird und sowas.

Nicht nur das OS musst du abhärten, auch die Applikationsserver musst du entsprechen konfigurieren. TLS zum Beispiel, dass du da SSL verbietest, unsichere Cyphersuites etc.

Einen guten Leitfaden findest du zB hier: https://bettercrypto.org/static/applied-crypto-hardening.pdf

Ehrlich gesagt kenne ich den Home Server überhaupt nicht, da hab ich keine Ahnung was alles anfällt.
Zum WS2012 findest du deutlich mehr im Netz, eventuell wirds dann doch wieder simpler statt kompliziert :).
 
Das stimmt. Danke für den Leitfaden! Ich werde erstmal einige Tests im Heimnetz durchführen bevor ich das Internetz betrete :).

Wenn man nun tatsächlich alles nach Leitfaden durchführt, Updates etc... Wie leicht bzw schwer ist es dann für einen geübten Hacker so einen Server zu knacken und an die Daten zu kommen?!
Mir geht es eben auch eher um "Leaks" bzw. Wirtschafts-/Forschungsspionage Abwehr.
Das will ich eben gerne vermeiden und daher auch möglichst weg von allem was nicht "greifbar" ist.
Geschieht das einfach so innerhalb von Minuten?
Klar kommen immerwieder Exploits raus, welche es auch ungeübten ermöglichen bis zum nächsten Update massiven schaden anzurichten. Aber ich denke eher an einen gezielten Angriff auf ein per "Leitfaden" geschützes System und zuverlässigen sowie erfahrenen Benutzern.
 
Die absolute Sicherheit gibt es nicht, insofern ist das immer eine Frage wieviel Aufwand finanzieller/personeller/zeitlicher Art involviert ist.
Du kannst dann zwar grundsätzlich davon ausgehen, dass dein Server "sicher" ist, du weißt aber nie ob es nicht unbekannte 0days etc. gibt, die eben eine Kompromittierung trotz der getroffenen Maßnahmen erlauben.
Weil die können gefunden werden - das passiert aber auch nicht jedem zweitklassigem Hacker, da gibts es auch nur einen relativ begrenzten Personenkreis - und auch hier kannst du durchaus von einigen Wochen bis Monaten Aktivität ausgehen, bis das entdeckt, getestet, verpackt ist.
Angriffe laufen meistens in Ketten ab. Ein Exploit an einer Stelle ermöglicht dir im meinetwegen Remote Code Execution, dann kannst du auf ein System. Dort kannst du dich persistent niederlassen, damit z.B. auf Clients ein Neustart überlebt wird. Bist du dann im Netzwerk kannst du gucken wo wichtige Server wie Domaincontroller sind, ein weiterer Exploit verschafft dir dann eventuell Adminrechte.

So eine gezielte Attacke kann sich durchaus ziehen - auch vor der ersten Kompromittierung geht Zeit ins Land. Software des Ziels kennen lernen, Schnittstellen lokalisieren. Und dabei im Optimalfall auch immer unauffällig zu Werke gehen, um keine komischen Logeinträge zu hinterlassen u.Ä.

Da lohnt sich das Hardening, je weniger beteiligt ist, desto weniger ist überhaupt angreifbar, weniger Code fehlerhafter.

Das ist aber nur die technische Seite, mit Social Engineering kann man meistens trotzdem alle Maßnahmen umgehen - wenn es der User selbst macht, brauche ich keinen Exploit.

Schulungen der User sind dann der eine Aspekt, das Erstellen eines Plans im Falle einer Kompromittierung der andere, wichtigste Aspekt überhaupt - wenn man sich denn vernünftig technisch aufgestellt hat.

//e: Und in dem Aufwandrahmen wie oben kommt dann natürlich auch die physikalische Sicherheit mit ins Spiel - ist die Hardware in nem verschlossenen Rack? Netzwerk gegen fremden Zugriff geschützt (RADIUS)?
 
Zuletzt bearbeitet:
Home Server wird nicht gehen da kein Active Directory gegeben ist was zwingend notwendig für Exchange ist. Du wirst minimum einen Server 2012 Essentials benötigen.
 
Zurück
Oben