Difference between revisions of "SME Server:Documentation:Administration Manual:Chapter11/de"

From SME Server
Jump to navigationJump to search
m (Replaced Template:drawBox* (deprecated) with Template:* box and made language independant)
 
(16 intermediate revisions by 2 users not shown)
Line 1: Line 1:
{{Header}}
+
{{Languages|SME_Server:Documentation:Administration_Manual:Chapter11}}
{{Dokumentationsübersicht}}
+
{{Overview/de}}
=Server-Manager - Sicherheit=
+
=Kapitel 11 - Server-Manager - Sicherheit=
 
In dieser Sektion stehen folgende Funktionalitäten zur Verfügung:
 
In dieser Sektion stehen folgende Funktionalitäten zur Verfügung:
  
Line 22: Line 22:
 
Bitte beachten Sie auch die Hinweise hinter diesem Link: [http://de.wikipedia.org/wiki/Virtual_Private_Network VPN]
 
Bitte beachten Sie auch die Hinweise hinter diesem Link: [http://de.wikipedia.org/wiki/Virtual_Private_Network VPN]
  
{{Warnungsbox|Inhalt=[http://de.wikipedia.org/wiki/PPTP PPTP] gilt allgemein als nicht sicher. Als sicherere Alternative biete sich die Erweiterung openVPN an.}}
+
{{Warning box|type=Warnung|[http://de.wikipedia.org/wiki/PPTP PPTP] gilt allgemein als nicht sicher. Als sicherere Alternative biete sich die Erweiterung openVPN an.}}
 
 
Um den [http://de.wikipedia.org/wiki/Virtual_Private_Network VPN]-Zugang per ''PPTP auf einem Windows XP-PC'' zu aktivieren, gehen Sie folgendermaßen vor:
 
 
 
[[Bild:VPN-1.png]]
 
 
 
Rufen Sie das Register ''Netzwerkverbindungen'' in der ''Systemsteuerung'' auf
 
Klicken Sie auf ''Neue Verbindung erstellen''
 
Wählen Sie ''Verbindung mit dem Netzwerk am Arbeitsplatz herstellen'' aus
 
 
 
[[Bild:VPN-2.png]]
 
 
 
Wählen Sie ''[http://de.wikipedia.org/wiki/Virtual_Private_Network VPN]-Verbindung'' aus
 
 
 
[[Bild:VPN-3.png]]
 
 
 
Geben Sie einen ''Verbindungsnamen'' an
 
 
 
[[Bild:VPN-4.png]]
 
 
 
Geben Sie ggfs. eine ''Anfangsverbindung'' zur automatischen Einwahl an
 
 
 
[[Bild:VPN-5.png]]
 
 
 
Geben Sie den Namen Ihre ''Haupt-Domäne'' ein
 
 
 
''Anmerkung: Stellen Sie zunächst eine Internetverbindung her, bevor Sie eine PPTP-Verbindung zu Ihrem SME-Server aufbauen. Beim Herunterfahren trennen Sie bitte zuerst die PPTP-Verbindung und danach erst die Internetverbindung.
 
 
 
Warnung:
 
Zum Schutz Ihres Netzwerks erzwingt der SME-Server PPTP-Verbindungen mit 128-bit-Verschlüsselung. Falls Sie keine Verbindung aufbauen können, prüfen Sie bitte, ob Sie die Erweiterung für die 128-bit-Verschlüsselung auf Ihrem Windows XP-PC installiert haben. Sie können diese Erweiterung ggfs. bei Microsoft erhalten und Ihren PC aktualisieren.''
 
  
 
=== Fernzugriffs-Management ===
 
=== Fernzugriffs-Management ===
Line 59: Line 30:
  
 
=== Einstellungen für sicheren SSH-Zugang ===
 
=== Einstellungen für sicheren SSH-Zugang ===
[[Image:Bildschirm59.png]]
+
[[Image:Fernzugriff.png]]
  
 
Sie können den Zugang zu Ihrem Server per sicherem SSH gestatten. Der ''Öffentliche Zugang'' sollte nur von erfahrenen Admins für Fernzugriffsprobleme sowie zur Fehlersuche aktiviert werden. Wir empfehlen den Parameter auf ''Kein Zugang'' eingestellt zu lassen, außer Sie haben besondere Gründe, dies zu ändern.
 
Sie können den Zugang zu Ihrem Server per sicherem SSH gestatten. Der ''Öffentliche Zugang'' sollte nur von erfahrenen Admins für Fernzugriffsprobleme sowie zur Fehlersuche aktiviert werden. Wir empfehlen den Parameter auf ''Kein Zugang'' eingestellt zu lassen, außer Sie haben besondere Gründe, dies zu ändern.
Line 71: Line 42:
 
Damit können die Benutzer per SSH und dem normalen Kennwort auf Ihren Server zugreifen
 
Damit können die Benutzer per SSH und dem normalen Kennwort auf Ihren Server zugreifen
  
''Anmerkung: In der Voreinstellung können nur die Benutzer admin und root auf den Server per SSH zugreifen. Anderen Benutzern ist dieser Zugriff nicht gestattet.''
+
{{Note box|type=Anmerkung|In der Voreinstellung können nur die Benutzer admin und root auf den Server per SSH zugreifen. Anderen Benutzern ist dieser Zugriff nicht gestattet.}}
 
 
  
 
=== SSH-Clients ===
 
=== SSH-Clients ===
Line 84: Line 54:
 
Sie können auch den authentifizierten FTP Zugang zu Ihren i-bays und Benutzerkonten kontrollieren. Wir empfehlen Ihnen dringend die Einstellung auf ''Privat'' zu belassen, außer Sie haben besondere Gründe, dies zu ändern.
 
Sie können auch den authentifizierten FTP Zugang zu Ihren i-bays und Benutzerkonten kontrollieren. Wir empfehlen Ihnen dringend die Einstellung auf ''Privat'' zu belassen, außer Sie haben besondere Gründe, dies zu ändern.
  
''Anmerkung: Eine sichere (sftp Client) Datenübertragung kann auch für den FTP Zugang zu Ihrem Server gewählt werden, wenn der Fernzugriff über eine sichere Datenübertregung (SSH) aktiviert wurde. Diese Zugangsmethode schützt Ihr Passwort sowie Ihre Daten einer FTP Sitzung, denn das Standard FTP bietet keinen Schutz.''
+
{{Note box|type=Anmerkung|Eine sichere (sftp Client) Datenübertragung kann auch für den FTP Zugang zu Ihrem Server gewählt werden, wenn der Fernzugriff über eine sichere Datenübertregung (SSH) aktiviert wurde. Diese Zugangsmethode schützt Ihr Passwort sowie Ihre Daten einer FTP Sitzung, denn das Standard FTP bietet keinen Schutz.}}
  
 
==Lokale Netzwerke==
 
==Lokale Netzwerke==
 +
[[Image:Lokales-Netzwerk.png]]
 +
 +
Mit der Ersteinrichtung haben Sie die IP-Adresse Ihres SME-Servers festgelegt und damit auch ein lokales Netzwerksegment bestimmt. Wenn Sie Ihren SME-Server auch als DHCP-Server aktiviert haben, werden angeschlossene Arbeitsplatzrechner automatisch mit diesem lokalen Netzwerksegment verbunden (Siehe auch [[SME_Server:Documentation:Administration_Manual:Chapter5/de#Konfiguration_des_DHCP-Servers|Konfiguration des DHCP-Servers]]). Falls Sie nur in diesem Netzwerksegment arbeiten, sind hier keine weiteren Einstellungen erforderlich.
 +
 +
[[Image:Lokales-Netzwerk-anlegen.png]]
 +
 +
Soll Ihr Server aber Dienste auch für andere lokale Netzwerksegmente zur Verfügung stellen, gehen Sie folgendermaßen vor:
 +
 +
* Wählen Sie in der Sektion Sicherheit das Register Lokales Netzwerk
 +
* Wählen Sie die Aktion ''Netzwerk hinzufügen''
 +
* In einem zweiten Fenster geben Sie  Netzwerkadresse, Subnetzmaske und Router ein
 +
* Klicken Sie auf ''Hinzufügen'', um Ihre Einstellungen zu speichern
 +
 +
{{Note box|type=Anmerkung|In Abhängigkeit Ihrer gesamten Netzwerkkonfiguration könnte es kompliziert sein, Client Computer aus einem zusätzlichen lokalen Netzwerk anzubinden. Die Dokumentation zur Anbindung von Client Computern geht von direkter Anbindung im gleichen Netzwerk wie der SME Server aus. Falls Sie Fragen zur individuellen Anbindung Ihrer Computer haben, kontaktieren Sie dazu bitte die Benutzerforen auf http://contribs.org.}}
  
 
==Port Weiterleitung==
 
==Port Weiterleitung==
 +
[[Image:Port-Weiterleitung.png]]
 +
 +
Mit der Funktion Port Weiterleitung können Sie die Firewall-Regeln Ihres Servers ändern. Sie können einzelne Ports öffnen und an beliebige Ports auf anderen Servern weiterleiten. Häufig wird diese Option benutzt, um eingehenden Netzverkehr direkt an einen weiteren Server in Ihrem lokalen Netzwerk weiterzuleiten.
 +
 +
{{Warning box|type=Warnung|Die falsche Anwendung dieser Option bedeutet für Ihren Server ein schweres Sicherheitsrisiko.
 +
Diese Option kann im Nur-Server Modus nicht verwendet werden.}}
 +
 +
[[Image:Port-Weiterleitung-anlegen.png]]
 +
 +
Um dies Funktion zu nutzen, rufen Sie den Server-Manager auf und gehen in der Sektion Sicherheit in das Register Port Weiterleitung.
 +
 +
* Wählen Sie die Aktion ''Port Weiterleitungsregel erstellen''
 +
* In einem zweiten Fenster geben Sie  Protokoll, Ursprungsport, Zielhostadresse und Zielport ein und klicken auf ''Weiter''
 +
* In einem dritten Fenster werden Ihre Einstellungen nochmals angezeigt. Wenn Sie einverstanden sind, klicken Sie auf ''Hinzufügen'', um Ihre Einstellungen zu speichern
 +
 +
Um eine vorhandene Regel wieder zu entfernen, klicken Sie in der Tabelle der eingerichteten Regeln auf ''Entfernen'' neben der gewünschten Regel.
  
 
==Proxy Einstellungen==
 
==Proxy Einstellungen==
 +
[[Image:Proxy-Einstellungen.png]]
 +
 +
Mit dieser Funktion können die Proxy-Dienste des Servers ein- oder ausgeschaltet werden. Der Server beinhaltet in der Voreinstellung einen ''transparenten Proxy'' für den Datenverkehr über HTTP, der nur im ''Nur Server Modus'' nicht eingeschaltet ist.
 +
 +
Mit der Proxy-Funktion werden häufig besuchte Seiten in einem Cache zwischengespeichert und unnötiger Datentransfer vermieden. Er ist transparent für Web-Browser, die diesen Server als Gateway benutzen.
 +
Schalten Sie den Proxy mit dem Schalter ein oder aus.
 +
 +
Mit dem transparenten SMTP-Proxy wird der nach außen gehende Datenverkehr durch den SME-Server geleitet und dadurch vermieden, dass Viren von infizierten Endgeräten nach aussen gelangen. Wenn ein anderer SMTP-Server benutzt werden soll und dieser SME-Server der Gateway zu ihm sein soll, schalten Sie den SMTP-Proxy aus.

Latest revision as of 11:51, 29 September 2007


height=48px SME Server Handbücher

Administration
Benutzer
Entwickler

height=48px Zusätzliche Dokumentation

Technikerhandbuch
Häufig gestellte Fragen
HowTo-Anleitungen

height=48px Erweiterungen
Individuelle SME Server Erweiterungen

Kapitel 11 - Server-Manager - Sicherheit

In dieser Sektion stehen folgende Funktionalitäten zur Verfügung:

  • Ändern der Fernzugriffseinstellungen
  • Hinzufügen weiterer lokaler Netzwerksegmente
  • Port Weiterleitungsregeln erstellen
  • Ändern der Proxy Einstellungen


Fernzugriff

Fernzugriff.png

Der Zugang zur Administration Ihres SME-Serves kann entweder aus dem lokalen Netzwerk oder außerhalb des lokalen Netzwerks aus dem Internet erfolgen. Zusätzlich ist es möglich, Ihr internes Netzwerk durch einen sicheren Fernzugriff auf verschiedenen Wegen zu erreichen. Diese Funktionen können Sie im Register Fernzugriff in der Sektion Sicherheit einstellen.


PPTP Einstellungen

Das Point-to-Point Tunneling Protocol (PPTP) wird verwendet, um VPN-Verbindungen zwischen Client und Server aufzubauen. Um den VPN-Zugang per PPTP auf Ihrem SME-Server zu aktivieren, geben Sie die gewünschte Zahl unter Anzahl der gleichzeitigen PPTP-Zugriffe ein. Mit der Eingabe von 0 wird der Zugriff wieder deaktiviert. Klicken Sie auf Speichern, um Ihre Einstellungen wirksam werden zu lassen.

Bitte beachten Sie auch die Hinweise hinter diesem Link: VPN


Warning.png Warnung
PPTP gilt allgemein als nicht sicher. Als sicherere Alternative biete sich die Erweiterung openVPN an.


Fernzugriffs-Management

Verwenden Sie das Fernzugriffs-Management, um ausgewählten Netzwerksegmenten den Zugriff auf den Server-Manager zu gestatten. In der Voreinstellung kann der Server-Manager nur in dem Netzwerksegment des Servers erreicht werden. Um weitere Netzwerke hinzuzufügen, geben Sie das Netzwerksegment und die Subnetzmaske ein und klicken auf Speichern, um Ihre Einstellungen wirksam werden zu lassen.


Einstellungen für sicheren SSH-Zugang

Fernzugriff.png

Sie können den Zugang zu Ihrem Server per sicherem SSH gestatten. Der Öffentliche Zugang sollte nur von erfahrenen Admins für Fernzugriffsprobleme sowie zur Fehlersuche aktiviert werden. Wir empfehlen den Parameter auf Kein Zugang eingestellt zu lassen, außer Sie haben besondere Gründe, dies zu ändern.

Mit SSH (secure shell) haben Sie eine sichere verschlüsselte Möglichkeit, auf Ihren Server aus der Ferne zuzugreifen und Dateien eines lokalen PC auf den Server zu kopieren. Wenn Sie SSH aktiviert haben, können Sie sich mit dem Server über einen SSH-Client verbinden. Geben Sie dazu in diesem Client Ihre Haupt-Domäne und den Benutzer admin ein. Sie werden beim Start aufgefordert, das Kennwort einzugeben und gelangen dann direkt in die Serverkonsole.

Mit Aktivieren von SSH haben Sie folgende weitere Einstellungsoptionen:

  • Admin-Kommandos über einen sicheren SSH-Zugang erlauben

Damit ist der Fernzugriff auf Ihren SME-Server für den Benutzer root mit sämtlichen Administrationsrechten möglich. Aus Sicherheitsgründen wird dieser Zugang nur in Ausnahmefällen empfohlen

  • Den sicheren SSH-Zugang mit Standard-Kennwort erlauben

Damit können die Benutzer per SSH und dem normalen Kennwort auf Ihren Server zugreifen


Important.png Anmerkung
In der Voreinstellung können nur die Benutzer admin und root auf den Server per SSH zugreifen. Anderen Benutzern ist dieser Zugriff nicht gestattet.


SSH-Clients

Unter [1] sind SSH-Clients zum Download erhältlich. Insbesondere die populären Programme winscp und putty sind zu empfehlen.


FTP-Einstellungen

Sie können auch den FTP Zugang zu Ihrem Server gestatten. Wir empfehlen jedoch diesen Parameter auf "Keinen Zugang" zu belassen, außer Sie haben besondere Gründe, dies zu ändern.

Sie können auch den authentifizierten FTP Zugang zu Ihren i-bays und Benutzerkonten kontrollieren. Wir empfehlen Ihnen dringend die Einstellung auf Privat zu belassen, außer Sie haben besondere Gründe, dies zu ändern.


Important.png Anmerkung
Eine sichere (sftp Client) Datenübertragung kann auch für den FTP Zugang zu Ihrem Server gewählt werden, wenn der Fernzugriff über eine sichere Datenübertregung (SSH) aktiviert wurde. Diese Zugangsmethode schützt Ihr Passwort sowie Ihre Daten einer FTP Sitzung, denn das Standard FTP bietet keinen Schutz.


Lokale Netzwerke

Lokales-Netzwerk.png

Mit der Ersteinrichtung haben Sie die IP-Adresse Ihres SME-Servers festgelegt und damit auch ein lokales Netzwerksegment bestimmt. Wenn Sie Ihren SME-Server auch als DHCP-Server aktiviert haben, werden angeschlossene Arbeitsplatzrechner automatisch mit diesem lokalen Netzwerksegment verbunden (Siehe auch Konfiguration des DHCP-Servers). Falls Sie nur in diesem Netzwerksegment arbeiten, sind hier keine weiteren Einstellungen erforderlich.

Lokales-Netzwerk-anlegen.png

Soll Ihr Server aber Dienste auch für andere lokale Netzwerksegmente zur Verfügung stellen, gehen Sie folgendermaßen vor:

  • Wählen Sie in der Sektion Sicherheit das Register Lokales Netzwerk
  • Wählen Sie die Aktion Netzwerk hinzufügen
  • In einem zweiten Fenster geben Sie Netzwerkadresse, Subnetzmaske und Router ein
  • Klicken Sie auf Hinzufügen, um Ihre Einstellungen zu speichern


Important.png Anmerkung
In Abhängigkeit Ihrer gesamten Netzwerkkonfiguration könnte es kompliziert sein, Client Computer aus einem zusätzlichen lokalen Netzwerk anzubinden. Die Dokumentation zur Anbindung von Client Computern geht von direkter Anbindung im gleichen Netzwerk wie der SME Server aus. Falls Sie Fragen zur individuellen Anbindung Ihrer Computer haben, kontaktieren Sie dazu bitte die Benutzerforen auf http://contribs.org.


Port Weiterleitung

Port-Weiterleitung.png

Mit der Funktion Port Weiterleitung können Sie die Firewall-Regeln Ihres Servers ändern. Sie können einzelne Ports öffnen und an beliebige Ports auf anderen Servern weiterleiten. Häufig wird diese Option benutzt, um eingehenden Netzverkehr direkt an einen weiteren Server in Ihrem lokalen Netzwerk weiterzuleiten.


Warning.png Warnung
Die falsche Anwendung dieser Option bedeutet für Ihren Server ein schweres Sicherheitsrisiko.

Diese Option kann im Nur-Server Modus nicht verwendet werden.


Port-Weiterleitung-anlegen.png

Um dies Funktion zu nutzen, rufen Sie den Server-Manager auf und gehen in der Sektion Sicherheit in das Register Port Weiterleitung.

  • Wählen Sie die Aktion Port Weiterleitungsregel erstellen
  • In einem zweiten Fenster geben Sie Protokoll, Ursprungsport, Zielhostadresse und Zielport ein und klicken auf Weiter
  • In einem dritten Fenster werden Ihre Einstellungen nochmals angezeigt. Wenn Sie einverstanden sind, klicken Sie auf Hinzufügen, um Ihre Einstellungen zu speichern

Um eine vorhandene Regel wieder zu entfernen, klicken Sie in der Tabelle der eingerichteten Regeln auf Entfernen neben der gewünschten Regel.

Proxy Einstellungen

Proxy-Einstellungen.png

Mit dieser Funktion können die Proxy-Dienste des Servers ein- oder ausgeschaltet werden. Der Server beinhaltet in der Voreinstellung einen transparenten Proxy für den Datenverkehr über HTTP, der nur im Nur Server Modus nicht eingeschaltet ist.

Mit der Proxy-Funktion werden häufig besuchte Seiten in einem Cache zwischengespeichert und unnötiger Datentransfer vermieden. Er ist transparent für Web-Browser, die diesen Server als Gateway benutzen. Schalten Sie den Proxy mit dem Schalter ein oder aus.

Mit dem transparenten SMTP-Proxy wird der nach außen gehende Datenverkehr durch den SME-Server geleitet und dadurch vermieden, dass Viren von infizierten Endgeräten nach aussen gelangen. Wenn ein anderer SMTP-Server benutzt werden soll und dieser SME-Server der Gateway zu ihm sein soll, schalten Sie den SMTP-Proxy aus.