Hi!
Das wird jetzt ein wenig umfangreicher :-)
Ich überlege wie man am sichersten ein kleines Netz aufbaut mit folgenden Anforderungen:
- Es soll einen smtp und pop3 Server haben. Der eigentliche mailserver steht aber irgendwo bei einem ISP. Alle Clienten hohlen ihre mail von meinen Server, bzw. schicken sie dort hin, der Server leitet dann alles weiter an den echten vom IPS. Idee dahinter, man kann zentral Virenscanner und Antispam Tools laufen lassen. Zudem muss keiner der Clienten einen externen Zugriff starten, nur der Server wäre also evtl. abhörbar / angreifbar, da er ja der einzige ist der externe Verbindung aufnimmt.
- Es soll einen normal übers Internet zugänglichen FTP und NNTP Server geben.
- Es soll den normalen internen Usern nur gewisses erlaubt sein nach extern in's Internet. Genauer, http, https, ftp, nntp, smtp und pop3 (aber nur zu dem internen mail Server, nicht extern).
- Es soll gewissen Personen aber erlaubt sein, Vollzugriff auf das Internet zu haben. Also ohne Einschränkungen von Protokollen etc.
- Es soll eine sichere Einwahl über das Internet in das interne Netz möglich sein mittels IPSec.
Dazu habe ich mir folgendes überlegt:
Als erstes sollte man ja alle öffentlich übers Internet zugänglichen bzw. gefährliche Dienste von dem Rest des Systems trennen. Schließlich sind sie leicht angreifbar und wenn eines der Systeme wie auch immer geknackt würde, wäre bei einem einzigen grossen Netz sofort das Tor für den Angreifer offen um den Verkehr der restlichen Clienten abzuhören bzw. sie anzugreifen.
Diese Dienste lege ich also auf einen eigenen Server oder "Bastion Host", wobei ich hier einen nehme für FTP und NNTP Server zusammen. Man könnte natürlich auch je einen pro Dienst nehmen.
Den smtp und pop3 Kram lege ich auf einen zweiter Server, da diese in meiner momentanen Überzeugung nicht gefährlich sind, weil sie nicht aus dem Internet erreichbar sein werden.
Den Bastion Host mit FTP und NNTP setzte ich in ein Perimeter Netzwerk, (oder auch Demilitarisierte Zone genannt, kurz DMZ), um sie wie gesagt vom Rest zu trennen. Der Aufbau sieht also dann erst einmal so aus:
1. Als erstes kommt ein Router mit Paketfilter und NAT an die Internet Leitung, nenne ihn hier externen Router.
2. Dann kommt die DMZ, mit dem FTP/NNTP Server drin
3. Dann ein zweiter interner Router, mit Paketfilter.
4. Dann das eigentliche interne Netz mit den Clienten und dem internen Mailserver..
Ok, nun dachte ich mir, die normalen User sollen ja nur gewisse Protokolle nutzen können, also brauche ich ein paar Proxies. Nur wo plazieren??? Ich würde sie jetzt auf dem internen Router positionieren. Genauso würde ich dort den IPSec Server drauflegen.
Dann wüde ich noch ein Portforwarding vom externen Router auf den internen IPSec Server legen.
Dann würde ich aber dem Paketfilter auf dem internen Router sagen, dass er alle Verbindungen blocken soll, die aus dem Perimeternetzwerk zu ihm aufgebaut werden. Er soll sogar alles im Stealth Modus laufen lassen. Das einzigste was er zeigen / erlauben soll ist der Zugriff auf den IPSec Dämon über die feste IP der Netzwerkkarte zur DMZ.
Hingegen sollen alle von intern aufgebauten Verbindungen erlaubt sein, damit Client Anfragen halt raus können.
Es soll aber von intern auch nur mölglich sein auf die dort installierten Proxy Server oder den IPSec Server zuzugreifen.
Nun müsste ich doch eigentlich alles, was ich wollte.
Von intern kann sich nun jeder nur über die Proxy Server oder den IPSec Server auf dem internen Router "hinaus" bewegen. Wenn man einen gültigen Zugang zu dem IPSec Teil hat, bekommt man eine gültige IP in im IP Bereich der DMZ zugewiesen und den externen Router, der ja NAT hat, als Gateway / DNS Server übergeben. Sprich man müsste Vollzugriff auf das Internet haben.
Hat man keinen IPSec Account kann man nur noch über die angebotenen Proxies rauskommen, sprich hat limitierten Zugriff.
Genauso kann ich mich nun über das Internet in dem IPSec Server des internen Routers einwählen und hätte Zugriff auf das interne Netz.
Was ich mich frage, da ich bisher nur pptp (VPN) Server hatte: Ist es bei einem IPSec Server möglich, je nachdem, aus welchen IP Bereich der Client kommt, ihm IPs aus unterschielichen Bereichen zuzuweisen. Wenn sich einer in meinem Szenario ja von innen nach aussen einwählt muss er ja ander IP Bereich zugewiesen bekommen als wenn sich einer von extern nach intern einwählt.
Was ich mich noch frage: In dem Moment, in dem sich ein interner user in IPSec einwählt und somit eine gültige IP in der DMz bekommt, veräppel ich mich da nicht selber.
Nun ist ja ein IP da, die direkt in das interne Netz führt wie ein Tunnel durch den Paketfilter des internen Routers. Wenn nun einer den FTP/NNTP Server knackt, kann er wunderbar direkt diese IP angreifen un dumgeht bzw. durchtunnelt doch Schutz des internen Routers. Oder sieht er diese IP nicht, weil ich in dem PF des internen Router ja gesagt habt, von extern sind nur Zugriffen über die feste IP der Karte des Routers zur DMZ erlaubt? Kann ich also überhaupt diese von IPSec an den internernen Clienten gegegene IP noch vom Router aus schützen?
Dazu muss ich sagen, dass ich nicht der IPSec Meister bin. Bin mir nicht sicher, ob man IPSec durch NAT jagen kann, evtl. im Tunnelmode oder wie es auch heissen mag.
Zudem bin ich mir nicht mal sicher ob man als Client, wenn man sich einwählt überhaupt eine IP zugewiesen bekommt.
Habe ich da jetzt einen Gedankenfehler gemacht?
Klärt mich auf :-)
Gruss, incmc
Das wird jetzt ein wenig umfangreicher :-)
Ich überlege wie man am sichersten ein kleines Netz aufbaut mit folgenden Anforderungen:
- Es soll einen smtp und pop3 Server haben. Der eigentliche mailserver steht aber irgendwo bei einem ISP. Alle Clienten hohlen ihre mail von meinen Server, bzw. schicken sie dort hin, der Server leitet dann alles weiter an den echten vom IPS. Idee dahinter, man kann zentral Virenscanner und Antispam Tools laufen lassen. Zudem muss keiner der Clienten einen externen Zugriff starten, nur der Server wäre also evtl. abhörbar / angreifbar, da er ja der einzige ist der externe Verbindung aufnimmt.
- Es soll einen normal übers Internet zugänglichen FTP und NNTP Server geben.
- Es soll den normalen internen Usern nur gewisses erlaubt sein nach extern in's Internet. Genauer, http, https, ftp, nntp, smtp und pop3 (aber nur zu dem internen mail Server, nicht extern).
- Es soll gewissen Personen aber erlaubt sein, Vollzugriff auf das Internet zu haben. Also ohne Einschränkungen von Protokollen etc.
- Es soll eine sichere Einwahl über das Internet in das interne Netz möglich sein mittels IPSec.
Dazu habe ich mir folgendes überlegt:
Als erstes sollte man ja alle öffentlich übers Internet zugänglichen bzw. gefährliche Dienste von dem Rest des Systems trennen. Schließlich sind sie leicht angreifbar und wenn eines der Systeme wie auch immer geknackt würde, wäre bei einem einzigen grossen Netz sofort das Tor für den Angreifer offen um den Verkehr der restlichen Clienten abzuhören bzw. sie anzugreifen.
Diese Dienste lege ich also auf einen eigenen Server oder "Bastion Host", wobei ich hier einen nehme für FTP und NNTP Server zusammen. Man könnte natürlich auch je einen pro Dienst nehmen.
Den smtp und pop3 Kram lege ich auf einen zweiter Server, da diese in meiner momentanen Überzeugung nicht gefährlich sind, weil sie nicht aus dem Internet erreichbar sein werden.
Den Bastion Host mit FTP und NNTP setzte ich in ein Perimeter Netzwerk, (oder auch Demilitarisierte Zone genannt, kurz DMZ), um sie wie gesagt vom Rest zu trennen. Der Aufbau sieht also dann erst einmal so aus:
1. Als erstes kommt ein Router mit Paketfilter und NAT an die Internet Leitung, nenne ihn hier externen Router.
2. Dann kommt die DMZ, mit dem FTP/NNTP Server drin
3. Dann ein zweiter interner Router, mit Paketfilter.
4. Dann das eigentliche interne Netz mit den Clienten und dem internen Mailserver..
Ok, nun dachte ich mir, die normalen User sollen ja nur gewisse Protokolle nutzen können, also brauche ich ein paar Proxies. Nur wo plazieren??? Ich würde sie jetzt auf dem internen Router positionieren. Genauso würde ich dort den IPSec Server drauflegen.
Dann wüde ich noch ein Portforwarding vom externen Router auf den internen IPSec Server legen.
Dann würde ich aber dem Paketfilter auf dem internen Router sagen, dass er alle Verbindungen blocken soll, die aus dem Perimeternetzwerk zu ihm aufgebaut werden. Er soll sogar alles im Stealth Modus laufen lassen. Das einzigste was er zeigen / erlauben soll ist der Zugriff auf den IPSec Dämon über die feste IP der Netzwerkkarte zur DMZ.
Hingegen sollen alle von intern aufgebauten Verbindungen erlaubt sein, damit Client Anfragen halt raus können.
Es soll aber von intern auch nur mölglich sein auf die dort installierten Proxy Server oder den IPSec Server zuzugreifen.
Nun müsste ich doch eigentlich alles, was ich wollte.
Von intern kann sich nun jeder nur über die Proxy Server oder den IPSec Server auf dem internen Router "hinaus" bewegen. Wenn man einen gültigen Zugang zu dem IPSec Teil hat, bekommt man eine gültige IP in im IP Bereich der DMZ zugewiesen und den externen Router, der ja NAT hat, als Gateway / DNS Server übergeben. Sprich man müsste Vollzugriff auf das Internet haben.
Hat man keinen IPSec Account kann man nur noch über die angebotenen Proxies rauskommen, sprich hat limitierten Zugriff.
Genauso kann ich mich nun über das Internet in dem IPSec Server des internen Routers einwählen und hätte Zugriff auf das interne Netz.
Was ich mich frage, da ich bisher nur pptp (VPN) Server hatte: Ist es bei einem IPSec Server möglich, je nachdem, aus welchen IP Bereich der Client kommt, ihm IPs aus unterschielichen Bereichen zuzuweisen. Wenn sich einer in meinem Szenario ja von innen nach aussen einwählt muss er ja ander IP Bereich zugewiesen bekommen als wenn sich einer von extern nach intern einwählt.
Was ich mich noch frage: In dem Moment, in dem sich ein interner user in IPSec einwählt und somit eine gültige IP in der DMz bekommt, veräppel ich mich da nicht selber.
Nun ist ja ein IP da, die direkt in das interne Netz führt wie ein Tunnel durch den Paketfilter des internen Routers. Wenn nun einer den FTP/NNTP Server knackt, kann er wunderbar direkt diese IP angreifen un dumgeht bzw. durchtunnelt doch Schutz des internen Routers. Oder sieht er diese IP nicht, weil ich in dem PF des internen Router ja gesagt habt, von extern sind nur Zugriffen über die feste IP der Karte des Routers zur DMZ erlaubt? Kann ich also überhaupt diese von IPSec an den internernen Clienten gegegene IP noch vom Router aus schützen?
Dazu muss ich sagen, dass ich nicht der IPSec Meister bin. Bin mir nicht sicher, ob man IPSec durch NAT jagen kann, evtl. im Tunnelmode oder wie es auch heissen mag.
Zudem bin ich mir nicht mal sicher ob man als Client, wenn man sich einwählt überhaupt eine IP zugewiesen bekommt.
Habe ich da jetzt einen Gedankenfehler gemacht?
Klärt mich auf :-)
Gruss, incmc
Zuletzt bearbeitet: