1823: DMZ-Konzept

cava · Beitrag von **cava** » 07 Mär 2007, 19:38

Hallo,

ich habe gestern am 1823 mit der DMZ herumgespielt und folgende Einstellungen verwendet:

ETH-1: LAN
ETH-2: DMZ

DMZ-Bindung: DMZ
Intranet-Bindung: ANY

Ich hab dann einen Rechner mit Debian an ETH-2 angeschlossen. Dieser hat per DHCP eine Adresse aus dem Intranet-Bereich bekommen und wurde ohne Probleme ins LAN und WLAN geroutet. Das hat mich schon etwas gewundert.

Ich hab dann die Intranet-Bindung nicht auf ANY sondern LAN gestellt. Damit ist die DMZ zwar sicher, es wird dann nur noch Traffic mit IP-Adressen aus dem DMZ-Bereich geroutet, dafür wird vom WLAN nichts mehr ins Intranet geroutet. Das ist ehrlich gesagt auch nicht Sinn der Sache.

Gibt es eine Möglichkeit die DMZ sicher zu bekommen und das Intranet an mehrere Interfaces nach Wahl zu binden? Wenn ich das Intranet an ANY binde, kann ich mir die DMZ sparen, denn dann hätte ein Angreifer die Möglichkeit ins Intranet zu kommen. Das WLAN und LAN immer als Bridge eingestellt.

Gruß
Werner

eddia · Beitrag von **eddia** » 07 Mär 2007, 20:20

Hallo Werner,

ch hab dann einen Rechner mit Debian an ETH-2 angeschlossen. Dieser hat per DHCP eine Adresse aus dem Intranet-Bereich bekommen und wurde ohne Probleme ins LAN und WLAN geroutet. Das hat mich schon etwas gewundert.

das ist überhaupt nicht verwunderlich. Mit der Zuweisung der ETH-Ports zu LAN und DMZ erreicht man zwar eine physische Trennung auf Layer 2, aber der Lancom ist immer noch ein Router.

Gibt es eine Möglichkeit die DMZ sicher zu bekommen und das Intranet an mehrere Interfaces nach Wahl zu binden? Wenn ich das Intranet an ANY binde, kann ich mir die DMZ sparen, denn dann hätte ein Angreifer die Möglichkeit ins Intranet zu kommen. Das WLAN und LAN immer als Bridge eingestellt.

Derzeit kannst Du das nur über Firewall-Regeln lösen. Also von DMZ ins LAN alles verbieten.

Gruß

Mario

cava · Beitrag von **cava** » 07 Mär 2007, 20:32

eddia hat geschrieben:das ist überhaupt nicht verwunderlich. Mit der Zuweisung der ETH-Ports zu LAN und DMZ erreicht man zwar eine physische Trennung auf Layer 2, aber der Lancom ist immer noch ein Router.

Nachdem DMZ mit einem eigenen Adressbereich explizit ETH-2 zugeordnet war, hätte ich erwartet, dass Adressen aus einem anderen Subnetz (z.B. Intranet) nicht geroutet werden. Aber daran ist die Intranet-Bindung ANY schuld. Stellt man ETH-1 nämlich auf LAN wird eine Intranet-Adresse an der DMZ-Schnittstelle (ETH-2) nicht mehr geroutet. Ich bin halt davon ausgegangen, dass "ANY" das Interface, das an DMZ gebunden ist, nicht mehr beinhaltet.

eddia hat geschrieben:Derzeit kannst Du das nur über Firewall-Regeln lösen. Also von DMZ ins LAN alles verbieten.

Ist schon klar. Dann muss man aber für Geräte in der DMZ auf alle Fälle mit statischen Adressen arbeiten, den der DHCP würde einem sonst die Suppe versalzen. Wird es hier in naher Zukunft ein vernünftige Lösung geben?

eddia · Beitrag von **eddia** » 07 Mär 2007, 21:12

Hallo Werner,

Nachdem DMZ mit einem eigenen Adressbereich explizit ETH-2 zugeordnet war, hätte ich erwartet, dass Adressen aus einem anderen Subnetz (z.B. Intranet) nicht geroutet werden. Aber daran ist die Intranet-Bindung ANY schuld.

nein, daran ist der Router im Lancom schuld. Und er macht genau das, wozu ein Router da ist - einfach zwischen zwei oder mehreren Netzen routen.

Stellt man ETH-1 nämlich auf LAN wird eine Intranet-Adresse an der DMZ-Schnittstelle (ETH-2) nicht mehr geroutet.

Natürlich wird dann immer noch zwischen LAN-1 und DMZ-1 geroutet. Der einzige Unterschied ist, dass nur noch das logische Interface Lan-1 einbezogen ist. Und somit fällt eben Dein logisches Interface WLAN-x-x raus.

Dann muss man aber für Geräte in der DMZ auf alle Fälle mit statischen Adressen arbeiten, den der DHCP würde einem sonst die Suppe versalzen.

In der DMZ arbeitet man üblicherweise mit statischen Adressen. Und den DHCP kannst Du für die DMZ deaktivieren.

Wird es hier in naher Zukunft ein vernünftige Lösung geben?

Das musst Du bei Lancom nachfragen.

Gruß

Mario

cava · Beitrag von **cava** » 07 Mär 2007, 21:36

eddia hat geschrieben:nein, daran ist der Router im Lancom schuld. Und er macht genau das, wozu ein Router da ist - einfach zwischen zwei oder mehreren Netzen routen.

Das ist nicht ganz richtig. Ein normaler Router, bei dem man die Routen vernünftig konfigurieren kann, routet nur das, was in der Routing-Tabelle steht. Da ist es ohne Probleme möglich, das nicht zwischen zwei bestimmten Netzen geroutet wird. Solange man keine entsprechende Route konfiguriert wird per default nicht geroutet. Bei Lancom ist das etwas anders. Mit der Default-Konfiguration wird erst einmal alles geroutet.

Und Subnetzfremde IP-Adressen werden ohne extra Konfiguration schon gleich überhaupt nicht geroutet. Und letzten Punkt erfüllt der Lancom dann, wenn die beiden Ethernet-Schnittstellen explizit DMZ und LAN zugeordnet werden. Das ist so, habe ich selbst ausprobiert. Wenn ich an der DMZ Schnittstelle einem Gerät eine IP aus dem LAN-Pool gebe, wird diese nicht mehr ins LAN geroutet.

eddia hat geschrieben:Natürlich wird dann immer noch zwischen LAN-1 und DMZ-1 geroutet. Der einzige Unterschied ist, dass nur noch das logische Interface Lan-1 einbezogen ist. Und somit fällt eben Dein logisches Interface WLAN-x-x raus

Mein Test hat etwas anderes gezeigt.

Beispiel 1:
ETH-1: DMZ: 10.0.0.0/24
ETH-2: LAN: 10.0.1.0/24

Natürlich wird zwischen 10.0.0.0 und 10.0.1.0 geroutet. Wenn ich aber z.B. die Adresse 10.0.1.1 einem Gerät an ETH-1 zuweise, dann wird diese nicht nach ETH-2 geroutet.

Beispiel 2:
ETH-1: DMZ: 10.0.0.0/24
ETH-2: ANY: 10.0.1.0/24

In diesem Fall wird auch die 10.0.1.1 an ETH-1 nach ETH-2 geroutet.

eddia · Beitrag von **eddia** » 07 Mär 2007, 22:35

Hallo Werner,

Ein normaler Router, bei dem man die Routen vernünftig konfigurieren kann, routet nur das, was in der Routing-Tabelle steht. Da ist es ohne Probleme möglich, das nicht zwischen zwei bestimmten Netzen geroutet wird. Solange man keine entsprechende Route konfiguriert wird per default nicht geroutet. Bei Lancom ist das etwas anders. Mit der Default-Konfiguration wird erst einmal alles geroutet.

beim Lancom ist es so, dass direkt verbundene Netzwerke im LAN immer geroutet werden - quasi ein Automatismus, der sich direkt in einer unsichtbaren Routingtabelle niederschlägt. Und das kann man nur per Firewall-Regeln unterbinden. Die konfigurierbare Routingtabelle betrifft nur Routen zu anderen Netzen. Dieser Zustand ist zwar nicht schön (und ärgert mich auch schon seit Ewigkeiten); lässt sich jedoch wirksam unterbinden.

Wenn ich an der DMZ Schnittstelle einem Gerät eine IP aus dem LAN-Pool gebe, wird diese nicht mehr ins LAN geroutet.

Du hattest doch gerade LAN und DMZ physisch getrennt. Wie kannst Du da erwarten, dass eine IP an der DMZ-Schnittstelle, welche sich im LAN befindet überhaupt eine Verbindung herstellen könnte? Irgendwie solltest Du Dich mal entscheiden.

Gruß

Mario

cava · Beitrag von **cava** » 07 Mär 2007, 22:56

eddia hat geschrieben:Du hattest doch gerade LAN und DMZ physisch getrennt. Wie kannst Du da erwarten, dass eine IP an der DMZ-Schnittstelle, welche sich im LAN befindet überhaupt eine Verbindung herstellen könnte? Irgendwie solltest Du Dich mal entscheiden.

Ich habe überhaupt nicht erwartet dass das geht. Ich wollte damit deine Behauptung widerlegen:

eddia hat geschrieben:Natürlich wird dann immer noch zwischen LAN-1 und DMZ-1 geroutet. Der einzige Unterschied ist, dass nur noch das logische Interface Lan-1 einbezogen ist. Und somit fällt eben Dein logisches Interface WLAN-x-x raus