darkzonesd
Goto Top

Test DMZ - Test Netzwerk erstellen

Moin zusammen,

ich hatte vor einer Weile mal einen Beitrag geschrieben, indem ich eine Idee für mein Abschlussprojekt meiner FiSi Ausbildung erläutert habe. Nach dem lesen der Kommentare ist mir schnell aufgefallen das es wahrscheinlich nicht die ideal Idee gewesen ist.

Nun habe ich eine neue Idee gehabt ( Juhu ) face-smile

Ich würde gerne eine Test-Umgebung bei uns aufbauen in der wir die wichtigsten Server abbilden, um dort z.B. Firmware Updates, Sicherheitslücken, etc. zu testen. Mir wurde oft gesagt das eine Testumgebung unbedingt nötig ist, man will ja natürlich nicht am PROD System testen.. Mir ist nur noch nicht ganz klar wie man das Umsetzen kann.

Wir haben bei uns noch eine kleine FortiGate Appliance rumliegen die man als Firewallrouter für eine neue Test-DMZ benutzen könnte, auf werkszustand setzen und regeln festlegen. Aber was dann? Wir haben einen alten ESXi Server mit dem man ein paar Server abbilden könnte. Sollten die produktiv Server regelmäßig in das Test-Netz repliziert werden um "Up to Date" zu sein oder einmal Aufsetzen und dann mit den PROD servern zusammen Updaten bei der Serverwartung?

Eventuell muss es ja garkeine DMZ sein, sondern nur abgetrennt vom restlichen Netzwerk, aber mit Internetzugriff..

Mich würde es mal interessieren wie Ihr das bei euch handhabt.

Viele Grüße

Florian

Content-ID: 6153081006

Url: https://administrator.de/contentid/6153081006

Printed on: October 11, 2024 at 15:10 o'clock

NoAiming
NoAiming Sep 27, 2023 at 06:48:13 (UTC)
Goto Top
Hallo DarkZoneSD,

die Idee und der Zweck des Projektes ist gut und hat ein sinnvolles Ziel - da du das Ganze aber als Ziel für dein Abschlussprojekt formulierst, möchte ich hier mal die Definition DMZ angehen.
Man korrigiere mich bitte, sofern ich mich irre - aber wenn ich deine Beschreibung mit dem Vergleiche, was ich als DMZ kenne, dann ist das was du da vor hast am Ende keine DMZ.
Soweit ich es verstanden habe, ist ein wichtiges Merkmal einer DMZ die Bereitstellung von Diensten der Server in der DMZ ins Internet (und LAN). Sofern deine Geräte also nur in einem separaten Netz sind und Internetzugriff haben, erfüllt das m.E.n. nicht die Definition einer DMZ.

Aber wie gesagt, ich lasse mich auch gern eines Besseren belehren.
Viele Grüße,
NoAiming
kpunkt
kpunkt Sep 27, 2023 at 07:25:09 (UTC)
Goto Top
Ich bin mir jetzt auch nicht ganz sicher, wie du das meinst.
Willst du eine komplette Test-Umgebung aufbauen oder willst du eine "zweite DMZ" zu Testzwecken in die vorhandene Struktur basteln?
DarkZoneSD
DarkZoneSD Sep 27, 2023 at 10:24:58 (UTC)
Goto Top
Zitat von @NoAiming:

Hallo DarkZoneSD,
Moin,
Soweit ich es verstanden habe, ist ein wichtiges Merkmal einer DMZ die Bereitstellung von Diensten der Server in der DMZ ins Internet (und LAN). Sofern deine Geräte also nur in einem separaten Netz sind und Internetzugriff haben, erfüllt das m.E.n. nicht die Definition einer DMZ.
deswegen auch der Zusatz:"Eventuell muss es ja garkeine DMZ sein, sondern nur abgetrennt vom restlichen Netzwerk, aber mit Internetzugriff.."
Unter DMZ habe ich im Kopf, ein gesperrter Bereich im LAN der keinen Internetzugriff hat, sämtlicher Traffic ein oder ausgehend muss durch einen Firewallrouter. Der Netzwerkplan ist grottenschlecht und stellt eigentlich auch nicht wirklich dar was ich wollte.. Mein Fehler, ich entferne den mal.

Das Testnetzwerk selber soll nur aus dem IT-Segment des LANs zugänglich sein und (eigentlich) keinen Internetzugang, wie es sich ja auch für eine DMZ gehört.
Aber wie gesagt, ich lasse mich auch gern eines Besseren belehren.
Ebenso face-smile
Viele Grüße,
NoAiming
Gruß

Florian
DarkZoneSD
DarkZoneSD Sep 27, 2023 at 10:26:33 (UTC)
Goto Top
Ich bin mir jetzt auch nicht ganz sicher, wie du das meinst.
Willst du eine komplette Test-Umgebung aufbauen oder willst du eine "zweite DMZ" zu Testzwecken in die vorhandene Struktur basteln?
Eine Test-Umgebung in einem, nur vom IT-Segment, zugänglichen bereich. Ich war mir nur nicht im klaren ob es für eine Test-Umgebung eine DMZ seien muss oder ob man das auch ausschließlich durch VLANs handlen kann.

Grüße
NoAiming
NoAiming Sep 27, 2023 at 13:29:09 (UTC)
Goto Top
Unter DMZ habe ich im Kopf, ein gesperrter Bereich im LAN der keinen Internetzugriff hat,

Nee, eben nicht. Sonst könntest du ja keine Dienste im Internet bereitstellen....

Eine Demilitarisierte Zone (DMZ, auch Demilitarized Zone, Perimeter- oder Umkreisnetzwerk) bezeichnet ein Computernetz mit sicherheitstechnisch kontrollierten Zugriffsmöglichkeiten auf die daran angeschlossenen Server.
Die in der DMZ aufgestellten Systeme werden durch eine oder mehrere Firewalls gegen andere Netze (z. B. Internet, LAN) abgeschirmt. Durch diese Trennung kann der Zugriff auf öffentlich erreichbare Dienste (Bastion Hosts mit z. B. E-Mail, WWW) gestattet und gleichzeitig das interne Netz (LAN) vor unberechtigten Zugriffen von außen geschützt werden.
Der Sinn besteht darin, auf möglichst sicherer Basis Dienste des Rechnerverbundes sowohl dem WAN (Internet) als auch dem LAN (Intranet) zur Verfügung zu stellen.
Ihre Schutzwirkung entfaltet eine DMZ durch die Isolation eines Systems gegenüber zwei oder mehr Netzen.
https://de.wikipedia.org/wiki/Demilitarisierte_Zone_(Informatik)
DarkZoneSD
DarkZoneSD Sep 27, 2023 at 16:51:35 (UTC)
Goto Top
Nee, eben nicht. Sonst könntest du ja keine Dienste im Internet bereitstellen....

Jetzt macht das ganze mehr Sinn.. Danke.

Also könnte man sagen ein rein Vlan basiertes Test-Netzwerk, mit einem zusätzlichen firewallrouter mit eigenen regeln sollte als Test-Netzwerk reichen?

Sprich alles muss durch die kleine Fortigate um in das test-netzwerk zu kommen und die fortigate selbst ist nur durch das IT-Vlan erreichbar..

Also Eth0 an VLan-IT..

So würde das in meinem Kopf Sinn machen. Was meinst Du?

Grüße
NoAiming
Solution NoAiming Sep 28, 2023 at 06:15:16 (UTC)
Goto Top
Moin, ich bin ein sehr visueller Mensch - daher hier mal mit einem von mir erstellten Beispiel erläutert.

dmz_vlan

So könnte deine/eure Umgebung aussehen. Das Beispiel ist im Bezug auf die FWs "simpler" dargestellt für das Verständnis - man kann das auch mit einer Appliance lösen. So erklärt es sich aber besser.

DMZ:
Die Firma XYZ stellt in der DMZ welche sich abgekapselt zwischen den beiden Firewalls befindet Ihren Web-Server mit Diensten und den Mail-Server mit Diensten im Internet zur Verfügung.
Die "blauen" Verbindungen sind dort die ein- und ausgehenden Verbindungen von externen Geräten die z.B. die Website der Firma XYZ aufrufen oder gehostete Postfächer anfragen. Diese können nicht die DMZ verlassen. Externe erreichen nur über granulare Freigaben die Dienste die sie erreichen dürfen. Der Mail- und Web-Server können wiederum kontrolliert Datenverkehr mit dem LAN der Firma XYZ haben (grün u. rosa).

Client LAN:
Die Clients sind über V-LAN von den anderen Netzen getrennt. Zum Beispiel sehen und erreichen diese das "Test LAN" überhaupt nicht. Sie können aber kontrolliert Dienste aus dem "Server LAN" erreichen oder die Server in der DMZ mit gewissen Diensten/Ports ansprechen. Sie können zudem ins Internet.

Server LAN:
Wie Client LAN, nur stärker reglementierter Zugriff auf das Internet durch die FWs.

Test LAN:
Das Test LAN ist massiv abgeschottet. Es erreicht keines der anderen Netze und kann nur (falls nötig) reglementiert ins Internet.

Du würdest in deinem Fall also das VLAN "rot" aufbauen.

MfG
NoAiming
DarkZoneSD
DarkZoneSD Sep 28, 2023 at 19:54:20 (UTC)
Goto Top
Guten Abend,

Danke für die sehr ausführliche Antwort. Das wirkt sehr gut finde ich, an sich kann man ja alle ports sperren und für die testzwecke dann immer temporär frei machen um keine Lücken zu lassen. Das einzige das mich jetzt noch beißt ist wie man die server aufbaut. Eine billige VM Host appliance kaufen und proxmox o.Ä. Drauf spielen und dann die test-server zu gestalten oder auf einer bestehenden appliance einen virtuellen switch einrichten?

Fragen über Fragen die sich auftragen.. Aber ist ja nicht umsonst ein Abschlussprojekt face-smile

Ich werde die VLAN basierte Methode aufjedenfall benutzen und wahrscheinlich über eine zweite Firewall appliance laufen lassen statt auf unserer vorhandenen.

Vielen Dank und Grüße
NoAiming
Solution NoAiming Oct 04, 2023 at 12:06:34 (UTC)
Goto Top
Moin,

nochmal ein Wort zum Inhalt. Mir wurde damals bei meinem Abschlussprojekt nämlich der Rat gegeben den Inhalt nicht ausufern zu lassen. Also je präziser dein Projekt und je abgekapselter es ist, desto weniger Angriffsfläche bietest du den Prüfern auch.

Bei einem Thema/Projekt in dem du so viele Bereiche berührst, musst du auch für diese Bereiche potentiell Rede und Antwort stehen. Sprich, du musst mit Fragen dazu rechnen und dann kann dich der Umfang schon ziemlich erschlagen.

Du eröffnest hier Themen wie z.B.: Netzwerk-Kommunikation, Netzwerk-Verkabelung, virtuelle Netzwerke, Routing, Firewalling auf Port-Ebene und ggf. statefull-Firewalling, Server-Hardware, Virtualisierungs-Hardware, Virtualisierer-Typen (1 und 2) und die Produkte dazu, ggf. noch Windows-Server und wenn du dazu noch irgendwie deine Firmen-Domäne mit ins Spiel bringst, dann lässt es sich auch schnell nach AD, DC und NTFS fragen. Dazu dann noch die typischen Inhalte die du so oder so können musst...
Hast du ggf. einen erfahrenen Betreuer/Ausbildungsleiter an der Hand mit dem du das Ganze nochmal abstecken kannst?
Wenn da jemand mit Erfahrung sagt, dass das passt und du dir nicht zu viel aufbürdest, umso besser.
Viel Erfolg weiterhin.
Gruß
NoAiming
DarkZoneSD
DarkZoneSD Oct 05, 2023 at 15:52:25 (UTC)
Goto Top
Moin nochmal,

erstmal vielen Dank. Ich werde aufjedenfall diesbezüglich auf meinen Ausbilder zukommen.

Komischer weise dachte ich Ursprünglich das das Projekt nicht für eine Abschlussarbeit ausreichen würde.. Hört sich, wenn man das nochmal auflistet, aber eher nach dem Gegenteil an. Ja ich habe aufjedenfall vor mich noch deutlich mit dem Thema außeinander zu setzen und es werden (insofern das Thema akzeptiert wird) bestimmt auch diesbezüglich der ein oder andere Forum Beitrag gepostet face-smile

Weiterhin eine schöne Woche und Grüße

Florian