[GELÖST] Netzplanung: Brauche Hilfe bei DMZ und ADSL

[Oxygen61]

Hallo zusammen,

ich bin zurzeit dabei mein Netz soweit zu planen, dass ich mit der Konfiguration los legen kann.
Nun habe ich im Eifer des Gefechts (und weil ich ein DSL Anfänger bin ) nicht bemerkt,
dass mein Modem nur ein Interface zur Verfügung hat zur Firewall und deshalb meine Planung für das DMZ nicht funktioniert wie ich will.

Im Anhang sieht man das Netz wie ich es mir ungefähr vorgestellt hatte (die .xml Datei für draw.io zum nachvollziehen).
Ein paar Dinge fehlen noch (ICAP und NAS) aber die spielen erst einmal keine Rolle...

Wichtig war es mir die IP Kameras in einer DMZ einzusperren, jedoch über VPN von außen Zugriff zu erhalten.
Ports wollte ich auf meiner "FW1" eigentlich keine öffnen und für das VPN lieber eine zweite Firewall "FW2" nutzen.

Hier also meine erste Frage....
Aus Security Sicht, wie schlimm ist es für IPSec oder OpenVPN Verbindungen von außen (WAN) auf der Firewall zu erlauben und die notwendigen Ports freizuschalten?
Bin ich da zu übervorsichtig? Lohnt sich an der Stelle der DMZ Aufwand überhaupt?
Die meisten Angriffe von Außen kommen ja eh über 443 und 80/ 8080 oder?
Ich hatte von einer NAT DMZ Umsetzung aus dem M0n0wall Handbuch gelesen.
Aber das kann man ja nicht länger DMZ nennen (im klassischen Sinne),
gerade wenn ich mir was zu UDP hole punching durchlese. 

Zweite Frage....
Bekomme ich mein Netz so umgebaut, dass die DMZ Implementation doch noch funktioniert?
Hierfür war mir folgendes wichtig:
- Ports auf FW2 öffnen, nicht auf FW 1
- Das Modem nicht durch eine Fritzbox ersetzen um Doppel-NAT zu verhindern
- Zugriff auf die Kameras (DMZ) aus dem Internet nur über VPN, jedoch ggf. SSH aus dem LAN in die DMZ

Ich hab das Gefühl, dass ich mich bei meiner Planung gerade irgendwie im Kreis drehe.
Kann mir jemand auf die Sprünge helfen oder besser, hat wer anderes einen ähnlichen Aufbau und kann darüber was berichten?

Ich bin über jede Hilfestellung dankbar.

Schöne Grüße
Oxy

[JeGr]

Guten Morgen

Aaalso:

> Wichtig war es mir die IP Kameras in einer DMZ einzusperren, jedoch über VPN von außen Zugriff zu erhalten.

Das ist schonmal ein kluger Ansatz. Es gibt leidigerweise genug IP Kameras die offen im Netz rumschwirren, weil sie nie sauber abgesichert wurden und der Nutzer "mal eben von unterwegs mit ner App" drauf zu greifen wollte...

> Ports wollte ich auf meiner "FW1" eigentlich keine öffnen und für das VPN lieber eine zweite Firewall "FW2" nutzen.

DAS allerdings macht IMHO überhaupt keinen Sinn. VPN ist ja genau dafür da, eben keine anderen Ports öffnen zu müssen als VPN. Ob das nun auf fwl01 oder fwl02 geschieht ist doch nebensächlich. Im Gegenteil du bekommst eher noch mehr Probleme bezüglich Routing, asymmetrische Routen etc. mit rein als dass es dir effektiv einen Nutzen bringt. Macht aus meiner Sicht überhaupt keinen Sinn (für dich).

> Aus Security Sicht, wie schlimm ist es für IPSec oder OpenVPN Verbindungen von außen (WAN) auf der Firewall zu erlauben und die notwendigen Ports freizuschalten?

VPN sollen Sicherheit bringen. Dass der Dienst entsprechend erreichbar sein muss versteht sich von selbst. Korrekt konfiguriert besteht hier kein Risiko, da sich niemand einloggen kann ohne alle Parameter und Schlüssel zu kennen.

> Bin ich da zu übervorsichtig? Lohnt sich an der Stelle der DMZ Aufwand überhaupt?

Bezüglich der Kameras? JA! Zweite Firewall bzw. extra VPN Gegenstelle - not so much

> Die meisten Angriffe von Außen kommen ja eh über 443 und 80/ 8080 oder?

Nö. Darüber kommen die meisten Skriptattacken, ja. Aber Angriffe gibt es inzwischen am Laufenden Band auf die unterschiedlichsten Ports. Gerade wenn bspw. irgend ein IoT Device wie Kamera, Kühlschrank, Toaster etc. eben mal wieder entdeckt wird, dass es unsichere Defaults hat... oder Netgear Router

> Ich hatte von einer NAT DMZ Umsetzung aus dem M0n0wall Handbuch gelesen.

DMZ ist Firewall Basic Wissen Das hat nicht M0n0wall erfunden Aber schön, dass du die korrekte Implementation von DMZ gelesen hast und nicht das was teils Routerhersteller daraus gemacht haben... *kopfauftisch*

> Aber das kann man ja nicht länger DMZ nennen (im klassischen Sinne),

Warum?

> gerade wenn ich mir was zu UDP hole punching durchlese. 

Was haben Attacken wie diese mit dem Konzept DMZ zu tun? Das Konzept DMZ sieht eine Zone vor, die andere (geringere) Sicherheitsbedürfnisse hat, weil sie Dienste extern bereitstellen (Webserver bspw.) und daher von WAN Seite erreichbar sein sollen, selbst aber bspw. keinen Zugriff aufs LAN haben sollen. Zugriff VOM LAN aus aber soll bspw. gestattet sein etc.

Es geht bei Firewall Architekturen mehr um die Abschirmung von Zonen unterschiedlicher Nutzung und Sicherheit. Bspw. sollte dein LAN bei guter Planung NULL Zugriff von extern brauchen (gut - ist heute mit Spielen etc. auch nicht mehr ganz so einfach aber im Enterprise Sektor gehts genau daraum).

> Bekomme ich mein Netz so umgebaut, dass die DMZ Implementation doch noch funktioniert?

Warum funktioniert sie denn nicht?

> - Ports auf FW2 öffnen, nicht auf FW 1

siehe oben - m.E. unnötig

> - Das Modem nicht durch eine Fritzbox ersetzen um Doppel-NAT zu verhindern

Doppel-NAT Panik wird überbewertet IMHO. Ich fahre das Setup zwangsweise bei Kabelanbietern schon jahrelang ohne Probleme und mit einem laufenden Cluster hintendran

> - Zugriff auf die Kameras (DMZ) aus dem Internet nur über VPN, jedoch ggf. SSH aus dem LAN in die DMZ

Dafür ist so eine DMZ ja da Also durchaus richtige Überlegung.

> Ich bin über jede Hilfestellung dankbar.

Bitte sehr

Wie gesagt denk nicht so überkompliziert (was 2. Firewall mit VPN angeht etc.), das bringt nur wieder neue Probleme und Angriffspunkte mit rein.

- Eine Firewall
- Konfiguration als "Dreibein" - also WAN, DMZ, LAN
- Auf WAN entweder IPsec oder OpenVPN annehmen -> was du willst sei dir überlassen
- Zugriff von VPN auf DMZ erlauben - ggf. zweiten VPN User oder zweites VPN definieren wenn man noch LAN Zugriff möchte und das getrennt sein soll
- LAN Zugriff überallhin(?) erlauben oder eben überall außer DMZ und DMZ nur von bestimmten IPs oder nur auf SSH Port o.ä.
- und dann nach und nach weitere Dinge aktivieren wie deinen Virenscanner etc.

Viele Grüße

[Helge]

Hi Oxy,

vielleicht sollte man erstmal grundsätzliches klären. In eine DMZ gehören Server die vom bösen Internet und Intranet aus erreichbar sein sollen. Dazu werden Portweiterleitungen und Firewalleinstellungen zu den jeweiligen Servern in die DMZ geöffnet.

Eine Kamera die vom Internet aus erreichbar sein soll, gehört demzufolge in die DMZ. Da die Kamera aber nur über VPN aus erreichbar sein soll, ist das nicht unbedingt notwendig. Diese kann sich auch im LAN befinden, darf natürlich keine zutreffenden Firewall Regeln besitzen.Damit kann diese nicht auf das Internet zugreifen, vom Internet ist sie auch nicht erreichbar (außer per VPN). Deine Vorsicht mit dem VPNs verstehe ich nicht, genau für sowas wurde es entwickelt. Man kann sich streiten ob IPSec richtig konfiguriert etwas sicherer ist wie OpenVPN, aber grundsätzlich kann man beides als ziemlich sicher ansehen.

Das Thema UDP "hole punching" hat an und für sich nichts mit einer DMZ zu tun, sondern ist generell vorhanden, sobald man UDP Ports vom Intranet zum Internet öffnet.

[JeGr]

> In eine DMZ gehören Server die vom bösen Internet und Intranet aus erreichbar sein sollen.

Ich möchte nicht auf Formalien herumreiten, aber laut meinem durchaus begrenzten Wissen ist eine DMZ genau das - eine demilitarized Zone, sprich eine Zone mit sicherheitstechnisch kontrolliertem Zugang. Ob das sich jetzt auf Internet, LAN oder beides bezieht ist eigentlich egal. Im Fall von Kameras wäre das - zumindest wenn man ein Auge Richtung Firmeneinsatz wirft - durchaus beides der Fall, denn ich will ja vielleicht nicht unbedingt, dass andere Leute/Mitarbeiter die Kameras anschauen können, sondern nur ein begrenzter Personenstamm oder nur ich. Also schirme ich hier nicht nur vom WAN, sondern ggf. auch vom LAN ab. Das ist zumindest mein Ansatz dabei. Natürlich: wenn das nicht nötig/gewollt oder gewünscht ist, kann man die theoretisch auch ins LAN packen. Praktisch gab es aber durch die jüngsten IoT Botnetze genug Gründe, solche embedded Server Kisten lieber woanders als ins LAN zu packen

Grüße

[chemlud]

demilitarisiert = kein Schutz = exposed to internet

Aber es gibt tatsächlich beide Definitionen der DMZ in der Praxis, iirc Cisco benutzt den Begriff genau anders herum als der Rest der Welt....

[Helge]

Hi JeGr,

man muss ja keine Firewallregeln für den Zugriff vom LAN zur DMZ haben, aber man kann es machen wenn es notwendig ist. Auch spielt es kaum eine Rolle (bin jetzt lieber etwas vorsichtiger  ) wenn Geräte im LAN stehen und rein Sicherheitstechnisch der Super-GAU sind, aber keine Internetverbindung besitzen. Dafür ist nun mal die Firewall da, um dafür zu sorgen. Auch kann man im LAN mehrere Bereiche mit unterschiedlichen Sicherheitsanforderungen definieren und die  per Router / Firewall von einander trennen.

Eine DMZ kenne ich nur als einen Bereich, der einen geringeren bzw. gar keinen Schutzbedarf hat. Dienste die aus dem Internet erreichbar sein müssen, können nicht zu 100% abgesichert werden. Deswegen stehen Webserver oder andere Dienste in der DMZ, um den Zugriff vom Internet aus zu gewährleisten, aber das eigentliche LAN nicht zu gefährden.

[JeGr]

> demilitarisiert = kein Schutz = exposed to internet

Interessant, die Auffassung habe ich in 20 Jahren bislang noch nie gelesen DMZ heißt m.W.n. in keinerlei Literatur zu Security Konzepten, dass hier komplett "exposed" wird. Das ist eine Auffassung, die irgendwelche günstigen Routerhersteller mal angefangen haben, die den Begriff DMZ plötzlich mit exposed Host gleichgesetzt haben. Aber das war schon damals nicht richtig und für viele sehr verwirrend. "Exposing Services", was eine DMZ tun soll, ist aber nicht gleichzusetzen mit "fully exposed", was leider einige Hersteller verbrochen haben.

Richtig ist aber, dass es in diesem Fall - wenn eigentlich keine Ports nach außen geöffnet werden weil der Zugriff lediglich via VPN erfolgen soll - es keine DMZ im klassischen Sinne ist. Es ist vllt. eher als weiteres LAN zu betrachten, das entsprechend "firewalled" sein sollte. Aber ich glaube das artet in Nitpicking bei dem Begriff aus

[JeGr]

Hallo Helge,

Diskussion ist immer toll, gerade bei solch einem Thema

Auch spielt es kaum eine Rolle (bin jetzt lieber etwas vorsichtiger  ) wenn Geräte im LAN stehen und rein Sicherheitstechnisch der Super-GAU sind, aber keine Internetverbindung besitzen. Dafür ist nun mal die Firewall da, um dafür zu sorgen. Auch kann man in LAN mehrere Bereiche mit unterschiedlichen Sicherheitsanforderungen definieren und die  per Router / Firewall von einander trennen.

Also ich finde es durchaus bedenklich, SGAU Geräte im LAN zu haben Das können wie gesagt Gründe sein wie bspw. dass nicht alle Leute auf diese Geräte zugreifen sollen, das kann aber auch schlicht sein, dass diese ggf. trotzdem anfällig sind. Und auch in einem LAN können Probleme auftreten, die Client-induziert sind. Sprich: ein falscher Download/Klick und ein schlechter Tag der AV Software und des Kopfs, der den Rechner bedient und man hat einen Zombie im LAN. Und dann sollte der vielleicht nicht unbedingt an die Kamerabilder, NAS Daten o.ä. so problemlos rankommen. Cryptlocker, Locky und Co. waren da fiese Beispiele. Klar waren da auch mitunter Netzlaufwerke mit drunter die gefallen sind, aber ggf. nicht der ganze Server o.ä. und kann damit wieder aus einem Backup hergestellt werden. Solche Schädlinge scannen ja gerne dann mal ihre Umgebung und je weniger sie dann sehen, umso weniger Blödsinn können sie anrichten.

Eine DMZ kenne ich nur als einen Bereich, der einen geringeren bzw. gar keinen Schutzbedarf hat. Dienste die aus dem Internet erreichbar sein müssen, können nicht zu 100% abgesichert werden. Deswegen stehen Webserver oder andere Dienste in der DMZ, um den Zugriff vom Internet aus zu gewährleisten aber das eigentliche LAN nicht zu gefährden.

Geringen würde ich zwar gegen geringeren austauschen, aber ja. Keinen Schutzbedarf gibt es heute eigentlich nirgends mehr. Die Zeiten sind leider vorbei, heute sind da Botnetze, (D)DOS und Co nur Mausklicks und PayPal entfernt und teils als SaaS Lösung outgesourced. Keinen Schutzbedarf gibts heute eigentlich nicht mehr - es sei denn du gießt den Rechner in Blei ein und verbuddelst ihn im Boden

Webserver und Co stehen in der DMZ, weil sie Dienste nach außen zur Verfügung stellen (anders als die Clients im LAN) und daher Zugriff von außen brauchen. Aber nur Zugriff auf die Dienste, nicht auf generell alles. Also nur weil ein Server in der DMZ steht, heißt das nicht, dass er nicht firewalled sein kann, sondern nur dass für ihn (überhaupt) ein (strengeres) Regelset definiert ist, als für das LAN (meist Block All).

Wen das ganze Architektur Thema interessiert, dem kann ich auch heute noch den O'Reilly "Building Internet Firewalls" empfehlen. Ja der ist alt (2005) aber es geht da weniger um sich ständig ändernde Filtersyntax und Tools, sondern eher um ganz generell die Nomenklatur und der Aufbau von diversen Firewalling Mechanismen und Architekturen. Zweibein, Dreibein (Mehrbein), nachgeschaltet, etc. Bastion Host, DMZ, usw. werden dort ganz ausführlich behandelt und auch mit Beispielen belegt.

[chemlud]

https://en.wikipedia.org/wiki/DMZ_(computing)

...man kann das LAN garnicht weit genug kompartimentalisieren und homebanking vom Gästenetz so weit wie möglich trennen. Daher verstehe ich immer diese Helden nicht, die ihre Interfaces bridgen, statt an jedem ein schönes getrenntes LAN-Netz zu betreiben. Eine der Sachen die Derelict aus den pf-Pforum imme schön erklärt hat!

[JeGr]

Das dachte ich mir dass das jetzt kommt Lies dazu mal den deutschen Eintrag, der ist IMHO korrekter in der Auffassung. Aber auch der englische schreibt nicht "System" sondern "Service". Natürlich wird ein Service exponiert - 80, 443, wasauchimmer Aber nicht das komplette System wird exponiert. Nebenbei: Nur weils in Wikipedia steht... und so

Ansonsten volle Zustimmung. Bridging etc. sehe ich heute auch eher als überflüssig - es sei denn im Ausnahmefall WLAN im internen Netz wenn da eh nur kontrollierte Clients drin sind (zu Hause bspw.). Aber alles andere sollte man heute durchaus auftrennen und kontrollieren. Da flötet einfach zu viel mit Daten im Netz herum

[chemlud]

Warum...warum...warum nur habe ich schon immer den Eindruck, dass in Deutschland viele Dinge etwas ganz anderes bedeuten als im Rest der Welt. Warum meine sense Microsoft-Mist auflösen will kannst du sicher auch nicht beantworten, oder?

https://forum.opnsense.org/index.php?topic=4791

[JeGr]

> Warum...warum...warum nur habe ich schon immer den Eindruck, dass in Deutschland viele Dinge etwas ganz anderes bedeuten als im Rest der Welt.

Verstehe ich nicht was du meinst Wie gesagt die Definitionen von DMZ und Co sind älter als Wikipedia

> Warum meine sense Microsoft-Mist auflösen will kannst du sicher auch nicht beantworten, oder?

Doch, das sieht mir nach Windows 8.1 respektive Windows 10 Telemetrie Datenaustausch aus. Zumindest passen die aufgerufenen Domains ziemlich genau

[chemlud]

Ja, einziges Problem: Ich habe keinen einzigen Rechner mit Win 8(.1) oder 10. Zusätzlich kommt erschwerden hinzu: Die opnsense Box hat genau NULL (keinen) Clients angeschlossen. Nix. Niente. Das muss aus der sense selbst kommen?!?!

[JeGr]

Auch wenn OT: Verbunden via VPN oder sonstiges? Generelle DNS Server Settings? NTP?

[chemlud]

...ein VPN-Tunnel war aktiv. Ohne den ist Schwiegen im Walde. Warum gehen die DNS Anfragen durch den Tunnel? ***glotz**

Allerdings ist auf der anderen Seite des Tunnels überhaupt kein Windows. Nur Raspian, openSuse und ein paar NAS-Laufwerke mit BSD von Buffalo (ich hatte aber schon mal einen Rechner mit PC-BSD, der zu MS-Telemetry funken wollte). Ratlos... Aber Danke für den Tipp mit dem Tunnel, so ist die Sense mal raus aus dem Ratespiel.