OTRS-Server Sicherheitskonzept

Kobadelacasa · Post by **Kobadelacasa** » 02 Mar 2013, 19:04

Hallo Zusammen,

wollte mal nachhören, welche Sicherheitskonzepte bei euch zum Tragen kommt, bei der Betreibung des OTRS-Servers (Linux basiert), dieser auch öffentlich zugänglich ist.

Wolfgangf · Post by **Wolfgangf** » 03 Mar 2013, 22:53

- natürlich hinter der Firewall in der DMZ
- fail2ban

jojo · Post by **jojo** » 04 Mar 2013, 09:58

"normales" Linux Haredning. Nur Dienste die auch wirklich benötigt werden laufen lassen. ssh Zugänge auf ein von extern nicht direkt erreichbares Wartungsnetz binden

Kobadelacasa · Post by **Kobadelacasa** » 04 Mar 2013, 17:41

Das wäre so an sich meine Ideen gewesen.

Was empfiehlt mir ihr so als Sicherheitskatalog?

@jojo: Wie hast du das gemeint, dass nochmals in ein extra Wartungsnetz zu stellen die SSH-Anbindung, dass habe ich nicht so ganz nachvollziehen können.

jojo · Post by **jojo** » 04 Mar 2013, 17:43

der SSH Daemon sollte nur auf eine private Adresse gebunden sein, die sich nur über ein internes/VPN Netz erreichen lässt.

Kobadelacasa · Post by **Kobadelacasa** » 04 Mar 2013, 17:46

Wie sieht es aber aus, wenn SSH zu Wartungszwecken extern erreichbar sein soll, weil z.B kein VPN im Einsatz ist?

jojo · Post by **jojo** » 04 Mar 2013, 17:49

dann Fail2Ban, kein root Login, Log in nur via Key statt Passwort

Kobadelacasa · Post by **Kobadelacasa** » 04 Mar 2013, 17:55

Okay.

Um es nochmal zusammenzufassen, welche Hardenings in Betracht kommen:

- nicht benötigte Dienste abschalten
- DMZ
- Fail2ban
- SSH password-less via Public Key Authentication

Gibt es noch weitere sinnvolle Maßnahmen, die sich durchführen lassen?

jojo · Post by **jojo** » 04 Mar 2013, 21:36

es gibt sehr viele Sinnvolle Maßnahmen um Linuxserver sicher zu betreiben. Ein paar davon sind abhängig ob das System in einem Rechenzentrum oder in Eurem Netz betrieben wird.

Über das Thema gibt es tonnenweise Bücher und viele Kurse...

Kobadelacasa · Post by **Kobadelacasa** » 04 Mar 2013, 21:39

Das stimmt.
Vorweg, kann ich sagen..soll das ganze in einem Rechenzentrum betrieben werden, welches wir selber im Firmennetzwerk betreiben. Somit kein Outsourcing.

Natürlich, kann man Sicherheitskonzepte bis auf das ultimo füllen, ich möchte natürlich nur die wichtigsten Punkte.

jojo · Post by **jojo** » 04 Mar 2013, 21:45

und dann habt Ihr kein Wartungsnetzwerk?

Kobadelacasa · Post by **Kobadelacasa** » 04 Mar 2013, 22:19

Ich weiß immer noch nicht, worauf du hinaus willst in Bezug auf "Wartungsnetz" - also was es gewinnbringend im Gegensatz zu ner normalen privaten IP-Adresse bringt, da das Netz sowieso per NAT-Router getrennt ist.

jojo · Post by **jojo** » 04 Mar 2013, 22:25

also hat der Server keine echte von extern erreichbare Adresse... das hast Du bisher nicht erwähnt. Wenn Du nur die benötigten Ports (https) an den OTRS Server weiterleitest dann ist ssh auf der internen Adresse erstmal ausreichend abgeschirmt

Kobadelacasa · Post by **Kobadelacasa** » 04 Mar 2013, 22:28

Joa...Im Grunde, eine öffentliche IP-Adresse, wo die Pakete mit Ports durchnummiert werden. Und intern natürlich auf private IP-Adressen gesetzt werden.

Znuny Open Source Ticketsystem

OTRS-Server Sicherheitskonzept

OTRS-Server Sicherheitskonzept

Re: OTRS-Server Sicherheitskonzept

Re: OTRS-Server Sicherheitskonzept

Re: OTRS-Server Sicherheitskonzept

Re: OTRS-Server Sicherheitskonzept

Re: OTRS-Server Sicherheitskonzept

Re: OTRS-Server Sicherheitskonzept

Re: OTRS-Server Sicherheitskonzept

Re: OTRS-Server Sicherheitskonzept

Re: OTRS-Server Sicherheitskonzept

Re: OTRS-Server Sicherheitskonzept

Re: OTRS-Server Sicherheitskonzept

Re: OTRS-Server Sicherheitskonzept

Re: OTRS-Server Sicherheitskonzept