lcer00
Goto Top

Wozu ist die Fortigate DMZ-Interface-Rolle gut?

Hallo zusammen,

Bei den Fortigate Firewalls gibt es bei der Konfiguration eines Interfaces ein Feld "Rolle" mit den möglichen Eigenschaften WAN, LAN, DMZ und undefined. Ich verstehen nicht ganz, welchen Zweck diese Rollenzuweisung hat. siehe https://docs.fortinet.com/document/fortigate/7.0.11/administration-guide ...
DMZ: Used to connected to the DMZ. When selected, DHCP server and Security mode are not available.
Es wird also der Security-Mode verhindert und der DHCP-Server deaktiviert. Ist das die einzige Funktion? Dann sollte ja kein Unterschied bestehen zwischen einem Interface, das als Rolle=DMZ konfiguriert ist, und einem Interface, das als Roll=LAN mit deaktivieritem DHCP-Server ohne Security-Mode? Das wäre demnach ein eher "Kosmetisches" Feature.

Zusatzfrage: Warum kein DHCP im DMZ?

Grüße

lcer

PS: Was ein DMZ ist, weiß ich, und https://www.fortinet.com/de/resources/cyberglossary/what-is-dmz habe ich auch gelesen.

Content-ID: 7383039146

Url: https://administrator.de/contentid/7383039146

Ausgedruckt am: 24.11.2024 um 12:11 Uhr

Cleanairs
Cleanairs 01.06.2023 um 11:22:29 Uhr
Goto Top
Die Rollenzuweisung bei Fortigate Firewalls dient dazu, die Funktion und Konfiguration eines Interfaces zu definieren und bestimmte Verhaltensweisen festzulegen. Hier ist eine Erläuterung zu den verschiedenen Rollen:

WAN (Wide Area Network): Wenn du ein Interface als WAN konfigurierst, signalisierst du der Firewall, dass es sich um eine Verbindung zum öffentlichen Internet handelt. Dies kann Auswirkungen auf die Standardregeln und Filter haben, die auf dem Interface angewendet werden. Zum Beispiel können bestimmte Arten von Verkehr blockiert oder priorisiert werden.

LAN (Local Area Network): Die Zuweisung einer Rolle als LAN gibt an, dass das Interface mit dem internen Netzwerk verbunden ist. Dies kann spezifische Einstellungen für die Kommunikation innerhalb des lokalen Netzwerks beeinflussen. In der Regel ist der DHCP-Server in dieser Rolle verfügbar, um IP-Adressen automatisch an angeschlossene Geräte zu verteilen.

DMZ (Demilitarized Zone): Eine DMZ ist ein separater Netzwerkbereich, der zwischen dem internen Netzwerk und dem externen Netzwerk (Internet) liegt. Es wird verwendet, um öffentlich zugängliche Dienste zu hosten, während gleichzeitig eine zusätzliche Sicherheitsschicht bereitgestellt wird. Wenn du ein Interface als DMZ konfigurierst, wird der DHCP-Server deaktiviert und bestimmte Sicherheitsfunktionen können aktiviert oder deaktiviert sein, um die Exposition von öffentlich zugänglichen Diensten zu steuern.

Der Unterschied zwischen einem Interface mit der Rolle DMZ und einem Interface mit der Rolle LAN ohne aktivierten DHCP-Server und Security-Modus besteht darin, dass die DMZ-Rolle spezifische Sicherheitsmechanismen bereitstellen kann, um die öffentlich zugänglichen Dienste zu schützen. Es ist nicht nur ein kosmetisches Feature, sondern es ermöglicht eine differenzierte Konfiguration und Kontrolle des Verkehrs in der DMZ.

Warum es standardmäßig keinen DHCP-Server in der DMZ gibt, liegt daran, dass in der DMZ normalerweise öffentlich zugängliche Dienste gehostet werden, für die in der Regel statische IP-Adressen verwendet werden. Das Verwenden eines DHCP-Servers in der DMZ kann potenzielle Sicherheitsrisiken mit sich bringen, da sich die IP-Adressen dynamisch ändern könnten und die Kontrolle über den Zugriff auf die Dienste beeinträchtigt werden könnte. Daher wird empfohlen, in der DMZ statische IP-Adressen zu verwenden, um eine bessere Kontrolle und Sicherheit zu gewährleisten.
lcer00
lcer00 01.06.2023 um 11:34:30 Uhr
Goto Top
Hallo,
Zitat von @Cleanairs:

Der Unterschied zwischen einem Interface mit der Rolle DMZ und einem Interface mit der Rolle LAN ohne aktivierten DHCP-Server und Security-Modus besteht darin, dass die DMZ-Rolle spezifische Sicherheitsmechanismen bereitstellen kann, um die öffentlich zugänglichen Dienste zu schützen. Es ist nicht nur ein kosmetisches Feature, sondern es ermöglicht eine differenzierte Konfiguration und Kontrolle des Verkehrs in der DMZ.
Welche spezifischen Sicherheitsmechanismen wären das denn, die nicht auch bei der Rollenzuweisung "LAN" möglich sind?

Das Einzige was ich sonst noch finde, ist die Filtermöglichkeit im Forward-Protokoll nach Rolle.

Warum es standardmäßig keinen DHCP-Server in der DMZ gibt, liegt daran, dass in der DMZ normalerweise öffentlich zugängliche Dienste gehostet werden, für die in der Regel statische IP-Adressen verwendet werden. Das Verwenden eines DHCP-Servers in der DMZ kann potenzielle Sicherheitsrisiken mit sich bringen, da sich die IP-Adressen dynamisch ändern könnten und die Kontrolle über den Zugriff auf die Dienste beeinträchtigt werden könnte. Daher wird empfohlen, in der DMZ statische IP-Adressen zu verwenden, um eine bessere Kontrolle und Sicherheit zu gewährleisten.
klar, aber muss man das dann gleich komplett ausblenden?

Grüße

lcer
Spirit-of-Eli
Spirit-of-Eli 01.06.2023 um 12:38:16 Uhr
Goto Top
Moin,

ich interpretiere die "Rolle" eher so, dass auf Basis dieser Deklaration Regeln erstellt werden können.
Das müssten dann auch globale Regeln sein.

Eine spezifische Sicherheitsmechanik out of the Box ist mir nicht bekannt. mir fällt auch gerade keine Feature ein, welches da direkt greifen würde.

Gruß
Spirit
Csui8n1
Lösung Csui8n1 01.06.2023 um 18:29:59 Uhr
Goto Top
Hi,

die Rolle ist nur ein Filter für die GUI. Per CLI lassen sich weiterhin alle Einstellungen vornehmen.

Entscheidend ist auch nicht welches der der vorhandenen Interfaces man nutzt. Diese unterscheiden sich nur durch die Anbindung an die CPU/NPU wie hier im Beispiel:

https://docs.fortinet.com/document/fortigate/7.4.0/hardware-acceleration ...

Zum DHCP in der DMZ:
Mir fällt da spontan auch kein Anwendungsfall ein. Der DHCP Dienst vergrößert nur unnötig die Angriffsfläche. Hat @Cleanairs ja schon geschrieben.

Viele Grüße