118080
Goto Top

DMZ - Fragen für die Praxis

Hi

Ich werde demnächst eine DMZ einrichten. Hierzu habe ich ein paar Fragen für die Praxis:
  • Momentan haben wir auf dem Router einen VPN Server, mit diesem kriegen wir Zugriff auf die Server zur Administration, oder auch um uns durch die Clientapplikation der PBX mit der PBX zu verbinden sowie um auf Dateifreigaben zuzugreifen. Irgendwie bräuchte ich für die Remoteverwaltung der Server (sobald die DMZ steht) via VPN Zugriff ins LAN sowie in die DMZ. Was haltet ihr sicherheitstechnisch davon? face-confused
  • Ausserdem sind die Dateifreigaben auf einem Server im LAN, den ich nicht in die DMZ migrieren kann und auch nicht möchte
  • Sollte ich die PBX in die DMZ packen oder Sie im LAN lassen? Hängt auch ein wenig damit zusammen, in welche Richtung die zwei vorherigen Fragen sich entwickeln.. Eigentlich würde ich sie auf Grund der geöffneten Ports für SIP, RTP etc. in die DMZ nehmen, aber irgendwie kriege ich ein ungutes Bauchgefühl wenn unsere Telefonanlage nachher im Netz steht.

Was meint ihr zu dem ganzen? Wie habt ihr solche/ähnliche Fälle gelöst?

LG Luca

Content-ID: 307084

Url: https://administrator.de/contentid/307084

Ausgedruckt am: 12.11.2024 um 23:11 Uhr

Chonta
Chonta 14.06.2016 um 14:55:18 Uhr
Goto Top
Hallo,

in eine DMZ kommt normalerweise nur das was aus dem Internet erreichbar sein muss bzw. ein Proxy der die Anfrangen aus dem Internet entgegeb nimmt, und das für alle Ports und dann an den Router vom LAN weiterleitet.

Eine PBX ist normal nicht von Außen erreichbar.

Die Frage was erhoffst Du dir von der Implementierung einer DMZ, und wie soll die Implementierung ungeachtet der Serverstandorte ausschauen?

Gruß

Chonta
118080
118080 14.06.2016 um 15:02:29 Uhr
Goto Top
Zitat von @Chonta:
Eine PBX ist normal nicht von Außen erreichbar.
Nicht in dem Sinn wie ein Webserver, aber entweder arbeitet man mit SIP ALG oder mit Portforwarding für SIP, SIP over TLS sowie die RTP Kanäle. Also ist es gegen aussen schon offen...

Die Frage was erhoffst Du dir von der Implementierung einer DMZ, und wie soll die Implementierung ungeachtet der Serverstandorte ausschauen?
Hauptgrund dafür ist ein Webserver, welcher von aussen erreichbar ist. Dieser ist zwar nur für Mitarbeiter da, aber auf diesen Webserver wird von diversen Standorten auch zugegriffen, so das Admins von anderen Firmen die Webadresse finden könnten, etc.

LG Luca
Chonta
Chonta 14.06.2016 um 15:18:13 Uhr
Goto Top
Nicht in dem Sinn wie ein Webserver, aber entweder arbeitet man mit SIP ALG oder mit Portforwarding für SIP, SIP over TLS sowie die RTP Kanäle. Also ist es gegen aussen schon offen...

Stimmt face-smile
Auch dafür gibt es Proxys.

Hauptgrund dafür ist ein Webserver
Proxy.
Ein Linuxserver mit Nginx oder Apache oder was auch immer der die Anfrage für die Webseite auf Port 80/443 annimmt und dann selber als Client die Anfrage an den Server im LAN stellt.
Der Webserver antwortet dem Proxy und der Proxy gibt die Antwort weiter an den Client.

Eine DMZ schützt aber nicht vor Schwachstellen in den Anwendungen die erreichbar sind.
In der Firewall zwischen DMZ und LAN müssen natürlich entsprechende Ports für die Anwendungen erlaubt sein.
Die Server im LAN können so konfiguriert werden das die z.B. keine Anfragen außer vom Proxy akzeptieren.

Jeh nach verwendetem OS kann man noch einiges rumspielen.


Gruß

Chonta
108012
108012 14.06.2016 um 19:30:32 Uhr
Goto Top
Hallo,

Also wenn schon eine DMZ dann nicht nur einrichten sondern auch verteidigen oder absichern
und dann empfiehlt sich der Umstieg von einem Router auf eine Firewall und die Überlegung eines
DMZ Radius Servers und/oder einer IDS/IPS Absicherung. Mitunter bekommt man so etwas auch
schon in Form einer UTM oder NG-Firewall in einem Gerät angeboten. Ist aber auf jeden Fall besser
als nur einen Router ohne Firewallregeln zu benutzen.

- Nur Layer2 Switch als DMZ Switch benutzen
Layer3 Switche können als Router ausgenutzt werden.
- Über einen DMZ Radius Server nachdenken
Man muss dann auf allen LAN Klienten eventuell ein Zertifikat installieren ist aber sicherer.
- Proxy Server einsetzen
Die die eigentlichen Geräte von dem Internet trennen.
- DMZ Snort Sensor oder Server einsetzen
Am besten mit einem integriertem Modem das dann auch per SMS Alarmmeldungen versendet.
- Firewallregeln für WAN - DMZ und LAN - DMZ anlegen.
So das der Zugriff nur von gewissen Benutzern und Bereichen auf gewisse Geräte in der DMZ zugelassen wird.

Sollte ein VPN nicht direkt an der Firewall oder dem Router terminiert werden, sondern an einem VPN Server
sollte dieser immer in einer DMZ stehen und von dort aus der Zugriff auf das LAN erfolgen denn der direkte
Kontakt in das LAN von Internet aus soll ja durch den Einsatz einer DMZ vermieden werden!!!

Gruß
Dobby
118080
118080 15.06.2016 aktualisiert um 09:03:41 Uhr
Goto Top
Zum Thema Proxy an Beide: Dies ist sowieso auch noch ein Thema, aber eine DMZ soll auch her.

Zitat von @108012:
Also wenn schon eine DMZ dann nicht nur einrichten sondern auch verteidigen oder absichern
Das kam evtl. falsch rüber.. Ich würde die DMZ logischweise sicherlicht nicht einfach offen ins Netz stellen. Das steht eine Firewall dazwischen.

und dann empfiehlt sich der Umstieg von einem Router auf eine Firewall und die Überlegung eines
DMZ Radius Servers und/oder einer IDS/IPS Absicherung. Mitunter bekommt man so etwas auch
Ich würde mir liebende gerne eine Sophos UTM zutun. Preislich ist das allerdings ein Problem. Leider...

- Über einen DMZ Radius Server nachdenken
Man muss dann auf allen LAN Klienten eventuell ein Zertifikat installieren ist aber sicherer.
Momentan wäre es nur 1 Server in der DMZ.. Ich sehe den Bedarf bzw. Anwendungsfall noch nicht ganz..

- DMZ Snort Sensor oder Server einsetzen
Am besten mit einem integriertem Modem das dann auch per SMS Alarmmeldungen versendet.
Hier wäre ich persönlich wieder am Punkt UTM angelangt face-confused Ich hätte so gerne eine Sophos..

- Firewallregeln für WAN - DMZ und LAN - DMZ anlegen.
So das der Zugriff nur von gewissen Benutzern und Bereichen auf gewisse Geräte in der DMZ zugelassen wird.
Klar, das ist ja auch logisch.

Sollte ein VPN nicht direkt an der Firewall oder dem Router terminiert werden, sondern an einem VPN Server
sollte dieser immer in einer DMZ stehen und von dort aus der Zugriff auf das LAN erfolgen denn der direkte
Kontakt in das LAN von Internet aus soll ja durch den Einsatz einer DMZ vermieden werden!!!
Der VPN Server liegt auf Router/Firewall.. Kann ich da jetzt den Traffic vom VPN ins LAN öffnen? Klar, wenn das Secret ### ist oder das Zertfikat abhanden kommt, ist das LAN wieder offen, aber das wären ja ganz andere Probleme wo ich mir mal Gedanken machen würde ^^
Chonta
Chonta 15.06.2016 um 09:38:13 Uhr
Goto Top
Der VPN Server liegt auf Router/Firewall.. Kann ich da jetzt den Traffic vom VPN ins LAN öffnen? Klar, wenn das Secret ### ist oder das Zertfikat abhanden kommt, ist das LAN wieder offen, aber das wären ja ganz andere Probleme wo ich mir mal Gedanken machen würde

Wozu dann eine DMZ?
Sinn einer DMZ ist es, wenn der Router/Firewall die den Zugang zum Internet darstellt übernommen wird halt kein Zugang ins LAN erfolgen kann ja die existenz des LAN im bestenfall nichtmal bekannt ist.

Per VPN in die DMZ auf den VPN-Server und der VPN Server kann dann eine Verbindung zum LAN aufbauen.
Diese Verbindung erfolgt dan entweder auch über ein VPN oder schlichtes Routing zum Router/Firewall welche die DMZ vom LAN trennt.

Wenn generell nur ein Router vorhanden ist, der den Zugang zum Internet macht, das Defaultgateway für das LAN ist und noch direkter Router für den DMZ Bereich ist, dann hat man nicht wirklich eine DMZ.
Wen diesen Router knackt hat Zugang zu allem.
DMZ ist halt meh rals nur unterschiedliche IP-Netze für Webdienste und LAN.

Gruß

Chonta
118080
118080 15.06.2016 aktualisiert um 09:53:45 Uhr
Goto Top
Ich habe zwei verschiedene Netze, die an physisch getrennten Ports hängen. Die Kommunikation zwischen diesen Ports blocke ich mittels Firewall. Dies ist schon eine DMZ. In dieser Form realisieren das z.B. auch diverse UTM. Noch eine niedere Form einer DMZ wäre es mittels VLANs zu arbeiten.

So wie ich es realisieren möchte ist es zwar nicht die höchste Form einer DMZ, aber besser als nichts finde ich es alle mal.
Hätte ich ausreichend Firewalls würde ich auch vor und hinter die DMZ je eine Firewall hängen.

Zum Thema wenn der Zugriff auf den Router erfolgt ist alles vorbei:
Wenn ich eine Alarmanlage habe und mich fürchte, dass jemand meine Fernbedienung klaut ist das etwa das selbe Szenario.
Man muss halt Router/Firewall gut schützen.

LG Luca face-smile
Chonta
Chonta 15.06.2016 um 10:15:36 Uhr
Goto Top
Wenn Du das eh schon so hast, wozu die Frage?
Knall alles was Dienste für das Internet bereitstellen soll in dein DMZ Netz und mach eine Portweiterleitung für die Dienste zum entsprechenden DMZ-Server.
Per Firewall erlaubst Du nur Trafik für die benötigten Dienste von DMZ ins LAN und vom LAN in die DMZ.
(Am besten auch nach IP aufgeschlüsselt, PBX kann z.B. kein Http (wenns nicht gebraucht wird)

Fertig

Wennjetzt durch eine Sicherheitslücke der Router gekapert wird, sind DMZ, und LAN gleichermaßen hin, weil die Firewall der SPF ist.
Du kannst deine Sicherheit ggf. nur erhhöhen, in dem in der DMZ z.B. eine Snort IDS (oder was vergleichbares) steht auf die alle Ports gehen, und die dann zu den einzelnen Servern ihren Trafik weiterleitet.
So das die Dienstserver ggf. nichtmal ins Internet kommen, weil die kein Defaultateway für das Internet bekommen.

Gruß

Chonta
118080
118080 15.06.2016 um 10:28:52 Uhr
Goto Top
Genau so hatte ich es vor face-smile
Für mich stellen sich allerdings nach wie vor die folgenden Fragen:
  • PBX in DMZ, ja/nein? Die PBX stellt keine Dienste gegen das Internet bereit, aber es wird doch SIP ALG oder ein Portforwarding für diverse Ports benötigt.
  • VPN Zugriff auf LAN und DMZ erlauben? Wie sieht das sicherheitstechnisch aus? (VPN Server liegt wie bereits erwähnt auf Router/Firewall)

LG Luca
Chonta
Lösung Chonta 15.06.2016 um 10:44:18 Uhr
Goto Top
Sicherheit schaut anders aus face-smile abder schon im DMZ Ansatz.

Wie schaut denn dein VPN Zugriff aus und was soll darüber laufen?
Es gibt VPN da ist man im selben Netz wie in der Firma und es gibt VPN bei denen hat das VPN ein separates VPN Netz.
Ein separater VPN Server in der DMZ zu dem man sich verbindent und von dort dan Routen ins LAN bekommt ggf auch zwei separate VPN, eins für nur DMZ und eins für LAN, kann sicherer sein als eine Lösung auf dem Router.
Es kommt aber auf die Umsetzung des VPN an, schlecht gemacht kann das mit dem separaten Server auch schlechter sein als die Routerlösung.

In deiner Konstruktion ist die DMZ aber technisch gesehen nicht anders als die LAN Zone.
Deine DMZ und LAN Zone hängen am selben Router und haben unterschidlich konfogurierte Firewalleinstellungen.
Wenn die PBX in deiner DMZ steht und zwischen LAN und DMZ für die IP der PBX erlaubt ist könnte eine eine kompromitierte PBX nix imLAN machen weil die kann nur SIP mit dem LAN reden, also wären die Fileserver vor der PBX theoretisch sicher face-smile
Allerdings müsste man die PBX auch erstmal über SIP Kommunikation kapern.

Also ja PBX in der DMZ ist theoretisch sicherer wenns richtig gemacht wird face-smile

Gruß

Chonta
118080
118080 16.06.2016 aktualisiert um 12:00:53 Uhr
Goto Top
Zitat von @Chonta:
Sicherheit schaut anders aus face-smile abder schon im DMZ Ansatz.
Eben, meine Worte face-smile Besser als nichts. Aber DMZ ist es:
Bild

Wie schaut denn dein VPN Zugriff aus und was soll darüber laufen?
Es gibt VPN da ist man im selben Netz wie in der Firma und es gibt VPN bei denen hat das VPN ein separates VPN Netz.
Wie bereits gesagt liegt der VPN Server auf dem Router/Firewall. Ist L2TP over IPsec.
Ich möchte per VPN...
- Zugriff auf die Server zur Verwaltung bekommen (LAN und DMZ)
- Zugriff auf die PBX bekommen, um mich via Client-Applikation zu verbinden (DMZ)
- Zugriff auf eine Dateifreigabe zu bekommen (LAN)

Also ja PBX in der DMZ ist theoretisch sicherer wenns richtig gemacht wird face-smile
Gut face-smile In PBX Foren habe ich gelesen, dass es totaler schwachsinn sei. Die Tatsache, dass dort relativ viele Ports geöffnet werden machte mich aber stutzig..

LG Luca
108012
Lösung 108012 16.06.2016 um 12:50:02 Uhr
Goto Top
Wie bereits gesagt liegt der VPN Server auf dem Router/Firewall. Ist L2TP over IPsec.
Ich möchte per VPN...
- Zugriff auf die Server zur Verwaltung bekommen (LAN und DMZ)
- Zugriff auf die PBX bekommen, um mich via Client-Applikation zu verbinden (DMZ)
- Zugriff auf eine Dateifreigabe zu bekommen (LAN)
Dann sollte man einfach einmal eine VPN Verbindung auf;
- die Firewall oder den Router terminieren und dann kann man auf alles in der DMZ und dem LAN zugreifen
- den VPN Server in der DMZ terminieren und man kann auch dann auf alles im LAN und der DMZ zugreifen

Gut In PBX Foren habe ich gelesen, dass es totaler schwachsinn sei. Die Tatsache, dass dort
relativ viele Ports geöffnet werden machte mich aber stutzig..
Es gibt in der Regel drei Wege dass ganze abzuhandeln;
- Ports öffnen und in der DMZ das Geräte platzieren was erreicht werden soll
- Ports öffnen und den VPN Server in der DMZ platzieren der erreicht werden soll
- VPN direkt an dem Router oder der Firewall terminieren und auf das Gerät in der DMZ oder dem LAN zugreifen

Gruß
Dobby