Gruppen
- Top Gruppen
- Betriebsysteme
- Windows classik
- Linux
- BS-Sonstige
- Software
- Datenbanken
- Bildbearbeitung
- Audio/mp3/Video
- Security/Viren
- SW-Sonstige
- Hardware
- Mainboard/CPU
- Grafikkarten
- Peripherie
- Laptop/Notebook
- HW-Sonstiges
- Netzwerk
- Telefon,ISDN,Modem
- W-Lan
- NW-Sonstiges
- Programmierung
- PHP,ASP,Perl...
- Java,C++...
- Webseiten/HTML
- Sonstiges
- PC-Sonstiges
- Plauderecke
- SN Intern
- Test
/ Forum / Skripte(PHP,ASP,Perl...)
Skripte(PHP,ASP,Perl...)
Fragevon Ines84 vom 09.10.2019, 13:09 Options
Intranet mit PHP
Hallo!
wir haben hier in unserer kleinen Firma einen Microsoft Server, der uns u.a. lokel IPs per DHCP zuweist. Der Server läuft rund um die Uhr. Ich möchte nun so eine Art Intranet aufsetzen, wo bestimmte Informationen nur für die Leute hier im Netzwerk zur Verfügung stehen sollen. Ich dachte mir, ich könnte einfach einen XAMPP-Server aufsetzen und meine kleine PHP-Intranetseite stricken. Dabei müsste ich dann abfragen, ob der Nutzer eine IP ala 192.168.x.x hat und wenn ja, darf er sich die Seite ansehen, sonst soll eine Fehlermeldung kommen.
Meine Frage ist, ist das sicherheitstechnisch so ok, oder wo bestehen evtl. Risiken?? Außerhalb des Netzwerkes soll kein Zugriff erfolgen können.
Danke für eure Antworten.
LG,
Ines
wir haben hier in unserer kleinen Firma einen Microsoft Server, der uns u.a. lokel IPs per DHCP zuweist. Der Server läuft rund um die Uhr. Ich möchte nun so eine Art Intranet aufsetzen, wo bestimmte Informationen nur für die Leute hier im Netzwerk zur Verfügung stehen sollen. Ich dachte mir, ich könnte einfach einen XAMPP-Server aufsetzen und meine kleine PHP-Intranetseite stricken. Dabei müsste ich dann abfragen, ob der Nutzer eine IP ala 192.168.x.x hat und wenn ja, darf er sich die Seite ansehen, sonst soll eine Fehlermeldung kommen.
Meine Frage ist, ist das sicherheitstechnisch so ok, oder wo bestehen evtl. Risiken?? Außerhalb des Netzwerkes soll kein Zugriff erfolgen können.
Danke für eure Antworten.
LG,
Ines
Antwort 1 von disco vom 09.10.2019, 13:16 Options
moin
willst du xampp auf dem ms-server istallieren oder auf einem anderen rechner?
wie/von wo kann man denn in euer netzwerk kommen?
vielleicht hierfür nochmal die netzwerkstruktur beschreiben.
finde es nämlich sinnvoller den zugang über die netztechnik zu steuern, als über IP-abfragen in der anwendung...
g,
disco
willst du xampp auf dem ms-server istallieren oder auf einem anderen rechner?
wie/von wo kann man denn in euer netzwerk kommen?
vielleicht hierfür nochmal die netzwerkstruktur beschreiben.
finde es nämlich sinnvoller den zugang über die netztechnik zu steuern, als über IP-abfragen in der anwendung...
g,
disco
Antwort 2 von Jaja! vom 09.10.2019, 13:18 Options
Einfacher wäre es (und auch sicherer) einfach dem Http-Server so einzustellen, das er nur IP Adressen aus einem Bestimmten Bereich annimmt. Dürfte eigentlich easy sein...
Antwort 3 von Ines84 vom 09.10.2019, 13:38 Options
Danke für eure super schnellen Antworten.
@disco:
Ja, xampp will ich gern auf dem MS-Server installieren.
> wie/von wo kann man denn in euer netzwerk kommen?
Also ich habe mir sagen lassen, dass man wohl per VPN-Client irgendwie rauf kommen kann (mit nem Schlüssel oder so), um Mails abzurufen von außerhalb. Ich selber aber hab nicht so ein Schlüssel, aber ist ja auch egal. Wie gesagt, ich weiß nicht, inwiefern das ein Sicherheitsrisiko sein könnte, dort xampp laufen zu lassen. Sprich, dass da jemand irgendeine Sicherheitslücke ausnutzt, weil ich xampp evtl. nicht richtig konfiguriert habe oder so. Das will ich halt ausschließen.
@jaja:
Weiß nicht genau was Du meinst. Ich will nichts am Server umstellen, das ist nicht mein Job ,-).
@disco:
Ja, xampp will ich gern auf dem MS-Server installieren.
> wie/von wo kann man denn in euer netzwerk kommen?
Also ich habe mir sagen lassen, dass man wohl per VPN-Client irgendwie rauf kommen kann (mit nem Schlüssel oder so), um Mails abzurufen von außerhalb. Ich selber aber hab nicht so ein Schlüssel, aber ist ja auch egal. Wie gesagt, ich weiß nicht, inwiefern das ein Sicherheitsrisiko sein könnte, dort xampp laufen zu lassen. Sprich, dass da jemand irgendeine Sicherheitslücke ausnutzt, weil ich xampp evtl. nicht richtig konfiguriert habe oder so. Das will ich halt ausschließen.
@jaja:
Weiß nicht genau was Du meinst. Ich will nichts am Server umstellen, das ist nicht mein Job ,-).
Antwort 4 von disco vom 09.10.2019, 13:48 Options
hmm
das meint ich eigentlich nicht.
aber anscheinend ist dieser MS-Server euer gateway, bzw. ist euer netzwerk nur über diesen server zu erreichen?!
man kann den webserver so konfigurieren, dass er nur von einer seite des netzwerks erreichbar ist. das soll heissen, dass er nur auf die ip horcht, die eurem netzwerk zugewandt ist und nicht auf die, die nach "draußen" geht.
das meint ich eigentlich nicht.
aber anscheinend ist dieser MS-Server euer gateway, bzw. ist euer netzwerk nur über diesen server zu erreichen?!
man kann den webserver so konfigurieren, dass er nur von einer seite des netzwerks erreichbar ist. das soll heissen, dass er nur auf die ip horcht, die eurem netzwerk zugewandt ist und nicht auf die, die nach "draußen" geht.
Antwort 5 von Ines84 vom 09.10.2019, 13:59 Options
Ja, ist der Gateway.
>man kann den webserver so konfigurieren, dass er nur von einer seite
> des netzwerks erreichbar ist. das soll heissen, dass er nur auf die ip
> horcht, die eurem netzwerk zugewandt ist und nicht auf die, die nach
> "draußen" geht.
Das hört sich genau nach dem an, was ich gesucht habe. Wie mache ich das? Also wo muss ich am Webserver was einstellen, damit er nur auf die lokalen IPs "horcht"?
>man kann den webserver so konfigurieren, dass er nur von einer seite
> des netzwerks erreichbar ist. das soll heissen, dass er nur auf die ip
> horcht, die eurem netzwerk zugewandt ist und nicht auf die, die nach
> "draußen" geht.
Das hört sich genau nach dem an, was ich gesucht habe. Wie mache ich das? Also wo muss ich am Webserver was einstellen, damit er nur auf die lokalen IPs "horcht"?
Antwort 6 von Jaja! vom 09.10.2019, 14:01 Options
..ist auch das, was ich gemeint habe!
beim Apache Server gibts Konfigurationsdateien. schau mal da rein, da gibts garantiert schon ein Beispiel dazu...
beim Apache Server gibts Konfigurationsdateien. schau mal da rein, da gibts garantiert schon ein Beispiel dazu...
Antwort 7 von Ines84 vom 09.10.2019, 14:05 Options
@Jaja
Ok, danke, werde mal suchen. Vielleicht finde ich was brauchbares :-). Aber wenn eine aus dem Stand weiß, was genau eingestellt werden muss, bitte nicht zurückhalten zu schreiben ;-).
LG,
Ines
Ok, danke, werde mal suchen. Vielleicht finde ich was brauchbares :-). Aber wenn eine aus dem Stand weiß, was genau eingestellt werden muss, bitte nicht zurückhalten zu schreiben ;-).
LG,
Ines
Antwort 8 von Jaja! vom 09.10.2019, 14:10 Options
HA!
http://de.wikipedia.org/wiki/Htaccess
das ist die datei .htaccess und wie du das einstellst steht im wiki!
http://de.wikipedia.org/wiki/Htaccess
das ist die datei .htaccess und wie du das einstellst steht im wiki!
Antwort 9 von Jaja! vom 09.10.2019, 14:12 Options
*Threadedit* 14:20:35
Admininfo: Bitte achte auf das geltende Urheberrecht, welches nach §63 UrHG Quellangaben für kopierte Texte und Textpassagen vorschreibt. Siehe FAQ 5.
Antwort 10 von Ines84 vom 09.10.2019, 14:20 Options
@Jaja!
Vielen lieben Dank! Das erspart einiges an Zeit. Super!!
LG,
Ines84
Vielen lieben Dank! Das erspart einiges an Zeit. Super!!
LG,
Ines84
Antwort 11 von Jaja! vom 09.10.2019, 14:21 Options
Ah- mein posting wurde wieder gelöscht. deshalb hier der Link:
http://de.selfhtml.org/servercgi/server/htaccess.htm#ip_bereiche_namen
http://de.selfhtml.org/servercgi/server/htaccess.htm#ip_bereiche_namen
Antwort 12 von disco vom 09.10.2019, 14:24 Options
das, was jaja beschreibt meine ich eigentlich nicht, damit das wikt, muss man den webspace des servers ja schon erreicht haben. ich meine die übergeordnete ip und port konfiguration.
es ist ja so, dass ein server mehrere ips hat.
da wären beispielsweise die ip nach draußen, die nach drinne und natürlich 127.0.0.1
du kannst den server jetzt so konfigurieren, dass er nur, auf 127.0.0.1:80 hört. das würde bedeuten, dass er nur direkt von der maschine erreichbar ist und von keinem anderen rechner.
oder der server horcht auf *:80 . also auf port 80 für alle IPs.
schau mal hier:
http://aktuell.de.selfhtml.org/artikel/server/apacheconf/apconf06.htm
es ist ja so, dass ein server mehrere ips hat.
da wären beispielsweise die ip nach draußen, die nach drinne und natürlich 127.0.0.1
du kannst den server jetzt so konfigurieren, dass er nur, auf 127.0.0.1:80 hört. das würde bedeuten, dass er nur direkt von der maschine erreichbar ist und von keinem anderen rechner.
oder der server horcht auf *:80 . also auf port 80 für alle IPs.
schau mal hier:
http://aktuell.de.selfhtml.org/artikel/server/apacheconf/apconf06.htm
Antwort 13 von Ines84 vom 09.10.2019, 14:38 Options
> du kannst den server jetzt so konfigurieren, dass er nur, auf
> 127.0.0.1:80 hört. das würde bedeuten, dass er nur direkt von der
> maschine erreichbar ist und von keinem anderen rechner.
Das heißt, dass wenn ich in der htaccess-Datei dann
Deny from 127.0.0.1:80
o d e r
Allow from 127.0.0.1:80
eintrage, können dann alle Mitarbeiter drauf zugreifen *etwas verwirrt bin*?
> 127.0.0.1:80 hört. das würde bedeuten, dass er nur direkt von der
> maschine erreichbar ist und von keinem anderen rechner.
Das heißt, dass wenn ich in der htaccess-Datei dann
Deny from 127.0.0.1:80
o d e r
Allow from 127.0.0.1:80
eintrage, können dann alle Mitarbeiter drauf zugreifen *etwas verwirrt bin*?
Antwort 14 von disco vom 09.10.2019, 14:46 Options
nein die 127.0.0.1 sollte nur ein verstänliches beispiel sein (was es wohl nicht war) :-)
127.0.0.1 8localhost) ist die lokale ip eines rechners. d.h. wenn du diese ip nutzt wirst du immer auf dem selben rechner landen, an dem du gerade arbeitest.
somit macht es wenig sinn, nach 127.0.0.1 zu filtern (jedenfalls für einen webserver).
du mustt die ip nehmen, die eurem netzwerk zugewandt ist. höchstwahrscheinlich eure gateway ip. aber wie gesagt, dass kommt nicht in die .htaccess. da macht das keinen sinn.
127.0.0.1 8localhost) ist die lokale ip eines rechners. d.h. wenn du diese ip nutzt wirst du immer auf dem selben rechner landen, an dem du gerade arbeitest.
somit macht es wenig sinn, nach 127.0.0.1 zu filtern (jedenfalls für einen webserver).
du mustt die ip nehmen, die eurem netzwerk zugewandt ist. höchstwahrscheinlich eure gateway ip. aber wie gesagt, dass kommt nicht in die .htaccess. da macht das keinen sinn.
Antwort 15 von Jaja! vom 09.10.2019, 14:52 Options
Also- wenn du mal dem Link:
http://de.selfhtml.org/servercgi/server/htaccess.htm#ip_bereiche_namen
folgen würdest, kann mann da sehen, das du per
Order deny,allow
Deny from all
Allow from 192.168
Alle IP Adressen vom Bereich 192.168.*.*
zulassen kannst. alle anderen sind gesperrt.
Statt 192.168 trägst du halt den IP bereich deines netzwerkes ein. z.B. 10.0.5 (für ein 255.255.255.0 Subnetz) oder 10.4 (für ein 255.255.0.0) usw.
Was disco da vorschlägt, kann ich mir nicht vorstellen, denn die VPN Clients sind nicht lokale User auf dem Server, sondern haben eine ganz normale IP in eurem Subnetzwerk... deshalb würde die "Erlaubniss" für den Localhost nichts bringen- dann kann halt nur jemand, der am Server arbeitet die Seiten sehen ;)
http://de.selfhtml.org/servercgi/server/htaccess.htm#ip_bereiche_namen
folgen würdest, kann mann da sehen, das du per
Order deny,allow
Deny from all
Allow from 192.168
Alle IP Adressen vom Bereich 192.168.*.*
zulassen kannst. alle anderen sind gesperrt.
Statt 192.168 trägst du halt den IP bereich deines netzwerkes ein. z.B. 10.0.5 (für ein 255.255.255.0 Subnetz) oder 10.4 (für ein 255.255.0.0) usw.
Was disco da vorschlägt, kann ich mir nicht vorstellen, denn die VPN Clients sind nicht lokale User auf dem Server, sondern haben eine ganz normale IP in eurem Subnetzwerk... deshalb würde die "Erlaubniss" für den Localhost nichts bringen- dann kann halt nur jemand, der am Server arbeitet die Seiten sehen ;)
Antwort 16 von Jaja! vom 09.10.2019, 14:55 Options
@disco- hab das posting jetzt erst gelesen: wusste nocht das Localhost n Beispiel ist ;)
Aber sie will doch nichts am Server selbst verstellen! Die Leutz sollen doch ruhig den "Webspace" erreichen... oder nicht?
Aber sie will doch nichts am Server selbst verstellen! Die Leutz sollen doch ruhig den "Webspace" erreichen... oder nicht?
Antwort 17 von disco vom 09.10.2019, 15:03 Options
@jaja
jain. um ehrlich zu sein, hab ichs mit den sicherheitsaspekten nicht so, aber ich würde pauschal sagen, dass man den zugriff so früh wie möglich regulieren sollte, wenn es geht.
also warum überhaupt verbindungen von aussen auf port 80 zulassen, wenn danach sowieso geschaut wird, ob das überhaupt erlaubt ist.
so kann ein potenzieller angreifer auch nicht mal sehen, dass da ein webserver lauscht.
wenn es dagegen auch unterschiedliche behandlungen für leute aus dem netzwerk geben soll, macht die lösung mit der .httaccess natürlich (zusätzlich) sinn.
jain. um ehrlich zu sein, hab ichs mit den sicherheitsaspekten nicht so, aber ich würde pauschal sagen, dass man den zugriff so früh wie möglich regulieren sollte, wenn es geht.
also warum überhaupt verbindungen von aussen auf port 80 zulassen, wenn danach sowieso geschaut wird, ob das überhaupt erlaubt ist.
so kann ein potenzieller angreifer auch nicht mal sehen, dass da ein webserver lauscht.
wenn es dagegen auch unterschiedliche behandlungen für leute aus dem netzwerk geben soll, macht die lösung mit der .httaccess natürlich (zusätzlich) sinn.
Antwort 18 von Jaja! vom 09.10.2019, 15:06 Options
haste recht, aber du (und ich auch) weißt ja nicht, was sonst noch so auf dem Server läuft... und ist erstmal ne schlechte idee, am produktiven Server irgendeinen Port endgueltig zuzumachen. Also finde ich ;)
Antwort 19 von Ines84 vom 09.10.2019, 15:39 Options
> Aber sie will doch nichts am Server selbst verstellen! Die Leutz sollen
> doch ruhig den "Webspace" erreichen... oder nicht?
Also alle Leute im Netzwerk mit den internen IPs 192.169.x.x sollen den Webspace erreichen. Also außerhalb des Firmennetzwerkes soll die Seite keiner sehen können.
Alle Mitarbeiter sollen gleich behandelt werden, dürfen also alle sehen.
> doch ruhig den "Webspace" erreichen... oder nicht?
Also alle Leute im Netzwerk mit den internen IPs 192.169.x.x sollen den Webspace erreichen. Also außerhalb des Firmennetzwerkes soll die Seite keiner sehen können.
Alle Mitarbeiter sollen gleich behandelt werden, dürfen also alle sehen.
Antwort 20 von Jaja! vom 09.10.2019, 15:42 Options
Na denn:
>>.htaccess>>>schnipp>>>
Order deny,allow
Deny from all
Allow from 192.169
<<<<<<<<<<<<schnapp<<<
wie gesagt: ich würd den Server nicht den Port 80 nach außen sperren- vielleicht läuft die Firmenhomepage oder Remotewartung auch noch über den Server..
>>.htaccess>>>schnipp>>>
Order deny,allow
Deny from all
Allow from 192.169
<<<<<<<<<<<<schnapp<<<
wie gesagt: ich würd den Server nicht den Port 80 nach außen sperren- vielleicht läuft die Firmenhomepage oder Remotewartung auch noch über den Server..
Ähnliche Themen
ASP? keine Ahnung! --> PHP Kompatibel???
DeShnelleMichl 21.08.2007 - 98 Hits - 3 Antworten
intranet
bagobe 29.04.2007 - 161 Hits - 5 Antworten
Intranet für eine Lan
Illuminatus-N 01.08.2007 - 57 Hits - 2 Antworten
Verlinkung im Intranet
Triglon 03.10.2007 - 155 Hits -
Datei per VBA im Intranet öffnen
Sinikka 12.04.2008 - 73 Hits - 1 Antwort
Hinweis
Diese Frage ist schon etwas älter, Sie können daher nicht mehr auf sie antworten. Sollte Ihre Frage noch nicht gelöst sein, stellen Sie einfach eine neue Frage im Forum..
Neue Einträge
