Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Zugriff von DMZ auf LAN
« previous
next »
Print
Pages: [
1
]
Author
Topic: Zugriff von DMZ auf LAN (Read 886 times)
Snoopy
Jr. Member
Posts: 57
Karma: 1
Zugriff von DMZ auf LAN
«
on:
March 08, 2023, 03:52:57 pm »
Hallo Profis,
ich bräuchte mal bitte eure geschätzte Meinung und Erfahrung.
Ich habe in meiner DMZ eine Nextcloud und im LAN ein NAS stehen.
Jetzt ist es so, dass aus Sicherheitsgründen der Zugriff von der DMZ in das LAN gesperrt ist. Allerdings bin ich am überlegen, die IP meiner Nextcloud (DMZ) für ein bestimmtes Verzeichnis auf meinem NAS (LAN) freizugeben, um diesen einen speziellen Ordner als Datenverzeichnis für die Nextcloud zu verwenden.
Jetzt meine Fragen:
1. Ist dieser Gedanke aus Sicherheitsgründen sofort wieder zu verwerfen?
2. Wenn nein, wie wäre dann die beste Vorgehensweise, was das Anlegen einer Firewall-Regel betrifft?
Vielen Dank.
Cu Snoopy
P.S.: Mir ist bewusst, dass das Einbinden eines Ordners per Netzwerk mit Geschwindigkeitsverlusten einhergeht. Dies kann bzw. will ich aber ignorieren.
Logged
Tuxtom007
Hero Member
Posts: 502
Karma: 25
Re: Zugriff von DMZ auf LAN
«
Reply #1 on:
March 08, 2023, 05:23:59 pm »
Quote from: Snoopy on March 08, 2023, 03:52:57 pm
1. Ist dieser Gedanke aus Sicherheitsgründen sofort wieder zu verwerfen?
Das widersprich dem Sinn einer DMZ komplett.
Wenn Zugriff, dann nur vom LAN auf die DMZ aber nicht umgekehrt,
Logged
Snoopy
Jr. Member
Posts: 57
Karma: 1
Re: Zugriff von DMZ auf LAN
«
Reply #2 on:
March 09, 2023, 07:15:33 am »
Danke @Tuxtom007
Ja das habe ich eigentlich befürchtet. Habe allerdings die geringe Hoffnung gehabt, dass die Profis hier vielleicht eine Lösung wissen, die kein Sicherheitsloch reißen würde.
Die Hoffnung stirbt zuletzt... ;-)
Logged
Patrick M. Hausen
Hero Member
Posts: 6812
Karma: 572
Re: Zugriff von DMZ auf LAN
«
Reply #3 on:
March 09, 2023, 08:21:01 am »
Das würde ich jetzt in dieser Absolutheit nicht unterschreiben. Eine DMZ ist erst einmal dazu da, Dienste kontrolliert zu exponieren. Manchmal brauchen diese Dienste eben auch Ressourcen von internen Zonen.
Z.B. haben unsere DMZ-Systeme fast alle eine Verbindung zu unserem Active Directory über LDAPS. Der Unterschied gegenüber System im internen LAN: die können NUR auf die AD-Server und sie können NUR auf den LDAPS-Port. Und dann greift ja noch die AD-Security.
M.a.W. es kommt immer darauf an. Man kann das machen. In deinem Fall müsstest du den CIFS-Port von dem System in der DMZ zu deinem NAS freigeben, das ist TCP/445.
Über einzelne Shares etc. weiß die Firewall nichts, d.h. hier musst du auf dem NAS dafür sorgen, dass es keinen Gast-Zugriff gibt, alle Accounts ordentliche Passwörter haben, bzw. der Zugriff auf die Shares zusätzlich auf IP-Adressen eingeschränkt wird, falls das NAS das kann. Damit die Nextcloud auch wirklich nur auf das beabsichtige Share kommt.
HTH,
Patrick
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
Tuxtom007
Hero Member
Posts: 502
Karma: 25
Re: Zugriff von DMZ auf LAN
«
Reply #4 on:
March 09, 2023, 11:49:47 am »
Klar kann man das machen.
Bei uns in der Firma ist die Vorgabe von der Unternehmens-Security ganz klar, kein Zugriff von Systemen in der DMZ auf das Firmen-LAN, nicht mal AD ist erlaubt und erst Recht nicht auf Storage-System.
Daher haben die Server in der DMZ auch keine AD-Anbindung, sondern lokale User-Accounts die dann auf anderen wegen geändert werden müssen.
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Zugriff von DMZ auf LAN