DMZ Funktionalität mittels Vigor 2920 Multi-VLAN?

Mitglied: derausvoelksen

derausvoelksen (Level 1) - Jetzt verbinden

15.08.2011, aktualisiert 18.10.2012, 6959 Aufrufe, 5 Kommentare

Hallo,

wir planen den Einsatz eines Vigor 2920 im Dual WAN Betrieb.

Wir wollen einen (virtualisierenden) DMZ Host einsetzen, auf dem ein FTP Server, ein IMAP Server und ein OpenVPN Server jeweils separat virtualisiert wird.

Die restlichen Rechner inkl. Domänenkontroller bilden das sogenannte interne Netz.

Sicherheitstechnisch soll aus dem internen Netz die Dienste der DMZ erreichbar sein. Aus der DMZ sollen keine Verbindungen in Richtung internes Netz aufgebaut werden können. Aus dem Internet sollen die Dienste der DMZ erreichbar sein, aber kein Zugang in das interne Netz.

Der Vigor2920 bietet an, einen DMZ Host einzurichten. Dieser steht aber laut Manual weiterhin in internen IP Netz, und bekommt sämtlichen aus dem internet eingehenden Traffic ab. Wird der DMZ Host aber kompromittiert, ist von diesem ein ungehinderter Angriff auf das interne Netz möglich.



Kann man nun unter Einsatz von VLANs genau dieses Sicherheitsloch stopfen? Wenn ich ein VLAN1 (LAN) und VLAN2 (DMZ) definiere und VLAN1 nur auf dem Router Port1 verfügbar mache und VLAN2 nur auf Router Port2, dann dürften diese beiden Ports doch logisch von einander getrennt sein, oder? Was passiert, wenn ich nun an Port1 einen Switch anschließe, der keine VLANs kann?
Eine kommunikation zwischen einem Rechner aus LAN und der DMZ ist dann nur über die externe IP möglich?
Der Router kann selber auch VPN. Dieser VPN soll zu Wartungszwecken genutzt werden (der OpenVPN Server ist nur für Mitarbeiter gedacht). Über den WartungsVPN soll natürlich möglich sein, sowohl in die DMZ als auch in das interne Netz zu gelangen, also in beide VLANs.

Ist diese Konfiguration im Prinzip möglich? Was wäre Einschränkungen?

Danke und Gruß!
Mitglied: sk
15.08.2011 um 19:55 Uhr
Hallo,

die Vigors können derzeit kein VLAN nach 802.1q. Was Draytek als solches bezeichnet, ist eher eine Portisolation.
Wenn Ihr den Virgor noch nicht gekauft habt, dann lasst das besser...

Gruß
sk
Bitte warten ..
Mitglied: aqui
15.08.2011, aktualisiert 18.10.2012
..sk.. Hat es ja schon gesagt. Generell ist deine Denkweise richtig. Allgemein kranken alle sog. "DMZ" bei diesen Routern daran das sei eigentlich gar keine wirklichen DMZ sind sondern nur eine Krücke die lediglich wie eine DMZ arbeiten indem alle nicht zugewiesenen Ports pauschal auf diesen sog. Exposed Host forgewardet werden.
Aus Sicherheits Sicht eine Katastrophe, denn die DMZ ist gar nicht isoliert vom lokalen LAN, da sie im selben physischen IP Segment liegt. Dieses "Scheuentor" nach aussen steht damit im lokalen Netz und birgt die Gefahr eines einfachen Einfallstors für Hacker.
Eher also ein Spielkram für Heimnetze, nichts aber für das was du vorhast.
Der Knackpunkt ist das diesen Routern allen ein separates physisches LAN Segment für eine wirkliche DMZ fehlt. Leider supportet der Draytek wie oben bereits richtig bemerkt KEIN VLAN Support nach 802.1q ! Damit ist auch eine Lösung via VLAN nixht möglich.
Damit scheitert dein Lösungsansatz mit dem Vigor also schon von Grund auf.
Es ist immer besser diese DMZ mit einem Router oder Firewall zu realisieren, die wirkliche einen physischen Port für die DMZ zur Verfügung hat.
Mindestens aber dieses 3te Segemnt mit einer VLAN Funktion realisieren kann.
Ein Beispiel für so eine Firewall findest du hier:
https://www.administrator.de/wissen/preiswerte%2c-vpn-f%c3%a4hige-firewa ...
Für die VLAN Realisierung hier
https://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Die pfSense Variante supportet auch ein Dual WAN Konzept allerdings macht es mehr Sinn das mit einem separaten Router zu lösen !
Bitte warten ..
Mitglied: derausvoelksen
15.08.2011 um 20:51 Uhr
Zitat von @aqui:
Der Knackpunkt ist das diesen Routern allen ein separates physisches LAN Segment für eine wirkliche DMZ fehlt. Leider
supportet der Draytek wie oben bereits richtig bemerkt KEIN VLAN Support nach 802.1q ! Damit ist auch eine Lösung via VLAN
nixht möglich.

ist mir nicht ganz klar: außerhalb des vigors benötige ich ja gar keine vlans, dass das vlan tagging des vigors nicht 802.1q konform ist, stört mich also nicht. hauptsache, beachtet seinen eigenen standard und trennt die vlans intern. oder ist das nicht gegeben?

Es ist immer besser diese DMZ mit einem Router oder Firewall zu realisieren, die wirkliche einen physischen Port für die DMZ
zur Verfügung hat.

kennt ihr denn hardware router, die einen vernünftigen DMZ Port bieten? http://www.airlive.com/product/product_3.php?pdid=PD1217409268472 scheint sowas zu können, allerdings kenne ich den Hersteller nicht.
Bitte warten ..
Mitglied: aqui
16.08.2011, aktualisiert 18.10.2012
Der Vigor supportet keine Vlans, auch intern nicht bzw. Das sind dann keine getrennten Vlans im Sinne von Vlans.
Eine gute Hardware die eine physische DMZ supportet findest du Z.B. ,wie bereits mehrfach bemerkt, im obigen Tutorial:
https://www.administrator.de/wissen/preiswerte%2c-vpn-f%c3%a4hige-firewa ...
Bitte warten ..
Mitglied: sk
16.08.2011 um 11:37 Uhr
Zitat von @derausvoelksen:
ist mir nicht ganz klar: außerhalb des vigors benötige ich ja gar keine vlans, dass das vlan tagging des vigors nicht
802.1q konform ist, stört mich also nicht. hauptsache, beachtet seinen eigenen standard und trennt die vlans intern. oder ist
das nicht gegeben?
Beim Vigor kannst Du festlegen, welche Ports am internen Switch auf Layer 2 miteinander kommunizieren dürfen. Damit lässt sich selbstverständlich eine Separierung des öffentlich erreichbaren Servers vom übrigen LAN vornehmen. Das Problem ist jedoch, dass dies bidirektional ist und kein differenziertes Regulieren auf Layer 3 und höher (über ein Firewallregelwerk/Accesslisten) möglich ist. Deine Anforderung war jedoch, dass von LAN nach DMZ der Zugriff erlaubt und von der DMZ ins LAN verboten ist. Diese Anforderung lässt sich nur mit einer kleinen Firewall sinnvoll erfüllen.


Zitat von @derausvoelksen:
kennt ihr denn hardware router, die einen vernünftigen DMZ Port bieten?
http://www.airlive.com/product/product_3.php?pdid=PD1217409268472 scheint sowas zu können, allerdings kenne ich den
Hersteller nicht.
Zu diesem Produkt und zum Hersteller kann ich nichts sagen - ist mir schlicht unbekannt. Das Produkt als solches mag vielleicht gar nicht schlecht und für Deine Anforderungen passend sein, aber bedenke, dass Du eventuell auch einmal technische Unterstützung benötigst oder sich Firmwarebugs zeigen, die gefixt werden müssen. Die letzte Firmwareaktualisierung für das Gerät stammt von 2009 und eine deutschsprachige Endkundenhotline sucht man gänzlich vergebens! Für mich wäre das ein "no go".

Ich setze je nach Anforderungskatalog und Budget in der Regel entweder Sonicwalls oder ZyWALLs ein. Beiden gemein ist, dass sie sehr intuitive Weboberflächen bieten und es deutschsprachigen Endkundensupport gibt. Sonicwall bietet in Teilbereichen mehr und bessere Funktionen, skaliert deutlich mehr nach oben (Du kannst problemlos 100.000 EUR für eine entsprechend dimensionierte Appliance ausgeben) und ist insgesamt professioneller als Zyxel - jedoch zahlst Du bei Sonicwall auch für alles extra: jede Teilfunktion wird gesondert lizensiert und auch Firmwareupdates und Support gibt es nur bei entsprechenden Servicekontrakten. Zyxel kann funktional nur im unteren Preissegment mithalten. Die richtig großen Geräte haben die gar nicht erst im Programm. Dafür sind bei Zyxel aber die Firmwareupdates kostenlos erhältlich und auch der Support (der übrigens in Deutschland sitzt) ist kostenlos. Selbst bei der Telefonhotline wird man nicht mit teuren Mehrwertnummern abgezockt. Man darf freilich auch nicht die gleichen Know-How-Anforderungen an die Hotline stellen, wie bei Sonicwall. You get what you pay for.
Bei begrenztem Budget ist Zyxel m.E. dennoch eine sehr gute Option. Für Dich wäre nach jetzigem Kenntnisstand Deiner Anforderungen die "ZyWALL USG-50" passend.


Gruß
sk
Bitte warten ..
Heiß diskutierte Inhalte
Exchange Server
Exchange Zero Day Hack - Wie entfernen?
gelöst mtaiitVor 1 TagFrageExchange Server82 Kommentare

Hallo, bei mir hat es einige Kundenserver getroffen Weiß einer wie ich diese WebShells wieder loswerde? Das löschen der betroffenen .aspx Dateien wird wohl ...

Exchange Server
Exchange-Hack (2021-03) war Angriff erfolgreich? Was dann?
FrM222Vor 9 StundenFrageExchange Server17 Kommentare

Hallo Zusammen, ich bin ganz neu hier im Forum, daher entschuldige ich mich schon mal im Voraus, falls ich beim Einstellen etwas falsch gemacht ...

Exchange Server
Wie grundsätzlich verfahren mit Exchange Zero-Day-Exploit?
StefanKittelVor 20 StundenFrageExchange Server14 Kommentare

Hallo, ich habe auf einem Server mit den Tool von Microsoft Zugriffsversuche am 26. und 27.02.21 gefunden. Das führt mich zu der Vermutung, dass ...

Ausbildung
Projektantrag abgelehnt (IHK)
StrowayerVor 10 StundenFrageAusbildung10 Kommentare

Guten Tag, mein Projektantrag für die IHK wurde leider abgelehnt mit der Begründung: "Bitte überarbeiten Sie Ihren Zeitplan. Die Projektdokumentation sollte nicht 25% der ...

Python
Könnt ihr bugs finden ?
adriaanVor 1 TagAllgemeinPython11 Kommentare

Guten Tag liebe Forenmitglieder, Ich schreibe heute diesen Beitrag, weil ich einen Python Zähler entwickelt habe. Diesen würde ich gerne härten und entsprechend gerne ...

Off Topic
So funktioniert das Internet! - Danke, Maus
em-pieVor 1 TagInformationOff Topic2 Kommentare

Anlässlich des Geburtstages unserer orangenen Freundin: So funktioniert das Internet: Alles Gute, liebe Maus :-)

Netzwerke
Cisco IOS: grep?
gelöst PeterGygerVor 1 TagFrageNetzwerke11 Kommentare

Hallo Falls jemand die Antwort aus dem Ärmel schütteln kann , danke ich im Voraus. In einem Vortrag wurde die Cisco IOS (Catalyst / ...

Virtualisierung
Virtualisierung von WIN10 unter Linux mit oder aus ursprünglichen Datenträger
Kai-aus-der-KisteVor 1 TagFrageVirtualisierung16 Kommentare

Hallo in die Gemeinschaft, wie ich in meinem ersten Beitrag schon schrieb, bin ich von WIN10 auf Linux umgestiegen. Da ich im letzten Jahre ...