Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Ist meine im Netzplan dargestellte DMZ auch wirklich eine DMZ?

Mitglied: Saiteck2009

Saiteck2009 (Level 1) - Jetzt verbinden

05.11.2014, aktualisiert 06.11.2014, 5272 Aufrufe, 17 Kommentare, 1 Danke

Hallo,

ich befasse mich momentan mit Firewalls und der DMZ.

Auf diesem Netzplan ist eine DMZ. Ich bin mir nicht sicher ob das korrekt ist. Die 2 Server innerhalb der DMZ sind durch die pfSense und Router Firewall geschützt.
nur manche Rechner bzw. Ports sind geöffnet, um ausgewählte Dienste innerhalb der DMZ nutzen zu können.

Vielen Dank im Vorraus!

08cd997ee998c4ac0f74c6e4eb0513b0 - Klicke auf das Bild, um es zu vergrößern
Mitglied: orcape
05.11.2014, aktualisiert um 14:06 Uhr
Hi,
was soll eigentlich hier unklar sein.
Ich gehe mal im Netz 10.10.10.0/24 von einem Router aus, der NAT macht und eine Firewall hat.
Dann trennt die pfSense klar zum 2. Netz 172.17.178.0/24.
Die 2 Server innerhalb der DMZ sind durch die pfSense und Router Firewall geschützt.
..durch Router Firewall Ok., wohl aber nicht durch die pfSense.
Gruß orcape
Bitte warten ..
Mitglied: schmitzi
LÖSUNG 05.11.2014, aktualisiert 06.11.2014
Hi,

sieht doch ganz gut aus.

Die PFsense "schützt" das LAN vor Übergriffen aus der DMZ, falls diese anderweitig kompromittiert wird.
( indem Du NUR die Ports/Protokolle in die DMZ schickst, die dort wirklich benötigt werden.
Damit kommt viel Müll & alles andere in der DMZ erst gar nicht an.)

Umgekehrt ist die DMZ so auch vor dem eigenenen LAN "geschützt".

Der "Schutz" schützen aber nur insofern, als dass Du nur den wirklich in der DMZ benötigten den Datenverkehr durchlässt.
Die Produkte, die auf diesen DMZ-Servern/Ports laufen (WebServer u.ä.), müssen natürlich nach wie vor in sich "abgesichert" sein,
d.h. zB alle Patches müssen eingepflegt werden, Virenscanner wie gehabt, lokale zB Win-Firewall usw.

Die DMZ würde ich optisch nur nicht ZWISCHEN Router & PFsense darstellen,
sondern "seitlich" AN der PFsense, diese hat ja dazu die eigene, 2. LAN-Karte,
welchjenige selbige DMZ begründet.

Gruss RS
Bitte warten ..
Mitglied: mrmomba
LÖSUNG 05.11.2014, aktualisiert 06.11.2014
@schmitzi du schreibst, dass das DMZ NEBEN der PFSENSE gemalt werden soll, das ist in diesem Beispiel falsch.
Das würde bedeuten, dass er 3 Lankarten am Server haben muss.

So wie das jetzt ist nutzt er tatsächlich zwei Geräte dann machen auch 2 Netzwerkanschlüsse Sinn.
DMZ
LAN

lt. Deiner Beschreibung müssen es 3 sein wenn er es anders malt.
DMZ
LAN
WAN
(Diese Methode würde ich auch bevorzugen - jedoch hat alles Vor- und Nachteile)
Bitte warten ..
Mitglied: Saiteck2009
05.11.2014, aktualisiert um 16:03 Uhr
Eigentlich ist es so:

Die pfSense Firewall hat 2 Netzwerkkarten. Eine WAN und LAN Karte. Das komplette Netzwerk stellt ein Gastnetz dar. Somit können sich Gäste über einen Authentifizierungsserver (innerhalb der DMZ) authentifizieren und im Internet Serven.

Der Router schützt mein Netzwerk vor zugriffen von außen. PfSense schützt meine Server in der DMZ vor ungewünschten Zugriffen aus dem LAN.

pfSense hat 2 Firewalls. Eine für die LAN und eine für die WAN Seite meines Netzwerks. LAN Firewall schaut sich die Daten aus dem (Gastnetz) LAN an. Die WAN Firewall logischerweise die Daten aus dem WAN.

Vielen Dank für eure Antworten!!! Ihr habt mir sehr geholfen.

grüße
Bitte warten ..
Mitglied: schmitzi
05.11.2014 um 16:55 Uhr
Zitat von mrmomba:

@schmitzi du schreibst, dass das DMZ NEBEN der PFSENSE gemalt werden soll, das ist in diesem Beispiel falsch.
Das würde bedeuten, dass er 3 Lankarten am Server haben muss.


jaaaa stimmt, wer lesen kann ist klar im Vorteil :o)
dann ist die Zeichnung natürlich OK

Gruss
RS
Bitte warten ..
Mitglied: Hyper-V
05.11.2014 um 17:30 Uhr
Hallo,

Wo sollen sich denn die Gäste mit dem Netzwerk verbinden? Im Arbeitsplatz/Servernetzwerk? Dann bringt die ganze DMZ nichts..

Müssen Server und Arbeitsplätze im selben Netz sein? Oder verstehe ich das ganze falsch?


Viele Grüße,

Hyper-V
Bitte warten ..
Mitglied: aqui
LÖSUNG 05.11.2014, aktualisiert 06.11.2014
Ganz klar nein !
Eine DMZ ist ein isoliertes Segment mit eigenen FW Regeln. Das ist bei dir explizit nicht der Fall, denn das ist bei dir nur ein Transfer Netz zw. Router und Firewall aber ganz sicher keine DMZ im Sinne einer wirklichen DMZ. Vergiss das also besser schnell...!

Die erste Designgrafik hier:
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Im Kapitel: "Die Internet Anbindung und Betrieb" zeigt eine "richtige" DMZ. Dafür benötigst du mindestens 3 Interfaces !
Bitte warten ..
Mitglied: orcape
LÖSUNG 06.11.2014, aktualisiert um 09:45 Uhr
Ganz klar nein !
..na ganz so knallhart würde ich das nicht ausdrücken, sonst würdest Du Dir ja hier in Alternative 2 selbst wiedersprechen.
https://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ...
Ich würde eher sagen, eine "DMZ für Arme", kommt natürlich auch auf die eingesetzte Hardware am 1. Router an, ob das sinnvoll ist, oder nicht.
Du hast aber natürlich recht, das eine pfSense mit 3 NIC´s, ordentlich konfiguriert hier sinnvoller wäre.
So ein Szenario, wie vom TO geplant, kann man bei 2 SoHo-Routern anwenden, wenn nichts besseres zur Verfügung steht.
@Saiteck2009
Wenn machbar, baue eine 3.NIC in den pfSense ein, mach am 1 Router wenn möglich pppoE-Passthrough und den Rest überlasse der pfSense, denn die ist dafür gemacht.
Gruß orcape
Bitte warten ..
Mitglied: Saiteck2009
06.11.2014 um 09:47 Uhr
vielen dank !! =)
Bitte warten ..
Mitglied: mrmomba
LÖSUNG 06.11.2014, aktualisiert um 18:53 Uhr
Naja DMZ für Arme auch nicht.
Es ist einfach durch die Routerkaskade eine "kaskadierte DMZ"
(Und leider immer noch in der Berufsschule oft 'genutzt' )

Über Sinn und Unsinn kann man streiten.
Hat halt alles vor und Nachteile.

Dennoch frage ich mich, warum soviele Server im Gästelan und ein so "umständliches" gästelan überhaupt aufgebaut wird.
Bitte warten ..
Mitglied: Saiteck2009
06.11.2014, aktualisiert um 19:31 Uhr
Da ich dies für mein Abschlussprojekt brauche, werde ich nun eine 3te Karte in den pfSense Rechner einbauen für die DMZ. Erscheint mir persönlich die bessere Lösung und vermeidet hoffentlich schwierige Fragen.
Der Netzplan oben war nicht der Originialplan, da ich angst habe mit einem Prüfer probleme zu bekommen, wenn ich hier etwas über mein Projekt poste....
Bitte warten ..
Mitglied: aqui
LÖSUNG 07.11.2014, aktualisiert um 10:59 Uhr
Über Sinn und Unsinn kann man streiten.
Eigentlich nicht wirklich, denn ein richtige DMZ im Sinne einer DMZ ist so ein Kaskaden Konstrukt niemals !
Die ct' beschreibt es ja auch deshalb treffend als DMZ des kleinen Mannes in dem Sinne das es für ein Heimnetzwerk von Oma Grete gerade tolerabel ist. In einem professionellen Umfeld (und gerade bei einer Prüfung / Projekt) ist das natürlich ein NoGo !!

Die Lösung mit der 3er Karte oder 3 NICs ist auf alle Fälle richtig und entspricht auch dem was bei korrekten Designs gemacht wird.
Alles weitere findest du hier und in den weiterführenden Links:
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Bitte warten ..
Mitglied: Saiteck2009
07.11.2014 um 11:04 Uhr
Der meinung bin ich auch! Ich habe mein Projekt nun umgebaut und eine Netzwerkkarte eingebaut und den RADIUS-Server incl. Switch damit verbunden. Auf einmal musste ich die iptables ausschalten damit die Authentifikation funktioniert (was logisch ist). Vorher ging es auch seltsamerweise ohne deaktivierte iptable Firewall :/.

Hauptsache mein Projekt ist nun sauber aufgebaut und funktioniert!!

Danke vielmals für eure Unterstützung
Bitte warten ..
Mitglied: aqui
07.11.2014, aktualisiert um 11:17 Uhr
iptables auf dem Radius Server lokal meinst du sicher, oder ? Die FW hat ja keine iptables !
Das ist aber klar da da ja eingehende Radius Requests am Server ankommen. Wenn die iptables alles blocken was von aus reinkommt ist das normales Verhalten. Macht jede lokale Firewall so egal ob iptables, Winblows, OS-X.
Bitte warten ..
Mitglied: mrmomba
07.11.2014, aktualisiert um 12:16 Uhr
Ich bin auch kein Fan von Kaskadierten DMZs *ich gehe mir den Mund waschen*
Wird aber in den Berufsschulen noch gelehrt. Oder zu meiner Zeit als alternative IP-COP.
(Und es gab sogar Prüfungsfragen zu dem Thema - wenn ich mich recht Entsinne. Es sollten meine Ich die Vorteile aufgezählt werden)

Da ich aber ein großer Fan von Aqui und seinen Tut's bin, stimme ich Ihm zu. (Und weil er schlicht recht hat)

Magst du anreißen, was dein Projekt machen soll?
Bitte warten ..
Mitglied: Saiteck2009
07.11.2014 um 12:49 Uhr
Mein Auftrag ist es die Gäste vom Mitarbeiter-netz fernzuhalten und einen Internetzugang zu ermöglichen. Dazu hab ich mit einem VLAN die Netze logisch voneinander getrennt. Also VLAN 1 = Gastnetz ----- Default VLAN = Mitarbeiternetz. im oberen Stockwerk gibt es nun zwei Switche. Switch 1 ist über LWL im VLAN1 verbunden. auf Ihm hab ich alle Gästezimmer aufgelegt. Der 2te Switch ist im Default VLAN und alle Mitarbeiterbüros sind mit ihm verbunden.
Natürlich befindet sich dann die pfSense Firewall auch im VLAN 1.
Bitte warten ..
Mitglied: aqui
07.11.2014, aktualisiert um 15:55 Uhr
Wird aber in den Berufsschulen noch gelehrt.
Oha...armes Deutschland ! Das hat man ja in der Steinzeit so gemacht. Heutzutage ist das ein sofortiger Kündigungsgrund !

Mein Auftrag ist es die Gäste vom Mitarbeiter-netz fernzuhalten und einen Internetzugang zu ermöglichen.
Na da hast du hier im Forum mit diesem Tutorial die absolute Steilvorlage wie man das elegant löst:
https://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...

  • Mit VLANs gleich in eine entsprechende Umgebung mit mSSID fähigen Accesspoints einbinden:
https://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...

  • Die Voucher per SMS und WebGUI ausdrucken und an die User versenden:
https://www.administrator.de/wissen/voucher-für-pfsense-online-verw ...

  • Hotspot per Syslog Server preiswert überwachen:
https://www.administrator.de/wissen/netzwerk-management-server-mit-raspb ...

  • Auf dem RasPi kannst du dann mit Radius gleich auch noch das Mitarbeiter Netz wasserdicht absichern:
https://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...

Da hast du schon so gut wie bestanden !!
Bitte warten ..
Ähnliche Inhalte
Exchange Server

Welche Zertifikate werden für den Exchange wirklich benötigt?

Frage von magicpeterExchange Server8 Kommentare

Moin, ich betreibe einen Exchange 2013 mit folgenden Zertifikaten und SplittDNS (remote.domain.com). Welches Zertifikate werden für den Exchange benötigt? ...

Router & Routing

DMZ Verständnisfrage

Frage von PharITRouter & Routing2 Kommentare

Hallo allerseits, ich will mit meinem Cisco 891 Router meine erste DMZ aufsetzen. Hab ich das richtig verstanden, dass ...

Firewall

Pfsense - DMZ

gelöst Frage von 118080Firewall14 Kommentare

Moin :-) Ich habe eine pfsense mit LAN und DMZ Im LAN klappt fast alles so wie ich es ...

Netzwerkmanagement

DMZ hinter LAN?

gelöst Frage von Lars15Netzwerkmanagement8 Kommentare

Hallo, normalerweise wird eine DMZ ja folgendermaßen aufgebaut: WAN>Router1>DMZ>Router2>LAN. Aus organisatorischen Gründen würde ich gerne die Position von LAN ...

Neue Wissensbeiträge
Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 2 StundenInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 15 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 17 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 17 StundenMicrosoft10 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1026 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server17 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...