stecken
Goto Top

Neustrukturierung eines Netzwerks (Firewall, DMZ...)

Hallo zusammen,
ich bin gerade dabei ein Netz neu zu strukturieren und wollte mal fragen, was ihr von meinem (Sicherheits)Konzept haltet.

Momentane Konfiguration

Drei Netze:
- Netz 1 für Mitarbeiter
- Netz 2 für Server
- Netz 3 für Mitarbeiter mit Internet

Anbindung:
DSL: ADSL2000 (Mehr geht hier nicht)
Router: Standard Internetrouter im Netz 3

Nur von Netz 1 aus ist eine Route ins Servernetz (Netz 2) eingetragen.

Die Mitarbeiter, die Internet haben sind entweder nur in Netz 3
oder haben für ihre internen Aufgaben eine zweite Netzwerkkarte
für Netz 1. Auch sind an jedem Platz nur normale Desktop Firewall-,
und Viruslösungen installiert.

Die Mailkonten sind momentan über einen Anbieter, der bei seinem Provider
einen Mailserver betreibt verwaltet.

Neue (?) Konfiguration

Nun sollen in Zukunft einige neue Anforderungen dazukommen, was eine
Neuplanung der ganzen Konfiguration erforderlich macht.

Dabei habe ich momentan an folgende Konfiguration gedacht.

3fdb8d69dd5da68f2657b486bacf9d8f

Als Firewall evtl. eine "WatchGuard® XTM 21" (Günstige Alternativvorschläge?)
Als Mailserver den "Icewarp Mailserver, der läuft auch auf XP.
Dazu die Frage, kann man einen Mailserver mit XP aus sicherheitsgründen
überhaupt ins Netz hängen? Oder gibt es für die knapp 30 User vielleicht
irgendeine andere Lösung? Hatte auch erst vor evtl. mit dem Mailserver
die Emails per "catch all" einfach beim Provider abzurufen, dann könnte ich mir die
öffentliche DMZ sparen. Allerdings soll das etwas die Stümperlösung sein und
von einigen Anbietern nicht unterstützt werden.

In der internen DMZ (altes Netz3) einen AVG Antivirus auf WinXP.
Die alten Internetuser ins Intranet (Netz1) nehmen.

Und dann nochmal ein Proxy (Linuxrechner mit Squid) zwischen interner DMZ und Intranet
zum Steuern der Internetzugänge...


Jetzt wollte ich nur mal fragen, ob für euch dieses (Sicherheits)Konzept schlüssig ist,
oder ob ihr irgendetwas (grundlegend) anders machen würdet.

Gruß und Dank schonmal für eure Tips
Stecken

Content-Key: 139243

Url: https://administrator.de/contentid/139243

Ausgedruckt am: 29.03.2024 um 07:03 Uhr

Mitglied: kopie0123
kopie0123 26.03.2010 um 14:25:02 Uhr
Goto Top
Hey,

sind deine Nezte auch physikalisch getrennt?

Zum Thema Mailserver? Ist es nur ein Relay oder auch IMAP/POP3?
Ich würde keine Windows XP Kiste als Mailserver nehmen. Wir haben ein Postfix als Eingangs/Ausgangsrelay. Spam und Virenfilterung werden hier gleich während der Verbindung durchgeführt.
Bei 30 Nutzern könntest du über eine Groupware nachdenken. Hab ihr eine Domäne? Dann vielleicht Exchange oder OpenXchange (gibt noch diverses andere Lösungen).

Als Firewall empfehle ich immer gerne IPCop mit einigen Addons. Ein alter Rechner reicht dafür. Hier könntest du alle Netze zusammenführen und entsprechende Zugriffe Regeln (Squid ist auch mit drin).
Dann könntest Du dir auch das sperate Internetnetz schenken. Wer ins Internet darf regelst du dann in der Firewall.

Ich verstehe dein Ansatz mit öffentlicher und privater DMZ nicht - eine DMZ liegt zwichen privatem und öffentlichen Netz im Grenzbereich. Dein Mailserver würde in so ein Netzgehören. Besser aber nur das Mailrelay. Der eigentliche Groupwareserver gehört ins private Netz.
Mitglied: reXen96
reXen96 26.03.2010 um 14:28:50 Uhr
Goto Top
ich verstehe gerade da mit den 3 netzen nicht ... möchtest du das die mitarbeiter
garnicht ins netz kommen um privates surfen zu vermeiden oder damit keine viren
oder so daten aus dem netz raus bringen ....

wenn du letzteres machen wilst ist deine sicherheit zum server sogut wie wech wenn
du "- Netz 3 für Mitarbeiter mit Internet" auch an die server läst auch wenn es über ne
2. nw karte geht kommt alles auch da hin aus dem inet wo es will also du umgehst
den proxy von netz 1 ... oder sehe ich da was falsch


laut deiner zeichnung gibt es nämlich keine verbindung der server zu den pc´s face-smile


würde dir empfehlen 1 netz mit den servern + pc´s und 1 netz mit rechnern die zwar ins
inet kommen aber nicht ins firmen netz direkt also nur als internet stationen und um
das firmen netz zu schützen die firewall nur mails durchlassen lassen
Mitglied: 56844
56844 26.03.2010 um 14:29:28 Uhr
Goto Top
Mahlzeit,

günstige Alternative wäre z.B. der IPCOP.
Dort wird auch das Sicherheitskonzept sehr gut erklärt. (ROT - GRUEN - ORANGE).
Kommt halt auch immer ein bisschen darauf an wie Sicher es sein muss.
Ich würde den Mailserver in die DMZ (ORANGE) stellen.
Und den Rest einfach in GRUEN.
Wenn nun einzelne Rechner aus GRUEN (Dateiserver) nicht in das Internet sollen, einfach blocken.

Gruss Uti

edit: Schliesse mich StingerMAC an. Noch mal zum Verdeutlichen. Der E-Mail Server in der DMZ kümmert sich um die Kommunikation mit dem Internet. Er empfängt und sendet E-Mails. Ein zweiter E-Mail Server in GRUEN hat eine Verbindung mit dem E-Mail Server in DMZ (Schlupfloch). Der Zweite E-Mail Server verteilt dann die E-Mails an die User.
Mitglied: kopie0123
kopie0123 26.03.2010 um 14:31:20 Uhr
Goto Top
Willst Du die Server wirklich in ein eigenes Netz stellen?

Die 3 Server und 30 Rechner würde ich in ein 64er Subnetz packen.
Mitglied: aqui
aqui 26.03.2010, aktualisiert am 18.10.2012 um 18:41:31 Uhr
Goto Top
Eine andere günstige FW Alternative sind noch IPfire, Monowall oder Pfsense.
Die kannst du entweder mit einem CF IDE Adapter in einem alten PC ohne bewegliche Teile laufen lassen oder auf einem kleinen Mini Mainboard als feste Appliance:
http://www.nwlab.net/tutorials/m0n0wall/m0n0wall-dsl-router.html
Wenn du 2 linke Hände hast und nicht mit einem Schraubendreher umgehen kannst (mehr benötigt man für den Zusammenbau nicht !), kannst du die HW auch fertig kaufen:
http://www.applianceshop.eu/index.php/appliances/firewalls.html
Alle 3 FW Lösungen lassen sich bequem und einfach über ein Webinterface administrieren.
Weitere Anregungen zum Aufbau findest du auch in diesem Tutorial:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Wenn du für deinen Netzsegmente mit VLANs auf einem einzelnen Switch arbeiten willst supporten diese FWs das auch:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dein FW Konzept ist soweit ok und nichts dran auszusetzen, da es ja mehr oder weniger ein klassisches Standardkonzept ist. Die Diskussion ob man es abspeckt ist eher kosmetisch.
Für deinen Mailserver lohnt ein Blick z.B. auf den SME Server:
http://wiki.contribs.org/Main_Page/de
Der bringt alle deine Mailfunktionen auch per Webseite administrierbar gleich mit. Spam und Virenfilter findest du in den Addons:
http://wiki.contribs.org/Category:Mail
Mitglied: Arch-Stanton
Arch-Stanton 26.03.2010 um 15:07:54 Uhr
Goto Top
das ist schon eine feine Sache mit dem SME-Server. Der bringt auch eine Routing/Proxy-Funktion mit. Leider ist es ein wenig still um die Weiterentwicklung geworden. Es wäre schade, wenn so ein klasse-system dann irgendwann versandet. Vielleicht sollte man eine Petition starten und für die Weiterentwicklung Geld sammeln.
Ich hatte gestern den Fall, daß mein SME-Server ausgefallen ist, ich hatte aber tags zuvor ein Backup gezogen, so daß alle 30 Benutzerkonten und die Daten problemlos wieder eingespielt werden konnten. Mit der Domaincontroller -Funktionalität habe ich noch nicht experimentiert, mal sehen, ob das was taugt.

Wenn man auf seinem zentralen Server jetzt keine Windowsspezifische Anwendersoftware laufen lassen muß, ist das wirklich eine Alternative zum SBS.

Gruß, Arch Stanton
Mitglied: aqui
aqui 26.03.2010 um 15:31:50 Uhr
Goto Top
In der Tat !!
Mit Kronolith und Zafara bekommt man sogar eine Integration in Outlook und Web basierendes Email mit Kalendersharing. Damit sind dann sogar Exchange und Outlook Knechte zu befriedigen.
Ist wirklich eine gelungende Lösung wenn man für kleine Netze eine Serverlösung sucht ohne viel Geld in Lizenzen zu versenken. Zumal die Administration über das Webinterface auch für völlige Laien ein Kinderspiel ist....
Aber nun kommen wir vom eigentlichen Thread Thema ab.... face-wink
Mitglied: Stecken
Stecken 26.03.2010 um 16:49:54 Uhr
Goto Top
Also erstmal vielen Dank für eure Beiträge!
Brauch noch etwas Zeit die ziemlich interessanten Anregungen und Vorschläge durchzuarbeiten
um dann antworten zu können.

Aber zwei Fragen zum Thema logische und physikalische Trennung des Netzwerks vorneweg.
Hier besteht nur eine logische Trennung!

Frage:
1.Wenn zwischen Router/Modem und Firewall ein Netz (TEST) bestehen würde (siehe neues Bild oben), welches an einem
normalen Switch hängt, an dem auch die anderen Netze (Intranet, DMZ, Servernetz) hängen, wie hoch würdet
ihr da das Sicherheitsrisiko einschätzen (1 bis 10, 1 SICHER, 10 Selbstmord). Sprich, wäre es zu einfach die
Firewall zu umgehen? (Ich tipp mal auf ne 10)

2. Wie sieht die Sicherheitslage bei logisch getrennten Netzwerken allgemein aus, also in meinem Fall zwischen
der DMZ und dem Intranet? (1 bis 10, 1 SICHER, 10 Selbstmord).

Mir ist klar, dass eine physikalische Trennung sicherer ist, aber solang eine logische Trennung auch akzeptabel
ist möchte ich hier jetzt nicht zuviel umstellen.

Gruß, Dank und ein schönes WE!
Mitglied: aqui
aqui 26.03.2010 um 17:09:47 Uhr
Goto Top
Wenn du mit "logischer" Trennung die Trennung in VLANs meinst ist das eine Ermessensfrage.
Natürlich kannst du alle 4 Segmente mit VLANs auf einem Switch unterbringen, das ist ja auch der tiefere Sinn von VLANs. Die Gefahr das natürlich ein Unkundiger mal aus Unwissenheit eine Brücke steckt zwischen VLANx und VLANy auf so einem Switch ist natürlich da, aber mit 10 das vorab zu brandmarken ist eigentlich falsch.
Wenn das jemand wie du z.B. managed, der weiss was er tut, ist das ja kein Thema und absolut gängige Praxis. Du besorgst dir dann pro VLAN die Patchkabel in blau, gelb, rot und grün und kannst so jederzeit mit einem Blick die Verkabelung auf den VLANs überblicken.
Wenn du etwas paranoid bist trennt man wenigstens das Router/Modem Firewall Netz mit einem kleinen extra Switch ab. Generell braucht es hier auch gar keinen Switch oder VLAN denn die Verbindung Router/Modem Firewall ist ja ein simples Kabel von einem Port zum anderen. Den kannst du also allein damit schon vollkommen isolieren da es eine Punkt zu Punkt Verbindung ist.
Noch besser ist es gar keinen Router zu verwenden sondern ein einfachs DSL Modem (ohne Routerfunktion) wie z.B. dieses_hier direkt an die Firewall zu hängen und die PPPoE Konfig mit den ISP Zugangsdaten dort an der FW am WAN Port einzustellen. Manche Router wie die Speedports lassen sich ebenso mit der Funktion PPPoE Passthrough zu einem simplen Modem machen.
Pfsense, Monowall supporten das direkte PPPoE auf dem WAN auch problemlos, so das sich dieses Sicherheitsproblem von Anfang an gar nicht erst stellt !!
Die VLANs hinter der Firewall sind dann nicht mehr ganz so kritisch und eine Verwendung dort wie oben bereits erwähnt gängige Praxis.
Mitglied: reXen96
reXen96 26.03.2010 um 22:08:13 Uhr
Goto Top
Sieht nach dem neuem Pic schon besser aus face-smile würde allerdings wenn de mehr sicherheit haben wilst 2 änderungen noch machen

zu deinen fragen
ja wenn du das test netz und die firewall und so an einen switch hängst würde ich die sicherheits risiko auf 8 schätzen da ein vlan
zwar schön ist aber nicht 100% sicher

zu 2.
sicherheit ist sehr gering weil ob proxy oder nicht die verbindung nicht großartig geschützt ist aber sicherer also die sache aus nr. 1
also ne 6

so habe mal kurz zusammen gefasst wie ich es dir vorschlagen würde die pc´s im intranet kommen garnicht ins inet (durch die firewall)
mails und av updates werden durch freigaben durchgeführt
http://img408.imageshack.us/img408/923/administratora.jpg

gruss
rexen
Mitglied: aqui
aqui 27.03.2010 um 11:07:45 Uhr
Goto Top
Ein paar Anmerkungen dazu:
  • Ein VLAN ist schon zu 100% sicher...ob nur der Admin dieser VLANs 100% sicher ist, ist stets die Frage !
  • Wieso ist die Verbindung nicht geschützt ? Und... welche Verbindung meinst du ?? Der Proxy schützt das interne Netzwerk schon und dahinter ist die Firewall. Wo ist dann da eine zu geringe Sicherheit ??
  • Wozu immer externe Bilderlinks ?? Hast du gesehen das es hier im Forum eine Bilder Upload Funktion gibt die mit 2 Mausklicks zu bedienen ist ? Das Bild hat einen Fehler, denn Standard Router mit 2 lokalen LAN Anschlüssen die 2 IP Segmente NATten sind sehr schwer bis gar nicht zu finden ! Solche Router gibt es schon die das können, sind aber kein "Standard" wenn für dich "Standard" mit Consumer DSL Router definiert ist ?!
Wenn schon eine Firewall vorhanden ist, wäre es auch sicher sinnvoller diese für die Segmentierung zu verwenden.
Das könnte dann z.B. so aussehen:

c09752fcab7d283593bcf4595e80c5d8

P.S.: Deine Shift Taste ist defekt !
Mitglied: Stecken
Stecken 15.04.2010 um 15:11:42 Uhr
Goto Top
Hallo zusammen,
vielen Dank für eure Beiträge!
Hab mich jetzt für die Netzwerkstruktur, wie sie bei aqui`s letztem Beitrag zu sehen ist entschieden.
Fürs Erste aber ohne den Squid Proxy, das übernimmt erstmal die ipfire Firewall.

Und da wäre noch ein paar Unklarheiten zwecks der VLAN`s.

Hauptstandort:

Keller : 2x ExtremXos Summit X450a-24
EG : 4x ExtremXos Summit X450e-24 und 1x HP procurve 2724 (J4897)
1.Stock : 4x ExtremXos Summit X450e-24


Außenstandort 1:
EG : 2x HP procurve 2724 (J4897)

Außenstandort 2:
EG : 2x HP procurve 2724 (J4897)

(Anbindung der Standorte über 100MBit Richtfunk)

In den ExtremXos lassen sich VLANs einrichten, die HPs sind aber leider unmanaged. Für eine VLAN-Geschichte müssten die somit denk ich mal ausgetauscht werden. Evtl. durch je zwei hp procurve 2610-24p (je ca. 300,-) oder je einen hp procurve-48p (je ca.550,-) in den Standorten.
Als VLAN würde mir ein statisches IEEE 802.1q Tagged vorschweben. Also kein portbasiertes, da wäre der Umstöpselaufwand zu groß und mir auch auf Zukunft zu unflexibel.
Was mir noch nicht ganz klar ist. Ich kann ja an den Netzwerkkarten der Workstations (im Gerätemanager) dem Client eine VLAN ID zuweisen, sozusagen ein Tag mitgeben. Falls das aufgrund alter Netzwerkkarte etc. nicht funktioniert kann ich den entsprechenden Port am Switch auf Tagged stellen, dann übernimmt der das. Um nicht an jeden Rechner hin zu müssen, könnte ich doch einfach alle aktiven Ports auf tagged stellen. Wo ist da der Nachteil? Jedenfalls wäre da die Umstellung kein großer Aufwand, oder gibts sonst noch (wichtige) Dinge zu beachten?

Bei der Firewall hab ich mich jetzt übrigends für die ipfire entschieden und in eine alte Workstation einen CF IDE Adapter eingebaut und ipfire installiert (noch nicht konfiguriert). Jetzt wollte ich aber bevor ich da weiter mache erstmal die Grundstruktur des Netzes, sprich die VLANS gelöst haben.

Gruß und Dank für eure Erklärungen und Anregungen
Stecken