DMZ Aufbau - Beratung für sicheres Netz

[Muelli 10]

Moin Community,

 

wollen demnächst bestimmte Inhalte unseren Kunden online zur Verfügung stellen. Dazu haben wir bisher extern einen Internet Hosting Provider (Schlund), bei dem unsere Website läuft. Zum Ausbau dieser Site benötigen wir nun aber ASP.NET Fähigkeiten, welche aber vom Hoster erst bei Buchung eines teureren Paketes angeboten wird. Damit würden wir von derzeit 30 Euro auf über 100 Euro pro Monat springen. Das ist indiskutabel. Wechseln wollen wir aber auch nicht - dann müssten wir wieder mit der Domain umziehen u.s.w. Da wir in der Firma aber über eine öffentliche IP angeschlossen sind, könnten wir die neuen Inhalte auch auf einem unserer Server laufen lassen, auf den die Kunden dann zugreifen können. Soweit erst mal klar.

Nun möchte ich unser internes Netz natürlich nicht kompromitieren. Hätte jetzt verschiedene Möglichkeiten: Port Forwarding nur an den bestimmten Rechner, VLAN, DMZ.

 

Hier erst mal unsere Konfiguration:

 

- Internetanbindung über einen örtlichen Systemprovider mit statischer öffentlicher IP. Dieser Provider routet wiederum sein Netzwerk (an dem noch andere Firmen wie wir hängen) über Vianetworks ins Internet)

- Router Draytek 2900G (NAT aktiviert)

- Firewall des Routers aktiviert. Nur notwendige Ports nach außen geöffnet, alles andere geblockt. Nach innen werden nur VPN- (PPTP mit 128bit MPPE Verschlüsselung) und natürlich die Antwortpakete auf Internetanfragen durchgelassen.

- internes 192er Netzwerk mit AD W2K Advanced Server + einigen W2K und XP Pro Clients bei denen überall ein Virenscanner und eine PFW ihren Dienst tun.

 

Soweit unser Stand. Bisher auch alles vollkommen problemlos gelaufen. Nun, wie gesagt, einen Webserver aufsetzen, auf den die Kunden aus dem Internet zugreifen können. Ob direkt über IP oder DynDNS ist erst mal vollkommen Schnurtz - nur sicher soll es sein.

 

Hatte jetzt an eine DMZ gedacht. Die Router Konfiguration bietet dies ja an - nur ist das in meinen Augen keine echte DMZ, wenn sie physisch im selben Netz hängt.

Bin jetzt auf der Suche nach Literatur oder Anleitungen zum Aufbau einer echten DMZ (oder Alternativen). Könnt ihr da was empfehlen? Die Suche im Forum hat nicht wirklich was gebracht.

Hatte mir vorgestellt einen zweiten Router zu kaufen (dies lässt der Chef auch zu, solange es im Rahmen bleibt - < 350 Euro :D ) und zwischen den Routern dann sozusagen die DMZ einzurichten, wo der Internetserver dann steht. Nur was muss ich dann alles beachten? Wie mache ich diese Zone komplett gegenüber meinem internen Netz dicht? Wie komme ich trotzdem an den Server ran, um ihn zu administrieren und neue Inhalte raufzuspielen? Bekommt der Server eine eigene Arbeitsgruppe - all solche Fragen, die halt hochkommen, wenn man keine Zeit/kein Geld für ein Testsystem hat/bekommt :mad:

 

Vielleicht kann mir jemand guten Lesestoff empfehlen?

 

Grüße

Mülli

[dippas 10]

Hallo Muelli,

 

ich glaube, Dein Problem ist weniger technischer Natur; es hapert eher an der Kohle ;)

 

Eine Büchse mit richtiger DMZ, also eigene Regeln, eigene IP, halt ne richtige DMZ, kostet in der Kante 1000 Euro.

 

Alternative:

PC nehmen, Netzwerkkarten reinbauen und hier lesen http://www.ipcop-forum.de/ oder auch hier http://m0n0.ch/wall/

 

grüße

 

dippas

[Muelli 10]

Moin Dippas,

 

IpCop wäre wohl 'ne Lösung. Hatte ich vor Jahren schon mal aufgesetzt, als wir noch keinen Hardwarerouter hatten. Muss ich mich mal wieder mit beschäftigen. Das ist dann aber schon komplett die technische Umsetzung. Außerdem steht dann wieder irgendwo ein Rechner, den ich warten muss. Hardwarerouter sind mir persönlich lieber.

Zu aller erst interessieren mich aber mehr die verschiedenen Konzepte und ihre Sicherheitsstufen um so etwas zu realisieren. Am Ende, wenn ich die für uns beste (oder günstigste :D ) Möglichkeit gefunden habe, mache ich mich an die Umsetzung.

 

Grüße

 

Mülli

[kaotai 10]

Hi,

 

sieh Dir mal die an:

http://www.astaro.de/firewall_network_security/astaro_security_gateway

ca. 700€

damit kannst Deine Ideen komplett realisieren.

Zum Thema

" Außerdem steht dann wieder irgendwo ein Rechner, den ich warten muss."

Wenn Dir dass nicht klar ist , eine Firewall musst Du permanent (täglich) "Warten - Logs lesen und und" dann lass Finger weg von einer Firewall mit DMZ, Webserver, VPN blafasel.

[Muelli 10]

Hi Kaotai,

 

Dank für Deinen Link.

 

Nur mal zum Verständnis. Wir sind hier nur 'ne kleine Firma mit z.Zt. 6 Mann und keiner eigenen IT Abteilung. Die Rechner muss ich hier nebenbei mit managen - bin von Hause aus eigentlich Maschinenbauer mit ein paar MCP Kursen ;) . Es hat also keiner so recht Zeit sich großartig um die Hardware/Software zu kümmern, wir haben alle andere Aufgaben in der Firma. Auch der Hardwareetat ist ziemlich beschränkt. Einen sekundären DC oder ähnliches kann man gleich vergessen.

Es sind einfache Lösungen, welche nicht ständig kontrolliert und gewartet werden müssen, gefragt. So stehen alle Windows Maschinen auf Automatische Updates, Virenscanner updaten sich auch täglich automatisch und die Sicherung läuft jede Nacht als Inkrementelle zusätzlich zur wöchentlichen Komplettsicherung. Dazu der NAT Router mit aktivierter "deny-all" FW und die Kerio PFW auf allen Rechnern. Als Emailer nur Pegasus. Damit liefen wir in den letzten Jahren komplett ohne Ausfall oder Viren durch.

Sicherlich ist die Firmengröße oder das fehlende IT Department keine Entschuldigung für mangelhafte Sicherheitsvorkehrungen - muss aber halt alles im Verhältnis bleiben. Wenn hier im Worst Case Fall mal alles für 2 Tage zusammenbricht, ist das auch kein Beinbruch. Alle Daten sind gesichert und können per externer Festplatte sofort an einen Rechner geklemmt werden, so dass ein Notbetrieb gewährleistet ist. So schaut's aus. Ob's mir passt oder nicht.

Jetzt brauche ich halt ein Mindestmaß an Sicherheit für die Bereitstellung eines Webservers, bei der Internetuser nicht so einfach in unser eigenes Netz eindringen können.

 

Grüße

Mülli

[kaotai 10]

Diese sollte keine Kritik an der deiner Person sein.

Sondern so ist die realität oder sollte sein.

Zum Link.

Diese FW kann genau dass was Du willst.

FW DMZ auto-update usw. Weboberfläche die Verständlich ist.

Kostet etwas mehr als Du planst.

Die Software Version kannst Du dir runter laden und einfach auf einen Rechner installieren.

Wenn Dir klar ist welches Tool zum Einsatz kommt kann man gerne über das Konzept sprechen.

Da sonst das "wer wie was " fehlt.

 

Und zum Preis ab 500€ oder eben Eigenbau

 

Google mal nach Firewall Appliance

[Muelli 10]

Hi Kaotai,

 

keine Angst, habe ich auch nicht als Kritik aufgefasst - abgesehen davon, dass konstruktive Kritik hier erwünscht ist ;)

Wollte eigentlich nur mal meine Randbedingungen schildern, damit man das Ganze in einem bestimmten Kontext betrachtet.

 

Muss mir mal Deinen Link etwas näher betrachten, insbesondere was der Vorteil gegenüber preiswerteren Routern mit DMZ ist, wenn ich solch einen vor unseren bereits Vorhandenen stelle, um dort die DMZ einzurichten.

 

Grüße von der Küste,

 

Mülli

[nerd 28]

Hi,

 

wenn du das Maß an Sicherheit haben willst was du oben beschrieben hast dann wird die Lösung etwas teurer als deine Planung. Mann könnte die Lösung zwar auch mit einem "normalen" Router umsetzen aber ob das wirklich geht kann ich nciht sagen (hab ich noch nie getestet).

 

1. Stuffe Router / FW Daran angeschlossen: 2. FW + 1. NiC des DMZ Servers

2. Stuffe Router / FW Daran angeschlossen: 1. FW + 2. NIC des DMZ Servers + Internes Netz

 

Du müsstess dann auf der ersten FW folgendes einstellen:

1. Portforwarding aller verwendeten Ports zur FW 2 (inkl. VPN path through)

2. DMZ für den Webserver (Portforwarding Port 80 und ggf 443)

3 alles andere droppen

 

Die zweite FW sollte folgende Settings bekommen:

1. VPN Einwahlpunkt

2. öffnen aller verwendeten Ports (wobei das keiner sein sollte ;))

3. 2. NIC des Webservers in die DMZ / VLAN

 

Der Webserver sollte mit der ersten NIC nur auf Netzwerkanfragen reagieren und mit der zweiten NIC nur auf die von dir verwendeten Management Funktionen.

 

Wenn ich mir das ganze jedoch anschauen - und dann noch mit rein rechne, dass du dir einen Teil des KnowHows vermutlich erst anlernen / erkaufen musst würde ich an eurer stelle erneut den Taschenrechner raus nehmen und schauen ob es nicht günstiger ist das ganze hosten zu lassen! Wenn man nämlich alle kosten zusammen rechnet:

 

1. neuer Router / FW

2. neuer Server

3. deine Arbeitszeit um das ganze einzurichten

4. deine ARbeitszeit um das ganze zu warten

5. anteilige Leitungskosten / Datenvolumen

 

Und wenn man dann zusätzlcih noch sieht, dass ihr bei einem Hoster wie schlund garantierte Verfügbarkeiten, Updates, Support etc. habt dann kann ich mir nicht vorstellen, dass eure Lösung unterm Strich wirklich billiger als 100 € im Monat ist!

 

Gruß

[reinersw 10]

@Muelli,

schau doch mal bei http://www.ben-hur.de vorbei.

Da gibt es den Collax BenHur2 für 5 Benutzer, der kostet absolut nichts.

Der kann das gewünschte leisten.

 

reinersw

 

knapp daneben ist auch vorbei

-----------------------------------

[Muelli 10]

@Johannes

Deine Auflistung eines grundsätzlichen Aufbaus einer DMZ ist genau das, was ich suche. darüber ein paar Literaturempfehlungen und ich wäre glücklich. Wenn ich mir grundsätzlich darüber im Klaren bin, ob und wie es geht oder nicht, kann ich mich an das Auswählen von Hardware machen. Und dann sehe ich am Ende, was für ein Preis rauskommt, den ich dann dem Chef zeigen kann.

Deine Taschenrechnerübung ;) ist leider so bei uns nicht anwendbar. Einen alten Rechner für Software Router/FW a la IpCop haben wir rumstehen, anteilige Leitungskosten/Transfervolumina sind nicht relevant wegen Flat, und meine zusätzliche Arbeitszeit interessiert hier niemanden. Etliche unentgeltliche Überstunden sind sogar im Arbeitsvertrag festgeschrieben und können bei Bedarf eingefordert werden - So läuft's im Osten ;) . Am Ende bleibt also nur ein evtl zusätzlicher Router übrig, der angeschafft werden muss.

 

@Reiner

bei Ben-Hur ist ja nur ein Forum dahinter bzw. einige ftp Verzeichnisse. Nehme aber an, es handelt sich dabei um Softwarelösungen wie IpCop.

 

 

Grüße und Dank

 

Mülli

[reinersw 10]

@Muelli,

ja das ist so. Das Ding ist aber wirklich gut. Es gibt einige Firmen, die bereits alles nur noch über Benhur - jetzt Collax Server - abwickeln, wie Mail, Antivir, Spam usw. usw.

Da läuft schon kein Windows Server mehr und auch kein Exchange.

 

reinersw

 

knapp daneben ist auch vorbei

-----------------------------------

[dippas 10]

Etliche unentgeltliche Überstunden sind sogar im Arbeitsvertrag festgeschrieben und können bei Bedarf eingefordert werden - So läuft's im Osten ;) .

 

nicht nur im Osten ;)

 

OK, Du hast ja nun einiges an Infos. Hier noch ein Link über die Hardware-Appliances, die ich persönlich favorisiere: http://www.juniper.net/products/integrated/

 

In eurem Fall reicht eine 5GT. Es gibt auch eine Variation mit WLAN. Das Besondere: Die einzelnen WLAN-Zonen (max. 4 gleichzeitig) können mit eigenen Regeln bestückt werden. So am Rande erzählt.

 

Eine blanke 5GT kostet ca. 570 Euro und ist eine Firewall wie die Großen ;)

 

Support, AV etc. kommen wie bei allen anderen Produkten (z.B. auch Astaro) mit Extrakursen um die Ecke.

 

Aber unabhängig davon wirst Du ich auf 2 Sachen einschießen müssen:

 

1. Für 200 - 300 Euro wirst Du keine Lösung finden, egal ob reine Hardwarelösung oder PC mit Software (ausser Open Source).

2. Es steckt Deine Arbeit drin. Vieviel ist logischerweise davon abhängig, welche Lösung Du nimmst.

 

Auch darfst Du folgendes nicht ausser Acht lassen:

Regelmäßiges reinschauen in die Büchse solltest Du mit einplanen. Allerdings ist es mit Hardwareappliances ein wenig "einfacher", weil Du dich nicht auch noch um das OS kümmern musst.

 

grüße

 

dippas

[nerd 28]

@Johannes

Deine Auflistung eines grundsätzlichen Aufbaus einer DMZ ist genau das, was ich suche. darüber ein paar Literaturempfehlungen und ich wäre glücklich. Wenn ich mir grundsätzlich darüber im Klaren bin, ob und wie es geht oder nicht, kann ich mich an das Auswählen von Hardware machen. Und dann sehe ich am Ende, was für ein Preis rauskommt, den ich dann dem Chef zeigen kann.

Deine Taschenrechnerübung ;) ist leider so bei uns nicht anwendbar. Einen alten Rechner für Software Router/FW a la IpCop haben wir rumstehen, anteilige Leitungskosten/Transfervolumina sind nicht relevant wegen Flat, und meine zusätzliche Arbeitszeit interessiert hier niemanden. Etliche unentgeltliche Überstunden sind sogar im Arbeitsvertrag festgeschrieben und können bei Bedarf eingefordert werden - So läuft's im Osten ;) . Am Ende bleibt also nur ein evtl zusätzlicher Router übrig, der angeschafft werden muss.

Hi,

 

ob es dazu Doku gibt kann ich dir nciht sagen. Kenne ehrlich gesagt keinen der mit solcher Hardware eine zweistuffige Firewall aufgebaut hat :rolleyes: Das ist wohl einer der Nachteile dieser Lösung. Bei eine Appliance wird es diese Doku vermutlich eher geben. sorry

[Wurzerl 10]

Es gibt folgende Lösungen:

 

a)

mind. 1 Pentium 100

3 Netzwerkkarten

IPCop

 

kostet nix - nur Arbeitszeit

 

b)

1 Router mit SPI FW wie Johannes schon beschrieben hat.

 

kostet ca. € 60 - 120,-- und (nicht soviel) Arbeitszeit.

 

c)

Serverhousing beim Provider erweitern - kostet etwas

 

 

Ist halt in Eurer Firma wie (leider) üblich: Sicherheit ist erst dann ein Thema, wenn der Schaden schon eingetreten ist, sei es durch Datenklau oder sonstigen Datenverlust. Dann hilft auch nicht mehr.