Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Ist meine im Netzplan dargestellte DMZ auch wirklich eine DMZ?

Frage Sicherheit Firewall

Mitglied: Saiteck2009

Saiteck2009 (Level 1) - Jetzt verbinden

05.11.2014, aktualisiert 06.11.2014, 4366 Aufrufe, 17 Kommentare, 1 Danke

Hallo,

ich befasse mich momentan mit Firewalls und der DMZ.

Auf diesem Netzplan ist eine DMZ. Ich bin mir nicht sicher ob das korrekt ist. Die 2 Server innerhalb der DMZ sind durch die pfSense und Router Firewall geschützt.
nur manche Rechner bzw. Ports sind geöffnet, um ausgewählte Dienste innerhalb der DMZ nutzen zu können.

Vielen Dank im Vorraus!

08cd997ee998c4ac0f74c6e4eb0513b0 - Klicke auf das Bild, um es zu vergrößern
Mitglied: orcape
05.11.2014, aktualisiert um 14:06 Uhr
Hi,
was soll eigentlich hier unklar sein.
Ich gehe mal im Netz 10.10.10.0/24 von einem Router aus, der NAT macht und eine Firewall hat.
Dann trennt die pfSense klar zum 2. Netz 172.17.178.0/24.
Die 2 Server innerhalb der DMZ sind durch die pfSense und Router Firewall geschützt.
..durch Router Firewall Ok., wohl aber nicht durch die pfSense.
Gruß orcape
Bitte warten ..
Mitglied: schmitzi
LÖSUNG 05.11.2014, aktualisiert 06.11.2014
Hi,

sieht doch ganz gut aus.

Die PFsense "schützt" das LAN vor Übergriffen aus der DMZ, falls diese anderweitig kompromittiert wird.
( indem Du NUR die Ports/Protokolle in die DMZ schickst, die dort wirklich benötigt werden.
Damit kommt viel Müll & alles andere in der DMZ erst gar nicht an.)

Umgekehrt ist die DMZ so auch vor dem eigenenen LAN "geschützt".

Der "Schutz" schützen aber nur insofern, als dass Du nur den wirklich in der DMZ benötigten den Datenverkehr durchlässt.
Die Produkte, die auf diesen DMZ-Servern/Ports laufen (WebServer u.ä.), müssen natürlich nach wie vor in sich "abgesichert" sein,
d.h. zB alle Patches müssen eingepflegt werden, Virenscanner wie gehabt, lokale zB Win-Firewall usw.

Die DMZ würde ich optisch nur nicht ZWISCHEN Router & PFsense darstellen,
sondern "seitlich" AN der PFsense, diese hat ja dazu die eigene, 2. LAN-Karte,
welchjenige selbige DMZ begründet.

Gruss RS
Bitte warten ..
Mitglied: mrmomba
LÖSUNG 05.11.2014, aktualisiert 06.11.2014
@schmitzi du schreibst, dass das DMZ NEBEN der PFSENSE gemalt werden soll, das ist in diesem Beispiel falsch.
Das würde bedeuten, dass er 3 Lankarten am Server haben muss.

So wie das jetzt ist nutzt er tatsächlich zwei Geräte dann machen auch 2 Netzwerkanschlüsse Sinn.
DMZ
LAN

lt. Deiner Beschreibung müssen es 3 sein wenn er es anders malt.
DMZ
LAN
WAN
(Diese Methode würde ich auch bevorzugen - jedoch hat alles Vor- und Nachteile)
Bitte warten ..
Mitglied: Saiteck2009
05.11.2014, aktualisiert um 16:03 Uhr
Eigentlich ist es so:

Die pfSense Firewall hat 2 Netzwerkkarten. Eine WAN und LAN Karte. Das komplette Netzwerk stellt ein Gastnetz dar. Somit können sich Gäste über einen Authentifizierungsserver (innerhalb der DMZ) authentifizieren und im Internet Serven.

Der Router schützt mein Netzwerk vor zugriffen von außen. PfSense schützt meine Server in der DMZ vor ungewünschten Zugriffen aus dem LAN.

pfSense hat 2 Firewalls. Eine für die LAN und eine für die WAN Seite meines Netzwerks. LAN Firewall schaut sich die Daten aus dem (Gastnetz) LAN an. Die WAN Firewall logischerweise die Daten aus dem WAN.

Vielen Dank für eure Antworten!!! Ihr habt mir sehr geholfen.

grüße
Bitte warten ..
Mitglied: schmitzi
05.11.2014 um 16:55 Uhr
Zitat von mrmomba:

@schmitzi du schreibst, dass das DMZ NEBEN der PFSENSE gemalt werden soll, das ist in diesem Beispiel falsch.
Das würde bedeuten, dass er 3 Lankarten am Server haben muss.


jaaaa stimmt, wer lesen kann ist klar im Vorteil :o)
dann ist die Zeichnung natürlich OK

Gruss
RS
Bitte warten ..
Mitglied: Hyper-V
05.11.2014 um 17:30 Uhr
Hallo,

Wo sollen sich denn die Gäste mit dem Netzwerk verbinden? Im Arbeitsplatz/Servernetzwerk? Dann bringt die ganze DMZ nichts..

Müssen Server und Arbeitsplätze im selben Netz sein? Oder verstehe ich das ganze falsch?


Viele Grüße,

Hyper-V
Bitte warten ..
Mitglied: aqui
LÖSUNG 05.11.2014, aktualisiert 06.11.2014
Ganz klar nein !
Eine DMZ ist ein isoliertes Segment mit eigenen FW Regeln. Das ist bei dir explizit nicht der Fall, denn das ist bei dir nur ein Transfer Netz zw. Router und Firewall aber ganz sicher keine DMZ im Sinne einer wirklichen DMZ. Vergiss das also besser schnell...!

Die erste Designgrafik hier:
http://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Im Kapitel: "Die Internet Anbindung und Betrieb" zeigt eine "richtige" DMZ. Dafür benötigst du mindestens 3 Interfaces !
Bitte warten ..
Mitglied: orcape
LÖSUNG 06.11.2014, aktualisiert um 09:45 Uhr
Ganz klar nein !
..na ganz so knallhart würde ich das nicht ausdrücken, sonst würdest Du Dir ja hier in Alternative 2 selbst wiedersprechen.
http://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ...
Ich würde eher sagen, eine "DMZ für Arme", kommt natürlich auch auf die eingesetzte Hardware am 1. Router an, ob das sinnvoll ist, oder nicht.
Du hast aber natürlich recht, das eine pfSense mit 3 NIC´s, ordentlich konfiguriert hier sinnvoller wäre.
So ein Szenario, wie vom TO geplant, kann man bei 2 SoHo-Routern anwenden, wenn nichts besseres zur Verfügung steht.
@Saiteck2009
Wenn machbar, baue eine 3.NIC in den pfSense ein, mach am 1 Router wenn möglich pppoE-Passthrough und den Rest überlasse der pfSense, denn die ist dafür gemacht.
Gruß orcape
Bitte warten ..
Mitglied: Saiteck2009
06.11.2014 um 09:47 Uhr
vielen dank !! =)
Bitte warten ..
Mitglied: mrmomba
LÖSUNG 06.11.2014, aktualisiert um 18:53 Uhr
Naja DMZ für Arme auch nicht.
Es ist einfach durch die Routerkaskade eine "kaskadierte DMZ"
(Und leider immer noch in der Berufsschule oft 'genutzt' )

Über Sinn und Unsinn kann man streiten.
Hat halt alles vor und Nachteile.

Dennoch frage ich mich, warum soviele Server im Gästelan und ein so "umständliches" gästelan überhaupt aufgebaut wird.
Bitte warten ..
Mitglied: Saiteck2009
06.11.2014, aktualisiert um 19:31 Uhr
Da ich dies für mein Abschlussprojekt brauche, werde ich nun eine 3te Karte in den pfSense Rechner einbauen für die DMZ. Erscheint mir persönlich die bessere Lösung und vermeidet hoffentlich schwierige Fragen.
Der Netzplan oben war nicht der Originialplan, da ich angst habe mit einem Prüfer probleme zu bekommen, wenn ich hier etwas über mein Projekt poste....
Bitte warten ..
Mitglied: aqui
LÖSUNG 07.11.2014, aktualisiert um 10:59 Uhr
Über Sinn und Unsinn kann man streiten.
Eigentlich nicht wirklich, denn ein richtige DMZ im Sinne einer DMZ ist so ein Kaskaden Konstrukt niemals !
Die ct' beschreibt es ja auch deshalb treffend als DMZ des kleinen Mannes in dem Sinne das es für ein Heimnetzwerk von Oma Grete gerade tolerabel ist. In einem professionellen Umfeld (und gerade bei einer Prüfung / Projekt) ist das natürlich ein NoGo !!

Die Lösung mit der 3er Karte oder 3 NICs ist auf alle Fälle richtig und entspricht auch dem was bei korrekten Designs gemacht wird.
Alles weitere findest du hier und in den weiterführenden Links:
http://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Bitte warten ..
Mitglied: Saiteck2009
07.11.2014 um 11:04 Uhr
Der meinung bin ich auch! Ich habe mein Projekt nun umgebaut und eine Netzwerkkarte eingebaut und den RADIUS-Server incl. Switch damit verbunden. Auf einmal musste ich die iptables ausschalten damit die Authentifikation funktioniert (was logisch ist). Vorher ging es auch seltsamerweise ohne deaktivierte iptable Firewall :/.

Hauptsache mein Projekt ist nun sauber aufgebaut und funktioniert!!

Danke vielmals für eure Unterstützung
Bitte warten ..
Mitglied: aqui
07.11.2014, aktualisiert um 11:17 Uhr
iptables auf dem Radius Server lokal meinst du sicher, oder ? Die FW hat ja keine iptables !
Das ist aber klar da da ja eingehende Radius Requests am Server ankommen. Wenn die iptables alles blocken was von aus reinkommt ist das normales Verhalten. Macht jede lokale Firewall so egal ob iptables, Winblows, OS-X.
Bitte warten ..
Mitglied: mrmomba
07.11.2014, aktualisiert um 12:16 Uhr
Ich bin auch kein Fan von Kaskadierten DMZs *ich gehe mir den Mund waschen*
Wird aber in den Berufsschulen noch gelehrt. Oder zu meiner Zeit als alternative IP-COP.
(Und es gab sogar Prüfungsfragen zu dem Thema - wenn ich mich recht Entsinne. Es sollten meine Ich die Vorteile aufgezählt werden)

Da ich aber ein großer Fan von Aqui und seinen Tut's bin, stimme ich Ihm zu. (Und weil er schlicht recht hat)

Magst du anreißen, was dein Projekt machen soll?
Bitte warten ..
Mitglied: Saiteck2009
07.11.2014 um 12:49 Uhr
Mein Auftrag ist es die Gäste vom Mitarbeiter-netz fernzuhalten und einen Internetzugang zu ermöglichen. Dazu hab ich mit einem VLAN die Netze logisch voneinander getrennt. Also VLAN 1 = Gastnetz ----- Default VLAN = Mitarbeiternetz. im oberen Stockwerk gibt es nun zwei Switche. Switch 1 ist über LWL im VLAN1 verbunden. auf Ihm hab ich alle Gästezimmer aufgelegt. Der 2te Switch ist im Default VLAN und alle Mitarbeiterbüros sind mit ihm verbunden.
Natürlich befindet sich dann die pfSense Firewall auch im VLAN 1.
Bitte warten ..
Mitglied: aqui
07.11.2014, aktualisiert um 15:55 Uhr
Wird aber in den Berufsschulen noch gelehrt.
Oha...armes Deutschland ! Das hat man ja in der Steinzeit so gemacht. Heutzutage ist das ein sofortiger Kündigungsgrund !

Mein Auftrag ist es die Gäste vom Mitarbeiter-netz fernzuhalten und einen Internetzugang zu ermöglichen.
Na da hast du hier im Forum mit diesem Tutorial die absolute Steilvorlage wie man das elegant löst:
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...

  • Mit VLANs gleich in eine entsprechende Umgebung mit mSSID fähigen Accesspoints einbinden:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...

  • Die Voucher per SMS und WebGUI ausdrucken und an die User versenden:
http://www.administrator.de/wissen/voucher-für-pfsense-online-verw ...

  • Hotspot per Syslog Server preiswert überwachen:
http://www.administrator.de/wissen/netzwerk-management-server-mit-raspb ...

  • Auf dem RasPi kannst du dann mit Radius gleich auch noch das Mitarbeiter Netz wasserdicht absichern:
http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...

Da hast du schon so gut wie bestanden !!
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Firewall
Firewall für DMZ und Intranet richtig konfigurieren (3)

Frage von vGaven zum Thema Firewall ...

Erkennung und -Abwehr
Großstörung bei der Telekom: Was wirklich geschah (3)

Link von Frank zum Thema Erkennung und -Abwehr ...

Netzwerkmanagement
gelöst Macht eine VPN Verbindung in eine DMZ sinn? (8)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Windows Netzwerk
gelöst PC scheint in Domäne zu sein, ist es aber laut Eventlog nicht wirklich (5)

Frage von psch1991 zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...