Frage zur DMZ

[Eleu]

Hallo,

ich habe mal eine theoretische Frage zu einer DMZ (Kein konkretes Projekt)

Nehmen wir mal an Daten aus einem Automatisierungsnetz (z.B. Datenbank) soll Teilnehmern aus dem Intranet verfügbar gemacht werden.

Die Übergabe soll über eine DMZ erfolgen.

Jetzt steht bei Wikipedia (Demilitarized Zone Abschnitt Sicherheitsaspekte) :

Demilitarized Zone

Die Filterfunktionen können aber durchaus von einem einzelnen Gerät übernommen werden; in diesem Fall benötigt das filternde System mindestens drei Netzanschlüsse: je einen für die beiden zu verbindenden Netzsegmente (z. B. WAN und LAN) und einen dritten für die DMZ (siehe auch Dual homed host).

Hierzu eine Frage:

Die erste NIC hat dann eine IP aus dem VLAN des Intranets

Die zweite NIC hat eine IP aus dem VLAN / Subnetz des Automatisierungsnetzes

Ich nehme an, an der 3ten NIC hängt dann der eigentliche DMZ Server (Weiterer Rechner) in einem 3ten VLAN / Subnetz.

Die Datenbank würde dann auf dem DMZ Server liegen und Rechner aus dem Automatisierungsnetz

würden diese mit Daten versorgen.

Die Rechner aus dem Intranet würden dann darauf zugreifen.

Was ich noch nicht verstanden habe ist wie ich am Gerät (Rechner) die NIC`s konfigurieren muss ?

Als Router ?

Also NIC 1 routet zu NIC 3

NIC 2 routet zu NIC 3

NIC 1 routet aber nicht zu NIC 2 und umgekehrt ?

Ist das richtig ?

Auf welchem der beiden Rechner installiere ich dann die beiden Firewalls (Software) ?

Ich nehme an auf dem Gerät, oder ?

Gruß

Eleu

[DocInfra]

Welcher Verkehr wohin darf realisierst du über entsprechende Regeln in einem Paketfilter oder ein anderen Regelwerk. Mehr steckt da nicht hinter. Routing muss natürlich passen. Also Verkehr aus dem Automatisierungsnetz und Benutzernetz müssen in die DMZ kommen.

[Eleu]

Welcher Verkehr wohin darf realisierst du über entsprechende Regeln in einem Paketfilter oder ein anderen Regelwerk. Mehr steckt da nicht hinter. Routing muss natürlich passen. Also Verkehr aus dem Automatisierungsnetz und Benutzernetz müssen in die DMZ kommen.

Nehmen wir an, dass Gerät (Rechner) mit den 3 NIC`s ist ein W2k3 Server. Dann muss man bei Windows 2003/2008 Systemen lediglich den RAS/Routing Dienst mit der Option "LAN-Routing" aktivieren damit der Rechner routet.

Der Rechner routet dann aber generell auf alle NIC`s.

Er soll aber nur von NIC 1 < -> NIC3 <-> NIC2 routen und nicht von NIC1 <-> NIC2.

Wie kann ich explizit das routen von NIC1 <-> NIC2 unterbinden ?

[DocInfra]

RRAS kann auch Pakete filtern. Aber: Ich würde dafür kein Windows 2003 mehr einsetzen, es gibt mittlerweile 2008 und sogar schon 2008 R2. Und ich würde dafür auch nicht RRAS verwenden, sondern eine Firewall mit einem entsprechenden Konzept dahinter.

[Eleu]

RRAS kann auch Pakete filtern. Aber: Ich würde dafür kein Windows 2003 mehr einsetzen, es gibt mittlerweile 2008 und sogar schon 2008 R2. Und ich würde dafür auch nicht RRAS verwenden, sondern eine Firewall mit einem entsprechenden Konzept dahinter.

Noch besser wären dann 3 Rechner mit jeweils 2 NIC`s

Die 1te NIC des ersten Rechners ist dann mit dem Benutzernetz verbunden.

Die 2te NIC des ersten Rechners dann mit der ersten NIC des DMZ Servers (Rechner 2).

Die 2te NIC des DMZ Servers (Rechner 2) dann mit der ersten NIC des dritten Rechners und die 2te NIC des dritten Rechners mit dem Automatisierungsnetz.

Also die LAN Verkabelungen bei allen 3 Rechnern über cross over Kabel in Reihe.

Beim Rechner 1 und beim Rechner 3 wird dann das Routing eingeschaltet.

Beim DMZ Server bleibt es aus.

Zusätzlich noch einen Paketfilter/Firewall auf dem DMZ Server.

Die Datenbank liegt dann in einem Ordner auf dem DMZ Server.

Die freigegebene Clients aus dem Benutzernetz mappen diesen Ordner und bestimmte Clients im Automatisierungsnetz mappen diesen Ordner ebenfalls.

In der Firewall sind nur diese bestimmten Clients über Paketfilter freigegeben.

Dann hätte man doppelte Sicherheit.

Einmal weil der DMZ Server nicht routet und noch den Paketfilter/Firewall dazu.

Würdest Du mir da zustimmen ?

Vielleicht gibt es eine Firewall in der man nur ganz bestimmte Clients in einer white liste aufnehmen kann.

[DocInfra]

Nein, da möchte ich dir auf das heftigste widersprechen. Wo bitte ist der Vorteil an so einem Bastelkonzept?! Wenn du sowas aufbauen willst, dann nimm bitte eine Firewall mit einem entsprechenden Sicherheitskonzept dazu. Allein von der Verfügbarkeit her haben die drei Rechner eine geringere Verfügbarkeit als eine Firewall.

[Eleu]

Was ich da beschrieben habe, entspricht doch im Prinzip einer DMZ ?

Welches Sicherheitskonzept schwebt Dir denn so ganz konkret vor ?

Vielleicht bist Du so nett und erleuchtest mich.

[DocInfra]

Eine DMZ erstmal nichts anders als ein Netz auf das der Zugriff mittels Sicherheitsfunktionen eingeschränkt ist. Sowas realisiert man, außer vielleicht in Testumgebungen, nicht mit PC mit mehreren NICs und nicht mit einem Betriebssystem bei dem der Mainstream Support 2010 abgelaufen ist. Wenn du das unbedingt mit PCs aufziehen willst, dann bitte ein auf den Anwendungsfall hin gehärtetes OS. Ansonsten imm bitte eine Firewall mit entsprechend ausreichend Interfaces, überlege dir wer wohin zugreifen muss, überlege wer auf die Firewall (administrativ) zugreifen muss und du solltest dir überlegen, ob es andere Möglichkeiten des Zugriffs auf di DB gibt (z.B. Export von Datensätzen auf Anforderung).

Du legst doch immer soviel Wert auf die hohe Sicherheit und Zuverlässigkeit bei Automatisierungsnetzen - warum bastelst du dann bei Netzwerken so rum?

[Eleu]

Ansonsten imm bitte eine Firewall mit entsprechend ausreichend Interfaces, überlege dir wer wohin zugreifen muss, überlege wer auf die Firewall (administrativ) zugreifen muss und du solltest dir überlegen, ob es andere Möglichkeiten des Zugriffs auf di DB gibt (z.B. Export von Datensätzen auf Anforderung).

Du legst doch immer soviel Wert auf die hohe Sicherheit und Zuverlässigkeit bei Automatisierungsnetzen - warum bastelst du dann bei Netzwerken so rum?

Warum eigentlich immer so Feindseelig ? Ich möchte doch nur was dazulernen.

Wie gesagt, es ist kein konkretes Projekt.

Eine Standard DMZ (Ohne basteln) sähe jetzt m.E so aus:

Intranet <-> HW Firew. (Router) <-> DMZ Server <-> HW Firew. (Router) <-> AT - Netz

Der DMZ Server dient als Datenschnittstelle vom Automatisierungsnetz zum Intranet.

Die Datenbank liegt dann dort.

Wenn ich Dich richtig verstehe, würdest Du es so aufbauen:

Intranet <-> HW Firew. (Router) <-> AT - Netz

Auf einem Server im Automatisierungsnetz ist ein Ordner von einem Server im Benutzernetz gemappt.

Durch eine Anforderung vom Client (Benutzernetz) wird die DB vom Automatisierungsnetz aktualisiert (Z.B.: Copy and paste)

Die Paketfilter werden auf der HW Firewall eingestellt.

Richtig ?

Bearbeitet 21. August 2011 von Eleu

[DocInfra]

Warum eigentlich immer so Feindseelig ? Ich möchte doch nur was dazulernen.

Das hat nichts mit feindseligkeit zu tun. Es ist mir nur ein totales Rätsel warum du auf der einen Seite die hohe Verfügbarkeit und Sicherheit (zur Siemens SPS Sicherheit sag ich mal nix...) hochhälst, aber oft mit so total abgefahrenen Basteleien um die Ecke kommst. So zieht das doch keiner in der Realität auf.

Eine Standard DMZ (Ohne basteln) sähe jetzt m.E so aus:

Intranet <-> HW Firew. (Router) <-> DMZ Server <-> HW Firew. (Router) <-> AT - Netz

Wenn ich Dich richtig verstehe, würdest Du es so aufbauen:

Intranet <-> HW Firew. (Router) <-> AT - Netz

Unser Aufbau ist vergleichbar. Du kannst eine DMZ natürlich auch mit zwei Firewalls/ Paketfiltern aufbauen, statt mit einer Firewall und einem DMZ Interface. Kommt auf die größe der DMZ an.