DMZ einrichten...

M

Midian

Well-Known Member
Hallo, ich möchte mich bisschen mit dem Thema Firewallkonzepte auseinandersetzen, und so etwas wie eine DMZ in meinem privaten Netzwerk einrichten. Ein DMZ Konzept wie z.b. hier http://www.rediris.es/cert/doc/unixsec/dmz.png hatten wir schon in der Vorlesung dieses Semester, und hört sich für mich ziemlich spannend an.

Vielleicht gibt es ja hier Leute, die sich damit auskennen, und mir helfen würden, sowas aufzubauen.
Ich habe im Moment ein 10 Rechner Netzwerk (Wohngemeinschaft) was gemeinsam eine DSL3000 nutzt, und einen Netgear 4 Port Router (brandneu, schönes Gerät). Zur Verfügung hätte ich noch 2 alte Rechner, ausserdem bin ich auf das hier gestoßen: http://www.nwlab.net/tutorials/m0n0wall/m0n0wall-dsl-router.html
Dabei meine ich nicht m0n0wall, sondern die schlanke 16x16cm Hardware, auf der man *BSD laufen lassen kann.

Ich weiss jetzt nicht genau, wie die Hardware konfiguriert wird. Wenn wir vom o.g. Beispiel ausgehen, könnte ich doch meinen vorhandenen Router nehmen, oder? Als zweiter Portfilter könnte doch z.b. m0n0wall dienen, oder? Welche Aufgabe genau hat der Bastion Host? So weit ich mich erinnere, hiess es "Der Bastion Host kontrolliert Informationen auf Anwendungsebene. Was hast das konkret? Welche Software/Tätigkeit läuft auf dem Bastion Host?

Würde das Prinzip so funktionieren:
Code: 
DSL <---> Netgear Router <---> Bastion <---> 2. Firewall (m0n0wall?) <---> lokales Rechnernetz
?

Der Bastion Host wäre hier in einem anderen Subnetz als die lokalen Rechner, so dass Clients aus dem Internet nur Rechner aus dem Bastion Subnetz bekannt sind, nicht die eigentlichen 10 Nutzerrechner. Über die 2 Portfilter (Router, Firewall) wird der Datenverkehr über den Bastion Host zwischen Internet und lokalem Netz geroutet, richtig so weit?

Welches OS empfielt sich für den Bastion Host? Wie genau ist selbiger aufgebaut?


Achso, als kleine Erklärung:
Ich möchte das aus purer Langeweile und einem Schuss Paranoia/Freakness versuchen, ausserdem sieht die WRAP nach einer netten Bastelei aus :)

Evlt. habe ich mir überlegt, noch einen Rechner als Antivirus Server laufen zu lassen, da ich unter meinen Mitbewohnern mindestens 3 Clients habe, die sich regelmässig was einfangen (Thema "Internetführerschein"...), und ich dann immer der bin, ders richten darf..
Also ich meine einen Rechner, der in regelmässigen Abständen Clients scannt, und somit lokales Scannen überflüssig macht/teilweise ersetzt.
Ist sowas sinnvoll/gibts das überhaupt? Welche Software/welches OS empfiehlt sich da? Wie sieht das Ressourcenmässig aus?

Auch wenn das jetzt alles etwas wirr war, danke ich für jede Antwort :)
 
Der Rechner Bastion ist dann der Rechner in der Entmilitarisierten Zone, d.h. wenn dieser Rechner z.B. als Webserver läuft und auf dem ersten Router ein Portforwarding auf diesen Rechner eingerichtet ist, und dieser Rechner von einem Angreifer unter Kontrolle gebracht wird, kann er nicht die Rechner hinter dem zweiten Router angreifen.

Das Konzept einer DMZ ist also immer so dass ein Rechner der von einem Angreifer unter Kontrolle gebracht wurde, nicht andere Rechner außerhalb der DMZ angreifen kann, da er keine Verbindung ins normale LAN aufbauen darf, aber andere Rechner im LAN dürfen eine Verbindung zu ihm aufbauen.

Es würde also so aussehen dass hinter dem ersten Router der Rechner Bastion und der zweite Router hängt.

/dev/urandom
 
da dieses für eine reine wohngemeinschaft dienen soll finde ich solches firewall
konzept für die dmz etwas übertrieben, und man sollte auch den faktor
stromverbrauch nicht ausser acht lassen für diese "umgebung"

ein reiner 3 zonen router mit paketfilter würde meiner meinung nach hier genau
richtig sein .. siehe

Code: 
         <DMZ-SERVER>
               |
  <INET>----<ROUTER>----<LAN>
dies lässt sich super leicht relisieren mit einem ~ 200 MHZ PC der 3 NICs
eingebaut hat

und die wahl der betriebsystems, da würde ich auf OpenBSD setzten.

auf anwendungsebene würd ich garnichts filtern wollen weil deine mitbewohnen
dir sonst tag täglich auf die eier gehen werden das sie für dieses und jenes protokoll
einen proxy service oder sonstiges brauchen.

wenn du wiederum spielen willst und dir die kosten die grösses konzepte
verursachen und die damit verbunde arbeit egal sind dann tuh ruhig wozu du lust
und laune hast ;)
 
Guten Morgen

Midian schrieb:
Evlt. habe ich mir überlegt, noch einen Rechner als Antivirus Server laufen zu lassen, da ich unter meinen Mitbewohnern mindestens 3 Clients habe, die sich regelmässig was einfangen (Thema "Internetführerschein"...), und ich dann immer der bin, ders richten darf..
Also ich meine einen Rechner, der in regelmässigen Abständen Clients scannt, und somit lokales Scannen überflüssig macht/teilweise ersetzt.
Ist sowas sinnvoll/gibts das überhaupt? Welche Software/welches OS empfiehlt sich da? Wie sieht das Ressourcenmässig aus?
Zum Vergrößern anklicken....


Habe gerade gestern mal wieder in Dru Lavigne's BSD Hacks geblättert und als ich Deine Frage/Wunsch etc. sah ist mir einer ihrer Hacks in den Sinn gekommen. Sie beschreibt im Buch wie man Windows-Freigaben (z.B. Festplatte C:) von Clients mittles SharityLight mounted und dann nach Viren scannt, wieder unmounted usw. Bedingung ist allerdings dass die Clients während der Zeitdauer der geplanten Scanvorgänge eingeschaltet sein müssen.

BTW: Sie benutzt in diesem Hack ein gewöhnliches FreeBSD als Scan-"Zentrale", den verwendeten Virenscanner weiss ich jetzt gerade nicht mehr.

Habe im Moment das Buch nicht zur Hand, da auf Arbeit.

Greets, s_e

EDIT: Hier noch der Original Title des Hacks: "68. Scan a Network of Windows Computers for Viruses"
 
Zuletzt bearbeitet:
Ich finde eine DMZ für ein Wohnheim auch für etwas übertrieben.
In der Ausbildung wurde uns beigebracht, das man eine DMZ nur braucht, wenn man weder dem Internet noch den eigenen Netzwerkusern vertrauen kann.

Zum thema Bastion-Host meint das 'Handbuch für Fachinformatiker'

Beachten Sie aber, dass ein Paketfilter auf dem einzelnen Host kein Ersatz für einen Bastion-Host ist, der sämtlichen Traffic zwischen einem Backend-Netzwerk und dem Internet filtert
Zum Vergrößern anklicken....

Die gehen aber scheinbar eher von einer Personal-Firewall aus
 
Zuletzt bearbeitet:
das man dem internet nicht vertrauen sollte ist hoffentlich jedem bewust ;)

aber ganz erlich, eine DMZ is natürlich nur gut wenn der einsatzzweck auch
gewärleistet ist, siehe eine DMZ ist nur dann sinnvoll in diesem falle wenn
dienste bereitgestellt werden sollen im internet

einige anwendungs beispiele wären da für den häuslichen gebrauch
SMTP/POP3/IMAP/HTTP/HTTPS/FTP/etc .. dienste, die von einen bestimmten
personenkreis und gruppe genutzt werden sollen

bei remoteprotokollen wie SSH/RDP/VNC/RA, die eh nur eine person nutzen
sollte .... würd ich eher auf gezielte filterung setzen, und mechanismen sowie
knowhow einsetzten um dieses amzuschotten bis auf den kleinsten nennner

und zum thema intern, bzw. lan, da hängen wahrscheinlich eh alle an einem
switch, da kann man da eh nicht vorbeugen ausser man setzte neue harware ein
wie zum beispiel ein vlan switch

ganz sinnvoll übrigens ist bandbreitenpriorisierung mit jedem benutzer eine
garantierte bandbreite zu gesichert ist falls er diese braucht
 
Ich persönlich würde keine von den NAT-Router-Fertiglösungen verwenden. Die wichtigsten Gründe dafür sind:

  • Zweifelhafte Sicherheit. Es sind schon haarsträubende Sicherheitslücken bei solchen Geräten gemeldet worden.
  • Unflexibilität in Bezug auf die eingesetzte Software. Ich weiß, daß es offene Geräte wie das WRT54G gibt, aber die meisten sind halt untransparent und unflexibel.
  • Unzureichende Fähigkeiten in Bezug auf Prioritätsregelungen und Bandbreitenbeschränkungen (QoS und Traffic Shaping). Für eine WG besonders wichtig!
  • Unzureichende Leistung. Manche Geräte kann man schon durch ein paar Hundert NAT-Mappings in die Knie zwingen.

Ich will dir jetzt dein Gerät nicht schlecht reden und manche sind sicherlich auch nicht schlecht, es ist nur so, daß ich persönlich noch kein richtig gutes gesehen habe.
 
bofh schrieb:
das man dem internet nicht vertrauen sollte ist hoffentlich jedem bewust ;)

aber ganz erlich, eine DMZ is natürlich nur gut wenn der einsatzzweck auch
gewärleistet ist, siehe eine DMZ ist nur dann sinnvoll in diesem falle wenn
dienste bereitgestellt werden sollen im internet

einige anwendungs beispiele wären da für den häuslichen gebrauch
SMTP/POP3/IMAP/HTTP/HTTPS/FTP/etc .. dienste, die von einen bestimmten
personenkreis und gruppe genutzt werden sollen

bei remoteprotokollen wie SSH/RDP/VNC/RA, die eh nur eine person nutzen
sollte .... würd ich eher auf gezielte filterung setzen, und mechanismen sowie
knowhow einsetzten um dieses amzuschotten bis auf den kleinsten nennner

und zum thema intern, bzw. lan, da hängen wahrscheinlich eh alle an einem
switch, da kann man da eh nicht vorbeugen ausser man setzte neue harware ein
wie zum beispiel ein vlan switch

ganz sinnvoll übrigens ist bandbreitenpriorisierung mit jedem benutzer eine
garantierte bandbreite zu gesichert ist falls er diese braucht
Zum Vergrößern anklicken....


Also, dass mein Vorhaben gänzlich sinnbefreit ist, ist mir bewusst. Ich möchte mich nur damit befassen, und "sowas mal gemacht haben". Dass meine bisherige Lösung aus Router und Service Pack2 Firewal sowie anständig konfigurierte Rechner wohl auch "ausreichend" ist, ist mir klar.
Ich hab Semesterferien, und 11 Wochen nichts zu tun, :rolleyes:

Ausser einem Webserver der 24/7 läuft haben wir keinen der o.g. Dienste am laufen, alles andere sind normale Clients.

Was die Bandbreitenregelung angeht: hatten wir bisher nie Probleme, und mit dem Thema hab ich mich auch noch nicht befasst. Würd ich mir aber auch mal anschauen, und dann ordentlich einrichten :)


/dev/urandom schrieb:
Der Rechner Bastion ist dann der Rechner in der Entmilitarisierten Zone, d.h. wenn dieser Rechner z.B. als Webserver läuft und auf dem ersten Router ein Portforwarding auf diesen Rechner eingerichtet ist, und dieser Rechner von einem Angreifer unter Kontrolle gebracht wird, kann er nicht die Rechner hinter dem zweiten Router angreifen.

Das Konzept einer DMZ ist also immer so dass ein Rechner der von einem Angreifer unter Kontrolle gebracht wurde, nicht andere Rechner außerhalb der DMZ angreifen kann, da er keine Verbindung ins normale LAN aufbauen darf, aber andere Rechner im LAN dürfen eine Verbindung zu ihm aufbauen.

Es würde also so aussehen dass hinter dem ersten Router der Rechner Bastion und der zweite Router hängt.

/dev/urandom
Zum Vergrößern anklicken....

Gut, nen Webserver haben wir. D.h. ich bau das so auf:

Code: 
<Router (10.0.0.x)> --- <Webserver (10.0.0.x)> --- <Firewall Rechner (10.0.0.x)> --- <lokales Netz 192.168.123.x>

Ist das so richtig, bzw. funktionierts?

Und sollte ich den Netgear weiter als Router verwenden, oder einen Rechner als Router? Ich würde erstmal den Netgear verwenden wollen, als 2. Firewall eine m0n0wall, und als Webserver den bestehenden Webserver. Somit ändert sich nicht viel am bestehenden System.

Der Webserver läuft im Moment mit Windows 2000, habe hier aber noch eine Kiste mit nem frischen FreeBSD 5.4 drauf, die ich auch verwenden könnte.

Nochmal zum Thema Bastion, da sich die Informationen hier etw. wiedersprechen (oder ich es nicht verstehe):
Wird auf dem Bastion Host nochmals der Traffic gefiltert, oder laufen dort nur Webserver Dienste etc. pp.? Der Traffic wird ja bereits durch den 1. Router sowie die Firewall gefiltert, oder nicht?
Ist der Bastion Rechner nur einfach ein entkoppelter Rechner mit Internetzugang, der vom restlichen lokalen Netz getrennt ist, und im Falle eines Angriffes keinen Schaden anrichten kann, oder laufen dort nochmals Firewall Dienste?

Kurze Frage zum Thema m0n0wall:
Habe m0n0wall bisher noch nicht benutzt. Kann ich selbige so konfigurieren, dass das System als 2. Router dient, sprich den Traffic zwischen DMZ und lokalem Netz Routet, ohne dass sich die m0n0wall direkt im Internet einwählt und lokales Netz mit Internet verbindet (= die "normale Aufgabe von m0n0wall"?)?

Danke :)

sir_eidrien schrieb:
Guten Morgen
Habe gerade gestern mal wieder in Dru Lavigne's BSD Hacks geblättert und als ich Deine Frage/Wunsch etc. sah ist mir einer ihrer Hacks in den Sinn gekommen. Sie beschreibt im Buch wie man Windows-Freigaben (z.B. Festplatte C:) von Clients mittles SharityLight mounted und dann nach Viren scannt, wieder unmounted usw. Bedingung ist allerdings dass die Clients während der Zeitdauer der geplanten Scanvorgänge eingeschaltet sein müssen.

BTW: Sie benutzt in diesem Hack ein gewöhnliches FreeBSD als Scan-"Zentrale", den verwendeten Virenscanner weiss ich jetzt gerade nicht mehr.

Habe im Moment das Buch nicht zur Hand, da auf Arbeit.

Greets, s_e

EDIT: Hier noch der Original Title des Hacks: "68. Scan a Network of Windows Computers for Viruses"
Zum Vergrößern anklicken....

Ja also, ich hab ein bisschen gesucht, wohl verbreitet für Unix ist Clam AV. Direkt zum Thema Netzwerkscan hab ich da allerdings nichts gefunden.

Was ich mir überlegt hatte, ist, dass das Scannen möglichst transparent für den Nutzer sein sollte. Wenn man das über Windowsfreigaben regelt, müssten die Clients ja immer die komplettem Festplatten freigeben. Man könnte diese zwar mit Passwort schützen oder nur für best. Nutzer freigeben, scheint mir aber dennoch umständlich. Alternative ist wohl eine kommerzielle AV Lösung, bei der auf den Clients eben die Client Software liegt, und auf dem Server die Serversoftware (z.b. Norton). Die Fragen die ich mir stelle, um sowas überhaupt anzugehen:
- ist damit zuverlässiger Virenschutz möglich?
- ist der Ressourcenverbrauch niedriger oder gleich einer Einzelplatzlösung? (im Mom. läuft auf den Clients je ein Kasper in Version 5.0227)
- oder ist das alles kein Ersatz für Clientsoftware die im Echtzeitmodus scannt?
 
Midian schrieb:
Ja also, ich hab ein bisschen gesucht, wohl verbreitet für Unix ist Clam AV.
Zum Vergrößern anklicken....
Ja, das wird auch in "BSD Hacks" verwendet, aber grundsätzlich kannst du bei der Methode über den SMB-Mount jeden beliebigen Scanner benutzen.

Midian schrieb:
Wenn man das über Windowsfreigaben regelt, müssten die Clients ja immer die komplettem Festplatten freigeben.
Zum Vergrößern anklicken....
Machen das eNTen nicht so oder so automatisch? Da war doch was mit "administrativen Freigaben", oder so.

Die einfachste, sicherste und schnellste Methode ist immer noch, auf jedem Client einen Virenscanner im Hintergrund laufen zu lassen. Ich weiß auch nicht, wo du da das Problem siehst.
 
Midian schrieb:
Nochmal zum Thema Bastion, da sich die Informationen hier etw. wiedersprechen (oder ich es nicht verstehe):
Wird auf dem Bastion Host nochmals der Traffic gefiltert, oder laufen dort nur Webserver Dienste etc. pp.? Der Traffic wird ja bereits durch den 1. Router sowie die Firewall gefiltert, oder nicht?
Ist der Bastion Rechner nur einfach ein entkoppelter Rechner mit Internetzugang, der vom restlichen lokalen Netz getrennt ist, und im Falle eines Angriffes keinen Schaden anrichten kann, oder laufen dort nochmals Firewall Dienste?
Zum Vergrößern anklicken....
Es gibt verschiedene Arten von Bastion Hosts. Im Allgemeinen meint man damit aber einen Rechner, der vom Internet erreichbar ist und Zugang zum internen Netz hat, deshalb auch der Begriff Bastion. Der Rechner muss besonders gut geschützt sein.

Eine DMZ mit zwei Firewalls halte ich für eine WG auch für Overkill. Ein 'richtiger' Router mit Firewall sollte da reichen. Mit richtig meine ich: drei gegeneinander abgeschottete Netzwerkschnittstellen.

Gruß c.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben