118080
14.06.2016, aktualisiert um 13:50:33 Uhr
5129
12
0
DMZ - Fragen für die Praxis
Hi
Ich werde demnächst eine DMZ einrichten. Hierzu habe ich ein paar Fragen für die Praxis:
Was meint ihr zu dem ganzen? Wie habt ihr solche/ähnliche Fälle gelöst?
LG Luca
Ich werde demnächst eine DMZ einrichten. Hierzu habe ich ein paar Fragen für die Praxis:
- Momentan haben wir auf dem Router einen VPN Server, mit diesem kriegen wir Zugriff auf die Server zur Administration, oder auch um uns durch die Clientapplikation der PBX mit der PBX zu verbinden sowie um auf Dateifreigaben zuzugreifen. Irgendwie bräuchte ich für die Remoteverwaltung der Server (sobald die DMZ steht) via VPN Zugriff ins LAN sowie in die DMZ. Was haltet ihr sicherheitstechnisch davon?
- Ausserdem sind die Dateifreigaben auf einem Server im LAN, den ich nicht in die DMZ migrieren kann und auch nicht möchte
- Sollte ich die PBX in die DMZ packen oder Sie im LAN lassen? Hängt auch ein wenig damit zusammen, in welche Richtung die zwei vorherigen Fragen sich entwickeln.. Eigentlich würde ich sie auf Grund der geöffneten Ports für SIP, RTP etc. in die DMZ nehmen, aber irgendwie kriege ich ein ungutes Bauchgefühl wenn unsere Telefonanlage nachher im Netz steht.
Was meint ihr zu dem ganzen? Wie habt ihr solche/ähnliche Fälle gelöst?
LG Luca
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 307084
Url: https://administrator.de/contentid/307084
Ausgedruckt am: 26.11.2024 um 20:11 Uhr
12 Kommentare
Neuester Kommentar
Hallo,
in eine DMZ kommt normalerweise nur das was aus dem Internet erreichbar sein muss bzw. ein Proxy der die Anfrangen aus dem Internet entgegeb nimmt, und das für alle Ports und dann an den Router vom LAN weiterleitet.
Eine PBX ist normal nicht von Außen erreichbar.
Die Frage was erhoffst Du dir von der Implementierung einer DMZ, und wie soll die Implementierung ungeachtet der Serverstandorte ausschauen?
Gruß
Chonta
in eine DMZ kommt normalerweise nur das was aus dem Internet erreichbar sein muss bzw. ein Proxy der die Anfrangen aus dem Internet entgegeb nimmt, und das für alle Ports und dann an den Router vom LAN weiterleitet.
Eine PBX ist normal nicht von Außen erreichbar.
Die Frage was erhoffst Du dir von der Implementierung einer DMZ, und wie soll die Implementierung ungeachtet der Serverstandorte ausschauen?
Gruß
Chonta
Nicht in dem Sinn wie ein Webserver, aber entweder arbeitet man mit SIP ALG oder mit Portforwarding für SIP, SIP over TLS sowie die RTP Kanäle. Also ist es gegen aussen schon offen...
Stimmt
Auch dafür gibt es Proxys.
Hauptgrund dafür ist ein Webserver
Proxy.Ein Linuxserver mit Nginx oder Apache oder was auch immer der die Anfrage für die Webseite auf Port 80/443 annimmt und dann selber als Client die Anfrage an den Server im LAN stellt.
Der Webserver antwortet dem Proxy und der Proxy gibt die Antwort weiter an den Client.
Eine DMZ schützt aber nicht vor Schwachstellen in den Anwendungen die erreichbar sind.
In der Firewall zwischen DMZ und LAN müssen natürlich entsprechende Ports für die Anwendungen erlaubt sein.
Die Server im LAN können so konfiguriert werden das die z.B. keine Anfragen außer vom Proxy akzeptieren.
Jeh nach verwendetem OS kann man noch einiges rumspielen.
Gruß
Chonta
Hallo,
Also wenn schon eine DMZ dann nicht nur einrichten sondern auch verteidigen oder absichern
und dann empfiehlt sich der Umstieg von einem Router auf eine Firewall und die Überlegung eines
DMZ Radius Servers und/oder einer IDS/IPS Absicherung. Mitunter bekommt man so etwas auch
schon in Form einer UTM oder NG-Firewall in einem Gerät angeboten. Ist aber auf jeden Fall besser
als nur einen Router ohne Firewallregeln zu benutzen.
- Nur Layer2 Switch als DMZ Switch benutzen
Layer3 Switche können als Router ausgenutzt werden.
- Über einen DMZ Radius Server nachdenken
Man muss dann auf allen LAN Klienten eventuell ein Zertifikat installieren ist aber sicherer.
- Proxy Server einsetzen
Die die eigentlichen Geräte von dem Internet trennen.
- DMZ Snort Sensor oder Server einsetzen
Am besten mit einem integriertem Modem das dann auch per SMS Alarmmeldungen versendet.
- Firewallregeln für WAN - DMZ und LAN - DMZ anlegen.
So das der Zugriff nur von gewissen Benutzern und Bereichen auf gewisse Geräte in der DMZ zugelassen wird.
Sollte ein VPN nicht direkt an der Firewall oder dem Router terminiert werden, sondern an einem VPN Server
sollte dieser immer in einer DMZ stehen und von dort aus der Zugriff auf das LAN erfolgen denn der direkte
Kontakt in das LAN von Internet aus soll ja durch den Einsatz einer DMZ vermieden werden!!!
Gruß
Dobby
Also wenn schon eine DMZ dann nicht nur einrichten sondern auch verteidigen oder absichern
und dann empfiehlt sich der Umstieg von einem Router auf eine Firewall und die Überlegung eines
DMZ Radius Servers und/oder einer IDS/IPS Absicherung. Mitunter bekommt man so etwas auch
schon in Form einer UTM oder NG-Firewall in einem Gerät angeboten. Ist aber auf jeden Fall besser
als nur einen Router ohne Firewallregeln zu benutzen.
- Nur Layer2 Switch als DMZ Switch benutzen
Layer3 Switche können als Router ausgenutzt werden.
- Über einen DMZ Radius Server nachdenken
Man muss dann auf allen LAN Klienten eventuell ein Zertifikat installieren ist aber sicherer.
- Proxy Server einsetzen
Die die eigentlichen Geräte von dem Internet trennen.
- DMZ Snort Sensor oder Server einsetzen
Am besten mit einem integriertem Modem das dann auch per SMS Alarmmeldungen versendet.
- Firewallregeln für WAN - DMZ und LAN - DMZ anlegen.
So das der Zugriff nur von gewissen Benutzern und Bereichen auf gewisse Geräte in der DMZ zugelassen wird.
Sollte ein VPN nicht direkt an der Firewall oder dem Router terminiert werden, sondern an einem VPN Server
sollte dieser immer in einer DMZ stehen und von dort aus der Zugriff auf das LAN erfolgen denn der direkte
Kontakt in das LAN von Internet aus soll ja durch den Einsatz einer DMZ vermieden werden!!!
Gruß
Dobby
Der VPN Server liegt auf Router/Firewall.. Kann ich da jetzt den Traffic vom VPN ins LAN öffnen? Klar, wenn das Secret ### ist oder das Zertfikat abhanden kommt, ist das LAN wieder offen, aber das wären ja ganz andere Probleme wo ich mir mal Gedanken machen würde
Wozu dann eine DMZ?
Sinn einer DMZ ist es, wenn der Router/Firewall die den Zugang zum Internet darstellt übernommen wird halt kein Zugang ins LAN erfolgen kann ja die existenz des LAN im bestenfall nichtmal bekannt ist.
Per VPN in die DMZ auf den VPN-Server und der VPN Server kann dann eine Verbindung zum LAN aufbauen.
Diese Verbindung erfolgt dan entweder auch über ein VPN oder schlichtes Routing zum Router/Firewall welche die DMZ vom LAN trennt.
Wenn generell nur ein Router vorhanden ist, der den Zugang zum Internet macht, das Defaultgateway für das LAN ist und noch direkter Router für den DMZ Bereich ist, dann hat man nicht wirklich eine DMZ.
Wen diesen Router knackt hat Zugang zu allem.
DMZ ist halt meh rals nur unterschiedliche IP-Netze für Webdienste und LAN.
Gruß
Chonta
Wenn Du das eh schon so hast, wozu die Frage?
Knall alles was Dienste für das Internet bereitstellen soll in dein DMZ Netz und mach eine Portweiterleitung für die Dienste zum entsprechenden DMZ-Server.
Per Firewall erlaubst Du nur Trafik für die benötigten Dienste von DMZ ins LAN und vom LAN in die DMZ.
(Am besten auch nach IP aufgeschlüsselt, PBX kann z.B. kein Http (wenns nicht gebraucht wird)
Fertig
Wennjetzt durch eine Sicherheitslücke der Router gekapert wird, sind DMZ, und LAN gleichermaßen hin, weil die Firewall der SPF ist.
Du kannst deine Sicherheit ggf. nur erhhöhen, in dem in der DMZ z.B. eine Snort IDS (oder was vergleichbares) steht auf die alle Ports gehen, und die dann zu den einzelnen Servern ihren Trafik weiterleitet.
So das die Dienstserver ggf. nichtmal ins Internet kommen, weil die kein Defaultateway für das Internet bekommen.
Gruß
Chonta
Knall alles was Dienste für das Internet bereitstellen soll in dein DMZ Netz und mach eine Portweiterleitung für die Dienste zum entsprechenden DMZ-Server.
Per Firewall erlaubst Du nur Trafik für die benötigten Dienste von DMZ ins LAN und vom LAN in die DMZ.
(Am besten auch nach IP aufgeschlüsselt, PBX kann z.B. kein Http (wenns nicht gebraucht wird)
Fertig
Wennjetzt durch eine Sicherheitslücke der Router gekapert wird, sind DMZ, und LAN gleichermaßen hin, weil die Firewall der SPF ist.
Du kannst deine Sicherheit ggf. nur erhhöhen, in dem in der DMZ z.B. eine Snort IDS (oder was vergleichbares) steht auf die alle Ports gehen, und die dann zu den einzelnen Servern ihren Trafik weiterleitet.
So das die Dienstserver ggf. nichtmal ins Internet kommen, weil die kein Defaultateway für das Internet bekommen.
Gruß
Chonta
Sicherheit schaut anders aus abder schon im DMZ Ansatz.
Wie schaut denn dein VPN Zugriff aus und was soll darüber laufen?
Es gibt VPN da ist man im selben Netz wie in der Firma und es gibt VPN bei denen hat das VPN ein separates VPN Netz.
Ein separater VPN Server in der DMZ zu dem man sich verbindent und von dort dan Routen ins LAN bekommt ggf auch zwei separate VPN, eins für nur DMZ und eins für LAN, kann sicherer sein als eine Lösung auf dem Router.
Es kommt aber auf die Umsetzung des VPN an, schlecht gemacht kann das mit dem separaten Server auch schlechter sein als die Routerlösung.
In deiner Konstruktion ist die DMZ aber technisch gesehen nicht anders als die LAN Zone.
Deine DMZ und LAN Zone hängen am selben Router und haben unterschidlich konfogurierte Firewalleinstellungen.
Wenn die PBX in deiner DMZ steht und zwischen LAN und DMZ für die IP der PBX erlaubt ist könnte eine eine kompromitierte PBX nix imLAN machen weil die kann nur SIP mit dem LAN reden, also wären die Fileserver vor der PBX theoretisch sicher
Allerdings müsste man die PBX auch erstmal über SIP Kommunikation kapern.
Also ja PBX in der DMZ ist theoretisch sicherer wenns richtig gemacht wird
Gruß
Chonta
Wie schaut denn dein VPN Zugriff aus und was soll darüber laufen?
Es gibt VPN da ist man im selben Netz wie in der Firma und es gibt VPN bei denen hat das VPN ein separates VPN Netz.
Ein separater VPN Server in der DMZ zu dem man sich verbindent und von dort dan Routen ins LAN bekommt ggf auch zwei separate VPN, eins für nur DMZ und eins für LAN, kann sicherer sein als eine Lösung auf dem Router.
Es kommt aber auf die Umsetzung des VPN an, schlecht gemacht kann das mit dem separaten Server auch schlechter sein als die Routerlösung.
In deiner Konstruktion ist die DMZ aber technisch gesehen nicht anders als die LAN Zone.
Deine DMZ und LAN Zone hängen am selben Router und haben unterschidlich konfogurierte Firewalleinstellungen.
Wenn die PBX in deiner DMZ steht und zwischen LAN und DMZ für die IP der PBX erlaubt ist könnte eine eine kompromitierte PBX nix imLAN machen weil die kann nur SIP mit dem LAN reden, also wären die Fileserver vor der PBX theoretisch sicher
Allerdings müsste man die PBX auch erstmal über SIP Kommunikation kapern.
Also ja PBX in der DMZ ist theoretisch sicherer wenns richtig gemacht wird
Gruß
Chonta
Wie bereits gesagt liegt der VPN Server auf dem Router/Firewall. Ist L2TP over IPsec.
Ich möchte per VPN...
- Zugriff auf die Server zur Verwaltung bekommen (LAN und DMZ)
- Zugriff auf die PBX bekommen, um mich via Client-Applikation zu verbinden (DMZ)
- Zugriff auf eine Dateifreigabe zu bekommen (LAN)
Dann sollte man einfach einmal eine VPN Verbindung auf;Ich möchte per VPN...
- Zugriff auf die Server zur Verwaltung bekommen (LAN und DMZ)
- Zugriff auf die PBX bekommen, um mich via Client-Applikation zu verbinden (DMZ)
- Zugriff auf eine Dateifreigabe zu bekommen (LAN)
- die Firewall oder den Router terminieren und dann kann man auf alles in der DMZ und dem LAN zugreifen
- den VPN Server in der DMZ terminieren und man kann auch dann auf alles im LAN und der DMZ zugreifen
Gut In PBX Foren habe ich gelesen, dass es totaler schwachsinn sei. Die Tatsache, dass dort
relativ viele Ports geöffnet werden machte mich aber stutzig..
Es gibt in der Regel drei Wege dass ganze abzuhandeln;relativ viele Ports geöffnet werden machte mich aber stutzig..
- Ports öffnen und in der DMZ das Geräte platzieren was erreicht werden soll
- Ports öffnen und den VPN Server in der DMZ platzieren der erreicht werden soll
- VPN direkt an dem Router oder der Firewall terminieren und auf das Gerät in der DMZ oder dem LAN zugreifen
Gruß
Dobby