Um auf eine Firebirddatenbank zuzugreifen von unterwegs haben wir angefangen eine Webseite zu programmieren die in der Firma gehostet wird wo auch die Datenbank liegt. Der Zugriff erfolgt über feste IP bzw. dyndns. Der Vorteile der Webseite: sie läuft auf allen Betriebssystemen und das war das ausschlaggebende erst einmal. Das funktioniert auch schon mal ganz gut. Welche Sicherheitsvor /- nachteile hätte da eine richtige APP bzw. welche Sicherheitsmassnahmen sollte man für eine Webseite / Server ergreifen damit diese unter Umständen auf dem eigentlichen Hauptserver abgelegt werden kann und kein zusätzlicher Serverhardware (bzw. Betriebssystemlizenz bei virtuellen Server) benötigt wird. Oder ist es für einen DB-Zugriff über eine APP auch empfehlenswert aus Sicherheitgründen einen seperaten Server stehen zu haben?

Zur Info: für den Webseitenzugriff ist ein DB-User mit eingeschränkten Rechten angelegt worden der nur die Rechte hat welche für die Anzeige der Daten auf der Webseite benötigt werden. Login ist mit Passwort ist vorhanden. Passwort / Zugang kann sofort bei Handyverlust geändert / gesperrt werden.
Die Webseite wurde nicht von mir erstellt, dazu fehlt mir noch das Programmierwissen für PHP und CSS. Ich bin nur für das Datenbankdesign zuständig, für das Delphiprogramm welches in der Firma auf die DB zugreift und für die Entscheidung ob Webseite oder APP.

Gruß Andreas

Einen Webserver der von "der ganzen Welt" erreichbar ist soll auf dem Firmen-Zentralserver laufen?
Da könnt ich gleich euer Firmen-Know-How per Tauschbörse oder Mail an eure Mitbewerber verteilen.

Der WebServer gehört in eine DMZ. Oft wird man auch die DB (als gespiegelte Version) ebenfalls in die DMZ verfrachten.
Ob ihre nun diesen Webserver dann in einer (neu zu schaffenden DMZ) selbst betreibt oder auf fähige Webhoster zugreift ist eure sache (Da ihre vermutlich wenig Know-How hier habe empfehle ich professionellen Webhoster).

Da ich das Wissen nicht habe, ich aber Entscheidungen treffen muß versuche ich das Wissen hier zu erhalten. Nun, das eine Webseite normalerweise in ein DMZ gehört ist mir schon klar, aber mit dem Einsatz der DB gibt es da halt Probleme. Firebird wird von kaum welchen unterstützt und wenn Daten zurückgeschrieben werden sollen und es um aktuelle geänderte Arbeitsaufträge geht die live aufs Handy sollen habe ich ein Problem. Dann funktioniert das Spiegeln einer DB nicht. Die DB wird also auf jeden Fall in der Firma liegen und es muß von draussen darauf zugegriffen werden.
Für mich ist eigentlich jeder PC der ins Internet geht ein Problem wenn es um Datensicherheit und Angreifbarkeit geht. Der PC hat eine IP über die er von aussen erreichbar ist und er muß mit Firewall und Virenscanner geschützt werden und je größer eine Firma ist um so teurere Lösungen kann man einsetzen wie Securityboxen usw.. Was macht also einen PC, der eine Webseite hostet und angemessen Schutzmassnahmen einsetzt, anfällig gegen Angriffe denen er auch so ausgesetzt ist? Und was für bessere Schutz habe ich bei einer APP? Oder ist mein System dann genauso anfällig?

Gruß Andreas

Ich würde z.B. einen Tunnel von einem solchen Webserver zu eurem internen Server benutzen, der per Firewall auch nichts anderes durchlässt. Der Tunnel kann dann von eurem internen Server aufgebaut werden, so dass man von außen nur über den Tunnel überhaupt herankommt und da dann auch nur an das, was in der Firewall erlaubt ist.

Dass es den Tunnel gibt usw. kann man dann aber schon überhaupt nur sehen, wenn man auf euren Webserver einbricht und selbst dann kommt man nur an wenig heran. An den Webseiten oder generell über den Webserver alleine kommt man aber erst einmal an nichts heran außer an den Webserver.

Das wäre eine recht einfache Möglichkeit, die es einem Angreifer dennoch schon recht schwer macht.

.. wo liegt den der Unterschied eine App zu einem Browser der eine Webseite aufruft?

Ein App kapselt doch auch nur gewisse Abfragen die dann über SOAP/XoH o.ä ähnlich gestellt werden.
Dann stellt die App die Ergebnisse "aufgehübscht" dar.

Grüße
Klaus

Hallo,

es geht mir genauso wie dem TE. Mir (und leider auch einem Großteil meiner Fachhändler) fehlt das Fachwissen einen PC/Server wirklich zu 100%-ig dicht zu machen, dass er von aussen nicht für Fremde erreichbar ist.

Darum verwende ich schon seit Jahren - und empfehle das auch meinen Kunden - den Teamviewer. Das hat mir bisher den doch sehr hohen Aufwand für die Entwicklung einer App für den Remotezugriff erspart. Wenn mehrere User zugreifen sollen, kann man auch mehrere Terminaluser anlegen, und diesen unter Windows eigene Rechte zuweisen.

Ich kann allerdings nicht beurteilen, wie sicher der Teamviewer-Zugriff wirklich ist, und welcher Aufwand betrieben werden muss, den Zugriff zu hacken. Es kommt wohl nicht nur auf ein "gutes" Passwort an

Ich fasse mal zusammen: ob APP oder Webseite spielt keine große Rolle. Die Webseite sollte auf einem PC / Server außerhalb vom eigentlichen Firmennetzwerk liegen (bei Provider oder auf seperaten Webserver im eigenen Haus in der DMZ wie es bei uns ist). Für den Zugriff auf die Datenbank auf dem DB-Server einen Tunnel verwenden (die Idee hatte ich noch nicht). Ausprobiert hatte ich schon von einem Android-Tablet aus über einen VPN-Tunnel ins Firmenetzwerk zu kommen was funktioniert hat und was die Sicherheit sicher auch erhöht (wenn man dem Hersteller der Tunnel-APP vertrauen kann). Kunden denen wir unsere Lösung dann verticken wollen sollten sich mit dem Gedanken an zusätzliche Hardware vertraut machen - aus Sicherheitsgründen.

Gruß Andreas