Oskar
Nykomling
Antal inlägg: 12
|
 |
« skrivet: 6 Oktober, 2010, 11:10 » |
|
Hej!
Vi har ett bekymmer med vår konfiguration av FM Server 11. Det är en två-maskin konfiguration med webserver och WPE (WS/WPE) på en maskin och databasserver (DB) på en annan.
De olika maskinerna är virtuella maskiner med dedikerat minne, olika nätverkskort och dedikerade partitioner på en RAID 5. WS/WPE maskinen kör Windows Server 2003 och DB maskinen kör Windows Server 2008.
De olika nätverkskorten har vi för att kunna lägga ut WS/WPE-maskinen i ett DMZ, med en mellanliggande brandvägg till DB.
På WS/WPE-maskinen skall vi ha vår CWP lösning.
Poängen med detta är att kunna kontrollera vilken trafik som tillåts in till och ut från DB.
Om WS/WPE-maskinen blir infekterad skall detta inte kunna fortplanta sig enkelt ner till DB.
För att detta skall vara lönt behöver vi veta vilka portar FM Server använder sig av för kommunikation mellan WS/WPE och DB. Detta har visat sig lättare sagt än gjort.
Enligt FMs dokumentation är de portar som skall vara tillgängliga: 5003, 5013, 50003, 16000 och 16001. Enligt installationsanvisningarna för FMS11 skall 5003 och 16000 vara öppna i brandväggen mellan WS/WPE och DB. Stänger man ner alla andra portar och enbart tillåter trafik på dessa, hittar man inte WS/WPE i driftsättningen. Stänger man ner portarna efter driftsättning, tappas kontakten.
Vi har i brandväggens loggar sett att när den ena maskinen initierar kontakt med den andra, går den ut på vilken port som helst. Ett fullständigt slumpartat mönster. När kontakten når den andra kommer det dock från en av FM angiven port. När DB anropar WS/WPE landar det på port 16000 och på andra hållet landar det på port 5003.
Vi har försökt med en regel som säger att alla anrop från DB, från vilken port som helst, skall landa på port 16000 när det når WS/WPE-sidan. Även på andra hållet satte vi en motsvarande regel. Detta fungerade inte, maskinerna verkar förvänta sig svar på samma port som de frågade på. Då vi inte kan se vilka portar som används när alla är öppna, vet vi inte om maskinerna faktiskt uppför sig så.
Mjukvarubrandväggarna på respektive server är för övrigt avstängda.
Ett möjligt problem är Bonjour som FM använder sig av för att hitta de olika maskinerna i konfigurationen. Ingen dokumentation angående vilka portar som används, som skiljer sig från FMs, har hittats.
Allting fungerar som det ska när alla portar är öppna, men då faller idén med ett DMZ för ökad säkerhet något.
Är det någon som har erfarenhet av liknande problem eller konfigurationer?
Tack på förhand!
Oskar
|
|
|
|
|
Loggat
|
|
|
|
Martin Norén
Seniormoderator
Antal inlägg: 79
|
|
« Svara #1 skrivet: 6 Oktober, 2010, 11:37 » |
|
Vi har upplevt liknande problem, där tvåmaskinskonfigurationen fungerat klanderfritt i samma nät, men så fort DMZ tas med i bilden, brister kommunikationen, trots att alla portar varit (tillfälligt) öppna. Har du varit i kontakt med FileMakers support?
|
|
|
|
|
Loggat
|
Martin Norén | Square Moon | www.squaremoon.se | FileMaker 7/8/9/10 Certified Developer
|
|
|
Oskar
Nykomling
Antal inlägg: 12
|
|
« Svara #2 skrivet: 6 Oktober, 2010, 12:32 » |
|
Hej Martin!
Vi är i kontakt med FM support i USA. Får se vad det ger, än så länge har vi inte fått reda på vilka portar programmet använder.
Hur löste ni det? Skippade DMZ helt?
|
|
|
|
|
Loggat
|
|
|
|
Martin Norén
Seniormoderator
Antal inlägg: 79
|
|
« Svara #3 skrivet: 6 Oktober, 2010, 12:44 » |
|
Vi kör för tillfället utan DMZ, men kommer att göra ett nytt försök efter nyår med DMZ-konfiguration. Denna problematik har orsakat en del huvudbry utomlands, vilket kan ses i diverse forumtrådar. Så om någon annan har lyckats lösa tvåmaskinskonfigurationen med webbserver/FileMaker Server och DMZ på två datorer, får ni gärna haka på denna tråd. ;-)
|
|
|
|
|
Loggat
|
Martin Norén | Square Moon | www.squaremoon.se | FileMaker 7/8/9/10 Certified Developer
|
|
|
Oskar
Nykomling
Antal inlägg: 12
|
|
« Svara #4 skrivet: 6 Oktober, 2010, 13:06 » |
|
Okej, men ni kör servrar på olika fysiska enheter dessutom? Vi tycker det är märkligt att ingen lösning på problemet finns att tillgå snabbt och enkelt från FM, förutom att problemet i sig är väldigt märkligt. Det kan knappast vara en helt ovanlig konfiguration.
|
|
|
|
|
Loggat
|
|
|
|
Henrik Norrman
Administratör
Antal inlägg: 240
|
|
« Svara #5 skrivet: 6 Oktober, 2010, 21:36 » |
|
Jag ser inget problem med det. Utan "problemet" är att det bryter mot nätverksstrukturen. Tex: Vanligt internt nät: 192.168.0.0/24 medans DMZ helt enkelt kan ligga på 192.168.1.0/24 eller 10.0.0.0/24 Ett DMZ _SKA_ inte kunna kommunicera med det vanliga nätverket, medans det vanliga nätet ska kunna kommunicera med DMZ nätet. In computer security, a DMZ, or demilitarized zone is a physical or logical subnetwork that contains and exposes an organization's external services to a larger untrusted network, usually the Internet. The term is normally referred to as a DMZ by information technology professionals. It is sometimes referred to as a perimeter network. The purpose of a DMZ is to add an additional layer of security to an organization's local area network (LAN); an external attacker only has access to equipment in the DMZ, rather than any other part of the network. DMZ på Wikipedia |
|
|
|
|
Loggat
|
Henrik Norrman | CD Soft AB | www.cdsoft.se | 0738-35 76 79
|
|
|
Oskar
Nykomling
Antal inlägg: 12
|
|
« Svara #6 skrivet: 7 Oktober, 2010, 09:22 » |
|
Hej Henrik!
Tack för ditt svar.
Jag håller dock inte med. Läser man längre ner på sidan du citerade från kan man läsa följande:
Services that belong in the DMZ
Generally, any service that is being provided to users on the external network could be placed in the DMZ. The most common of these services are web servers, mail servers, FTP servers, VoIP servers and DNS servers. In some situations, additional steps need to be taken to be able to provide secure services.
Web servers
Web servers may need to communicate with an internal database to provide some specialized services. Since the database server is not publicly accessible and may contain sensitive information, it should not be in the DMZ. Generally, it is not a good idea to allow the web server to communicate directly with the internal database server. Instead, an application firewall can be used to act as a medium for communication between the web server and the database server. This may be more complicated, but provides another layer of security.
Detta är precis vad vi försöker göra. Lägga ut webserver och WPE i ett dmz och kunna strypa ner och kontrollera kommunikationen mot LANet för ökad säkerhet. Naturligtvis måste även webservermaskinen kunna kommunicera med databasservern, annars faller poängen helt, men på ett sätt som vi bestämmer och kontrollerar.
Tydligen är detta med två maskinskonfiguration med dmz inblandat ett känt problem hos FileMaker, de har känt till det sen releasen av FMS 10!
Vi filar på alternativa lösningar men försöker framförallt hitta vad som är problemet med denna konfiguration, så vi kan lösa det och använda denna, enligt oss, säkra lösning.
Oskar
|
|
|
|
|
Loggat
|
|
|
|
Niklas Swedenborg
Seniormoderator
Antal inlägg: 198
|
|
« Svara #7 skrivet: 7 Oktober, 2010, 10:18 » |
|
Oskar, tack för att du rapporterar om svaret du fått från FileMaker! Fick du någon hänvisning till en officiell utsago från deras håll?
/Niklas
|
|
|
|
|
Loggat
|
Niklas Swedenborg | www.squaremoon.se | 0708-128924 | FileMaker 8/9/10/11 Certified Developer
|
|
|
Henrik Norrman
Administratör
Antal inlägg: 240
|
|
« Svara #8 skrivet: 7 Oktober, 2010, 10:27 » |
|
Oscar: Vilka portar som FileMaker använder finns mycket bra illustrerat här: sixfriedrice.com/wp/filemaker-firewall/För att få ett DMZ att kommunicera med övriga nätverket, så måste man sätta upp routing/portforwarding mellan DMZat och det interna nätverket. Detta är inte korrekt eftersom man då delvis förlorar meningen med själva DMZat. Förslag på lösningar: * Kör en VPN tunnel till lokala nätverket med begränsning till FMS maskinen. (Rekommenderas) * Skippa DMZ, portforward på port 80 till WPE maskinen istället. |
|
|
|
« Senast ändrad: 7 Oktober, 2010, 10:29 av Henrik Norrman »
|
Loggat
|
Henrik Norrman | CD Soft AB | www.cdsoft.se | 0738-35 76 79
|
|
|
Oskar
Nykomling
Antal inlägg: 12
|
|
« Svara #9 skrivet: 7 Oktober, 2010, 11:45 » |
|
Hej! Niklas: Tyvärr har vi ännu inte fått svar från FM, detta hittade jag på deras engelska forum. FM själva dröjer med sitt svar till oss. Förhoppningsvis betyder det att FM försöker lura ut en lösning på problemet, eller komma på vilka portar deras program använder(?). Här är länken till var jag hittade ett liknande problem: http://forums.filemaker.com/posts/8caaa78c2cHenrik: Six fried rices ritning har vi tittat mycket på när vi försökte utröna vilka portar som skall vara öppna, enligt den är det 5003 och 16000. Dessa har vi provat, men det fungerar alltså inte. En VPN-tunnel är en möjlighet, men knappast säkert om WPE-maskinen blir infekterad. Även om vi verkar ha skilda uppfattningar är jag mycket tacksam för dina förslag och synpunkter, man "grottar" ju lätt ner sig i samma tankebanor. Vi har våra funderingar på om det kan vara något strul med att servrarna är virtuella maskiner på samma fysiska enhet. Det borde funka, men riktigt säker är man inte då vi har begränsad erfarenhet av virtualisering. De delar ju trots allt många komponenter. Även om det i vårt fall borde räcka med att de har olika fysiska nätverkskort. Oskar |
|
|
|
|
Loggat
|
|
|
|
Henrik Norrman
Administratör
Antal inlägg: 240
|
|
« Svara #10 skrivet: 7 Oktober, 2010, 11:51 » |
|
VPN Tunnel eller routing till FMS maskinen är i princip samma sak (bara olika sätt att lösa "problemet").
Det du vill förhindra är att WPE maskinen inte ska kommunicera med ert lokala nätverk om den skulle bli infekterad, men samtidigt vill du att den ska kommunicera med FMS.
En VPN tunnel löser detta då du kan begränsa tunneln till enskilda segment av nätverket.
Annars är en lösning att skapa två nätverkskort på maskinerna och ge dom interna adresser och låta dom kommunicera på det viset.
|
|
|
|
|
Loggat
|
Henrik Norrman | CD Soft AB | www.cdsoft.se | 0738-35 76 79
|
|
|
Martin Norén
Seniormoderator
Antal inlägg: 79
|
|
« Svara #11 skrivet: 7 Oktober, 2010, 12:48 » |
|
Oskar: Problemet du beskrivit har vi haft även på separata fysiska Macdatorer, och det finns fler förekomster av samma problem på Internet med icke-virtuella datorer, så vi kan nog utgå från att det inte är virtualiseringen som ställer till det hela.
|
|
|
|
|
Loggat
|
Martin Norén | Square Moon | www.squaremoon.se | FileMaker 7/8/9/10 Certified Developer
|
|
|
Oskar
Nykomling
Antal inlägg: 12
|
|
« Svara #12 skrivet: 7 Oktober, 2010, 13:09 » |
|
Okej, vad synd... Hade varit en enkel lösning att försöka med annars.
|
|
|
|
|
Loggat
|
|
|
|
Niklas Swedenborg
Seniormoderator
Antal inlägg: 198
|
|
« Svara #13 skrivet: 7 Oktober, 2010, 13:48 » |
|
Oskar, tack för svar! Hittade ditt inlägg i FileMakers forum sen... Det ligger ju även en post i "known bug list" som pekar på den du hänvisar till. Altid nått.
Mycket tacksam om hojtar om du hör något vidare från FMI!
|
|
|
|
|
Loggat
|
Niklas Swedenborg | www.squaremoon.se | 0708-128924 | FileMaker 8/9/10/11 Certified Developer
|
|
|
Henrik Norrman
Administratör
Antal inlägg: 240
|
|
« Svara #14 skrivet: 7 Oktober, 2010, 16:47 » |
|
Från: http://forums.filemaker.com/posts/ad61a7e781 |
|
|
|
|
Loggat
|
Henrik Norrman | CD Soft AB | www.cdsoft.se | 0738-35 76 79
|
|
|
|
