Diverse Fragen zur DMZ und Reverse Proxy

[Baender]

Guten Abend zusammen,
mittlerweile konnte ich die OPNsense in Betrieb nehmen, was mich einiges an Nerven und Fragen an euch gekostet hat. Danke für euer Feedback und eure Hilfr an der Stelle. Das WAN kommt über eine Glasfaserleitung direkt zu einem ONT und geht dann in die Sense. Mit zwei VLANs, je eins für Internet und VoIP erfolgt dann die Aufteilung für besagte Funktionen. Ich habe mehrere VLANs eingerichtet, damit Clients, IoT-Geräte und Gäste jeweils in einem eigenen Netz sind und natürlich habe ich auch bereits ein VLAN für eine DMZ angelegt. Jetzt wird es für mich kompliziert, Erfahrung mit einem Reverse Proxy habe ich bereits (NGINX), doch was soll in die DMZ? Darin hat mich bisher noch kein Guide abgeholt. Also:

Ich habe die OPNSENSE auf einem eigenen NUC mit 4 NICs eingerichtet. Auf einem Debian Server habe ich Proxmox installiert. Ich würde nun zwei VMs auf dem Proxmox anlegen. Einen Ubuntu Server mit Docker für interne und einen für externe Zwecke. Je nach dem wie euer Feedback lautet, bräuchte ich vielleicht eine weitere VM für den Reverse Proxy.
Auf der "externen" VM möchte ich über Docker Nextcloud installieren und öffentlich zugänglich machen.


So und jetzt wird es für mich kompliziert: was kommt eurer Meinung nach in die DMZ? Ich vermute, dass es hier mehrere Meinungen gibt, denn sonst hätte ich nicht schon mehrere Antworten gefunden. Mein Problem ist, dass die meisten Guides nur auf das Thema Reverse Proxy eingehen, auf das dahinter und DMZ leider entweder gar nicht oder sie behandeln Proxmox nicht.

Viele Guides die ich gesehen habe, lassen lediglich den Reverse Proxy (RP) in der DMZ laufen.. Da ich noch nicht weiß, wo der laufen soll, fände ich es spannend, ob das System auf dem der RP läuft auch in die DMZ muss und ob man es unterschiedlich bewerten würde, wenn der RP ein Docker Image bspw. wäre, der auf einer virtuellen Maschine läuft.. Ja man kann es kompliziert machen, aber das ist gar nicht mein Ansinnen. Ihr merkt schon, welche Gedankengänge mich um treiben. Daher freue ich mich auf eure Meinung.

Achso und eine Addon-Frage beschäftigt sich mit Wildcard-Zertifikaten, die häufig in RPs eingesetzt werden. Ich las mal über die Gefahr, die in denen steckt, da ja einsehbar ist, für was man alles ein Zertifikat erstellt hat, selbst, wenn es nur intern zugänglich ist..

Falls vielleicht noch zu erwähnen ist, ich habe keine native IPv6 IP. Ich habe eine reine IPv4 und kann 4To6 Tunnel benutzen, um eine IPv6 zu erhalten. Entsprechend wird immer das WAN getracked.

[Patrick M. Hausen]

Du kannst X DMZs haben, so viele wie du willst - es gibt nicht *die* DMZ.

Der Reverse Proxy gehört m.E. auf die OPNsense.

Ich würde - managed Switch vorausgesetzt - den OPNsense-Server und die Proxmox-Server jeweils mit 2 Interfaces mit LACP mit dem Switch verbinden und alles über VLANs abbilden. So mache ich das hier zuhause.

Im Büro größtenteils auch, bis auf VLAN 1, das auf deinem dedizierten Interface liegt, weil das Unifi-Geraffel darauf besteht, dass das überall untagged sein muss, damit die Provisionierung von neuen Geräten klappt.

[lfirewall1243]

Mal eine Info wie ich das ganze meist mache.

Pro System welches im Internet hängt habe ich eine eigene DMZ (frisst ja kein Brot, wenn man das per VLAN macht). Diese ist soweit eingeschränkt, dass das jeweilige System Update laden kann und der Dienst funktioniert. Nicht mehr, kein Zugriff auf das LAN oder eine andere DMZ (außer es ist notwendig).

Die DMZ hat ja erstmal nichts mit dem Reverseproxy zutun. Ziel der DMZ ist es, den Schaden zu begrenzen, falls mal ein System gehackt wird.

Den Reverseproxy habe ich meist ebenfalls auf der OPNsense, da dort sowieso die Webanfragen ankommen. Von da aus wird dann an den jeweiligen Dienst in der DMZ verwiesen.

Den Reverseproxy nehme ich lager ich nur aus, wenn die OPNsense die Performance nicht hergibt.


Zu den einsehbaren Zertifikaten: Es ist auch einsehbar, wenn du einzelne Zertifikate nutzt. Gibt diverse Dienste im Netz, die das können.
Da ist ein Wildcard sogar versteckter, da man nur *.domain sieht und nicht nextcloud.domain, proxmox.domain ...

[Baender]

Ich würde - managed Switch vorausgesetzt - den OPNsense-Server und die Proxmox-Server jeweils mit 2 Interfaces mit LACP mit dem Switch verbinden und alles über VLANs abbilden. So mache ich das hier zuhause.

Ich habe in der Tat ein TP-Link Manager Switch und habe es nach dem Tutorial hier gemacht:
https://homenetworkguy.com/how-to/set-up-a-fully-functioning-home-network-using-opnsense
Zwei NICs sind via LAGG mit dem Switch verbunden. Darüber laufen die getaggten Verbindungen. Ein NIC ist für die ungetaggten (eigentlich nur LAN) und über das vierte NIC ist für WAN. Mein Server verfügt aktuell leider nur über ein NIC. Mal schauen, ob ich das erweitere.

Wie siehst du denn denn, was das Level angeht, mit der Geräte in die DMZ geschoben werden. Ich meine, wenn ich von den Ebenen bei einem Barebone anfange. Auf dem eine Virtualisierungssoftware installieren und darüber eine VM erstellen, die via Docker dann einen Service bereitstellt. Gibt es da ein besteht practice, ab welcher Ebene ich das in eine DMZ schiebe?

[Monviech (Cedrik)]

Das Problem ist, dass egal was man macht es immer einen Schwachpunkt gibt.

Wenn man alles durch isolierte Netzwerke trennt ist der Hauptschwachpunkt der Router.

Hier setzen manche eine Routerkaskade aus verschiedenen Herstellern ein.

Alles in allem lohnt sich Netzwerkisolation nur bedingt. Alle Applikationen zu patchen ist nachhaltiger, die Isolation ist nur ein sehr kleiner Teil.

[Patrick M. Hausen]

M.E. hängt man den Hypervisor mit LACP an den Switch (oder auch nur mit einem Interface), macht alle VLANs auf Hypervisor-Ebene, und kann dann die VMs verteilen wie es einem passt.