6
Sicherer Zugriff auf Fileserver aus DMZ?
Hallo zusammen,
wir haben hier eine "DMZ" (ohne Internet, also genaugenommen ein über eine Application Firewall getrenntes VLAN) in der einige alte Maschinen mit Windows NT und Windows XP stehen. Diese können nicht auf ein neueres Betriebssystem hochgezogen werden müssen aber so weiter laufen. Die Firma welche die Software installieren kann gibt es nicht mehr. Wir arbeiten bei defekten mit Images, das funktioniert seit 8 Jahren gut.
Aber nun zum Thema:
Zwischen der DMZ und dem Hausnetz müssen Werte(Filebasiert) ausgetauscht werden.
Aktuell ist es wie folgt gelöst:
2 QNAPS replizieren die Daten alle 10min über RSYNC (Port 873).
Das Problem ist die Menge der Daten bekomme ich in der Zeit manchmal nicht mehr hin. Es sind extrem viele kleine Dateien (unter 1kb). 10 min sind aber eigentlich schon zu lang.
Einen direkten Zugriff über SMB möchte ich auch nicht machen.
Ich hab jetzt irgendwie keine Idee wie ich das besser machen könnte.
Habt ihr mir einen Tipp?
Vielen Dank,
Grüße
Leon
wir haben hier eine "DMZ" (ohne Internet, also genaugenommen ein über eine Application Firewall getrenntes VLAN) in der einige alte Maschinen mit Windows NT und Windows XP stehen. Diese können nicht auf ein neueres Betriebssystem hochgezogen werden müssen aber so weiter laufen. Die Firma welche die Software installieren kann gibt es nicht mehr. Wir arbeiten bei defekten mit Images, das funktioniert seit 8 Jahren gut.
Aber nun zum Thema:
Zwischen der DMZ und dem Hausnetz müssen Werte(Filebasiert) ausgetauscht werden.
Aktuell ist es wie folgt gelöst:
2 QNAPS replizieren die Daten alle 10min über RSYNC (Port 873).
Das Problem ist die Menge der Daten bekomme ich in der Zeit manchmal nicht mehr hin. Es sind extrem viele kleine Dateien (unter 1kb). 10 min sind aber eigentlich schon zu lang.
Einen direkten Zugriff über SMB möchte ich auch nicht machen.
Ich hab jetzt irgendwie keine Idee wie ich das besser machen könnte.
Habt ihr mir einen Tipp?
Vielen Dank,
Grüße
Leon
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 650182
Url: https://administrator.de/contentid/650182
Ausgedruckt am: 25.11.2024 um 06:11 Uhr
6 Kommentare
Neuester Kommentar
Aktuell ist es wie folgt gelöst:
2 QNAPS replizieren die Daten alle 10min über RSYNC (Port 873).
Was für QNAP? Wie bestückt? Mit SSD oder HDD? 1Gbit? 10Gbit? Direkt verbunden?2 QNAPS replizieren die Daten alle 10min über RSYNC (Port 873).
Ich hab jetzt irgendwie keine Idee wie ich das besser machen könnte.
Du kannst ein paar Details zu den QNAP nennen .Was auch denkbar wäre, aber ziemliche Schusterei ist.
Das QNAP aus der DMZ mappt ein RemoteOrdner (z.B. per (S)FTP den Fileserver ) und bindet diesen als Lokale Ordner ein und stellt eine Freigabe zur Verfügung.
In der Firewall kannst du ja dann nur eine Freigabe für (S)FTP für das QNAP machen.
Fileserver --> FTP o.ä | Firewall | --> FTP o.ä ---> QNAP
Grüße
Gruß
Moin,
als in einer DMZ sagt man ja, dass man immer vom LAN auf die DMZ Zugreifen kann/ darf aber niemals andersherum.
Jetzt hast du zwar keine klassische DMZ, wie es in der Allgemeinheit definiert ist, sondern eigentlich ja eher einen Bereich, der im LAN besonders geschützt ist.
Wie wäre es, wenn du in der DMZ ein Share bereitstellst und aus dem LAN heraus zum Share ein Netzlaufwerk mappst.
Allerdings landen die Daten so "ungefiltert" im LAN, außer, auf dem "Server" in der DMZ werden die Daten per AV-Software geprüft...
Der, der die Daten hält, kann ja auch (weiterhin) ein NAS sein. oder ein RPi, oder oder ...
als in einer DMZ sagt man ja, dass man immer vom LAN auf die DMZ Zugreifen kann/ darf aber niemals andersherum.
Jetzt hast du zwar keine klassische DMZ, wie es in der Allgemeinheit definiert ist, sondern eigentlich ja eher einen Bereich, der im LAN besonders geschützt ist.
Wie wäre es, wenn du in der DMZ ein Share bereitstellst und aus dem LAN heraus zum Share ein Netzlaufwerk mappst.
Allerdings landen die Daten so "ungefiltert" im LAN, außer, auf dem "Server" in der DMZ werden die Daten per AV-Software geprüft...
Der, der die Daten hält, kann ja auch (weiterhin) ein NAS sein. oder ein RPi, oder oder ...
Du kannst ein paar Details zu den QNAP nennen .
Das QNAP ist nix besonderes, ein TS-431P2 mit 3x2TB Raid 5
Was auch denkbar wäre, aber ziemliche Schusterei ist.
Ja stimmt aber hört sich interessant an.Das QNAP aus der DMZ mappt ein RemoteOrdner (z.B. per (S)FTP den Fileserver ) und bindet diesen als Lokale Ordner ein und stellt eine
Freigabe zur Verfügung.
Freigabe zur Verfügung.
Hier müsste dann auf den Fileserver (Windows?) ein FTP Server z.B. Filezilla installiert werden?
Ich wusste aber gar nicht, dass das QNAP einen FTP Ordner so mappen kann und dies dann als Freigabe bereitstellen kann.
Wie wäre es, wenn du in der DMZ ein Share bereitstellst und aus dem LAN heraus zum Share ein Netzlaufwerk mappst.
Allerdings landen die Daten so "ungefiltert" im LAN, außer, auf dem "Server" in der DMZ werden die Daten per AV-Software geprüft...
Allerdings landen die Daten so "ungefiltert" im LAN, außer, auf dem "Server" in der DMZ werden die Daten per AV-Software geprüft...
Das macht mir eben sorgen. Gut wenn eine Datei einen Virus intus hat und die Datei wird geöffnet, dann kann ich auch AKTUELL nur hoffen dass der Trend Micro auf dem Client PC im Hausnetz den Virus erkennt.
Ich erhoffe mir halt durch das nicht nutzen von SMB, mir diese Viren von den Maschinen fernzuhalten.
Was sind das denn für Systeme und wie kann Schadsoftware dort hineingelangen?
Zugriff aufs Internet ist ja nicht vorhanden?
Bleiben also nur USB-Sticks oder ähnliches...
Und mit opbigen Szenario via rsync oder SFTP umgehst du das Problem nicht. da wird da die Schadsoftware mit synchronisiert.
Stelle in die DMZ einen Share bereit (aktueller Windows oder Unix-Server) der eine AV-Engine hat. deine ollen Clients speichern die Daten dort direkt ab. Die AV-Lösung scannt die Daten in Echtzeit und aus dem LAN heraus kannst du direkt zugreifen.
Ansonsten musst du halt den FileStream durch einen AV-Scanner in der Firewall scannen lassen.
Das würde gehen, wenn die Daten im LAN via FTP vom Share in der "DMZ" abgeholt werden...
Gruß
Zugriff aufs Internet ist ja nicht vorhanden?
Bleiben also nur USB-Sticks oder ähnliches...
Und mit opbigen Szenario via rsync oder SFTP umgehst du das Problem nicht. da wird da die Schadsoftware mit synchronisiert.
Stelle in die DMZ einen Share bereit (aktueller Windows oder Unix-Server) der eine AV-Engine hat. deine ollen Clients speichern die Daten dort direkt ab. Die AV-Lösung scannt die Daten in Echtzeit und aus dem LAN heraus kannst du direkt zugreifen.
Ansonsten musst du halt den FileStream durch einen AV-Scanner in der Firewall scannen lassen.
Das würde gehen, wenn die Daten im LAN via FTP vom Share in der "DMZ" abgeholt werden...
Gruß
Wir haben eine ähnliche Konstellation.
Ein REST-Server steht in der DMZ und ist in einem eigenem VLAN von den anderen Netzen getrennt.
Der REST-Server muss Informationen aus dem ERP ziehen. Aus diesem Grund gibt es eine NFS Freigabe auf dem ERP Server und wir haben eine Firewallregel eingestellt, dass der REST-Server auf das ERP System zugreifen kann. Laut LANCOM ist das so völlig in Ordnung.
Ein REST-Server steht in der DMZ und ist in einem eigenem VLAN von den anderen Netzen getrennt.
Der REST-Server muss Informationen aus dem ERP ziehen. Aus diesem Grund gibt es eine NFS Freigabe auf dem ERP Server und wir haben eine Firewallregel eingestellt, dass der REST-Server auf das ERP System zugreifen kann. Laut LANCOM ist das so völlig in Ordnung.
Das QNAP aus der DMZ mappt ein RemoteOrdner (z.B. per (S)FTP den Fileserver ) und bindet diesen als Lokale Ordner ein und stellt eine
Freigabe zur Verfügung.
Freigabe zur Verfügung.
Hier müsste dann auf den Fileserver (Windows?) ein FTP Server z.B. Filezilla installiert werden?
Ich wusste aber gar nicht, dass das QNAP einen FTP Ordner so mappen kann und dies dann als Freigabe bereitstellen kann.
Nennt sich QNAP HybridMoud.Protokolle CIFS/SMB, NFS, FTP/FTPS oder WebDAV
HybridMount
