LAN an Internet anbinden

#0
19.01.2010, 21:26
...neu hier

Beiträge: 10
#1 Hallo,
ich will ein sicheres Netzwerk für eine Gruppe von 5 Leuten einrichten. Besonders wichtig ist dabei
die Sicherheit. Als Vorgabe möchte ich die vom BSI vorgeschlagene 3 Zonen Architektur realisieren.
Es geht einfach nur darum das Internet Nutzen zu können, dabei soll aber das LAN nicht im Internet sichtbar sein.
Desweiteren will ich ein Webserver einstellen, der aus dem LAN und auch aus dem Internet ereichbar sein soll.

So sollte es aussehen: (siehe Anhang ZonenLanInternet.jpg).



1.Zone: LAN
2.Zone: Sicherheitsgateway
3.Zone: Internetanbindung also nur der Router.

Da ich kein Netzwerkspezialist bin, brüchte ich nachvollziehbare Indormationen, zu meinen Fragen.
------------------------------------------------------------------------------------
Fragen zur Zone 1:
Frage 1: die erste Zone besteht aus 5 Pcs (XP und Ubuntu) und zwei Servern (ubuntu), die beide an den Paketfilter angeschlossen sind.
brauche ich hier unbedigt einen DNS server?
kann ich im Client nicht einfach nur die externen DNS Server,
die es im Internet gibt angeben. Und falls ich einen DNS Server in Zone 1 brauche, dann brauche ich auch einen in Zone 2, der
die DNS Fragen nach außen leitet?
Falls ich ein DNS Server brauche, welche schlägt ihr vor? gibt es Opensource Produkte. Sollten einfach konfigurierbar sein.

Frage 2: Es sollte ein statusbehafteter Paketfilter (Stateful Inspection) sein. Welche gibt es dazu in Software, möglichst Open Source, die man empfehelen kann? Und als HW Lösung? (Preise ca.). Ich dachte ob es möglich ist ein alten Rechner dazu zu benutzen, auf dem als OS Ubuntu Server läuft und dann nur noch die Firewall. Was muss ich dann dazu genau einstellen?
--------------------------------------------------------------
Fragen zu Zone 2:

Das heißt der Paketfilter aus Zone1 im Lan (Paketfilter1) wir dann mit dem Paketfilter3 verbunden. Im goben weiss ich zwar was eine Applocation gateway Level ist, wird auch als ALF oder ALG bezeichnet. Diese Firewall kann sozusagen auf der Applikationseben z.b. smtp filtern. Benutzt habe ich aber noch nie so etwas.

Frage3: Gibt es Softwarelösungen für so eine ALG. Wie kann ich diese am besten realisieren, was benötige ich am besten dazu? Ubunut server? wie konfiguriert man so eine ALG?
Frage4: Gibt es zur ALG Alternativen die einfacher zu realisieren sind?

Frage5: Es soll ein Webserver aus dem Internet ereichbar sein, deswegen auch der WWW extern. Der eigentliche Webser ist der WWW Server, auf dem der Apache Server installiert werden soll. Damit dieser aber nicht direkt erreichbar ist von außen, ist ein WWW extern vorgeschaltet und mit dem Paketfilter5 gesichert.
Dies soll die Sicherheit erhöhen. Auf dem WWW Server läuft also ein apache server. Was ist dann WW extern und WWW Intern? Sind das Proxyserver also http server?
Wenn ja was bietet sich da an, und wie muss man diese dann konifgurieren?

Frage6: DNS server, also die selbe Frage wie in Frage1, Konifuration, SW-Lösung?

-------------
Zone3 ist dann nur der Router, da kann ich ja ein ganz normalen nehmen, wie z.b. von Dlink. Dieser wir dann mit dem Paketfilter2 verbunden.


Frage7: Wäre dies auch bei einer dynamischen IP machbar? also ohne Feste IP Adresse?

Vielen Dank

Dieser Beitrag wurde am 19.01.2010 um 22:18 Uhr von jinno editiert.
Seitenanfang Seitenende
20.01.2010, 18:33
Member
Avatar N1con

Beiträge: 395
#2 Deine Zonen sind laut Zeichung ja alle in Reihe ... hole dir nen Vernünftigern Router/Firewall mit mehreren (Hardware)Schnittstellen und leg jede deiner Zone an einen Port. Dann mach der Router 1. für jede Zone den DNS, Gateway was du willst und zusätzlich kannst du über Regeln/Routen bestimmen wer wo hin darf und wer nicht.
__________
Wenn ich euch geholfen habe, könnt ihr gerne ans Board spenden, auch ich freue mich über einen kleinen Obolus für mein Feierabendbier ;)
Protecus Spenden
Seitenanfang Seitenende
20.01.2010, 21:31
Member

Beiträge: 894
#3 Hallo


Wenn du einen Router selbst erstellen willst, nimm ipcop oder pfsense, das ganze dann auf einem stromsparenden epia- oder wrapboard.

Du könntest als "Sichdrheitsgateway" auch noch einen Proxyserver wie squid oder woffle dazwischenschalten

ich würde bei 5 Clients die IP manuell vergeben (also die IP in /etc/hosts und ind er Entsprechung bei Xp eintragen), dann wäre das DNS Problem Lan gelöst.

Ob du eine eigenen DNS-server betreiben mußt, sollten die Spezialisten hioer beantworten, cih glaube aber nciht. In frage käme da in 1. Linie bind, aber es gibt auch alternativen zu bind.
__________
Mfg
schwedenmann
Seitenanfang Seitenende
21.01.2010, 19:51
...neu hier

Themenstarter

Beiträge: 10
#4

Zitat

N1con postete
Deine Zonen sind laut Zeichung ja alle in Reihe ... hole dir nen Vernünftigern Router/Firewall mit mehreren (Hardware)Schnittstellen und leg jede deiner Zone an einen Port. Dann mach der Router 1. für jede Zone den DNS, Gateway was du willst und zusätzlich kannst du über Regeln/Routen bestimmen wer wo hin darf und wer nicht.
Und was ist ein vernünftiger Router/Firewall, mit mehreren HW-Schnittstellen? Was spezielles? kann man da kein Rechner nehmen, und diesen mit Software konfigurieren?

Aber ist das genauso Sicher wie eine DMZ?
Seitenanfang Seitenende
21.01.2010, 20:01
...neu hier

Themenstarter

Beiträge: 10
#5

Zitat

schwedenmann postete
Hallo


Wenn du einen Router selbst erstellen willst, nimm ipcop oder pfsense, das ganze dann auf einem stromsparenden epia- oder wrapboard.

Du könntest als "Sichdrheitsgateway" auch noch einen Proxyserver wie squid oder woffle dazwischenschalten

ich würde bei 5 Clients die IP manuell vergeben (also die IP in /etc/hosts und ind er Entsprechung bei Xp eintragen), dann wäre das DNS Problem Lan gelöst.

Ob du eine eigenen DNS-server betreiben mußt, sollten die Spezialisten hioer beantworten, cih glaube aber nciht. In frage käme da in 1. Linie bind, aber es gibt auch alternativen zu bind.
Ja das hört sich schonmal nicht schlecht an. Ich will aber erstmal nur einen PC mit eventuell ipcop nutzen. Aber ich dachte das ist eine Firewall, weil du meintest Router?

Den squid meinst du als ALG oder wo sollte der sein?

Wie meinst du das die IPs manuel vergeben, das ist doch die Aufgabe von DHCP, oder meintest du was anderes?
Seitenanfang Seitenende
21.01.2010, 21:20
Member

Beiträge: 894
#6 Hallo

Zitat

Ja das hört sich schonmal nicht schlecht an. Ich will aber erstmal nur einen PC mit eventuell ipcop nutzen. Aber ich dachte das ist eine Firewall, weil du meintest Router?
Ipcop und pfsense sind sogenannte routerdirtis 8dh. sie fungieren las router mit intergrieter firewall), wobei ipcop als firewall iptables eisnetzt (da auf linux basiert), während pfsense auf bsd basiert und ein anderes programm als firewall benutzt, als iptables.

Zitat

Den squid meinst du als ALG oder wo sollte der sein?
Squid oder woffle (proxy-cache-server) verbinden sich mit dem Internet (über den Router, oder das Modem), die Clients im LAn kommuninieren nur mit Squid, nciht direkt per Router mit dem Internet , deshalb hab ich "Sicherheitsgateway" übernommen.

Zitat

Wie meinst du das die IPs manuel vergeben, das ist doch die Aufgabe von DHCP, oder meintest du was anderes?
Du hast 2 Möglichkeiten im LAN die IP vergeben, manuell, oder per dhcp. Ich ziehe in einem kleinen LAN 3-5, ev. bis 10 Clients, die manuelle IP-Vergabe vor.
__________
Mfg
schwedenmann
Seitenanfang Seitenende
25.01.2010, 19:19
Member
Avatar N1con

Beiträge: 395
#7

Zitat

jinno postete
Und was ist ein vernünftiger Router/Firewall, mit mehreren HW-Schnittstellen? Was spezielles? kann man da kein Rechner nehmen, und diesen mit Software konfigurieren?

Aber ist das genauso Sicher wie eine DMZ?
sry das ich erst jetzt antworte. Mit solch einem Gerät mit mehreren HW (HArdware)Schnittstellen, hast du erst eine echte DMZ. Empfehlen würde ich:
http://www.securepoint.de/securepoint-utm-gateway-black-dwarf.html

Aber natürlich kannst du dir osetwas auch selber zusammenklöppeln mit nem alten PC, mehreren Netzwerkkarten (min. 3) und passender Software.
__________
Wenn ich euch geholfen habe, könnt ihr gerne ans Board spenden, auch ich freue mich über einen kleinen Obolus für mein Feierabendbier ;)
Protecus Spenden
Seitenanfang Seitenende