guybrush 19 Geschrieben 27. März 2004 Melden Teilen Geschrieben 27. März 2004 hallo Board!als erstes möchste ich euch alle begrüßen, da dies hier mein erster post ist! ich habe eine kleine prinzipfrage zum aufbau einer dmz: ich will zu testzwecken bei mir daheim ein netzaufbauen, welches folgendermaßen ausschauen soll: internet | | router/fw | \ | \ | dmz | router/fw | | interne lan der rechner in der dmz soll mein interner webserver (evtl.) sein, ftp-server, ex2003 und vielleicht noch andere dienste anbieten (streaming, game-server, so zum testen halt). da ich bis jetzt eigentlich fast nichts mit exchange zu tun hatte, will ich mir dies jetzt etwas genauer anschauen. ich habe einen zyxel prestige 310 zur verfügung, der allerdings nur 2 ports (wan/lan) aufweisst, das heisst, damit eine dmz zu realisieren wäre dann schon wieder etwas umständlich. des weiteren würde ich gerne noch eine firewall dazwischenschalten (isa, intergate, evtl. eine linux zum antesten) nun zu den konzeptionellem fragen: ist es sinnvoll, die firewall am anfang, also gleich zwischen inet und lan zu schalten oder soll ich dort den router platzieren und die dmz an die firewall (die ja dann 3 oder mehr nics beherbergen kann) koppeln? gibt es da sicherheitstechnische bedenken, wenn ich wie in Abb. A die dmz an die firewall, die gleich am internen lan hängt, anhänge, oder sollte ich besser wie in Abb. B die firewall als erstes schalten, und dann zum abgrenzen der dmz/lan den router verwenden? der vorteil von lösung B wäre nat., daß ich auch für den traffic in der dmz detailierte auswertungen hätte! ist das sicherheitstechnisch alles in ordnung so wie ich mir das vorgestellt habe? zu meiner schande hatte ich noch nie das vergnügen, mit einer dmz zu arbeiten, deshalb hier die fragen. im lan würde sich ein 2003-server mit domäne befinden, in der dmz müsste ich dann halt auch einen server (wegen exchange, muß emeines wissens nach ja auch auf einem server laufen) mit einer eigenen maildomäne laufen, oder? wie läuft das dann mit der zugriffsberechtigung? müsste ich dann eine vertrauensstellung von lan nach dmz einrichten? kann mir da jemand ein paar tips geben, wie ich das am besten einrichte? zum laufen bringe ich es sicher auch ohne jegliche hilfe, nur will ich es nach allen richtlinien der netzwerkkonzeption und sicherheit einrichten... sodala, ich hoffe ich habe mich verständlich genug ausgedrückt und euch nicht mit meinen ausführungen verwirrt :D dann bleibt mir nur noch eins übrig, und zwar euch allen ein schönes wochenende zu wünschen und auf hoffentlich zahlreiche antworten zu warten... mfg hannes alias roat Zitieren Link zu diesem Kommentar
josh97 10 Geschrieben 27. März 2004 Melden Teilen Geschrieben 27. März 2004 Schönen Abend ! Im Prinzip bist Du nicht so falsch mit Deinem Weg ! in der Ausgabe 5/2004 der ct gibts einen netten Beitrag dazu (http://www.heise.de/kiosk/archiv/ct/2004/5/200) Online kostet der Artikel was, aber wenn Du Zugriff hast auf diese Ausgabe solltest Du Dir das ansehen, weil es grundsätzliche Fragen beantworten sollte ! Prinzipiell würde ich eine DMZ so aufbauen INet --> ROUTER/FW --> DMZ _______________|-->ROUTER/FW --> LAN (sorry ist etwas schwierig darzustellen ohne grafik) grob gesagt sollte eine DMZ von aussen erreichbar sein. Damit aber auch nur die Dienste erreichbar sind, die gewollte sind, muss auf jeden Fall eine FW zwischen INet und DMZ. Du brauchst 2 Firewalls wenn Du es wirklich dicht halten willst ! Ausserdem wäre es sonst keine DMZ . Jedenfalls würde ich es sonst nicht so nennen ! Die Verbindung zwischen LAN und DMZ funktioniert im Prinzip wie eine Einbahnstrasse, d.h. nur aus dem LAN ist Zugriff möglich auf Server in der DMZ, nicht aber von den Servern der DMZ ins LAN. Kurzes Zitat aus der ct dazu: "Auf keine Fall hängt ein DMZ Server an demselben Switch wie die PCs des lokalen Netzes." D.h. auch wiederum es ist fraglich ob das Zyxel dazu geeignet ist, bzw. es braucht weitere Switches / Router o.ä. Aber evtl. hast Du das ja auch so vorgesehen. Zu Deinem weiteren Fragen von wegen Vertrauensstellungen und weitere Richtlinien kann ich nix sagen, weil ich DMZ nur als Windowsfreie Zone kenne. Vermutlich wird es dazu aber garantiert bei Microsoft auf den entsprechenden Seiten was geben (z.B. TechNet oder msdn).. gruss josh Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 27. März 2004 Melden Teilen Geschrieben 27. März 2004 Hallo, habe mir jetzt nicht alles durchgelesen (schon zu spät) aber Zeichnung A ist nicht sinnvoll, da der Router etwas frei steht. Wir setzen bei Kunden und bei uns selber Version B ein. In unserem Fall haben die Server in der DMZ zwar eine IP 192.168.0.x aber das ist nur eine Frage der FW-Konfig und einer dritten NIC. Grüße Olaf Zitieren Link zu diesem Kommentar
FelixClone 10 Geschrieben 27. März 2004 Melden Teilen Geschrieben 27. März 2004 moin... dein weg b ist schon korrekt. eine dmz darf nie !! am selben netzstrang hängen wie das interne lan, auch wenn uns das die router-hersteller, die billigen meine ich, weissmachen wollen. der 2. router muss allerdings ein hammerding mit einer firewall sein, denn wenn dein dmz-server übernommen wird dann ist es sonst ein leichtes reinzukommen. isa-server ist schon genial, nur eben nicht ganz so einfach zu beherschen, zumal es nicht viel literatur darüber gibt. gruss felix Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 27. März 2004 Melden Teilen Geschrieben 27. März 2004 Hi, stimme Felix zu, insbesondere mit den "billigen" Routern, die nicht wirklich eine FW sind (obwohl die Hersteller es behaupten). Eine einfache und gute FW für Linux gibt es als kostenlose CD-Version mit GUI-Konfig. Weiss aber gerade nicht mehr den Namen. Steht aber hier schon im Board, mal bitte suchen. Grüße Olaf Zitieren Link zu diesem Kommentar
guybrush 19 Geschrieben 28. März 2004 Autor Melden Teilen Geschrieben 28. März 2004 naja, die billigen router mit "echter" firewall kenn ich schon, das sind auch nur schlechtere mittelklassepacketfilter. das mit dem isa bekomm ich schon hin, ich hab bis dato einen daheim laufen... auch ist mir bewusst, daß eine dmz oder ein "exposed host" wie auch immer die versch. hersteller das bezeichnen, nie am selben switch hängen dürfen wie das interne lan!! bei abb. b ist das interne lan eh durch den zyxel (welches meiner meinung nach um 2 stufen über solchen teilen wie netgear oder d-link ist) von der 3. nic der firewall getrennt, also müsste ein angreifer sich erst mal des dmz-rechners bemächtigen, dann sich durch die firewall kämpfen und sich dann noch durch den router, der dann ja (fast) keine offenen ports hat, schleichen. also glaub ich liege ich mit lösung b schon recht gut. sicher, ich könnte noch eine 2 firewall einsetzen, nur würde ich gerne den router verwenden, da ich das gerät recht günstig erstanden habe und es schade wäre, ihn verstauben zu lassen... außerdem ist eine 2. fw auch gleich installiert (als austausch zum router)... linux-firewalls hab ich mir schon genügend runtergeladen, ich hab also eine gute auswahl ;) aber danke mal für die schnelle antworten... noch eine kleinigkeit zur mailerei: muß ich für den exchange eine eigene maildomäne einrichten? und wie läuft das domänenübergreifend ab mit der benutzerauthentifizierung? kann mir das vielleicht jemand sagen oder muß ich mich da sonstwo informieren? mfg roat Zitieren Link zu diesem Kommentar
nikorol 10 Geschrieben 28. März 2004 Melden Teilen Geschrieben 28. März 2004 Hallo roat muß ich für den exchange eine eigene maildomäne einrichten?und wie läuft das domänenübergreifend ab mit der benutzerauthentifizierung? kann mir das vielleicht jemand sagen oder muß ich mich da sonstwo informieren? Zur besseren Erklärung gebe ich dir ein Beispiel (wie ich es handhabe) Szenario: 1DC, 1Exchange (beide 2000 oder 2003), mehrere Clients lokale Netzwerkdomäne: meinedomäne.local (Der Einfachheit halber md.local) Emaildomäne: meinedomäne.de (D.h. Der Mailserver empfängt Emails für die Domäne meinedomäne.de ist aber Mitglied der Domäne md.local) ALLE Rechner (auch der Mailserver) sind Mitglieder der Domäne md.local 1*Firewall mit 3 Nic´s (geht natürlich auch mit der Lösung mit 2 Firewalls und jeweils nur 2 Nic´s) 1 Nic ist für Wan konfiguriert 1 Nic ist für das Lan konfiguriert (daran hängen der DC und die PC´s z.B. 192.168.1.0) 1 Nic ist für das Servicenetz konfiguriert (Daran hängt der Mailserver, der Member der Domäne md.local ist in einem Subnetz 192.168.2.0) Firewalltechnisch müssen folgende Regeln für Emailssende bzw. empfangen bzw. für den Mailzugriff der Clients auf den Mailserver erstellt werden Von außen ist das ganze klar: Wan->DMZ (Mailserver) smtp, DMZ->Wan smtp, Damit kann der Mailserver senden und empfangen Damit die Clients aber auf den Mailserver zugreifen können, bzw. der Mailserver Konteninformationen prüfen, Domänenänderungen mitbekommen, etc. kann, mußt du rausfinden welche Protokolle zur Kommunikation in einer Domäne verwendet werden, bzw. welche Protokolle zwischen einem Mailserver und einem Client laufen Das ist der interessante Teil! Diese Protokolle müssen dann zwischen DMZ und Lan freigeschalten werden! Fertig Zur Info http://support.microsoft.com/default.aspx?kbid=155831 (Kommunikation zw. Outlook und Exchange auf Firewall) http://support.microsoft.com/default.aspx?scid=kb;en-us;280132 (Kommunikation zw. Exchange und Domäne über Firewall) Roland Zitieren Link zu diesem Kommentar
FelixClone 10 Geschrieben 28. März 2004 Melden Teilen Geschrieben 28. März 2004 zu erwähnen seien noch folgende quellen : http://www.msisafaq.de/ und http://www.msexchangefaq.de/ dort wird dir auch geholfen. gruss felix Zitieren Link zu diesem Kommentar
guybrush 19 Geschrieben 28. März 2004 Autor Melden Teilen Geschrieben 28. März 2004 danke dann mal an alle, ich werd schauen, wann ich zeit finde, dieses projekt zu verwirklichen, und poste dann hier das ergebnis, bez. ein kleines how-to, da dieses szenario vielleicht für viele, so wie für mich, neuland ist. aber net böse sein, wenn noch eine weile dauert, muß ja nebenbei noch arbeiten ;) mfg hannes alias roat Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.