6
Schnittstelle zum Kunden in die DMZ?
Hallo liebe Gemeinde,
Ich habe einen Server bzw Rechner (WIN 7) der per OFTP2 Verbindungen übers Internet Dateien von meinen Kunden erhält bzw zu denen sendet.
Diese Daten werden dann aufbereitet und an mein ERP System weitergegeben.
Nun zu meiner Frage... dieser Server steht aktuell normal in meinen LAN und bestimmte Ports sind bis zu dieser Kiste geöffnet.
Sollte man diese Kiste lieber in eine DMZ stellen? Aber wie bekomme ich dann die Dateien weiter in mein LAN bzw zum Server? Dann müsste ich doch wieder was öffnen oder wie könnte man realisieren?
Vielen Dank...
Ich habe einen Server bzw Rechner (WIN 7) der per OFTP2 Verbindungen übers Internet Dateien von meinen Kunden erhält bzw zu denen sendet.
Diese Daten werden dann aufbereitet und an mein ERP System weitergegeben.
Nun zu meiner Frage... dieser Server steht aktuell normal in meinen LAN und bestimmte Ports sind bis zu dieser Kiste geöffnet.
Sollte man diese Kiste lieber in eine DMZ stellen? Aber wie bekomme ich dann die Dateien weiter in mein LAN bzw zum Server? Dann müsste ich doch wieder was öffnen oder wie könnte man realisieren?
Vielen Dank...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 385539
Url: https://administrator.de/contentid/385539
Printed on: April 25, 2024 at 08:04 o'clock
6 Comments
Latest comment
Hi,
wo ist das Problem ?
- Der Pseudo Server steht in der DMZ.
- Ports in der Firewall / Router sind zu dem Server sowohl von der WAN Seite als auch von der LAN Seite geöffnet.
- Es dürfen keine Ports von der DMZ in das LAN geöffnet sein !!
- Der Server selber kann und darf keine Verbindung zu z.B. dem ERP aufbauen. Das ERP muß die Verbindung aufbauen und die Dateien vom Server abholen.
- wenn der Server von der WAN Seite aus kompromittiert wird,hat der Angreifer keine Möglichkeit in das LAN einzubrechen, nur der Server selber ist verloren.
CH
wo ist das Problem ?
- Der Pseudo Server steht in der DMZ.
- Ports in der Firewall / Router sind zu dem Server sowohl von der WAN Seite als auch von der LAN Seite geöffnet.
- Es dürfen keine Ports von der DMZ in das LAN geöffnet sein !!
- Der Server selber kann und darf keine Verbindung zu z.B. dem ERP aufbauen. Das ERP muß die Verbindung aufbauen und die Dateien vom Server abholen.
- wenn der Server von der WAN Seite aus kompromittiert wird,hat der Angreifer keine Möglichkeit in das LAN einzubrechen, nur der Server selber ist verloren.
CH
Also bist du auch der Meinung das es besser ist den in die DMZ zu stellen?
Die Dateien hole ich per PS Script ab. Wenn das der ERP Server macht muss ich keine Ports von DMZ ins LAN öffnen?
Die Dateien hole ich per PS Script ab. Wenn das der ERP Server macht muss ich keine Ports von DMZ ins LAN öffnen?
Moin,
Ja, das ist es definitiv!
Die Firewall-Regelnsehe also (frei formuliert so aus):
Source: ERP-Server (10.20.30.11/ 32)
Destination: EDI-Server (10.20.10.11/ 32)
Service: SMB (TCP-Port 445)
Access: Permit
Alles andere ist dann nicht möglich.
Gruß
em-pie
Ja, das ist es definitiv!
Die Dateien hole ich per PS Script ab. Wenn das der ERP Server macht muss ich keine Ports von DMZ ins LAN öffnen?
Doch. Aber hier ist der Unterschied, dass NUR die von dir definierten Geräte (ERP) die Verbindung in die DMZ aufbauen dürfen, nicht aber der EDI-Server zum ERP.Die Firewall-Regelnsehe also (frei formuliert so aus):
Source: ERP-Server (10.20.30.11/ 32)
Destination: EDI-Server (10.20.10.11/ 32)
Service: SMB (TCP-Port 445)
Access: Permit
Alles andere ist dann nicht möglich.
Gruß
em-pie
Moin,
wie em-pie schon meinte.
Wenn Du die technischen Möglichkeiten hast, sollten alle Geräte die (direkt) aus dem Internet erreichbar sind, in eine DMZ.
Von dort gibt es passende Firewallregeln in das LAN.
Dies grenzt den Schaden sehr deutlich ein wenn so ein Gerät dann doch einmal gehackt werden sollte.
Der Angreifer hat dann keine Plattform innerhalb des normalen LAN, sondern steht immer noch "draussen".
Stefan
wie em-pie schon meinte.
Wenn Du die technischen Möglichkeiten hast, sollten alle Geräte die (direkt) aus dem Internet erreichbar sind, in eine DMZ.
Von dort gibt es passende Firewallregeln in das LAN.
Dies grenzt den Schaden sehr deutlich ein wenn so ein Gerät dann doch einmal gehackt werden sollte.
Der Angreifer hat dann keine Plattform innerhalb des normalen LAN, sondern steht immer noch "draussen".
Stefan
Ja.
Genau so funktioniert es und genau für solche Szenarien (ua.) wird eine DMZ eingesetzt.
Für mich wäre es nicht mal eine Überlegung wert gewesen den "Server" mit den Portfreigaben aus dem WAN im LAN zu implementieren, sondern von vornherein in die DMZ zu integrieren.
CH
Genau so funktioniert es und genau für solche Szenarien (ua.) wird eine DMZ eingesetzt.
Für mich wäre es nicht mal eine Überlegung wert gewesen den "Server" mit den Portfreigaben aus dem WAN im LAN zu implementieren, sondern von vornherein in die DMZ zu integrieren.
CH
dieser Server steht aktuell normal in meinen LAN
Gruselig !!und bestimmte Ports sind bis zu dieser Kiste geöffnet.
Noch gruseliger !!Eine laienhafte Bastellösung aber wenn dir die Sicherheit deines lokalen LAN Latte ist kannst du das natürlich so lassen.
Ansonsten ist eine DMZ schon der richtige Weg !
Hier steht wie man es richtig macht:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Aber wie bekomme ich dann die Dateien weiter in mein LAN bzw zum Server?
Eine Firewall mit DMZ hat 3 Anschlüsse !!Zwischen LAN und DMZ gibt es entsprechende Firewall regeln, die das regeln was durchdarf, zu wem und wann.
Ein simpler Klassiker der millionenfach so im Einsatz ist.
