leon123
Goto Top

Sicherer Zugriff auf Fileserver aus DMZ?

Hallo zusammen,

wir haben hier eine "DMZ" (ohne Internet, also genaugenommen ein über eine Application Firewall getrenntes VLAN) in der einige alte Maschinen mit Windows NT und Windows XP stehen. Diese können nicht auf ein neueres Betriebssystem hochgezogen werden müssen aber so weiter laufen. Die Firma welche die Software installieren kann gibt es nicht mehr. Wir arbeiten bei defekten mit Images, das funktioniert seit 8 Jahren gut.

Aber nun zum Thema:

Zwischen der DMZ und dem Hausnetz müssen Werte(Filebasiert) ausgetauscht werden.

Aktuell ist es wie folgt gelöst:
2 QNAPS replizieren die Daten alle 10min über RSYNC (Port 873).
Das Problem ist die Menge der Daten bekomme ich in der Zeit manchmal nicht mehr hin. Es sind extrem viele kleine Dateien (unter 1kb). 10 min sind aber eigentlich schon zu lang.

Einen direkten Zugriff über SMB möchte ich auch nicht machen.

Ich hab jetzt irgendwie keine Idee wie ich das besser machen könnte.
Habt ihr mir einen Tipp?

Vielen Dank,
Grüße
Leon

Content-ID: 650182

Url: https://administrator.de/forum/sicherer-zugriff-auf-fileserver-aus-dmz-650182.html

Ausgedruckt am: 26.12.2024 um 12:12 Uhr

tech-flare
tech-flare 10.02.2021 aktualisiert um 12:57:27 Uhr
Goto Top
Aktuell ist es wie folgt gelöst:
2 QNAPS replizieren die Daten alle 10min über RSYNC (Port 873).
Was für QNAP? Wie bestückt? Mit SSD oder HDD? 1Gbit? 10Gbit? Direkt verbunden?

Ich hab jetzt irgendwie keine Idee wie ich das besser machen könnte.
Du kannst ein paar Details zu den QNAP nennen .

Was auch denkbar wäre, aber ziemliche Schusterei ist.

Das QNAP aus der DMZ mappt ein RemoteOrdner (z.B. per (S)FTP den Fileserver ) und bindet diesen als Lokale Ordner ein und stellt eine Freigabe zur Verfügung.

In der Firewall kannst du ja dann nur eine Freigabe für (S)FTP für das QNAP machen.

Fileserver --> FTP o.ä | Firewall | --> FTP o.ä ---> QNAP

Grüße
Gruß
em-pie
em-pie 10.02.2021 um 12:51:19 Uhr
Goto Top
Moin,

als in einer DMZ sagt man ja, dass man immer vom LAN auf die DMZ Zugreifen kann/ darf aber niemals andersherum.
Jetzt hast du zwar keine klassische DMZ, wie es in der Allgemeinheit definiert ist, sondern eigentlich ja eher einen Bereich, der im LAN besonders geschützt ist.

Wie wäre es, wenn du in der DMZ ein Share bereitstellst und aus dem LAN heraus zum Share ein Netzlaufwerk mappst.
Allerdings landen die Daten so "ungefiltert" im LAN, außer, auf dem "Server" in der DMZ werden die Daten per AV-Software geprüft...

Der, der die Daten hält, kann ja auch (weiterhin) ein NAS sein. oder ein RPi, oder oder ...
leon123
leon123 10.02.2021 aktualisiert um 13:52:38 Uhr
Goto Top
Du kannst ein paar Details zu den QNAP nennen .

Das QNAP ist nix besonderes, ein TS-431P2 mit 3x2TB Raid 5


Was auch denkbar wäre, aber ziemliche Schusterei ist.
Ja stimmt aber hört sich interessant an.


Das QNAP aus der DMZ mappt ein RemoteOrdner (z.B. per (S)FTP den Fileserver ) und bindet diesen als Lokale Ordner ein und stellt eine
Freigabe zur Verfügung.

Hier müsste dann auf den Fileserver (Windows?) ein FTP Server z.B. Filezilla installiert werden?

Ich wusste aber gar nicht, dass das QNAP einen FTP Ordner so mappen kann und dies dann als Freigabe bereitstellen kann.


Wie wäre es, wenn du in der DMZ ein Share bereitstellst und aus dem LAN heraus zum Share ein Netzlaufwerk mappst.
Allerdings landen die Daten so "ungefiltert" im LAN, außer, auf dem "Server" in der DMZ werden die Daten per AV-Software geprüft...

Das macht mir eben sorgen. Gut wenn eine Datei einen Virus intus hat und die Datei wird geöffnet, dann kann ich auch AKTUELL nur hoffen dass der Trend Micro auf dem Client PC im Hausnetz den Virus erkennt.

Ich erhoffe mir halt durch das nicht nutzen von SMB, mir diese Viren von den Maschinen fernzuhalten.
em-pie
em-pie 10.02.2021 um 14:18:05 Uhr
Goto Top
Was sind das denn für Systeme und wie kann Schadsoftware dort hineingelangen?
Zugriff aufs Internet ist ja nicht vorhanden?
Bleiben also nur USB-Sticks oder ähnliches...


Und mit opbigen Szenario via rsync oder SFTP umgehst du das Problem nicht. da wird da die Schadsoftware mit synchronisiert.
Stelle in die DMZ einen Share bereit (aktueller Windows oder Unix-Server) der eine AV-Engine hat. deine ollen Clients speichern die Daten dort direkt ab. Die AV-Lösung scannt die Daten in Echtzeit und aus dem LAN heraus kannst du direkt zugreifen.

Ansonsten musst du halt den FileStream durch einen AV-Scanner in der Firewall scannen lassen.
Das würde gehen, wenn die Daten im LAN via FTP vom Share in der "DMZ" abgeholt werden...

Gruß
ingrimmsch
ingrimmsch 11.02.2021 um 08:49:47 Uhr
Goto Top
Wir haben eine ähnliche Konstellation.

Ein REST-Server steht in der DMZ und ist in einem eigenem VLAN von den anderen Netzen getrennt.

Der REST-Server muss Informationen aus dem ERP ziehen. Aus diesem Grund gibt es eine NFS Freigabe auf dem ERP Server und wir haben eine Firewallregel eingestellt, dass der REST-Server auf das ERP System zugreifen kann. Laut LANCOM ist das so völlig in Ordnung.
tech-flare
tech-flare 11.02.2021 aktualisiert um 14:01:14 Uhr
Goto Top
Das QNAP aus der DMZ mappt ein RemoteOrdner (z.B. per (S)FTP den Fileserver ) und bindet diesen als Lokale Ordner ein und stellt eine
Freigabe zur Verfügung.

Hier müsste dann auf den Fileserver (Windows?) ein FTP Server z.B. Filezilla installiert werden?
FTP Server gibt es als Windows Feature. Dafür brauchst du kein FileZilla

Ich wusste aber gar nicht, dass das QNAP einen FTP Ordner so mappen kann und dies dann als Freigabe bereitstellen kann.
Nennt sich QNAP HybridMoud.

Protokolle CIFS/SMB, NFS, FTP/FTPS oder WebDAV
HybridMount