freakazoid 10 Geschrieben 10. August 2006 Melden Teilen Geschrieben 10. August 2006 Hallo! Mich würde mal interessieren mit welchen Mitteln ihr eure DMZ absichert. Ich habe schon mal folgendes vorgeschlagen bekommen: LAN-Seite --------------------------------------- spezieller Switch mit Filterfunktion --------------------------------------- S er v e r --------------------------------------- Firewall --------------------------------------- Internet Was haltet ihr von so einem Switch? Ist es besser 2 Firewalls zu verwenden oder eine mit optional Port? Was benutzt ihr um eine sichere DMZ zu bilden? Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 10. August 2006 Melden Teilen Geschrieben 10. August 2006 Naja, da scheiden sich die Geister. Die Frage ist welcher Server soll in die DMZ und warum. Wenn du deinen einzigen Server auch vor Clients im LAN Schützen willst, wirds eh schwierig. Ein Switch mit ACL ist i.d.R. so schnell, daß keine Performance Einbußen stattfinden. Dafür macht er aber reine IP-Filter und unterscheidet nicht nach Applikation. Um nach Applikation zu filtern, braucht es eine Firewall, die ist aber in aller Regel deutlich langsamer als ein Switch. Normalerweise bleiben die wichtigen (also von Usern direkt für Fileshares oder TS oder ähnliches genutzt) Server direkt im LAN. Gateways (für Mail bspw. oder Proxyserver,...) stehen in einer echten DMZ am dritten Bein einer Firewall oder noch besser zwischen zwei Firewalls (die eine zum LAN hin die andere zum Internet). Zitieren Link zu diesem Kommentar
freakazoid 10 Geschrieben 12. August 2006 Autor Melden Teilen Geschrieben 12. August 2006 Es sollen alle Server in die DMZ, jedenfalls wünscht das das BSI so. Der Datenschutzbeauftragte will uns zertifizieren lassen. Unser gegenwärtiger Backbone hat sog. Access Profile Lists. Würde das nicht ausreichen für alle Clients nur alle benötigten Ports zu erlauben? Wie prüft die Firewall welche Applikation eine Anfrage stellt? Unsere derzeitige Firewall kann nur nach verwendetem Protokoll filtern. Der Switch würde einen Filter nach einer begrenzten Anzahl von Protokollen auch erlauben. Zitieren Link zu diesem Kommentar
WSUSPraxis 48 Geschrieben 12. August 2006 Melden Teilen Geschrieben 12. August 2006 Es sollen alle Server in die DMZ, jedenfalls wünscht das das BS Sorry aber diese Aussage ist nicht haltbar und das will das BSI auch nicht.... Zitieren Link zu diesem Kommentar
BuzzeR 10 Geschrieben 12. August 2006 Melden Teilen Geschrieben 12. August 2006 Hallo auch. Alle Server in die DMZ? Absoluter Quatsch und ich darf mich der Aussage von Der Schwabe anschließen. In der Regel befinden sich innerhalb der DMZ lediglich DNS-, Mail-, Webserver und ggf. dedizierte Gateways, die den Zugriff auf Applikationen und Services im LAN steuern - siehe Citrix Access Gateway. LG Marco Zitieren Link zu diesem Kommentar
BuzzeR 10 Geschrieben 12. August 2006 Melden Teilen Geschrieben 12. August 2006 ... ich fahre die folgende Topologie. (INTERNET) | | Firewall1 | |- Mailserver } |- DNS } DMZ |- Citrix Access Gateway } | Firewall2 | | (LAN) LG Marco Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 12. August 2006 Melden Teilen Geschrieben 12. August 2006 Hallo auch. Alle Server in die DMZ? Absoluter Quatsch und ich darf mich der Aussage von Der Schwabe anschließen. naja quatsch würde ich nicht sagen ;) aber totaler overkill der einen enormen Verwaltungsoverhead mit sich bringt und für große Umgebungen fast nicht mehr zu handeln sein wird. Einzelne interne kritische Server könnte man u. U. schon in eine DMZ stellen - aber dann eine ohne Fuss ins Internet. In der Regel befinden sich innerhalb der DMZ lediglich DNS-, Mail-, Webserver und ggf. dedizierte Gateways, die den Zugriff auf Applikationen und Services im LAN steuern - siehe Citrix Access Gateway. ergänzen würde ich hier noch Applikationen die einen externen Zugriff bzw. eine direkte Einwahl ins Internet brauchen. (z. B. systeme die mit der börse komunizieren). RAS Server stehen i. d. R. auch in einer dedizierten RAS DMZ. Wo hast du gelesen, dass das BSI das fordert? Steht das im Grundschutzhandbuch? Zitieren Link zu diesem Kommentar
BuzzeR 10 Geschrieben 12. August 2006 Melden Teilen Geschrieben 12. August 2006 Hallo Johannes. Bei einer pauschalisierenden Äußerung, wie ALLE Server sollen in der DMZ beheimatet sein, können einem sicherheitsbewußten Administrator nur die Haare zu Berge stehen - egal wie man das Kindchen nennt. Ein Exchange-Server hat bei mir nichts in der DMZ zu suchen, ganz einfach. Dafür nutze ich Lösungen, die auf Linux, oder Solaris basieren. Im LAN gestaltet sich das dann ganz anders, aber das liegt wohl am eigenem Gusto ... LG Marco Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 12. August 2006 Melden Teilen Geschrieben 12. August 2006 Hallo Johannes. Bei einer pauschalisierenden Äußerung, wie ALLE Server sollen in der DMZ beheimatet sein, können einem sicherheitsbewußten Administrator nur die Haare zu Berge stehen - egal wie man das Kindchen nennt. Hi! eine DMZ muss nicht zwangsläuftig einen Fuss im Internet haben. Ich kenne auch DMZ's die nur eine Abschottung von bestimmten Systemen vom CN bieten. Wie gesagt, dass kann ein mal sein weil die Applikation hoch kritisch ist oder weil bekannte Sicherheitsprobleme vorhanden sind die man z. B. durch sperren von Ports oder durch das Filtern von content umgehen will. Gruß Zitieren Link zu diesem Kommentar
BuzzeR 10 Geschrieben 12. August 2006 Melden Teilen Geschrieben 12. August 2006 Die Quintessenz des Ganzen heißt also, dass es vom jeweiligen Anwendungsszenario abhängt, wie ich meine Netztopologie gestalte und es zwangsläufig keine Muster für ein gegebenes Netzwerk geben muß. Ist doch ein gemeinsamer Nenner. Somit kehren wir einträchtig zum Thread zurück und fragen: freakazoid ... welche Server sollst Du in die DMZ stellen? LG Marco Zitieren Link zu diesem Kommentar
freakazoid 10 Geschrieben 14. August 2006 Autor Melden Teilen Geschrieben 14. August 2006 Also diese Aussagen helfen mir schon weiter, sehr interessant. Aber das bedeutet für mich trotzdem alle Server in die DMZ zu stellen, da alle mindestens einen, der von euch genannten, kritischen Dienste beinhalten. Meine Fragen: Unser gegenwärtiger Backbone hat sog. Access Profile Lists. Würde das nicht ausreichen für alle Clients nur alle benötigten Ports zu erlauben? Wie prüft die Firewall welche Applikation eine Anfrage stellt? Unsere derzeitige Firewall kann nur nach verwendetem Protokoll filtern. Der Switch würde einen Filter nach einer begrenzten Anzahl von Protokollen auch erlauben. Würden mich ebenfalls noch interessieren. Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 14. August 2006 Melden Teilen Geschrieben 14. August 2006 Also diese Aussagen helfen mir schon weiter, sehr interessant. Aber das bedeutet für mich trotzdem alle Server in die DMZ zu stellen, da alle mindestens einen, der von euch genannten, kritischen Dienste beinhalten. ok wenn dem so ist, dann sollten die Teile auch dort hin. Meine Fragen: Unser gegenwärtiger Backbone hat sog. Access Profile Lists. Würde das nicht ausreichen für alle Clients nur alle benötigten Ports zu erlauben? also ich bin jetzt nicht so der Profi wenn es um die Tiefe config von router und switches geht aber grundsätzlich würde ich sagen nein. Ein Switch kann nie den Funktionsumfang einer Firewall übernehmen. Wie prüft die Firewall welche Applikation eine Anfrage stellt? Unsere derzeitige Firewall kann nur nach verwendetem Protokoll filtern. Der Switch würde einen Filter nach einer begrenzten Anzahl von Protokollen auch erlauben. von welcher FW sprichst du nun? Von der zum Lan oder zum Internet gerichteten? Normale FW's erkennen nicht welche Applikationen mit Ihnen Kontakt aufnehmen sondern welche IP's mit welchen Ports und ggf. welchen Protokollen. Dann entscheiden Sie anhand eines Regelsatzes ob diese Pakete durch dürfen oder nicht. Würden mich ebenfalls noch interessieren. Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 14. August 2006 Melden Teilen Geschrieben 14. August 2006 Hi, vielleicht solltest du hier wirklich noch etwas genauer unterscheiden, da DNS nicht gleich DNS. Das soll heissen: Bei einer Topologie wie dieser: Internet | Firewall------DMZ------ (DNS-Server, Mailgateway, Webserver) | LAN stehen in der DMZ i.d.R. nur Server, auf die vom LAN und vom Internet her zugegriffen wird. Diese sollten auch unbedingt in einer DMZ stehen. Allerdings ist ein public DNS Server wohl nur in grösseren Umgebungen zu finden. Die meisten Netze haben keine public DNS Server und lassen ihre public Records vom Provider betreiben. Der DNS Server deines AD bspw. sollte unter keinen Umständen auch von extern erreichbar sein! Dazu könntest du, wenn wirklich erforderlich eine interne DMZ, die ausschliesslich ZUgang zum LAN hat einrichten. Ein Switch mit Filterfunktion ist ein Schritt in Richtung DMZ, hat aber wie bereits erwähnt nicht die Funktionalität einer Firewall. Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 14. August 2006 Melden Teilen Geschrieben 14. August 2006 Randbemerkung: Wenn ich von einer zum Internet hin gerichtet DMZ spreche hat die meiner Meinung nach immer so auszusehen: Internet | __ dedizierte FW__ | | | DMZ 1 DMZ2 DMZx | | | ---dedizierte FW---- | LAN sowas: Internet | Firewall------DMZ------ (DNS-Server, Mailgateway, Webserver) | LAN Ist in meinen Augen Kinderspielzeug und sollte nur in Ausnahmefällen eingestzt werden (z. B. sehr kleine Firmen die nur basis Dienste in der DMZ haben wollen keine Apps) [edit] wo ist mein Visio :D[/edit] Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 14. August 2006 Melden Teilen Geschrieben 14. August 2006 Hi Johannes, Full ACK. Leider ist es halt nicht immer so einfach. Hauptproblem sehe ich in dem Konfigurationsaufwand. Wer eine Firewall betreibt und wartet muss wissen, was er tut. Ein DMZ-Layout mit 2 Firewalls ist i.d.R. am sinnvollsten wenn 2 unterschiedliche Produkte zum Einsatz kommen. Damit wird aber der Verwaltungsaufwand und das geforderte Wissen wesentlich erhöht! Was so manchen mittelständischen Betrieb an die Grenzen der Budgets treibt. Damit ist eine Lösung wie ich sie aufgemalt habe zwar alles andere als Ideal, aber sie ist vielleicht sowas wie die zweite Wahl... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.