ajudran
Goto Top

TP-ER5120 DMZ für Webserver

Nabend! face-smile

Ich bin auf der Suche nach einer Lösung für das folgende Problem.

Ich habe am TP-ER5120 (*.10.254) im NAT-Mode einen neuen Internetanschluss (Feste IP) an WAN1 konfiguriert und will einen WebServer (*.10.10) für http/https für das Interne Netz und Internet freigeben.

Momentan befindet sich der WebServer über eine Interne Schnittstelle im Domänennetzwerk und läuft noch über den alten Internetanschluss.

Auf dem WebServer (Windows Server 2003 auf Hyper-V VM) wurden Ausnahmen für die externe Schnittstelle per Windows Firewall auf http (80) und https (443) aktiviert.

Es gibt insgesamt zwei Netze, LAN1 (*.10.0/20) und VOIP1 (*.11.0/24)

Der VM-Host (*.10.2) hat insgesamt zwei VMs:

- Einen SBS 2008, wo der DC, DNS, Exchange 2007, DHCP usw. konfiguriert ist (*.10.1).
- Der WebServer (*.10.10)

Jetzt zu meiner Frage:

Kann ich den VM-Host einfach am DMZ-Port hängen, Public Mode aktivieren und erstelle dann einfach einen neuen Adressbereich für die DMZ, oder benötige ich einen extra Server, der als DMZ-Server fungiert? Kann ich irgend einen Adressbereich nehmen, oder was gibt es hier zu beachten?

Content-ID: 315744

Url: https://administrator.de/forum/tp-er5120-dmz-fuer-webserver-315744.html

Ausgedruckt am: 23.12.2024 um 10:12 Uhr

erhardm
erhardm 20.09.2016 aktualisiert um 22:28:22 Uhr
Goto Top
hallo,

die DMZ sollte ein eigenes netz bekommen zb 10.10.11.0/ 24 dein Firmen Netz 10.10.10.0/24. Als nächstes bekommt die DMZ das VLAN2 dieses konfigurierst du dann im Host für die Netzwerkkarte der VM auf dem der Web Server läuft. Vergiss nicht die Policy DMZ zum Firmennetz in der Firewall zu konfigurieren

Gruß
Moritz

PS: Sollter der Host über mehrere Ethernet Ports verfügen. Kannst du dir natürlich die Geschichte mit dem VLAN ersparen ;).
certifiedit.net
certifiedit.net 20.09.2016 um 22:39:52 Uhr
Goto Top
Warum Server 2003 als Webserver?
Dani
Dani 20.09.2016 um 23:04:09 Uhr
Goto Top
Moin,
es gibt dazu einige Regeln:
1) Nie den gleichen Hypervisor-Host für LAN und DMZ nutzen. Egal ob du separate Netzwerkkarten nutzt oder nicht. Ein "dummer" Bug im Hypervisor-OS und du kannst die Firma dicht machen.
2) Sämtlicher Datenverkehr zwischen LAN und DMZ muss über die Firewall laufen. Mit dem Regelwerk wird im Detail geregelt, von wo nach wo über welchen Port und Protokoll (TCP,UDP) zugegrifffen werden darf. Wobei Regeln von DMZ -> LAN vermieden werden sollten.
3) In der DMZ Betriebssystem und Anwendungen betreiben, für die es noch Aktualsierungen und Patches gibt.


Gruß,
Dani
erhardm
erhardm 20.09.2016 um 23:33:06 Uhr
Goto Top
Zitat von @Dani:

3) In der DMZ Betriebssystem und Anwendungen betreiben, für die es noch Aktualsierungen und Patches gibt.


Ich bin mir nicht sicher ob er punkt 3 verstandet hat. Wissen leider gottes viele Admins noch immer nicht.
https://www.youtube.com/watch?v=UeGflP1D-1E

Warum möchtest du den Web Server überhaut in den eigenen 4 Wänden stehen haben. Angst vor Daten Diebstahl wirst es wohl nicht sein.
ajudran
ajudran 21.09.2016 aktualisiert um 00:02:17 Uhr
Goto Top
Hallo Moritz,

Zitat von @erhardm:

die DMZ sollte ein eigenes netz bekommen zb 10.10.11.0/ 24 dein Firmen Netz 10.10.10.0/24.

Alles klar!

Zitat von @erhardm:
Als nächstes bekommt die DMZ das VLAN2 dieses konfigurierst du dann im Host für die Netzwerkkarte der VM auf dem der Web Server > läuft.

PS: Sollter der Host über mehrere Ethernet Ports verfügen. Kannst du dir natürlich die Geschichte mit dem VLAN ersparen ;).

Ja ich kenne die Einstellung. Sprich die DMZ allein ist kein ausreichender Schutz von Außen auf das Interne Netzwerk, richtig verstanden? Dabei ist das doch die Funktionsweise von NAT und DMZ in public-Mode...oder habe ich da was falsch verstanden?

Warum kann man sich das mit VLAN sparen, wenn der VM-Host über mehrere Ethernet-Ports verfügt?

Wir beschäftigen uns auch mit dem Thema VLAN, wollen aber erst sicherstellen, dass der WebServer innerhalb der DMZ funktioniert. Nach bisherigem Kenntnisstand, soll VLAN ja auch auf Ethernet-Ebene sinnvoll sein...

Zitat von @erhardm:
Vergiss nicht die Policy DMZ zum Firmennetz in der Firewall zu konfigurieren


Von welchen Regeln ist hier an welcher Stelle genau die Rede? Meinst Du in der Windows-Firewall auf dem WebServer (konnte leider bisher noch nichts hierzu finden). Welche Regeln soll ich erstellen?

Danke für deinen Support! face-smile
ajudran
ajudran 21.09.2016 um 00:01:00 Uhr
Goto Top
Ja, den müssen wir unbedingt updaten...welche Version kannst Du empfehlen, kann ich eine Migration machen?
ajudran
ajudran 21.09.2016 um 00:18:05 Uhr
Goto Top
Zitat von @Dani:

3) In der DMZ Betriebssystem und Anwendungen betreiben, für die es noch Aktualsierungen und Patches gibt.


Ich bin mir nicht sicher ob er punkt 3 verstandet hat. Wissen leider gottes viele Admins noch immer nicht.
https://www.youtube.com/watch?v=UeGflP1D-1E

Ja da bin ich absolut auf deiner Seite! Sicherheit ist extrem wichtig. Mein Chef sieht das in diesem Fall nicht so eng . Ich konnte keine Beispiele für Angriffe finden, die ich ihm als quasi Referenz gern gezeigt hätte. Hast Du evtl. Beispiele von Angriffen, die ich meinem Chef zeigen kann, um das zu pushen? :D

Zitat von @erhardm:
Warum möchtest du den Web Server überhaut in den eigenen 4 Wänden stehen haben. Angst vor Daten Diebstahl wirst es wohl nicht sein.

Gute Frage! Was empfiehlst Du mir?! Ich bin noch nicht lange im Unternehmen und soll mehr Netzwerkaufgaben übernehmen, was mich sehr motiviert! Wir sind gerade dabei die aus der Historie gewachsene Struktur zu durchleuchten und zu optimieren.

Alles Step by Step. Da der alte Internetanschluss schon im Oktober ausläuft, ist das Thema mit dem WebServer/DMZ bzw. auch Ext. Mailrouting zu priorisieren.
erhardm
erhardm 21.09.2016 um 00:24:05 Uhr
Goto Top
Ich bin erst seit heute in diesem Forum weil ich selber gerade mit einem Problem zukämpfen habe.
Daher weiß ich nicht wie ich dir helfen kann. Es ist hat sehr fahrlässig an einem Produktiven System zu arbeiten, wenn man wenig davon versteht. Ich hoffe dir helfen folgende link.

http://kompendium.infotip.de/netzwerkkomponenten-firewalls-und-dmz.html

https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen

Gruß
Moritz
ajudran
ajudran 21.09.2016 um 00:53:31 Uhr
Goto Top
Zitat von @Dani:

Moin,
es gibt dazu einige Regeln:
1) Nie den gleichen Hypervisor-Host für LAN und DMZ nutzen. Egal ob du separate Netzwerkkarten nutzt oder nicht. Ein "dummer" Bug im > Hypervisor-OS und du kannst die Firma dicht machen.


Moinsen,

warum muss die Firma gleich dicht gemacht werden, kann man dann nicht erstmal nen Restore machen? face-wink

Was empfiehlst Du uns denn hier?

Zitat von @Dani:
2) Sämtlicher Datenverkehr zwischen LAN und DMZ muss über die Firewall laufen. Mit dem Regelwerk wird im Detail geregelt, von wo nach wo über welchen Port und Protokoll (TCP,UDP) zugegrifffen werden darf.

Der Load-Balancer hat eine integrierte Firewall. Ich habe schon ein paar Regeln mit dem Hersteller-Support erstellt u.a. unter Virtual-Server, die ich hier gerne morgen mal durchgeben kann.

Zitat von @Dani:
Wobei Regeln von DMZ -> LAN vermieden werden sollten.

Klar, das würde sich ja beißen durch den aktiven NAT/DMZ public Mode, siehe http://www.tp-link.com/en/faq-1079.html, richtig?

3) In der DMZ Betriebssystem und Anwendungen betreiben, für die es noch Aktualsierungen und Patches gibt.


Gruß,
Dani
erhardm
erhardm 21.09.2016 um 01:04:16 Uhr
Goto Top
Dein DHCP verteilt doch bestimmt die IP der Standardgateway *10.0."1". Wenn jetzt deine 2te Gateway(neuer Router) die IP *10.0."254" hat, kannst du e nicht in die DMZ Routen. Hast du das bedacht?
ajudran
ajudran 21.09.2016 um 01:05:45 Uhr
Goto Top
Ah okay, und an welchem Problem arbeitest Du gerade? Auf jeden Fall ist ne Testumgebung sinnvoll, aber die muss auch erst mal Budgetmäßig genehmigt und aufgebaut werden.

Das ist kein Thema, für die Links danke ich dir, jede Info ist doch in irgend ner Form hilfreich! face-smile
ajudran
ajudran 21.09.2016 um 01:12:30 Uhr
Goto Top
Der Load-Balancer vergibt keine IPs. Das macht der DHCP auf unserem DC, der samt DNS, Exchange 2007, FileServer, Printserver usw. auf SBS2008 - Basis auch (neben dem WebServer eben) auf dem VM-Host beheimatet ist. Habe ich so bisher auch noch nicht gesehen. Eine Herausforderung die mich sehr motiviert!

P.s.: Ich liebe es, wenn es kompliziert wird! :D
Dani
Dani 22.09.2016 um 20:10:37 Uhr
Goto Top
Moin,
warum muss die Firma gleich dicht gemacht werden, kann man dann nicht erstmal nen Restore machen?
meist spricht das ziemlich schnell um und ist man erstmal in der Presse, wird es schwerer Kunden zu gewinnen und die bisherigen überzeugen, weiterhin der richtige Partner zu sein.

Was empfiehlst Du uns denn hier?
Ganz klar, alle Netzsegmente (LAN, DMZ) auf jeden Fall physikalisch sauber durch Firewalls (ebenfalls physikalisch) trennen.

Der Load-Balancer hat eine integrierte Firewall.
Na dann wird es an einem separaten VM-Host nicht scheitern.

Klar, das würde sich ja beißen durch den aktiven NAT/DMZ public Mode, siehe http://www.tp-link.com/en/faq-1079.html, richtig?
Ich halte davon nichts und solche Modis gibt's auf reinen Firewalls gar nicht. Mit Regeln klar definieren wie was wo und gut ist.


Gruß,
Dani