Jump to content

DMZ Design Fragen

smartino

Von smartino
in Windows Forum — Security

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

smartino Experienced

smartino   11

Geschrieben
Geschrieben

Hallo zusammen,

 

ich muß und möchte eine DMZ in meiner Firma designen. Die Frage ist nur welches Konzept. Vielleicht kann ich Euch dazu ein wenig löchern, daß ihr mir beim denken helft.

 

Von den Anforderungen kritalisiert sich heraus, daß innerhalb der DMZ nicht sehr viel stehen wird. Der Webserver ist extern gehostet; bleibt also im Großen und Ganzen eigentlich nur der OWA. Proxy und SPAM-Filter müssen ja nicht in der DMZ stehen. Hier auf der Client-Seite stehen ca. 100 Clients. Von extern kommen etwa 50 externe VPN-User, von denen wohl fast nie mehr als 20 gleicvhzeitig drinn sein werden.

 

Es gibt noch eine externe Filliale, über die ein Mailserver via VPN-Tunnel Daten mit unserem Mailserver austauscht. Aber auch hier nicht mehr als vielleicht 20 Mails pro Tag. Etwas mehr streßt der FTP-Server, der in der externen Filliale steht, über den (via VPN Tunel) die Leute hier per FTP Daten austauschen. Aber auch keine Killerapp mit Anforderung Hochverfügbarkeit.

 

Vorhanden ist eine Juniper Firewall, die wir auf alle Fälle integrieren möchten. Diese hat auch einen eigenen DMZ-Port. Debboch hatte ich mir überlegt, eine zweite Firewall/Router anzuschaffen, die die DMZ nochmals gegen das interne LAN NATet. Innerhalb der DMZ noch ein eigener DMZ Switch.

 

Was denkt ihr; mit Kanonen auf Spatzen geschossen? Wäre es nicht passender, die DMZ-Funktionalität der Juniper zu nutzen?

 

Viele Grüße

 

Thomas

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.034

Geschrieben
Geschrieben
Hallo zusammen,

 

ich muß und möchte eine DMZ in meiner Firma designen. Die Frage ist nur welches Konzept. Vielleicht kann ich Euch dazu ein wenig löchern, daß ihr mir beim denken helft.

 

 

Die erste Frage wäre doch: Was genau wollt ihr denn erreichen? Danach kommt doch erst der Rest deiner Überlegungen.

 

Bye

Norbert

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.034

Geschrieben
Geschrieben
Wir wollen uns gegen externe Angriffe sichern.

 

Gruß

 

Thomas

 

Und wie genau soll dir eine DMZ dabei helfen? Das ist doch die Frage. Welche Zugriffe von extern werden denn erlaubt/geplant? Ausser OWA. Welche Technik willst du in welcher Form in die DMZ stellen. Du kannst natürlich 17x DMZ bauen und dann doch per NAT oder Routing die Ports weiterleiten ins LAN und hast genau kein Plus an Sicherheit mehr.

Das Wie (ob nun mit drittem Bein an deiner Juniper oder mittels zweiter Firewall) ist doch erstmal für dein Konzept relativ irrelevant.

 

Bye

Norbert

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.034

Geschrieben
Geschrieben
nunja, wie ich schon schrieb, soll VPN-Zugriff möglich sein.

 

Ins LAN? Wenn ja, wofür meinst du eine DMZ zu benötigen?

 

WebServer steht extern, wird also fürs Konzept nicht benötigt.

 

OK.

 

Darüber hinaus soll ein Zugang auf eine MySQL Anwendung möglich sein.

 

Und der MySQL Server steht wo? Im LAN? Falls ja, wie willst du den Zugriff dann gestalten? Gibt es einen "Frontendserver" den man in die DMZ stellen kann und der den "Backendserver" anspricht?

Thema OWA: Welche Version von Exchange setzt du ein? OWA in der DMZ bringt eigentlich nur dann mehr Sicherheit, wenn du das über einen ReverseProxy wie bspw. den ISA 2006 regeln kannst.

 

Also du mußt dir erstmal klar werden, was du mit der DMZ erreichen willst. Die Aussage: Ich will sicherer sein. hilft nicht wirklich weiter.

 

Bye

Norbert

Link zu diesem Kommentar
smartino Experienced

smartino   11

Geschrieben
  • Autor
Geschrieben

Momentan steht alles im LAN. Genau deshalb wollen wir ja eine DMZ.

 

Was alles in Zukunft in die DMZ kommt kann ich momentan nicht sagen. Fürs erste werden es sicher der OWA, SPAM-Filter und ein SQL Frontend sein. Ganz zu Anfang wird sie schlicht leer sein.

 

Primär ist für mich (da ich eine Timeline habe) weniger interessant, was alles in die DMZ irgenwann einmal reinkommt (abgesehen von den Servern, die definitiv klar sind); zumal das von der geschäftlichen Entwicklung und den sich daraus ergebenden zukünftigen Anforderungen ergibt; sondern wie ich die DMZ baue. Ob ich sie zweistufig mache, es bei der einen Juniper belasse, welche Empfehlungen für eine zweite Firewall es gibt ...

 

Grüße

 

Thomas

Link zu diesem Kommentar
nerd Grand Master

nerd   28

Geschrieben
Geschrieben

Hi,

 

also eine leere DMZ bringt garnichts. Damit hast du genau null Sicherheitsgewinn im Gegenheil durch den höheren Konfigurationsaufwand noch zusätzliche Risiken.

 

Grundsätzlich ist dein Ansatz jedoch richtig. Anwendungen die Extern zur Verfügung stehen sollen gehören in eine DMZ.

 

Aus deinen Beschreibungen heraus würde ich daher min. folgendes dort Aufbauen:

- InternetProxy

- VPN Gateway

- OWA Reverse Proxy

- SQL Frontend (was auch immer das genau ist (ggf. kann man dafür auch noch den reverseProxy verwenden)

- Mailgateway (Spamfilter)

 

Wenn die von dir beschriebenen FTP Server nur intern eingesetzt werden, dann müssen diese nicht in die DMZ.

 

Grundsätzliches zum Thema DMZ und Firewall Aufbauszenarien habe ich mal hier zusammen geschrieben: Windows Server How-To Guides: Firewall Szenarien - ServerHowTo.de

Link zu diesem Kommentar
smartino Experienced

smartino   11

Geschrieben
  • Autor
Geschrieben

Hi Nerd,

 

merci für die Infos. Den Link kannte ich schon und habs in meinem DMZ-Arbeitspapier schon einfließen lassen und hat dort einen Ehrenplatz.

 

Klar bringt eine leere DMZ genau so viel, wie wir jetzt haben; nichts. Der Grund warum ich jetzt schon starte ist, weil ich muß. Ab nächster Woche bekommen wir von einem neuen Anbieter eine Standleitung. Die alte Leitung läuft parallel weiter bis Ende September. So lange habe ich Zeit alles aufzubauen und in der freien Wildbahn ausgiebig zu testen.

 

Zeit um die OWA Services vom jetzigen Exchange auszulagern und in die DMZ zu stellen habe ich momentan nicht. Kommt halt etwas später. Haupsache das DMZ Gerüst steht erstmal und ich hab gelernt es zu administrieren.

 

Warum würdest Du den Proxy (möchte ich bald durch eine TrendMicro Viruswall ersetzen) in die DMZ stellen? Anders als auf das MailGW wird darauf nicht aktiv von außen zugegriffen werden.

 

Grüße

 

Thomas

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.034

Geschrieben
Geschrieben

Was alles in Zukunft in die DMZ kommt kann ich momentan nicht sagen. Fürs erste werden es sicher der OWA, SPAM-Filter und ein SQL Frontend sein. Ganz zu Anfang wird sie schlicht leer sein.

 

Wenn du das schon weißt, dann hast du ja schon einen Ansatz. Nur bringt es dir eben wenig das einfach so mal schnell festzulegen ohne dafür auch ein Konzept zu haben. OWA bspw. ist ja keine Komponente die du vom Exchangeserver trennen kannst. Das bedeutet, entweder du setzt wie schon geschrieben einen Reverse Proxy ein, oder du läßt es wie es ist.

 

Primär ist für mich (da ich eine Timeline habe) weniger interessant, was alles in die DMZ irgenwann einmal reinkommt (abgesehen von den Servern, die definitiv klar sind); zumal das von der geschäftlichen Entwicklung und den sich daraus ergebenden zukünftigen Anforderungen ergibt; sondern wie ich die DMZ baue. Ob ich sie zweistufig mache, es bei der einen Juniper belasse, welche Empfehlungen für eine zweite Firewall es gibt ...

 

Dann bleibt dir nur eine allgemeine Formulierung wie: Zugriffe aus ungeschützten Netzwerken terminieren grundsätzlich in der DMZ und werden von dort mittels Proxysystemen weiterverarbeitet. ;)

Das ist so dermassen schwammig, dass es nie falsch ist.

 

Bye

Norbert

Link zu diesem Kommentar
nerd Grand Master

nerd   28

Geschrieben
Geschrieben

 

merci für die Infos. Den Link kannte ich schon und habs in meinem DMZ-Arbeitspapier schon einfließen lassen und hat dort einen Ehrenplatz.

schleimer ;)

 

Zeit um die OWA Services vom jetzigen Exchange auszulagern und in die DMZ zu stellen habe ich momentan nicht. Kommt halt etwas später. Haupsache das DMZ Gerüst steht erstmal und ich hab gelernt es zu administrieren.

 

OWA kannst du nur (vernünftig) über einen reverse Proxy in die DMZ bekommen.

 

Warum würdest Du den Proxy (möchte ich bald durch eine TrendMicro Viruswall ersetzen) in die DMZ stellen? Anders als auf das MailGW wird darauf nicht aktiv von außen zugegriffen werden.

 

In einem guten Design werden alle eingehenden und ausgehenden Verbindungen in einer DMZ terminiert. Es gibt dabei keine direkte Verbindung zwischen der edge firewall und der internen Firewall. Jeder Dienst der Damit von innen nach außen oder in die andere Richtung gehen möchte braucht einen Server / Proxy in der DMZ.

 

Viele Grüße

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...