Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

DMZ Funktionalität mittels Vigor 2920 Multi-VLAN?

Mitglied: derausvoelksen

derausvoelksen (Level 1) - Jetzt verbinden

15.08.2011, aktualisiert 18.10.2012, 6136 Aufrufe, 5 Kommentare

Hallo,

wir planen den Einsatz eines Vigor 2920 im Dual WAN Betrieb.

Wir wollen einen (virtualisierenden) DMZ Host einsetzen, auf dem ein FTP Server, ein IMAP Server und ein OpenVPN Server jeweils separat virtualisiert wird.

Die restlichen Rechner inkl. Domänenkontroller bilden das sogenannte interne Netz.

Sicherheitstechnisch soll aus dem internen Netz die Dienste der DMZ erreichbar sein. Aus der DMZ sollen keine Verbindungen in Richtung internes Netz aufgebaut werden können. Aus dem Internet sollen die Dienste der DMZ erreichbar sein, aber kein Zugang in das interne Netz.

Der Vigor2920 bietet an, einen DMZ Host einzurichten. Dieser steht aber laut Manual weiterhin in internen IP Netz, und bekommt sämtlichen aus dem internet eingehenden Traffic ab. Wird der DMZ Host aber kompromittiert, ist von diesem ein ungehinderter Angriff auf das interne Netz möglich.



Kann man nun unter Einsatz von VLANs genau dieses Sicherheitsloch stopfen? Wenn ich ein VLAN1 (LAN) und VLAN2 (DMZ) definiere und VLAN1 nur auf dem Router Port1 verfügbar mache und VLAN2 nur auf Router Port2, dann dürften diese beiden Ports doch logisch von einander getrennt sein, oder? Was passiert, wenn ich nun an Port1 einen Switch anschließe, der keine VLANs kann?
Eine kommunikation zwischen einem Rechner aus LAN und der DMZ ist dann nur über die externe IP möglich?
Der Router kann selber auch VPN. Dieser VPN soll zu Wartungszwecken genutzt werden (der OpenVPN Server ist nur für Mitarbeiter gedacht). Über den WartungsVPN soll natürlich möglich sein, sowohl in die DMZ als auch in das interne Netz zu gelangen, also in beide VLANs.

Ist diese Konfiguration im Prinzip möglich? Was wäre Einschränkungen?

Danke und Gruß!
Mitglied: sk
15.08.2011 um 19:55 Uhr
Hallo,

die Vigors können derzeit kein VLAN nach 802.1q. Was Draytek als solches bezeichnet, ist eher eine Portisolation.
Wenn Ihr den Virgor noch nicht gekauft habt, dann lasst das besser...

Gruß
sk
Bitte warten ..
Mitglied: aqui
15.08.2011, aktualisiert 18.10.2012
..sk.. Hat es ja schon gesagt. Generell ist deine Denkweise richtig. Allgemein kranken alle sog. "DMZ" bei diesen Routern daran das sei eigentlich gar keine wirklichen DMZ sind sondern nur eine Krücke die lediglich wie eine DMZ arbeiten indem alle nicht zugewiesenen Ports pauschal auf diesen sog. Exposed Host forgewardet werden.
Aus Sicherheits Sicht eine Katastrophe, denn die DMZ ist gar nicht isoliert vom lokalen LAN, da sie im selben physischen IP Segment liegt. Dieses "Scheuentor" nach aussen steht damit im lokalen Netz und birgt die Gefahr eines einfachen Einfallstors für Hacker.
Eher also ein Spielkram für Heimnetze, nichts aber für das was du vorhast.
Der Knackpunkt ist das diesen Routern allen ein separates physisches LAN Segment für eine wirkliche DMZ fehlt. Leider supportet der Draytek wie oben bereits richtig bemerkt KEIN VLAN Support nach 802.1q ! Damit ist auch eine Lösung via VLAN nixht möglich.
Damit scheitert dein Lösungsansatz mit dem Vigor also schon von Grund auf.
Es ist immer besser diese DMZ mit einem Router oder Firewall zu realisieren, die wirkliche einen physischen Port für die DMZ zur Verfügung hat.
Mindestens aber dieses 3te Segemnt mit einer VLAN Funktion realisieren kann.
Ein Beispiel für so eine Firewall findest du hier:
https://www.administrator.de/wissen/preiswerte%2c-vpn-f%c3%a4hige-firewa ...
Für die VLAN Realisierung hier
https://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Die pfSense Variante supportet auch ein Dual WAN Konzept allerdings macht es mehr Sinn das mit einem separaten Router zu lösen !
Bitte warten ..
Mitglied: derausvoelksen
15.08.2011 um 20:51 Uhr
Zitat von aqui:
Der Knackpunkt ist das diesen Routern allen ein separates physisches LAN Segment für eine wirkliche DMZ fehlt. Leider
supportet der Draytek wie oben bereits richtig bemerkt KEIN VLAN Support nach 802.1q ! Damit ist auch eine Lösung via VLAN
nixht möglich.

ist mir nicht ganz klar: außerhalb des vigors benötige ich ja gar keine vlans, dass das vlan tagging des vigors nicht 802.1q konform ist, stört mich also nicht. hauptsache, beachtet seinen eigenen standard und trennt die vlans intern. oder ist das nicht gegeben?

Es ist immer besser diese DMZ mit einem Router oder Firewall zu realisieren, die wirkliche einen physischen Port für die DMZ
zur Verfügung hat.

kennt ihr denn hardware router, die einen vernünftigen DMZ Port bieten? http://www.airlive.com/product/product_3.php?pdid=PD1217409268472 scheint sowas zu können, allerdings kenne ich den Hersteller nicht.
Bitte warten ..
Mitglied: aqui
16.08.2011, aktualisiert 18.10.2012
Der Vigor supportet keine Vlans, auch intern nicht bzw. Das sind dann keine getrennten Vlans im Sinne von Vlans.
Eine gute Hardware die eine physische DMZ supportet findest du Z.B. ,wie bereits mehrfach bemerkt, im obigen Tutorial:
https://www.administrator.de/wissen/preiswerte%2c-vpn-f%c3%a4hige-firewa ...
Bitte warten ..
Mitglied: sk
16.08.2011 um 11:37 Uhr
Zitat von derausvoelksen:
ist mir nicht ganz klar: außerhalb des vigors benötige ich ja gar keine vlans, dass das vlan tagging des vigors nicht
802.1q konform ist, stört mich also nicht. hauptsache, beachtet seinen eigenen standard und trennt die vlans intern. oder ist
das nicht gegeben?
Beim Vigor kannst Du festlegen, welche Ports am internen Switch auf Layer 2 miteinander kommunizieren dürfen. Damit lässt sich selbstverständlich eine Separierung des öffentlich erreichbaren Servers vom übrigen LAN vornehmen. Das Problem ist jedoch, dass dies bidirektional ist und kein differenziertes Regulieren auf Layer 3 und höher (über ein Firewallregelwerk/Accesslisten) möglich ist. Deine Anforderung war jedoch, dass von LAN nach DMZ der Zugriff erlaubt und von der DMZ ins LAN verboten ist. Diese Anforderung lässt sich nur mit einer kleinen Firewall sinnvoll erfüllen.


Zitat von derausvoelksen:
kennt ihr denn hardware router, die einen vernünftigen DMZ Port bieten?
http://www.airlive.com/product/product_3.php?pdid=PD1217409268472 scheint sowas zu können, allerdings kenne ich den
Hersteller nicht.
Zu diesem Produkt und zum Hersteller kann ich nichts sagen - ist mir schlicht unbekannt. Das Produkt als solches mag vielleicht gar nicht schlecht und für Deine Anforderungen passend sein, aber bedenke, dass Du eventuell auch einmal technische Unterstützung benötigst oder sich Firmwarebugs zeigen, die gefixt werden müssen. Die letzte Firmwareaktualisierung für das Gerät stammt von 2009 und eine deutschsprachige Endkundenhotline sucht man gänzlich vergebens! Für mich wäre das ein "no go".

Ich setze je nach Anforderungskatalog und Budget in der Regel entweder Sonicwalls oder ZyWALLs ein. Beiden gemein ist, dass sie sehr intuitive Weboberflächen bieten und es deutschsprachigen Endkundensupport gibt. Sonicwall bietet in Teilbereichen mehr und bessere Funktionen, skaliert deutlich mehr nach oben (Du kannst problemlos 100.000 EUR für eine entsprechend dimensionierte Appliance ausgeben) und ist insgesamt professioneller als Zyxel - jedoch zahlst Du bei Sonicwall auch für alles extra: jede Teilfunktion wird gesondert lizensiert und auch Firmwareupdates und Support gibt es nur bei entsprechenden Servicekontrakten. Zyxel kann funktional nur im unteren Preissegment mithalten. Die richtig großen Geräte haben die gar nicht erst im Programm. Dafür sind bei Zyxel aber die Firmwareupdates kostenlos erhältlich und auch der Support (der übrigens in Deutschland sitzt) ist kostenlos. Selbst bei der Telefonhotline wird man nicht mit teuren Mehrwertnummern abgezockt. Man darf freilich auch nicht die gleichen Know-How-Anforderungen an die Hotline stellen, wie bei Sonicwall. You get what you pay for.
Bei begrenztem Budget ist Zyxel m.E. dennoch eine sehr gute Option. Für Dich wäre nach jetzigem Kenntnisstand Deiner Anforderungen die "ZyWALL USG-50" passend.


Gruß
sk
Bitte warten ..
Ähnliche Inhalte
Switche und Hubs
HP 2920-48G Multi WAN
Frage von evendySwitche und Hubs1 Kommentar

Hallo all. Ich bin etwas am Verzweifeln. Wir haben ein Zweifamilienhaus mit zwei WAN-Zugängen, welche getrennt bleiben sollen aber ...

Router & Routing

Draytek Vigor 2920 VPN Verbindung zu Iphone X

gelöst Frage von XXXsysXXXRouter & Routing6 Kommentare

Hallo, Ich versuche gerade die verschiedensten Möglichkeiten um ein Iphone X mit meinem Draytek router 2920 zu verbinden. Die ...

Sicherheit

PfSense: Vlan Funktionalität ohne Vlan fähigen AP

Frage von sven784230Sicherheit6 Kommentare

Hallo zusammen, mein Problem ist leider eines der komplizierten Sorte, aber ich dachte ich versuche es einfach mal :) ...

Firewall

Sophos UTM DMZ und VLAN

gelöst Frage von DaPeddaFirewall2 Kommentare

Servus, ich habe eine Verständnisfrage: eine DMZ dient vereinfacht dazu einen Host oder eine Gruppe von Client's exponiert ins ...

Neue Wissensbeiträge
Windows Netzwerk
Windows Admin Center - Sagt was ihr braucht!
Tipp von Juanito vor 16 StundenWindows Netzwerk12 Kommentare

Hallo zusammen, der ein- oder andere hat sicherlich schon vom Windows Admin Center gehört. - Microsoft's neue Adminkonsole welche ...

Verschlüsselung & Zertifikate

Bitlocker-Verschlüsselung und -Monitoring ohne MBAM

Tipp von DerWoWusste vor 1 TagVerschlüsselung & Zertifikate

Der Folgende Tipp beschreibt, wie man ohne MBAM die Verschlüsselung erzwingt und monitort. MBAM ist ein Enterprise-Benefit und somit ...

Netzwerkprotokolle
IPv6 Konfiguration von Site-Site-VPN ohne feste IP
Anleitung von lcer00 vor 1 TagNetzwerkprotokolle1 Kommentar

Hallo zusammen, vor einiger Zeit hatte ich hier eine Frage zu dem Thema gepostet: Da war noch etwas offen. ...

Verschlüsselung & Zertifikate
Nutzung von Bitlocker in virtuellen Maschinen
Tipp von DerWoWusste vor 3 TagenVerschlüsselung & Zertifikate3 Kommentare

Vorbetrachtung: Wen sollte das interessieren? Wer virtuelle Maschinen zum Test auf seiner lokalen Festplatte speichert, wird diese nur selten ...

Heiß diskutierte Inhalte
Viren und Trojaner
Viren zu Testzwecken gesucht
Frage von ElHuttiViren und Trojaner20 Kommentare

Hallo, Ich suche zum rumtrollen auf einem alten PC Viren, die: - Keine Komponenten beschädigen - Keine Auswirkungen auf ...

Voice over IP
Andere Rufnummer bei abgehenden Gesprächen vom All-IP-Anschluß der Telekom anzeigen
Frage von vafk18Voice over IP17 Kommentare

Ich möchte bei abgehenden Gesprächen vom All-IP-Anschluß der Telekom meine Handynummer hinterlegen, damit ich Rückrufe jederzeit empfangen kann. Derzeit ...

Monitoring
Empfehlung für Server-Monitoring gesucht
Frage von LordGurkeMonitoring15 Kommentare

Moin, wir sehen uns momentan ein wenig nach einer Alternative zu unserem jetzigen Server-Monitoring um. Getestet habe ich bisher ...

Windows 10
Windows 10 mit CRITICAL PROCESS DIED
Frage von liquidbaseWindows 1013 Kommentare

Das aktuelle Problem was ich habe steht bereits im Threadtitel. Etwas mehr zum Hintergrund soll nun folgen. Problemkind ist ...