Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Sicherheit Firewall

DMZ mit Astaro Security Gateway realisieren

Mitglied: christo-p

christo-p (Level 1) - Jetzt verbinden

05.05.2011 um 16:59 Uhr, 11364 Aufrufe, 9 Kommentare

Ich würde gerne eine DMZ realisieren, die Vorstellung ist eine SDSL Verbindung nach draußen mit statischer IP am Router, dieser soll NAT bekommen. Da nach kommt der MailServer (Exchange) welcher über den Astaro Securtiy Gateway 220 läuft. Damit wäre der Server nach draußen abgesichert. Das interne Netz, bez. die Server sollen dann wieder von der Astaro geschützt werden. Zwischen Benutzer und Server steht wieder ein Router mit NAT.

Wie müssen die IP-Adressen aufgebaut sein?

Kriegen der Server und die Benutzer die gleiche Subnetzmaske und können dann kommunizieren? Wenn ich NAT einsetze funktioniert das ganze ja nicht mehr, dann müsste ich für den Server ein neues IP-Netz erstellen oder? Der Webserver bekommt dann wieder eine weiteres anderes IP-Netz und der Router übersetzt es dann auf die feste IP vom ISP oder?

Dann habe ich auch noch eine Frage zur Astaro 220:

Die Astaro hat 8 Lan anschlüsse und einen WAN, wie verbinde ich die beiden Router oder ist der Gateway schon ein Router und ich benötige den ersten Router überhaupt nicht? Habe mir das mit der Verkabelung folgender maßen gedacht, der Mailserver wird in Lan1 gesteckt und die Firewall geht dann über WAN zum Router der nach draußen routet, der interne Server wird in Lan2 gesteckt, über Lan 3 wird dann der interne Router angesprochen, welcher mit einem Switch verbunden ist und somit auf die Benutzer zugreifen kann.

6a8912f879281c934347c246523f64c3 - Klicke auf das Bild, um es zu vergrößern

IP-Adressen Von Bis Host Abteilung
vergeben 172.16.0.1 172.16.0.17 17 EDV
172.16.0.65 172.16.0.85 20 WLAN
172.16.0.129 172.16.0.133 4 Sekretariat
172.16.0.193 172.16.0.197 4 Buchhaltung
172.16.1.1 172.16.1.5 4 Personal
172.16.1.65 172.16.1.81 16 F+E
172.16.1.129 172.16.1.133 4 Verkauf

Submaske 255.255.255.192

Standardgateway 172.16.0.1
DNS 172.16.0.2
DNS Alternativ 172.16.0.6
Mitglied: bnutzinger
05.05.2011 um 17:47 Uhr
Hi,

Also folgendes:
1) Du brauchst keinen zusätzlichen Router, das kann die ASG220 ganz wunderbar selber. (Neues Interface -> PPOE)
2) Wenn ich das richtig sehe, dann willst du ausgerechnet den Exchange Server VOR die Firewall stellen? halte ich für keine gute Idee.
Die ASG220 hat eine SMTP-Proxy Funktion die du nutzen solltest. Also Exchange hinter die FW, SMTP-Proxy an und alle E-Mails von und an die Adresse der ASG schicken.

Grüße
Bastian
Bitte warten ..
Mitglied: christo-p
05.05.2011 um 17:58 Uhr
also wird das modem direkt mit der astaro verbunden, dieser stellt also einen router dar. dort stelle ich dann auch das nat ein. der exchange sollte für sich alleine stehen, wenn er gehackt wird, nach dem der router gehackt wurde, muss ja erste einmal die firewall und dann nochmal der router gehackt werden um ins interne netz zukommen. so dachte ich mir das. wenn ich den exchange jetzt dahin stelle wo die internen server sind, dann hat der hacker ja gleich zugriff auf alle geräte und nicht nur auf den exchange.

ich muss dazu sagen, dass ich nur student bin und mir das gerade alles nur ausmale, leider überhaupt nicht weiß ob es so in der realität auch funktionieren könnte ;)
Bitte warten ..
Mitglied: photographix
05.05.2011 um 18:41 Uhr
Olá und hallo,

ich weiss garnicht warum du dir das so kompliziert machen willst...

Wenn du eine SDSL Leitung bekommst dann hast du auch eine fixe IP.
Das kabel kommt an WAN bei deiner ASG
Das was in der DMZ Stehen soll kommt an den Ausgang DMZ und das was Ihr intern machen wollt an LAN.
Der Exchange sollte in die DMZ oder das LAN auf jeden Fall nicht aussen.
Dann kannst du den gleich an die Bots und die Hacker verschenken...

Für die RED Devices benötigst du nur auf "HomeOffice" Seite einen DSL Router. Die können das leider nicht selbst.
Laut Astaro ist das auch aktuell nicht geplant. Das finde ich persönlich wirklich schade...

db9e153d0022f9fa460e656ed6466608 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: christo-p
05.05.2011 um 19:00 Uhr
die ASG bekommt jetzt die fixe Ip vom ISP. In der ASG wird dann über NAT direkt zum MailServer durchgeleitet. Also ist ein gesicherter Zugriff von außen auf den Server möglich und dieser steht nun in einer DMZ. Die internen Server wie z.B. Fileserver laufen dann ja mit dem Benutzer-Netzwerk, sind also in einem LAN, aber werden durch Subnetting und VLAN von einander getrennt. Die Server sollten für sich geschützt sein, weil ich auch interne Angriffe vorbeugen wollte.

Danke für die Hilfe, sieht schon sehr gut aus. Übrigens wo bekomme ich eine vernümpftige Dokumentation über die ASG 220 her? Mit welchem Programm wurde die Skizze gefertigt.
Bitte warten ..
Mitglied: dog
05.05.2011 um 19:06 Uhr
Die hier gezeigten "Wir packen alles auf die Astaro"-Lösungen entsprechen nicht dem Gedanken einer DMZ!
Sowas kann immer nur einen kleinen Teil der gewollten Sicherheitsfunktionen abbilden.
Eine DMZ soll aber genauso vor Fehlkonfiguration und Softwarebugs schützen - das geht nur mit 2 Geräten unterschiedlicher Hersteller.

Wozu aber der 3. Router noch gut sein Soll entzieht sich mir.
Der macht es nur unnötig kompliziert und Fehler schwerer nachverfolgbar.
Bitte warten ..
Mitglied: photographix
05.05.2011 um 19:07 Uhr
Olá,

die Zeichnung wurde an einem Mac mit ConzeptDraw gemacht.
Wenn du die ASG nicht "gefunden" hast dann wende dich wegen einer Doku an deinen Reseller oder direkt an Astaro.
Anleitungen zu den Versionen findest du hier
Bitte warten ..
Mitglied: christo-p
05.05.2011 um 19:12 Uhr
Ich habe gelesen, dass eine DMZ laut BSI mit zwei Firewalls realisiert werden soll. Jedoch handelt es sich hier um ein kleines Unternehmen, was in den nächsten Jahren wachsen wird. Es wird also wert gelegt auf eine einfache, günstige aber trotzdem sicher Lösung. Die Router zwischen dem ASG sollten als Paketfilter dienen und so für zusätzliche Sicherheit sorgen.
Bitte warten ..
Mitglied: spacyfreak
05.05.2011 um 20:34 Uhr
Zitat von christo-p:
Ich habe gelesen, dass eine DMZ laut BSI mit zwei Firewalls realisiert werden soll. Jedoch handelt es sich hier um ein kleines
Unternehmen, was in den nächsten Jahren wachsen wird. Es wird also wert gelegt auf eine einfache, günstige aber trotzdem
sicher Lösung. Die Router zwischen dem ASG sollten als Paketfilter dienen und so für zusätzliche Sicherheit sorgen.

Jaja, das BSI.

Klar, es ist immer eine Frage von (betrieblichem und wirtschaftlichem) Aufwand, und man sollte stets das VERHÄLTNIS zwischen diesen Aufwänden und dem ECHTEN Sicherheitsgewinn sehen.

Wir betreiben weltweit ca. 100 Astaros seit Jahren und Sicherheitsprobleme gabs da nie.
Es gibt hier kein "es MUSS", es ist vieles Geschmackssache und eine Abwägung, sowie Empfehlungen.
JAAA, es ´KANN passieren dass eine FW mal ein Problem hat und eine FW eines anderen Herstellers dahinter DIESES Problem lindern kann. Ähh WIE OFT ist das in den letzten 30 Jahren passiert dass aufgrund dessen jemandes Netz gekapert wurde? Die REALEN Probleme kommen doch ganz wo anders her...

Man kann auch 5 FWs hintereinanderlegen und bei allen Port 80 öffnen - wenn der WEBSERVER den man da drüber dann erreicht nicht gepatcht ist kann er trotzdem gekapert werden.

Also nicht auf EINE Sache den Fokus legen sondern den Blick aufs GROSSE GANZE richten und da ist Einfachheit die halbe Miete.

Je komplexer und verzwackter, desto beschäftiger ist die (meist sehr knappe) Admin-Belegschaft, und desto weniger Zeit hat sie, es RICHTIG zu konfigurieren.

Wer in Hast und Hetze arbeiten muss weil alles viel zu kompliziert ist macht eher Fehler - und erreicht genau das Gegenteil von dem was er eigentlich soll.
Bitte warten ..
Ähnliche Inhalte
Firewall
Astaro Security Gateway V8 - Portweiterleitung
gelöst Frage von Drizzt595Firewall3 Kommentare

Hallo zusammen, als Neuling habe ich direkt einmal eine Frage: Wir haben eine Astaro Security Gateway V8 im Einsatz. ...

Firewall
Ist meine im Netzplan dargestellte DMZ auch wirklich eine DMZ?
gelöst Frage von Saiteck2009Firewall17 Kommentare

Hallo, ich befasse mich momentan mit Firewalls und der DMZ. Auf diesem Netzplan ist eine DMZ. Ich bin mir ...

Router & Routing
DMZ Verständnisfrage
Frage von PharITRouter & Routing2 Kommentare

Hallo allerseits, ich will mit meinem Cisco 891 Router meine erste DMZ aufsetzen. Hab ich das richtig verstanden, dass ...

Voice over IP
Ubiquiti Unifi Security Gateway USG mit Netcologne, Netaachen und VoIP
Frage von vloeffelVoice over IP

Hallo Zusammen, ich habe einen Netaachen Glasfaseranschluss. Der DSLAM liegt bei uns im Haus und stellt das Modem zur ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 3 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 3 TagenSicherheit12 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall10 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

SAN, NAS, DAS
Wer kennt sich mit QNAP und CISCO aus ?
gelöst Frage von MachelloSAN, NAS, DAS9 Kommentare

Hallo Zusammen hier im Forum, Ich habe ein QNas 451+ und dieses NAS hat zwei GBit Lan Adapter die ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen9 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...

Windows Netzwerk
Zugriff auf den Desktop Ordner eines anderen Rechners in der gleichen Domäne
gelöst Frage von JensNomaWindows Netzwerk6 Kommentare

Guten Abend, ich war neulich mit unserem Admin am Tisch gesessen. Er an seinem Notebook angemeldet mit dem Domänen-Admin, ...