Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Dedizierte Firewall, Zweiter Router oder Rechner mit IPCop nehmen für DMZ

Frage Sicherheit Firewall

Mitglied: 113395

113395 (Level 1)

18.09.2013, aktualisiert 15:22 Uhr, 4307 Aufrufe, 9 Kommentare, 2 Danke

Hallo Leute,

ich bräuchte privat eine DMZ weil ich meine Persönliche Website hosten möchte.
Mein komplettes Intranet und auch der DMZ Server für die Website läuft auf einem ESXi als VM.
Die meisten Firewalls wie Astaro, ZyWall, Fortigate kostet endweder ein haufen Geld, oder benötigen
Lizenzen welche man ständig erneuern muss. Jetzt bin ich am Überlegen wie
ich mir kostengünstig und zugleich "sauber" eine DMZ einrichte.

Die eine Möglichkeit wäre es ja über einen zweiten Router (TP-Link oder so) das Intranet von der DMZ zu trennen. Die andere Möglichkeit wäre mir nen Rechner zusammenzustellen, dual Port Netzwerkadapter rein und IPCop installieren.

Welche dieser 3 Methoden würdet Ihr machen? Das Budget sollte nicht über 300 Euro liegen. Wichtig ist das ich keine Lizenzgebühren bezahlen will.

Vielleicht hat auch noch jemand einen anderen einfall.

Gruß
Mitglied: certifiedit.net
18.09.2013 um 12:19 Uhr
Persönlich für privat?

-> Website bei einem Hoster hosten. Da hast du dann keine Probleme mit DMZ usw, 100% (annähernd) Onlinezeit und kommst um eine solche Lösung herum.
Bitte warten ..
Mitglied: 113395
18.09.2013 um 12:24 Uhr
Die Hostinggebühren möchte ich mir gerne sparen.
Vorallem möchte ich wissen wo meine Daten liegen, wohin diese Repliziert werden und wer Zugriff darauf hat (Bin auf gesunde weise Paranoid ;))
Abgesehen davon läuft mein ESXi eh rund um die Uhr und braucht frisst Strom, warum also Hosting Gebühren bezahlen wenn ich alles zu Hause habe?
Hosting möchte ich gerne vermeiden.

Trotzdem danke für die Antwort.
Bitte warten ..
Mitglied: certifiedit.net
18.09.2013 um 12:30 Uhr
Zum Thema Paranoia: Wenn du das Netzwerk aufgrund eines billigen Routers (vodafone, telekom etc) aufreist bringt es dir auch nichts (mehr), wenn du weisst, dass ursprünglich deine Daten bei dir lagen. Abgesehen davon - Daten auf dem Webspace, die niemand sehen soll? Um was handelt es sich denn?

Daher: Hoster in Deutschland mit folgender Begründung: Ein Einfacher Router (wie hier als Idee fürs DMZ) kostet dich zwischen 30-40€ Stromkosten p.a zzgl. Anschaffungskosten.

Wie sicherst du denn den ESXI nach außen hin ab?
Bitte warten ..
Mitglied: Dobby
18.09.2013, aktualisiert um 13:17 Uhr
Hallo,

ich bräuchte privat eine DMZ weil ich meine Persönliche Website hosten möchte.
Ok
Mein komplettes Intranet und auch der DMZ Server für die Website läuft auf einem ESXi als VM.
Tja das mit den VMs ist immer so eine Sache, zumindest meiner Meinung nach, entweder ich stelle einen
Webserver in eine DMZ oder ich mache das eben nicht! Aber als VM ist der Server dann doch eigentlich im
LAN und auch wieder in der DMZ, das ist meiner Meinung nach nichts Halbes und nichts Ganzes.
Wird ein dezidierter Webserver in einer DMZ "geknackt" ist der Eindringling "nur" in der DMZ, bei Deiner Lösung
ist die DMZ eigentlich nichts wert, denn wenn bei Dir der Webserver geknackt wird ist man auch fast schon im LAN!

Die meisten Firewalls wie Astaro, ZyWall, Fortigate kostet endweder ein haufen Geld,
Es müssen ja nicht die großen Dinger sein, oder? Ich meine Du sagst das es sich um ein privates Netzwerk handelt.
MikroTik Router ab ~50 €
Netgear FVS336Gv2 für ~200 €
Lancom Router für ~200 €
Buffalo Router mit installiertem DD-WRT für rund ~100 €
Eigenbau Firewalls mit;
- Alix Boards für ~150 € bis 200 €
- Soekris Boards mit mehr RAM für ~200 € bis 250 €

oder benötigen Lizenzen welche man ständig erneuern muss.
Ja aber dafür bekommt man dann ja auch Webkontentfilter, Spam Signaturen, AV Signaturen,
24 Stunden Austauschservice und IDS Regelupdates.

Wenn Du das alles nicht brauchst kann man so ein Gerät auch locker gebraucht kaufen und
dann einfach nicht die Lizenzen kaufen, klar man hat dann auch nicht diesen Schutz und alle
Funktionen aber der eigentlichen Leistung der Firewall tut das sicherlich keinen Abbruch!

Jetzt bin ich am Überlegen wie ich mir kostengünstig und zugleich "sauber" eine DMZ einrichte.
Einen Router oder eine Firewall mit einem DMZ Port oder frei konfigurierbaren LAN Ports!
Das geht bei 30 € los (MikroTik) und hört da auf wo es Dir weh tut oder das Geld nicht mehr reicht!
Man kann das natürlich auch Ste-by-Step machen, also ich würde einmal über die Anschaffung einer
Alix und/oder Soekris Lösung nachdenken und dann eben so etwas wie pfSense anschaffen wollen
oder MikroTik RouterOS und zwar aus folgendem Grund;
- Man kann zu pfSense ein Buch kaufen
- Man kann zu MikroTik RouterOS drei Bücher kaufen und auch Trainingskurse belegen!

Die eine Möglichkeit wäre es ja über einen zweiten Router (TP-Link oder so) das Intranet von der DMZ zu trennen.
Ja das geht natürlich.

Die andere Möglichkeit wäre mir nen Rechner zusammenzustellen, dual Port Netzwerkadapter rein und IPCop installieren.
Nun ja das macht jeder für sich ab, wie er das realisieren möchte, aber wenn Geld ein Rolle spielt und es handelt
sich ja um eine Lösung für den Privatbereich und Strom soll bis zu 30% teurer werden, also das ist dann wohl eher
eine der schlechtesten Lösungswege, zumindest so wie ich das sehe!
Selbst das Geld für eine schon recht teure Soekris Lösung nach nur 4 Jahren anhand der Stromersparnis wieder raus.

Welche dieser 3 Methoden würdet Ihr machen?
Das muss jeder für sich selber entscheiden da lässt sich immer schlecht etwas raten, aber es gibt eben auch nur
3 Hauptvarianten um eine DMZ zu bilden!
- Pseudo DMZ (Exposed Host) ist eh nur für einige Szenarien geeignet und/oder für Testnetzwerke bzw. Labor LANs
- Firewall oder Router mit separaten DMZ Port (True and dirty DMZ)
- Zwei Router bzw. Firewalls zu einer Kaskade hintereinander zusammenschließen (True and clean DMZ)

Das Budget sollte nicht über 300 Euro liegen.
Also ich würde mir eine Alix oder wenn Du jetzt schon weißt dass Du einmal mehrere zusätzliche Dienste installieren
möchtest sogar eine Soekris Box kaufen und der gebotenen Funktions- und Optionsvielfalt wegen über den Einsatz
von pfSense und MikroTik RouterOS nachdenken.

Wichtig ist das ich keine Lizenzgebühren bezahlen will.
Jo bei pfSense kann man rein theoretisch noch folgendes dazu installieren:
- Snort
- ClamAV
- Squid + Squidgaurd
- Dansguardian
- mini PCI oder mini PCIe WLAN Karte
- mini PCI Karte zur VPN Beschleunigung

Gruß
Dobby

P.S.
Hier im Forum gibt es auch eine gute Anleitung zu dem Thema Alix + pfSense die musst Du dann nur abtippen!
Preiswerte, VPN fähige Firewall im Eigenbau oder Fertiggerät
Kopplung von 2 Routern am DSL Port
VLAN Installation und Routing mit M0n0wall, pfSense, DD-WRT oder Mikrotik

Es gibt auch noch andere Firewall oder Router Distributionen die das locker abdecken können,
eventuell ist da auch etwas für mit dabei!
- RouterOS
- OpenWRT
- DD-WRT
- FreeWRT
- pfSense
- mOnOwall
- ZeroShell
- IPCop
- IPFire
- ClearOS
- OpenBSD + OpenBGP
- Vyatta
- Quagga

Kleiner Tipp, Ubiquitti hat zwei kleine neue Router auf den Markt gebracht die eventuell auch in Deine Preisklasse
fallen und Dir mitunter mehr zusagen!


(Bin auf gesunde weise Paranoid ;))
Und wie möchtest Du dann die Anbindung eines ESXi an den Router, an dem Port geöffnet sind und auf eine VM zeigen erklären,
ich denke hier passt etwas nicht, sorry.

Also entweder bin ich paranoid und lege mir eine DMZ an und die wird dann auch richtig gesichert und verteidigt, aber dann
steht dort auch ein kleiner Webserver drin der nicht als VM auf einem ESXi läuft.

Nimm Dir die Alix Box mit pfSense und als Server die Soekris Box, das sieht dann schon anders aus!
Bitte warten ..
Mitglied: 113395
18.09.2013 um 13:10 Uhr
Natürlich hat dein Kommentar mit dem Hoster viele Vorteile, muss ich zugestehen. Wirklich kritische Daten liegen nicht auf dem Webspace. Es ist ein CMS (Joomla) mit Mitgliederbereich. Da kann man nicht mehr abgreifen als Benutzername, Verschlüsseltes Passwort, E-Mail Adresse. Vorallem habe ich beim Hoster den luxus dass ich nicht den umständlichen Weg mit Zertifikatrequests gehen muss, sondern direkt über den Hoster (Webfrontend) mir eins bestellen und reinklicken kann.

Den ESXI würde ich dann nur ins Intranet stellen. Die VM mit dem Webserver würde ich nicht mehr über den ESXI zur Verfügung stellen (Router 2), sondern die Seite auf dem NAS laufen lassen und das NAS einen anderen Adressbereich geben und direkt an den ersten Router hängen.

Also so:
-Fritzbox
------>NAS (192.168.50.2/32 oder 192.168.50.2/24???) (Hier läuft Webserver)

------>TPLinkRouter
--------------->ESXI (Hier Intranet)
----------------------------->Diverse VMs (192.168.51.x/24)

Bin in Netzwerke nicht ganz so fit. Programmierung liegt mir mehr wie Ihr vielleicht merkt :D
Bitte warten ..
Mitglied: 113395
18.09.2013 um 13:13 Uhr
Hallo Dobby,

danke für deinen Umfangreichen Beitrag! Werde auf jeden Fall mal einen Blick auf diese produkte werfen!
Bitte warten ..
Mitglied: brammer
18.09.2013, aktualisiert um 13:22 Uhr
Hallo,

wie üblich...
zu diesem Thema gibt es ein sehr gutes Tutorial von @aqui.

http://www.administrator.de/wissen/preiswerte-vpn-f%C3%A4hige-firewall- ...

brammer

@D.o.b.b.y

Sorry, habe deine Link überlesen!
brammer
Bitte warten ..
Mitglied: manuel1985
18.09.2013 um 16:02 Uhr
Hi,

habe jetzt den Thread nur fix überflogen. Dabei ist mir Sophos/Astaro in den Sinn gekommen.
Die haben (vor ca. 3 Jahren zumindest) für den Heimanwender die SW kostenlos angeboten. Die installierst du einfach auf einem PC mit 2+ LAN-Ports und hast vollen Funktionsumfang, allerdings ohne Support.
Vllt. ist das eine Option für dich!?

Gruß Manuel
Bitte warten ..
Mitglied: aqui
19.09.2013 um 17:33 Uhr
Ist das gleiche wie die pfSense die aber von einer größeren Community gepflegt wird.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...