DMZ erstellen nur wie?

#1 Hallo,
ich möchte euren Rat über eine DMZ, demilitarisierte Zone einholen. Ich hab ein Firmennetzwerk mit Zentralserver und Datenbankserver. Darauf soll keiner Zugriff haben. Dann hab ich einen anderen Netzverbund an dem ein Webserver und Backupserver dranhängt. Jeweils ein Gerät. Der Backupserver/Web/Mailserver soll eine Internetverbindung haben, der Zentralserver nicht.

Im gleichen Netz wie der Zentralserver hängen Clients, die wiederumm alle ins Internet sollen.

Ich dachte so:
Internet -> Router/Switch1 geht einerseits zum Web/Backup/Mailserver und andererseits zu einem Router/Switch2.
Daran hängt dann Zentralserver und Clients.

Jetzt ergibt sich folgendes Problem: die Clients arbeiten über eine ASP-Software auf dem ZEntralserver. Sie veranlassen z.B. den Zentralserver auf dem Mailserver (der ja nicht im gleichen Netz steht) eine Mail zu verschicken. Oder: der Web/Backup/Mailserver muss auf den Zentralserver zugreifen weil er Kundendaten mit unserem zweiten Webserver abgleicht.

Meine Frage: wird auch wenn der Webserver auf den Zentralserver zugreift dieser ausreichend vor "dem Internet" geschützt. Ich hab gehört man solle in beide Server: Web und Zentralserver je eine zweite Netzwerkkarte einbauen und die beiden Server so verbinden. Das sei Hackersicher. Stimmt das so, wie würdet ihr das machen?

#2 hi

ich würde folgenden aufbau vorschlagen

Internet -> Router

vom router ein bein:

-> an switch, wo Web-, Mail- und Backupserver dran hängen
-> zur firewall Interface 1

von firewall Interface 2:

-> Switch, an dem Zentralserver, Clients, .... hängen

dreh- und angelpunkt ist hier die firewall
wird einer deiner äußeren server gehackt, ist das interne netz noch nicht bedroht, solang die FW-config stimmt

das hauptaugenmerk muss also auf der firewall liegen, die eingehende verbindung vom äußeren netz in das interne (zentralserver,...) strickt _ablehnt_ !!!

das einzige loch, was du bohren musst, ist der abgleich der daten zw. backup- und zentralserver - findet ein hacker da ein loch, ist er im internen netz, wenn er zugriff auf den zentralserver erlangt

du könntest zur erhöhung der sicherheit noch vor die äußeren server eine FW schalten
die trennung der dienste auf dem äußeren server wäre auch sinnvoll, das macht das netz stabiler und es sind bei einem einbruch nicht gleich alle daten der anderen server in gefahr

Zitat

Meine Frage: wird auch wenn der Webserver auf den Zentralserver zugreift dieser ausreichend vor "dem Internet" geschützt. Ich hab gehört man solle in beide Server: Web und Zentralserver je eine zweite Netzwerkkarte einbauen und die beiden Server so verbinden. Das sei Hackersicher.

der zentralserver wird nur soweit geschützt, wie das die firewall regelt!
sie muss aber einen punkt öffnen, damit die rechner kommunizieren können und das wäre der schwachpunkt des konzepts

was soll dir der vorschlag mit den weiteren netzwerkkarten bringen?
ist jmd. erst einmal auf einem der äußeren server, kann man somit gleich noch die FW umgehen, wenn die rechner direkt über 2 interfaces miteinander kommunizieren

außerdem hält einfach der einbau einer zweiten netzwerkkarte und eine andere IP mit anderer subnetzmaske keine hacker fern!
warum auch? er hat bei einem einbruch von außen (also das externe interface der äußeren rechner) gleichzeitig zugriff auf alle interfaces und somit kommunikationswege!

mein vorschlag:
backups auf andere medien auslagern und händisch einspielen
dienste des einen rechners im äußeren netz auf mehrere auslagern
wie oft müssen die rechner daten abgleichen?

am sichersten wäre es, wenn auch wieder nicht 100%, weil es diese nicht gibt, wenn keiner der äußeren server mit den internen rechnern bzw. der FW kommunizieren darf und nur verbindungen von innen nach außen initiiert werden dürfen
außerhalb des betrachtungspunktes bleibt hier natürlich die interne sicherheit, sprich: es wird angenommen, das kein angreifer von innen kommen kann

so, hoffe, ich hab nix vergessen

greez

#3 hi Emba,
erst mal vielen Danke für deine äußerst ausführliche Antwort.
Ok, hab kapiert dass die beiden Netzwerkkarten auch nix bringen.

Was würdest du als Firewall vor das interne Netz schalten - eine Software, eine Hardware? Ich hab einen Allnet 129DSL Router, is der zu gebrauchen?

Die Auslagerung von Backup/Webserver ect. des äußeren Netzes auf versch. Rechner sollte möglich sein.

Die Anwendungsfällt für eine Kommunikation intern/extern sind folgende:
(1)Zentralserver veranlasst äußeren Server die Shopaufträge abzurufen.
d.h. auf dem Zentralserver startet ein ASP-Script was auf dem externen Server auch ein Script startet: der externe Server ruft dann Daten vom Webserver ab und speichert die Daten über ODBC-Verbindung auf dem Zentralserver ab. Hierfür kann ich keinen genauen Zeitpunkt festlegen, an dem das stattfinden soll (z.B. 8 Uhr/ 12Uhr/ 16 Uhr ect.) weil das ein Mitarbeiter aufrufen tut.
(2) Der externe Server zieht ein Backup vom Webserver (nicht teil meines Netzwerkes). Der Zentralserver soll diese dann mit seinem Streamer planmäßig sichern. Das kann ich planen.
(3) Wie unter (1) beschrieben werden zu festen Zeiten die Kundendaten zwischen entferntem Webserver und Zentralserver abgeglichen. Dazwischen steht wieder der externe Server. Das ist fest geplant z.B. um 8/12/16 Uhr.
Der externe Server ruft die Daten vom entfernten Webserver ab und speichert sie per ODBC auf den Zentralserver oder umgekehrt.
(4) Der externe Server empfängt E-Mails und speichert diese in der Datenbank des Zentralservers ab. Das macht er alle 15 Minuten. Der Zentralserver soll dann, falls ein Mitarbeiter ne Mail schreibt, diese an den externen Server zum Versenden übergeben.

Das sind also meine 4 Anwendungsfälle. Was würdest du vorschlagen um eine höchst mögliche Sicherheit zu erlangen?

#4 hi

okay, zunächst würde ich den gesamten verkehr, der von außen nach innen bei den sicherungen/abgleichen statt findet, verschlüsseln - z. bsp. durch einen ssh-tunnel, oder den datenabgleich durch sichere protokolle wie scp (okay, bei IDBC geht es afaik nur durch tunneln)

dann als firewall reicht der kleine router überhaupt nicht aus
wenn die daten wirklich so sensibel sind, muss da eine bessere und sicherere lösung ran.
die guten hardwarefirewalls sind sehr teuer

eine alternative wäre eine firewall auf GNU/Linus basis
wenn du davon keine ahnung hast, würde ich einen fachmann ranlassen, den man im zweifelsfall dafür verantwortlich machen kann

laut deiner beschreibung wäre es sinnvoller, wenn zwischen dem Zentralserver und dem internen netz auch noch eine firewall stehen würde, weil du oft und viele löcher in die firewall bohren musst, die somit immer umgangen werden kann, wenn auch nur eine schwachstelle auf einem der dienste auf dem äußeren server/Zentralserver ausfindig gemacht wird

verbindungen werden ja nie vom zentralserver zum internen netz, sondern, wenn überhaupt, vom internen netz zum zentralserver aufgebaut, ja?

dann wäre das noch eine verbesserung der sicherheit

WAN -> FW (1) -> DMZ -> FW (2) -> Zentralserver (3) -> FW (4) -> internes Netz

(1) Paketfilter zum schutz der dienste auf den äußeren servern
hier würde der kleine router reichen als FW; Netz = 192.168.0.0/24 (DMZ)

(2/3) FW (GNU/Linux), die nur daten durchlässt, die für den abgleich relevant sind
Zentralserver steht in eigener DMZ; Netz = 192.168.1.0/30

(4) FW, die das interne netz im falle einer kompromitierung des zentralservers schützen soll
Netz = 192.168.3.0 (intern)

du kannst auch zusätzlich FW (2) und FW (4) direkt mit einem interface verbinden, steigerung der performance, anfragen laufen nicht erst in DMZ des zentralservers

natürlich muss man immer abwiegen, ob kosten und aufwand dies rechtfertigen
weiß ja nicht, wie sensibel deine daten sind - macht mir aber den eindruck

leider bin ich die kommenden tage nicht erreichbar, falls noch fragen sein sollten

bis denn
greez