Suse Linuxserver von außen erreichbar machen

[Benelli2211]

Hallo,
ich stehe vor der Herausforderung unseren Firmenserver für unsere Außendienstmitarbeiter von unterwegs zugänglich zu machen. Aktuell ist der Server als Netzlaufwerk bei den Kollegen angelegt und daher nur erreichbar wenn sie über Kabel an unserer Firmennetzwerk angeschlossen sind (wlan haben wir nicht). Welche Möglichkeiten habe ich um soetwas zu konfigurieren?
Auf dem Server läuft aktuell Suse Linux 10.0 und auf den Laptops win 7 pro oder win 8 pro.
Gruß Robin

 

[=DarkEagle=]

OpenVPN auf dem Server installieren und auch auf den Clients. Was habt ihr für eine Netzanbindung? Und von wie vielen Leuten reden wir?
Habt ihr sonst schon einen Router der ggf. VPN unterstützt?

 

[Seiyaru2208]

Halo Robin als erstes informiere dich wie du deinen Server härtest, denn das wird auf dich zu kommen sobald du ihn für die Außenwelt öffnest......

Dann ist die Frage was meinst du genau? Wie zugänglich sollen sie Daten abrufen können sollen die auf ein Projektmanagementtool zugreifen?

Wenn du das mal genauer ausführen könntest dann können wir auch helfen

 

[Benelli2211]

Ich versuche mal die Fragen so gut es geht zu beantworten
-Netzanbindung ist eine 16.000er Leitung.
-Alle Rechner haben feste IP Adressen im Netzwerk
-Die Aussenanbindung läuft über einen Proxyserver (vom Hauptstandort)
-Insgesamt sollen 7 Leute von Aussen zugriff bekommen um auf Datein/Dokumente auf dem Server zuzugreifen. Programme und Warenwirtschaft Laufen bei uns über einen anderen Hauptserver (anderer Standort) wo die Kollegen von unterwegs über eine Forticlient VPN zugriff haben.

Wäre OpenVPN hierfür die richtige Wahl? Ist es notwendig den Server noch zusätzlich zu härten/schützen?

 

[MusicJunkie666]

Natürlich ist es notwendig, den Server noch zusätzlich zu schützen. Im Internet treibt sich allerlei Böses herum.
Beispiel: Mein Webserver ist täglich unterschiedlichsten Angriffen von >5 verschiedenen IP-Adressen ausgesetzt. Und das, ohne dass er auch nur ansatzweise relevant wäre...

Bitte beauftrage einen Profi, du klingst nicht sehr erfahren, was Netzwerk- und Serverbetreuung betrifft. Vor Allem in einem Unternehmen, wo vielleicht noch Kundendaten auf dem Server gespeichert sind...

 

[Raijin]

Bitte beauftrage einen Profi, du klingst nicht sehr erfahren, was Netzwerk- und Serverbetreuung betrifft. Vor Allem in einem Unternehmen, wo vielleicht noch Kundendaten auf dem Server gespeichert sind...

Besser hätte ich es nicht formulieren können.


@TE: Es sind nicht nur Server bzw Daten gefährdet, sondern auch du. Letztendlich bist du dann nämlich verantwortlich, wenn etwas schief läuft. Prinzipiell wäre es zwar der Chef, aber der meldet sich ganz schnell bei dir...

Wenn ihr am Hauptstandort schon FortiNet Hardware einsetzt, dann sitzt da (hoffentlich) auch jemand, der sich mit sowas auskennt. Lass dich bloß nicht für sowas einspannen, nur weil der Chef denkt "Der kann Copy&Paste, muss ein Computernerd sein" (überspitzt formuliert). Sollte auch dort ein Laie sitzen, dann quatsch deinem Chef ein kleines Budget aus den Rippen und ruf ein Systemhaus in der Nähe an - oder geh auf die Cebit für etwas Input.

Ich/wir helfen gerne, wenn du daheim einen Server aufsetzen willst, aber ohne adäquates Fachwissen - d.h. man müsste hier nicht nach dem wie fragen - wäre das im Firmenbereich einfach nur fahrlässig.

 

[MusicJunkie666]

Eins noch: Verstehe das bitte nicht als persönlichen Angriff, aber das ist wirklich ein komplexes Thema und da kann viel passieren.
Wie Raijin schon erwähnt hat - wenn was passiert (und das wird es, glaub mir!) bist du der Fußabtreter. Und wenn mal Kundendaten gestohlen werden wirds heftig.

 

[Raijin]

Wenn man einen Server betreibt, merkt man binnen kürzester Zeit, dass er ständig unter Login-Bombardement steht. Wörterbuch-Attacken auf ssh zb. Wenn man kein adäquates Passwort hat bzw sich gegen sowas zu schützen weiß - zb x Stunden Sperrung von IPs bei y fehlerhaften Logins - dann ist die Gefahr immer präsent. Es ist dabei im übrigen egal was sich der Angreifer dabei erhofft, das sind automatische Scripts. Will heißen der Typ macht morgens seine Maschine an, lässt sie eine IP-Range abarbeiten, guckt abends wo er reingekommen ist und schaut sich die Beute an...

Bevor ich diese IP-Sperrungen eingebaut habe, musste ich ständig die Logs nachschauen, weil ich immer ein fieses Bauchgrummeln hatte. Gutes Passwort und max 3 Logins, sonst 24h Sperre haben die Situation deutlich entspannt. Aus zuvor zT mehreren Hundert Loginversuchen pro Tag sind nur noch seeehr wenige geworden - auch aufgrund weiterer Maßnahmen.

Aber wie gesagt, man muss sich mit sowas auskennen und beschäftigen, andere sind im Zweifelsfalle nämlich schlauer :-)

 

[Seiyaru2208]

Also ich betreibe auch einen Webserver und bei mir sind es weniger die ssh versuche da ich das anmelden per Root eh ausgeschlossen habe, sondern der Versuch auf das default Verzeichnis für den Webserver zuzugreifen sprich var/www usw.

Aber recht hast du, ohne ein Firewallscript sowie bestimmte Erfahrungen mit SSH und fail2ban sollte man kein server ans böse Internet klemmen

 

[Benelli2211]

Hallo,
entschuldigt die späte Antwort. Ich war eine Zeit im Urlaub und danach etwas im Stress.

Danke schon mal für die ganzen Antworten. Wie schon richtig bemerkt ist dies absolut nicht mein Fachgebiet und iczh sehe das ganze vielleicht etwas zu leicht.

Ich möchte 6-7 Laptops den Zugang zu dem Server ermöglichen. Gibt es kein Programm wo man nur diesen Rechnern über einen festen Code den Zugang gewährt? Ähnlich wie ThightVNC oder Teamview, bloss halt als einfacher Dateizugriff? Man könnte ja den Zugriff auch nur für gewisse Ordner gewähren.

 

[MusicJunkie666]

Wäre mir in der Form nicht bekannt. Möglicherweise mit VPN-Server und Client-Zertifikaten. Das ist aber auch nicht einfach zu konfigurieren bzw. abzusichern - die Gefahren bleiben die Gleichen. Bitte beauftrage einen Profi dafür.