Sicherer Zugriff auf Fileserver aus DMZ?

Mitglied: leon123

leon123 (Level 2) - Jetzt verbinden

10.02.2021, aktualisiert 12:10 Uhr, 567 Aufrufe, 6 Kommentare

Hallo zusammen,

wir haben hier eine "DMZ" (ohne Internet, also genaugenommen ein über eine Application Firewall getrenntes VLAN) in der einige alte Maschinen mit Windows NT und Windows XP stehen. Diese können nicht auf ein neueres Betriebssystem hochgezogen werden müssen aber so weiter laufen. Die Firma welche die Software installieren kann gibt es nicht mehr. Wir arbeiten bei defekten mit Images, das funktioniert seit 8 Jahren gut.

Aber nun zum Thema:

Zwischen der DMZ und dem Hausnetz müssen Werte(Filebasiert) ausgetauscht werden.

Aktuell ist es wie folgt gelöst:
2 QNAPS replizieren die Daten alle 10min über RSYNC (Port 873).
Das Problem ist die Menge der Daten bekomme ich in der Zeit manchmal nicht mehr hin. Es sind extrem viele kleine Dateien (unter 1kb). 10 min sind aber eigentlich schon zu lang.

Einen direkten Zugriff über SMB möchte ich auch nicht machen.

Ich hab jetzt irgendwie keine Idee wie ich das besser machen könnte.
Habt ihr mir einen Tipp?

Vielen Dank,
Grüße
Leon
Mitglied: tech-flare
10.02.2021, aktualisiert um 12:57 Uhr
Aktuell ist es wie folgt gelöst:
2 QNAPS replizieren die Daten alle 10min über RSYNC (Port 873).
Was für QNAP? Wie bestückt? Mit SSD oder HDD? 1Gbit? 10Gbit? Direkt verbunden?

Ich hab jetzt irgendwie keine Idee wie ich das besser machen könnte.
Du kannst ein paar Details zu den QNAP nennen .

Was auch denkbar wäre, aber ziemliche Schusterei ist.

Das QNAP aus der DMZ mappt ein RemoteOrdner (z.B. per (S)FTP den Fileserver ) und bindet diesen als Lokale Ordner ein und stellt eine Freigabe zur Verfügung.

In der Firewall kannst du ja dann nur eine Freigabe für (S)FTP für das QNAP machen.

Fileserver --> FTP o.ä | Firewall | --> FTP o.ä ---> QNAP

Grüße
Gruß
Bitte warten ..
Mitglied: em-pie
10.02.2021 um 12:51 Uhr
Moin,

als in einer DMZ sagt man ja, dass man immer vom LAN auf die DMZ Zugreifen kann/ darf aber niemals andersherum.
Jetzt hast du zwar keine klassische DMZ, wie es in der Allgemeinheit definiert ist, sondern eigentlich ja eher einen Bereich, der im LAN besonders geschützt ist.

Wie wäre es, wenn du in der DMZ ein Share bereitstellst und aus dem LAN heraus zum Share ein Netzlaufwerk mappst.
Allerdings landen die Daten so "ungefiltert" im LAN, außer, auf dem "Server" in der DMZ werden die Daten per AV-Software geprüft...

Der, der die Daten hält, kann ja auch (weiterhin) ein NAS sein. oder ein RPi, oder oder ...
Bitte warten ..
Mitglied: leon123
10.02.2021, aktualisiert um 13:52 Uhr
Du kannst ein paar Details zu den QNAP nennen .

Das QNAP ist nix besonderes, ein TS-431P2 mit 3x2TB Raid 5


Was auch denkbar wäre, aber ziemliche Schusterei ist.
Ja stimmt aber hört sich interessant an.


Das QNAP aus der DMZ mappt ein RemoteOrdner (z.B. per (S)FTP den Fileserver ) und bindet diesen als Lokale Ordner ein und stellt eine
Freigabe zur Verfügung.

Hier müsste dann auf den Fileserver (Windows?) ein FTP Server z.B. Filezilla installiert werden?

Ich wusste aber gar nicht, dass das QNAP einen FTP Ordner so mappen kann und dies dann als Freigabe bereitstellen kann.



Wie wäre es, wenn du in der DMZ ein Share bereitstellst und aus dem LAN heraus zum Share ein Netzlaufwerk mappst.
Allerdings landen die Daten so "ungefiltert" im LAN, außer, auf dem "Server" in der DMZ werden die Daten per AV-Software geprüft...

Das macht mir eben sorgen. Gut wenn eine Datei einen Virus intus hat und die Datei wird geöffnet, dann kann ich auch AKTUELL nur hoffen dass der Trend Micro auf dem Client PC im Hausnetz den Virus erkennt.

Ich erhoffe mir halt durch das nicht nutzen von SMB, mir diese Viren von den Maschinen fernzuhalten.
Bitte warten ..
Mitglied: em-pie
10.02.2021 um 14:18 Uhr
Was sind das denn für Systeme und wie kann Schadsoftware dort hineingelangen?
Zugriff aufs Internet ist ja nicht vorhanden?
Bleiben also nur USB-Sticks oder ähnliches...



Und mit opbigen Szenario via rsync oder SFTP umgehst du das Problem nicht. da wird da die Schadsoftware mit synchronisiert.
Stelle in die DMZ einen Share bereit (aktueller Windows oder Unix-Server) der eine AV-Engine hat. deine ollen Clients speichern die Daten dort direkt ab. Die AV-Lösung scannt die Daten in Echtzeit und aus dem LAN heraus kannst du direkt zugreifen.

Ansonsten musst du halt den FileStream durch einen AV-Scanner in der Firewall scannen lassen.
Das würde gehen, wenn die Daten im LAN via FTP vom Share in der "DMZ" abgeholt werden...

Gruß
Bitte warten ..
Mitglied: wieoderwas
11.02.2021 um 08:49 Uhr
Wir haben eine ähnliche Konstellation.

Ein REST-Server steht in der DMZ und ist in einem eigenem VLAN von den anderen Netzen getrennt.

Der REST-Server muss Informationen aus dem ERP ziehen. Aus diesem Grund gibt es eine NFS Freigabe auf dem ERP Server und wir haben eine Firewallregel eingestellt, dass der REST-Server auf das ERP System zugreifen kann. Laut LANCOM ist das so völlig in Ordnung.
Bitte warten ..
Mitglied: tech-flare
11.02.2021, aktualisiert um 14:01 Uhr
Das QNAP aus der DMZ mappt ein RemoteOrdner (z.B. per (S)FTP den Fileserver ) und bindet diesen als Lokale Ordner ein und stellt eine
Freigabe zur Verfügung.

Hier müsste dann auf den Fileserver (Windows?) ein FTP Server z.B. Filezilla installiert werden?
FTP Server gibt es als Windows Feature. Dafür brauchst du kein FileZilla

Ich wusste aber gar nicht, dass das QNAP einen FTP Ordner so mappen kann und dies dann als Freigabe bereitstellen kann.
Nennt sich QNAP HybridMoud.

Protokolle CIFS/SMB, NFS, FTP/FTPS oder WebDAV
HybridMount
Bitte warten ..
Heiß diskutierte Inhalte
Exchange Server
0-day Exploit Chain für Exchange Server - Patches verfügbar
kgbornVor 1 TagInformationExchange Server6 Kommentare

Zur Info: Microsoft warnt vor einer Exploit-Chain, bei der vier 0-day-Schwachstellen für gezielte Angriffe auf Exchange per Outlook Web App kombiniert werden (eine chines. ...

HTML
Ich brauche dringend Hilfe !
gelöst JulianpustVor 15 StundenFrageHTML16 Kommentare

Hallo erstmal, ich habe großen Mist gebaut in der Firma wo ich gerade mal 2 Tage arbeite. Was ist passiert: Ich sollte von Gmail ...

Windows 10
Windows 10 schickt lokale Anfragen an das Gateway - was tun?
gelöst runthegaunzVor 1 TagFrageWindows 1015 Kommentare

Hallo! Ich bin vor ein paar Tagen wieder von Linux auf Windows umgestiegen. Ich hab die Windows 10 Version 20H2 installiert, wurde von Windows ...

Switche und Hubs
23 Cisco Switch einrichten - Wie am einfachsten?
gelöst Freak-On-SiliconVor 1 TagFrageSwitche und Hubs18 Kommentare

Hallo; Ich habe hier 4stk Cisco SX350X-24 9Stk Cisco SG350X-48P 10Stk Cisco SG350X-48 Diese werden aufgeteilt auf 9 Racks, und ersetzen alte HP Switches. ...

Exchange Server
Aktuelle Exchange Sicherheitslücke
jojo0411Vor 1 TagAllgemeinExchange Server11 Kommentare

Hallo Leute, Momentan gibt es da wieder einmal ein schönes neues Thema. Sehe ich das richtig das ich mit Exchange 2016 und CU 19 ...

Hardware
Fritzbox 7590 ändert selbständig die FTP-Adresse nach ca. 24h
Wicky1Vor 1 TagFrageHardware15 Kommentare

Hallöchen, ich habe da ein sehr kurioses Problemchen mit meiner Fritzbox. Doch erst mal eine kurze Beschreibung des Aufbaus: - Fritzbox 7590 (1&1 Edition) ...

Netzwerke
Smarthome Heimnetzwerk absichern
hell.wienVor 1 TagFrageNetzwerke12 Kommentare

Hallo. Ich mach mir gerade gedanken wie ich meine neue Wohnung sicher mache Überischthalber zur Hardware: Vorhanden: Modem APU4D4 Cisco SG250X-24P Mikrotik cAP ac ...

Windows Server
Windows Firewall: Alle öffentliche IPs sperren bis auf eine
SabSchapVor 1 TagFrageWindows Server7 Kommentare

Hallo, wir haben einen Windows 2019 Server. Wir nutzen diesen als Webserver. Nun haben wir die Webadresse www.test.de und möchten diese für alle öffentlichen ...