Netzwerkdesign für DMZ

Mitglied: Syosse

Syosse (Level 1) - Jetzt verbinden

27.09.2020, aktualisiert 12:56 Uhr, 714 Aufrufe, 6 Kommentare, 1 Danke

Hallo Zusammen

Letzte Woche habe ich mein Netzwerk-Infrastruktur Zuhause fertig eingerichtet.
Das Aktuelle Setup besteht aus 1 Bridge Router, 1 Firewall Pfsense 2.4.5 virtualisiert mit Vmware 6.5 und die hatt 4 NIC Schnitstellen, 1 Cisco Switch SGH300-28 und einem Supermico Server der auch mit Vmware 6.5 virtualisiert ist.
Auf dem Server betreibe ich momentan alle meine Dienste wie: MS Server 2019 Standard (DC), SFTP Server, (Nextcloud folgt).
Nun will ich noch aber noch eine DMZ einrichtenbevor ich weiter mache, und dort erstmal den SFTP Server betreiben und nächste Woche dann Nextcloud und etc. Wichtig ist auch zu Wissen dass ich Intern auch ggf. auf den FTP Server zugreife.

Sicherheit hat für mich die höchste Priorität, die Hardware kann ich dann auch noch dazu kaufen.

Ich habe mir folgende Szenarien dafür ausgedacht:


Szenario 1

Hier wird das Netz getrennt mit VLAN/Tagging, sicherlich eine bastlerei dafür kann ich aber auf dem aktuellen Server die Dienste betreiben.

dmz(6) - Klicke auf das Bild, um es zu vergrößern

Szenario 2

Hier wird ein zusätzlicher Server benötigt der direkt an der NIC Schnittstelle vom Firewall angeschlossen wird und am FIrewall wird dann die DMZ eingerichtet für das Netz.
dmz(7) - Klicke auf das Bild, um es zu vergrößern

Szenario 3

Hier wird die DMZ zwischen 2 Firewall betrieben und ich denke die Sicherheit ist hier am besten gewährleistet auch da ich hin und wieder aus dem Internen Netz auf die DMZ Dienste zugreife, benötigt wird dann hier zusätzlich noch einen Server sowie Firewall.
dmz(8) - Klicke auf das Bild, um es zu vergrößern


Kann man die 3 Szenarien überhaupt als DMZ bezeichnen oder mach ich hier einen Gedankenfehler und welches schlägt Ihr mir hier vor für mein Netzwerk ?


Vielen Herzlichen Dank.
Gruss Syosse
Mitglied: IT-Prof
27.09.2020 um 10:20 Uhr
Deine Schemas erlauben keine Bewertung einer gefühlten Sicherheit.

Ohne Einblick in Firewallregeln und Übersicht der Software samt Patchstand und Gesamtkonfig ist jede Prognose Kaffeesatzleserei.

Über verschlüsselte Verbindungen über Standardports solltest Du dir Gedanken machen.
Bitte warten ..
Mitglied: ChriBo
27.09.2020 um 10:21 Uhr
Hi,
meine Empfehlung, bzw. ein "standard" Design für kleine Installationenen:
1. die pfSense weg vom ESXI, sie bekommt eigene Hardware zB. ein APU board.
2. Szenario 2: eigene NIC für die DMZ auf dem APU board.
3. eigene NIC und vSwitch für die Server in der DMZ auf dem vorhandenem ESXI host.
Fertig

CH
Bitte warten ..
Mitglied: aqui
27.09.2020, aktualisiert um 15:00 Uhr
Sicherheit hat für mich die höchste Priorität
Dann virtualisiert man aber nicht gerade die Firewall sondern lässt die auf eigenem Blech z.B. APU_Board !
Alle 3 Szenarien sind mehr oder minder richtige DMZ.
Du hast zudem noch ein sehr wichtiges 4tes Design vergessen, denn dein Switch ist ein vollständiger Layer 3 Switch der die VLANs auch direkt routen kann ganz ohne Firewall !! Siehe hier:
https://www.administrator.de/forum/verständnissproblem-routing-sg30 ...
In jedem Falle ist die performanteste Lösung sofern die VLANs nicht sicherheitskritisch sind ! Diese hast du scheinbar komplett übersehen ?!
Zum Rest ist oben alles gesagt.

P.S.:
Wenn du das "+" an der richtigen Stelle geklickt hättest um deine hochgeladenen Bilder in den richtigen Kontext zu setzen wären sie auch an der entsprechenden korrekten Stelle im Text erschienen und nicht zusammenhangslos am Schluss des Threads was zum Raten zwingt !
Kann man übrigens immer noch nachträglich mit dem "Bearbeiten" Knopf (rechts unter "Mehr") korrigieren !
Bitte warten ..
Mitglied: NordicMike
28.09.2020 um 09:19 Uhr
Die PCs würde ich nicht mit Tagged VLAN füttern, sondern untagged - eigentlich alle Geräte, ausser die, die mehrere VLANs benötigen.

Dem Server in der DMX würde ich keine 10.10.40.10/24 geben, sondern eine 172.irgendwas. Dann tust du dich leichter beim konfigurieren von Firewallregeln z.B. 10.10.0.0./16 komplett für intern.
Bitte warten ..
Mitglied: Syosse
29.09.2020, aktualisiert um 14:00 Uhr
Zitat von IT-Prof:

Deine Schemas erlauben keine Bewertung einer gefühlten Sicherheit.

Ohne Einblick in Firewallregeln und Übersicht der Software samt Patchstand und Gesamtkonfig ist jede Prognose Kaffeesatzleserei.

Über verschlüsselte Verbindungen über Standardports solltest Du dir Gedanken machen.


Vielen Dank für die Antwort, für die Verschlüsslungen werden folgende Protokolle verwendet:

SFTP 22, HTTPS 443.

Pfsense hat die Version : 2.4.5 die Aktuellste.

Die Gesamtkonfig kann ich dann im laufe der Woche noch posten.




Zitat von aqui:

Sicherheit hat für mich die höchste Priorität
Dann virtualisiert man aber nicht gerade die Firewall sondern lässt die auf eigenem Blech z.B. APU_Board !
Alle 3 Szenarien sind mehr oder minder richtige DMZ.
Du hast zudem noch ein sehr wichtiges 4tes Design vergessen, denn dein Switch ist ein vollständiger Layer 3 Switch der die VLANs auch direkt routen kann ganz ohne Firewall !! Siehe hier:
https://www.administrator.de/forum/verständnissproblem-routing-sg30 ...
In jedem Falle ist die performanteste Lösung sofern die VLANs nicht sicherheitskritisch sind ! Diese hast du scheinbar komplett übersehen ?!
Zum Rest ist oben alles gesagt.


Vielen Dank für die Antwort.

Stimmt, die Version 4 mit dem routen auf dem Switch habe ich ausgelassen, weil aktuell die Pfsense routet.
Werde aber auch in der Woche das umstellen. Dannach wird nur noch auf dem Switch geroutet.




Zitat von ChriBo:

Hi,
meine Empfehlung, bzw. ein "standard" Design für kleine Installationenen:
1. die pfSense weg vom ESXI, sie bekommt eigene Hardware zB. ein APU board.
2. Szenario 2: eigene NIC für die DMZ auf dem APU board.
3. eigene NIC und vSwitch für die Server in der DMZ auf dem vorhandenem ESXI host.
Fertig

CH

Vielen Dank für die Antwort.

Die Pfsense hatt nun eine eigene Hardware, habe die Virtualisierung gelöscht und die Pfsense frisch installiert.
Bei der Hardware NIC wo die Pfsense darauf läuft hab ich 1 Port für DMZ definiert.


Zitat von NordicMike:

Die PCs würde ich nicht mit Tagged VLAN füttern, sondern untagged - eigentlich alle Geräte, ausser die, die mehrere VLANs benötigen.

Dem Server in der DMX würde ich keine 10.10.40.10/24 geben, sondern eine 172.irgendwas. Dann tust du dich leichter beim konfigurieren von Firewallregeln z.B. 10.10.0.0./16 komplett für intern.


Vielen Dank für deine Antwort.

Natürlich ist alles untagged und nicht tagged -.- war mein Fehler, habe es falsch betitelt.
Für die DMX kann ich das 172. benutzen.


Gruss Syosse
Bitte warten ..
Mitglied: IT-Prof
29.09.2020 um 14:09 Uhr
Vielleicht habe ich mich missverständlich ausgedrückt.

Wenn über die Zielports: 53, 80, 443 usw Traffic läuft, oft sind diese Ports offen, wie willst du erkennen ob z. B. über 443 HTTP in SSL/TLS läuft oder ein Command and Control für Malware? Oder der Download von Malware-Updates?

Du kannst davon ausgehen, dass deutlich über 90% der echten Gefahren über Standardports und verschlüsselten Traffic ablaufen.
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Hyper-V Server vs Datacenter?
holliknolliQuestionWindows Server26 Comments

Hallo, hat jemand Erfahrung mit dem - kostenlosen - Hyper-V-Server? Ich meine, warum teure Lizenzen für Datacenter zahlen, wenn ...

Exchange Server
Zustellbestätigung deaktivieren
defiant01QuestionExchange Server12 Comments

Hallo, ich stehe vor der Aufgabe bei einem Postfach die Zustellbestätigung für eingehende Mails zu deaktivieren. Der User geht ...

LAN, WAN, Wireless
Spanning Tree Probleme
solved predator66QuestionLAN, WAN, Wireless12 Comments

Hallo, wir haben hier eigenartige Spanningtree Probleme, die wir zur Zeit nicht gelöst bekommen: New Root Port MAC ist ...

Peripherals
Kaufberatung 32" Monitor mit WQHD Auflösung
solved GrueneSosseMitSpeckQuestionPeripherals10 Comments

Ich wollt mir einen 32" Monitor als 16:9 zulegen, 2560x1440 Pixel (WQHD). muß kein Ultrawide mit 21:9 und curved ...

Notebook & Accessories
Business Support HP, Dell, Lenovo etc
fuzzyLogicQuestionNotebook & Accessories10 Comments

Moin, ich arbeite derzeit fast ausschließlich mit HP und frage mich wie es auf Support Baustelle bei anderen Herstellern ...

Security
Unbefugtes Öffnen zählt nicht als Einbruch
certifiedit.netTickerSecurity9 Comments

Moin, wenn wir das auf die IT übertragen dürfte kaum ein Einbruch etc unter Einbruch zu definieren sein, immerhin ...

Ähnliche Inhalte
Netzwerkgrundlagen
Netzwerkdesign Lösung
gelöst patrickebertFrageNetzwerkgrundlagen12 Kommentare

Hallo ihr lieben, ich hätte mal eine Frage zum Netzwerkdesign unseres Netzwerkes. Wir haben 2 Standorte, leider ist bei ...

LAN, WAN, Wireless
Modernes Netzwerkdesign (Cisco)
gelöst malawiFrageLAN, WAN, Wireless14 Kommentare

Hallo zusammen, wir haben aktuell einen Netzwerk-Mischbetrieb mit Cisco und Lancom. Da dies in der Praxis immer wieder Probleme ...

LAN, WAN, Wireless
Netzwerkdesign in einem KMU
gelöst NixVerstehenFrageLAN, WAN, Wireless8 Kommentare

Hallo zusammen, ich möchte gerne Anfang nächsten Jahres einen Switch tauschen und bei der Gelegenheit gleich einen L3-Switch verwenden. ...

Router & Routing
DMZ Verständnisfrage
PharITFrageRouter & Routing2 Kommentare

Hallo allerseits, ich will mit meinem Cisco 891 Router meine erste DMZ aufsetzen. Hab ich das richtig verstanden, dass ...

LAN, WAN, Wireless
Verständnisfrage DMZ
maddigFrageLAN, WAN, Wireless11 Kommentare

Guten Morgen, ich habe schon immer eine Verständnisfrage in Bezug mit einer DMZ. Im Anhangsbild ist zum Beispiel unsere ...

Windows Server
Webserver DMZ
adrian138FrageWindows Server7 Kommentare

Hallo, Wir stellen einen neuen Webserver in die DMZ welcher von aussen erreichbar ist. Frage: Es braucht eine AD ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT