dextha
Oct 15, 2008, updated at Oct 31, 2008 (UTC)
view7516
view11
0
Goto Top

Ports von DMZ ins interne Netz öffnen

GermanQuestionFirewallSecurity
Hallo,

wie riskant ist es wenn man einige Ports von der DMZ (oder einem Rechner in der DMZ) ins interne Netz öffnet? (z.B. für NTP, DNS oder Samba)?
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 99382

Url: https://administrator.de/contentid/99382

Printed on: April 26, 2024 at 11:04 o'clock

11 Comments
Latest comment
Goto Top
Member: theton
theton Oct 15, 2008 at 15:06:19 (UTC)
Goto Top
Du hast dann halt keine DMZ mehr und gerade Dienste wie Samba und DNS sind relativ leicht manipulierbar und anfällig für Angriffe.
Member: Supaman
Supaman Oct 15, 2008 at 15:56:03 (UTC)
Goto Top
bei einer echten firewall, kann man nicht nur den port, sondern auch die richtung definieren, d.h. eine kontaktaufnahme von intern nach DMZ ist zulässig, umgekehrt jedoch nicht. würde ich aber trotzdem nicht mit services für dateifrigaben etc machen.
Member: Dani
Dani Oct 15, 2008 at 17:39:42 (UTC)
Goto Top
Hi,
richtig...denn dafür wurde die DMZ erfunden.
Mit dieser Zone soll das Netzwerk geschützt werden und nicht "einbrechen einfach gemacht" erschaffen werden. Nicht zu empfehlen! Außer du bist Top-Fit in Sache Firewallrules Inbound, Outbound, Protokolle, Ports...ansonsten Finger weg!


Gruss,
Dani
Member: Dextha
Dextha Oct 15, 2008 at 17:52:35 (UTC)
Goto Top
Uns wie wird sowas in der Praxis dann umgesetzt? Habe Ihr einen eigenen Server in der DMZ stehen um die Dienste zur Verfügung zu stellen? Wie sichert Ihr die Server in der DMZ?
Member: Dani
Dani Oct 15, 2008 at 18:25:35 (UTC)
Goto Top
Die Frage ist doch, für was du in der DMZ Samba, NTP brauchst?!
Normaler steht der NTP für das LAN hinter der DMZ und stellt die Anfrage in die DMZ oder gleich ins Internet - das ist bei z.B. DNS genauso. Für was du allerdings einen Samba inder DMZ brauchst, verstehe ich nicht. Ich lasse mich aber gerne belehren.


GRuss,
DAni
Member: Dextha
Dextha Oct 16, 2008 at 06:20:15 (UTC)
Goto Top
NTP und DNS habe ich am Domaincontroller laufen - aber ist ja kein Problem das in die DMZ auszulagern.
Bzgl. Samba: Ich habe in der DMZ einen kleinen VMware-Server stehen (für ganz keine Server wie Mail und Web-Server). Dabei möchte ich einmal die Woche die VMware-Images wegsichern. Natürlich wäre es am einfachsten diese am NAS abzulegen, welcher jedoch im Internen Netz steht...
Member: Dani
Dani Oct 25, 2008 at 16:52:41 (UTC)
Goto Top
Hi,
Dabei möchte ich einmal die Woche die VMware-Images wegsichern. Natürlich wäre es am einfachsten diese am NAS abzulegen, welcher jedoch im Internen Netz steht...
ISt kein Problem, solange die Sicherung aus dem LAN gestartet wird.

Wirklich NIE eine Regeln DMZ => INTERN öffnen!!


Gruss,
Dani
Member: Dextha
Dextha Oct 26, 2008 at 18:07:00 (UTC)
Goto Top
Ich hab da noch ein Gateway für ein Programm am laufen welches in der DMZ läuft. Dieses muss die Clients fragen, wem die Anforderung gehört welches vom Internet kommt. In diesem Fall bleibt es mit ja nicht aus diesen einen Port (fürs nachfragen) von der DMZ ins LAN zu öffnen - oder?

LG. Dextha
Member: Dani
Dani Oct 30, 2008 at 22:10:33 (UTC)
Goto Top
Hi,
kannst du uns verraten wie das Programm heißt und was genau "verteilt" wird?! Das Ganze kommt mir ein bisschen seltsam vor.
Du kannst natürlich ein Loch in die Firewall reißen, dann aber so klein wie möglich. D.h. wirklich jeden Funken genau erlauben oder eben verbieten!


Gruss,
Dani
Member: Dextha
Dextha Oct 31, 2008 at 07:44:45 (UTC)
Goto Top
Es handelt sich hierbei um NetOp OnDemand, wo ein Kunde sich über eine Ticketnummer auf das Gateway connected und das Gateway frage die Guersts wem das Ticket für die Hilfeanforderung gehört....
Member: Dani
Dani Dec 27, 2008 at 13:44:34 (UTC)
Goto Top
Hi,
das ist kein Problem....


Gruss,
Dani
GermanQuestionFirewallSecurity