Aufbau DMZ

[tassadar]

Hallo zusammen,

ich arbeite bei einem kleinen webhoster und wir bekommen nun eine neue Firewall. Diese muss ich dann konfigurieren. Wir haben 8 Feste IP-Adressen, 3 davon sind von den Webservern belegt und eine soll für die firewall verwendet werden. nun wollte ich gerne wissen wie ich am besten meine dmz aufbaue. entweder mit privaten ipadressen und nat. wobei das nat dann IP-Adressen und nicht subnetz bezogen funzt. oder den webservern die feste ip-adresse lassen und der firewall zwei feste ip-adressen geben.Ich weiss nicht was da das sinnvollste ist? Kann mir jemand helfen?

[bom]

1. Welche Firewall wird denn verwendet(Hersteller??)

2.Ich würde die Rechner in der DMZ und der Firewall die offiziellen IPs geben und die User-PCs mit RFC-1918 Adressen ausstatten und je nachdem, ob die Clients mehr als FTP,HTTP,HTTPS, entweder ohne NAT oder nur via Proxy ohne NAT in www lassen.

Nachdem Du 8 IPs hast, sind 6 Stück nutzbar, also zwei für die FW und drei für Deine Webserver.

Für NAT brauchst Du immer eine Subnemask. Der PC hat ja auch eine IP und braucht damit natürlich eine Subnetmask.

Was Du meinst ist glaube ich dynamic NAT(es gibt viele Ausdrücke dafür), d.h. alle RFC-1918-Adressen werden auf die externe offizielle IP-Adresse gemapped.

[Kung]

hi,

AFAIK sah das ungefär so aus:

|
<Inet>
|
|
|---------------
| |
<Router> <Router n>
| |
| |
| |
<FW- 1> <FW-n >
| |
| |
-<Router-2>-
|
|
<DMZ>

Die sache mit den 2 Router/FW wär ne idee um die ausfallrate der Router zu minimieren(50% anstatt 100% der Maschinen die nicht von außen erreichbar sind.

Es sollte kein Rechner direkt am Inet liegen immer über ne Router/FW u. dann mit Localen ips. So kannste bei nem Server-Ausfall den Traffic einfach umleiten auf einen Neuen Server, der ein Mirror des Ausgefallenden darstellt.


cya

[bom]

@Kung

Ausfallsicher ja, aber "Routing is a nightmare" !!

[NuFaN]

Hallo Tassadar,

a) lass dir von deinem Provider noch nen 4er Block IP Adressen als Transfernetz (als Netz zwischen dem Router und der FW) geben.
Sag deinem Provider dann das er dem Router sagen soll das das 8er Netz nun über die Firewall zu erreichen ist.
Die IP Adressen bekommst du von deinem Provider. Ein Anruf/Fax sollte genügen. wenn du bei der Telekom bist sag bescheid, da brauchst du ein spezielles Formular. Um das zu bekommen braucht es immer ein wenig

b) Eine Lösung über NAT wäre genau so möglich, aber wir haben bei unserer Support Arbeit festgestellt das es probleme geben kann.

Für euer internes Netz nehmt ihr am besten ein "privates" Netz...

Glaube mir, die Lösung a) ist bei weitem die einfachste Lösung! Ich weiß wovon ich spreche!

MfG,
Heiner Ohm

[Harry]

Hallo Tassadar,

für Deine Problematik gibt es 'ne Menge Lösungen. Einige davon wurden bereits oben beschrieben.

Generell gilt: Es gibt sinnige und unsinnige Lösungen. Es gibt teure, günstige und billige Lösungen.

Wenn Du von einer DMZ sprichst, dann muß ich davon ausgehen, dass die Webserver in der DMZ stehen und sich hinter der DMZ noch ein LAN anschließt. Du hast 3 Webserver ... ich denke, jeder davon hat komplett eigene Daten- und Funktionsbereiche - oder haben die jeweils die gleichen Daten und sollen nur für eine Lastverteilung sorgen?

Abhängig von der Beantwortung dieser Fragen kann eine vernünftige Lösung recht differenziert ausfallen.
Ich persönlich würde an der Firewall zwischen DMZ und Internet kein NAT einrichten, sondern mit Application Level Gateways (ALG) arbeiten.

Warum?
1. Du kannst auf NAT verzichten, indem Du ALGs einrichtest.
2. Du benötigst kein weiteres Transfernetz und kannst in der DMZ beliebig private Adressen verwenden.
3. Indem Du ALGs auf der FW verwendest, verhinderst Du damit direkt eine Angriffsmöglichkeit auf Deine Webserver: sog. malformed IP-, TCP-Header, denn diese werden vom ALG direkt "gewaschen".
4. Deine Webserver sind aus dem Internet nicht direkt erreichbar - ergo sind sie auch nicht beliebig zu scannen und angreifbar.
5. Dein Provider muß auf seiner Seite nichts umkonfigurieren.
6. In ein bereits vorhandenes ALG kannst Du beliebig (je nach Verfügbarkeit) weitere Scanner, Filter etc. einhängen, bevor die Connects Deine Webserver erreichen.

Du mußt Dich zunächst einmal entscheiden, ob Du eine sichere oder einfach nur eine billige Lösung willst.

Harry

[feuerwand]

[OT]
wo bekomm ich informationen ueber den aufbau, die funktionsweiße usw. von solchen netzen her? nicht, dass ich mir sowas zuhause aufbauen wollen wuerde (haette ich nichts davon und die kosten waeren mir eh zu hoch...). wenn mir jemand einen link mit informationen geben koennte, waere ich sehr dankbar.
[/OT]

[bom]

@Harry

1. Auf NAT verzichten finde ich gut
2. Ich persönlich finde es "schöner", wenn man noch ein Transfernetz hat.
3. Jein, CheckPoint FW-1 z.B. nutzt "Steful Inspection"
Das Modul sitzt zwischen Layer 2 und 3 und umfasst dann Layer 2-7.
CheckPoint FW-1 ist aber kein ALG.
Steful Inspection nutzen auch andere Hersteller, die kräftig Lizenzgebühren an CheckPoint zahlen.
4. Richtig, nur wenn es eine gute Firewall ist und der Webserver auf neuestem Patchlevel, sollte das auch nichts ausmachen.
5. Ist doch egal, welche IP er als default route in sein Netz konfiguriert.
6. ACK

Aber wie Du schon sagtest, es gibt X Möglichkeiten soetwas zu realisieren. Kommt ganz auf den geldbeutel und die Zeit(Konfiguration, bzw. Schulungen) an.

[tassadar]

Danke erstmal für die vielen antworten. hätte nicht gedacht das soviele was dazu sagen können. ;-))

Die Firewall soll selbst gebaut werden (die chefs wollen geld sparen :-)).
Das heist ich brauche ein lösung die sicher und nicht teuer ist.

Das mit den ALG's ist ja eigentlich ganz schön, aber kann ich mir sowas selbst bauen? was brauche ich dazu? Auf der firewall läuft bis jetzt ein nacktes LFS (linux from scratch), dass auch weiterverwendet werden soll.

Dann noch zur CheckPoint Firewall-1. Ich persönlich mag diese Firewall nicht. ganz einfach aus dem grund, dass ein kunde von uns diese firewall benutzt um mit uns VPN zu machen. Die Firewall-1 macht dabei nur ärger und auf sowas hab ich keine lust.

Tassadar

[bom]

also ich hab hier mehrere CheckPoints unter meinen Fittichen, die alle keinerlei Ärger machen. Inkl. mehrerer VPN-Tunnel in's Ausland.

Was mich an der FW-1 stört ist, dass sie Sch***teuer ist und man für jedes kleine extra richtig löhnen muss.

Ausserdem darf man ohne Supportvertrag nicht einmal einen kostenpflichtigen(500 $!!!) Supportcall bei denen öffnen und kann auch nichtmal ein Service Pack downloaden.

[Jinto]

@Feuerwand:
Kauf dir ein Buch (z.B): Einrichten von Internet Firewalls, O'Reilly Verlag
Weitere Buchtips fidnest du z. B. in der FAQ von dcsf bzw. dcsm

Als Link:
www.little-idiot.de
www.linuxdoc.org

PS: die SuchenFunktion hätte dir auch geholfen.