jyveee
Goto Top

Grundlagenfragen: Firewall zur Absicherung des Firmennetzwerk

Ich habe ein paar Anfängerfragen zum Thema Firewall. Ich würde mich über jede Hilfe freuen. Gerne auch Verbesserungsvorschläge oder einfach nur nützliche Stichworte oder Lektüre bzw. Links. Vielen Dank schonmal.
Die eigentlichen Fragen kommen weiter unten.

Zunächst die Ausgangslage:
ich habe eine Übersicht als Foto angehängt
Ich plane gerade ein Aufsplitten eines Netzwerks. Wir haben ein Büro in einem Gemeinschaftskomplex mit bestehendem Glasfaseranschluss via Fritzbox. Ich habe vollen Zugriff und bin quasi Systemadmin. Ich möchte nun unser Firmennetzwerk abschirmen. Dazu habe ich eine Zyxel USM 40 zur Verfügung.

In unserem Netzwerk laufen fast alle Server in einem Proxmox Umfeld, zusätzlich gibt es eine NAS und diverse andere Geräte (Alarmanlage, Gebäudeautomatisierung, 3D Drucker, IP Telefon etc). Das Netzwerk soll später via VPN von aussen erreichbar sein.

Es soll 3 Bereiche geben:
Bereich 1: öffentliches Netzwerk
Bereich 2: privates Unternehmensnetzwerk
Bereich 3: DMZ

Als Server laufen:

... im "öffentlichen Netzwerk (Bereich 1)"* ...
ein NVR (0)

...im Firmennetzwerk (Bereich 2)...
eine (1) Nextcloud-Webserver (inkl 2 Apache vHost für Nextcloud und Collabora im docker container),
ein (2) Windows Server (ActiveDirectory, Workstation für Office, Buchhaltung etc. via RDP),
eine (3) IOBroker Instanz,
ein (4) Homematic Server als Alarmanlage,
eine (5) NAS für Backups

... in der DMZ (Bereich 3) ...
ein anderer (6) Webserver (als Apache2 Reverse Proxy, TURN Server, roundcube Webmail Client sowie der Unternehmenswebseite) soll in einer DMZ laufen.

  • öffentlich bedeutet, alle Personen auf dem Gemeinschaftskomplex haben Zugriff

Folgendes soll gewährleistet sein:
1. der Reverse Proxy in dem öffentlich von außen erreichbaren Webserver (6) soll den im privaten Netzwerk befindlichen Nextcloud-Webserver erreichen (Port 80, 443, 9980, 3478, 3479)
2. Guacamole auf dem selben Webserver (6) soll den RDP Dienst auf dem Windowsserver (2) erreichen können (Port 3389)
3. Der Reverse Proxy auf Webserver (6) soll den IO Broker Server auf Port 80 und 443 erreichen
4. Der Webserver (6) soll Backups auf der NAS (5) via FTP machen können (Port 21)
5. Rechner im Firmen Netzwerk (Bereich 2) sollen den NVR (0) im öffentlichen Netzwerk (Bereich 1) erreichen können
6. Das IP Telefon soll Anrufe empfangen können
7. Geräte aus Bereich 1 sollen keine aus Bereich 2 erreichen können

Der Proxmox Server hat zwei Netzwerkkarten (NIC 1 und 2).

Wie kann ich realisieren, dass alles gewährleistet ist. Ich bin leider nicht so fit was Firewalls angeht. Wie ist diese zu konfigurieren? (generell). Welche Einstellungen sind wichtig für mich? (Nat, Portfreigabe, etc).

Muss der Webserver (6) in beiden Netzwerken "hängen"? Also eine NIC die in Bereich 2 verbindet und eine NIC die in Bereich 3 verbindet? Wie stelle ich sicher das die Pakete in die richtigen Netzwerke gesendet werden. Unterschiedliche Netzwerkbereiche notwendig?

Wie stelle ich sicher dass die Fritzbox (Bereich 1) die Pakete annimmt und an den richtigen Server leitet. Also ein http-Paket kommt rein das zur Nextcloud (1) soll. Stelle ich die Portfreigaben (z.B. Port 80) nun so ein das sie zunächst an die Firewall geleitet werden? Wie stelle ich sicher das die Firewall die Pakete dann an die Nextcloud in Bereich 2 weiterleitet?

Wie stelle ich sicher das eine VPN Verbindung mit dem Firmen-Netzwerk aufgebaut werden kann? Was muss dazu in der Fritzbox (Portfreigaben für VPN?) und was in der Firewall (als VPN Server?) eingerichtet werden

Ist dieses Netzwerk sicher? Was wären eure Verbesserungsvorschläge? Habe ich etwas übersehen?

VIELEN DANK FÜR EURE HILFE!!!
netmap_forum

Content-ID: 648159

Url: https://administrator.de/forum/grundlagenfragen-firewall-zur-absicherung-des-firmennetzwerk-648159.html

Ausgedruckt am: 03.04.2025 um 09:04 Uhr

Pjordorf
Pjordorf 04.02.2021 um 23:00:31 Uhr
Goto Top
Hallo,

Zitat von @jyveee:
ich habe eine Übersicht als Foto angehängt
Auf diesem Foto hat sich überall ein P eingetragen.

Ist dieses Netzwerk sicher? Was wären eure Verbesserungsvorschläge? Habe ich etwas übersehen?
Das einzige sichere Internet ist kein Internet.

Was bzw. wer bzw. welches Modell ist denn nun deine Firewall die als durchlauferhitzer sorgen soll?

Gruß,
Peter
jyveee
jyveee 04.02.2021 um 23:08:29 Uhr
Goto Top
Zitat von @Pjordorf:

Auf diesem Foto hat sich überall ein P eingetragen.
Ja das P soll signalisieren dass es auf diesem Server einen Dienst gibt der vom WWW erreichbar sein soll (wenn auch über Umwege wie einem vorgeschaltenen Reverse Proxy).

Das einzige sichere Internet ist kein Internet.
Nun ein Webserver oder eine Cloud muss nunmal vom Internet aus erreichbar sein ;)

Was bzw. wer bzw. welches Modell ist denn nun deine Firewall die als durchlauferhitzer sorgen soll?
Eine USM 40 von Zyxel oder eine Ubiquiti Unifi USG-PRO-4 stehen zur Verfügung.
Looser27
Looser27 05.02.2021 um 08:24:04 Uhr
Goto Top
Eine USM 40 von Zyxel oder eine Ubiquiti Unifi USG-PRO-4 stehen zur Verfügung.

Ernsthaft in nem Firmennetzwerk? Hier wäre meine erste Wahl, wenn es günstig sein soll ne pfSense oder ne OPNSense.

Gruß

Looser
ChriBo
ChriBo 05.02.2021 um 08:38:27 Uhr
Goto Top
Hi,
seid ihr der alleinige Nutzer des Glasfaseranschlusses oder wird der Glasfaseranschluß von mehreren Firmen benutzt.
Ist letzteres der Fall: Vergiß es (fast).
Ein besseres Setup sieht folgendermaßen aus:
Eigener Internetanschluß -> Modem ->Firewall (inkl. VPN Zugang) -> diverse Netze (DMZ, intern, etc.).

Fehlerhaft in deinem Design sehe ich folgendes:
Gebäudeautomatisierung: muß da wirklich jeder eurer Mitarbeiter drauf zugreifen können ?
Virtualadmin soll für jedermann ereichbar sein ? (Meiner Meinung nach: Nein, nur über VPN und bestimmte Benutzer)
NVR und ggf. CCTVs sollen wirklich für jeden (alle eure Mitarbeiter plus andere Firmen aus dem Komplex) erreichbar sein ?

Der Webserver darf keine Backups per FTP auf dem NAS machen: Push = der Server baut eine Verbindung zum NAS auf.
besser: Das NAS baut die Verbindung zum Webserver auf und holt sich die Daten: Pull.

Empfehlung: lagert euren Webserver und MailClient aus.

Das wars für den Anfang

CH
aqui
aqui 05.02.2021 um 09:50:57 Uhr
Goto Top
Jede beliebige Firewall von der Stange leistet heute sowas was in den Anforderungen steht. Das sind simpelste Funktionen die heute jeder kann.
Die unsägliche und technisch eher schlechte Router Kaskade würde man dann durch eine zentrale Firewall ersetzen. Idealerweise in einem Firmennetzwerk durch ein active active Firewall Cluster zur Ausfall Redundanz. Diese bindet man dann per LACP LAG an eine klassische VLAN Switch Infrastruktur.
Die Schwachpunkte hat Kollege @cribo ja schon auf den Punkt gebracht. Etwas mehr Segmentierung zur Sicherheit einzelner Segmente wäre da in der Tat angebracht.
Mika909
Mika909 05.02.2021 um 11:20:28 Uhr
Goto Top
Moin,

deine Bezeichnungen "Public Netzwerk" oder "Firmennetzwerk" sind hier sehr irreführend. Es sind "nur" eigene Subnetze im Lokalen Netzwerk, welches durch (Firewall) Rules entweder in entsprechende (Sub)Netze darf oder nicht. Ich würde mich Looser27 anschliessen und Dir zu pfsense oder OPNSense raten.
jyveee
jyveee 05.02.2021 um 14:03:42 Uhr
Goto Top
Ja genau wir benutzen den Glasfaser NICHT alleine, es ist ein bestehendes Netzwerk das wir mitbenutzen aber auch verwalten und somit Vollzugriff auf alle Geräte haben.

Eigener Internetanschluß -> Modem ->Firewall (inkl. VPN Zugang) -> diverse Netze (DMZ, intern, etc.).
das geht leider nicht. Das Bestandsnetzwerk ist zu komplex als das ich das auseinandernehmen kann (aktuell). Also Bereich 1 muss erstmal "vor dem WAN Anschluss verweilen"

Fehlerhaft in deinem Design sehe ich folgendes:
Gebäudeautomatisierung: muß da wirklich jeder eurer Mitarbeiter drauf zugreifen können ?
Jap den darüber wird die Alarmanlage scharf geschaltet! BTW: Wird sind nur "zwei Mitarbeiter" ;)

Virtualadmin soll für jedermann ereichbar sein ? (Meiner Meinung nach: Nein, nur über VPN und bestimmte Benutzer)
jap denn der dient nur als Webserver

NVR und ggf. CCTVs sollen wirklich für jeden (alle eure Mitarbeiter plus andere Firmen aus dem Komplex) erreichbar sein ?
das ist bestehende Hardware und wird auch von den anderen Leuten des komplexes "bedient". Hintergrund ist, es gibt ein großes Wifi Netzwerk, die Kameras sind kreuz und quer über den Campus verteilt und daran kann nichts geändert werden.

Der Webserver darf keine Backups per FTP auf dem NAS machen: Push = der Server baut eine Verbindung zum NAS auf.
besser: Das NAS baut die Verbindung zum Webserver auf und holt sich die Daten: Pull.
okay das wäre eine Möglichkeit! Danke das hilft schonmal ein Problem zu beseitigen. Also Nas verbindet sich via ssh auf den webserver und holt die daten ab oder? So machen wir das auch aktuell schon bei der Übertragung der Letsencrypt Zertrifikate.

Empfehlung: lagert euren Webserver und MailClient aus.
Dafür sehe ich aktuell keine notwendigkeit, da ich dort eine 1000mbit up/down Glasfaserverbindung habe, wüsste ich nicht was dem Betrieb im eigenen Umfeld im Wege steht face-smile

Das wars für den Anfang
danke dir! face-smile
CH
jyveee
jyveee 05.02.2021 um 14:05:14 Uhr
Goto Top
Zitat von @Mika909:

Moin,

deine Bezeichnungen "Public Netzwerk" oder "Firmennetzwerk" sind hier sehr irreführend. Es sind "nur" eigene Subnetze im Lokalen Netzwerk, welches durch (Firewall) Rules entweder in entsprechende (Sub)Netze darf oder nicht. Ich würde mich Looser27 anschliessen und Dir zu pfsense oder OPNSense raten.

ja das ist richtig, aus der Sicht unseres Firmennetzwerk ist es jedoch öffentlich ... aber deswegen habe ich ja von Bereichen gesprochen (=Bereich 1) face-smile

okay was spricht für eine pfsense oder OPNSense? Wäre durchaus denkbar!
jyveee
jyveee 05.02.2021 um 14:06:49 Uhr
Goto Top
Zitat von @Looser27:

Eine USM 40 von Zyxel oder eine Ubiquiti Unifi USG-PRO-4 stehen zur Verfügung.

Ernsthaft in nem Firmennetzwerk? Hier wäre meine erste Wahl, wenn es günstig sein soll ne pfSense oder ne OPNSense.

Gruß

Looser

nunja vielleicht ist "Firmennetzwerk" übertrieben und soll nur suggerieren das es sich um unseren privaten Bereich handelt. Wir sind ein 2-Mann-Unternehmen das dieses Netzwerk noch nicht mal intensiv nutzt.
fredmy
fredmy 05.02.2021 um 15:58:51 Uhr
Goto Top
Zitat von @jyveee:

Dafür sehe ich aktuell keine notwendigkeit, da ich dort eine 1000mbit up/down Glasfaserverbindung habe, wüsste ich nicht was dem Betrieb im eigenen Umfeld im Wege steht face-smile
CH

Wenn dein Sicherheitskonzept den Betrieb im eigenen Umfeld vorsieht ist es ja gut !
Aber warum fragst du dann erst ? face-wink

Fred