Hallo liebes Board,
ich bin hier neu, habe mich schon einige Zeit mit DMZ auf 1781 und 833+ beschäftigt und auch alles hier im Board dazu gelesen. Die DMZ ist auch eingerichtet und darin läuft ein Warenwirtschaft Clientserver der für Mobilgeräte Zugriff gewährt. Der WAWi Server ist im Intranet. Das Problem ist dass das DMZ m.E. nicht wirklich abgetrennnt und damit sicher ist.
Es muss ein SQL zugriff des DMZ Websservers auf das Intranet (Wawi Server) eingerichtet werden und hier scheitere ich.
Nachdem ich schon mal den "isolierten Modus" getestet habe und mich vom 833+ aussperrte (incl. Reset + upload der config) will ich es nun besser machen. Es sind der 833+ (für Mail, VPN und Redundanz Routing) und ein 1781VA (Client internet Zugang, VPN, Hauptzuggang) im Einsatz, d.h. 2 DLS Leitungen vorhanden. Es funktioniert soweit auch bereit.
DMZ ist am 833+ an Lan3 (Eth4) mit 192.168.0.0/24 Netz, Intranet am Lan1 (BRG-1) mit 10.10.0.0/20
Zugriff von Intranet auf DMZ soll gegeben sein, von DMZ nach Intranet nur der SQL Server (1433/34) Zugriff haben.
Wenn ich dem Webserver derzeit ne zweite IP im 10.10.0.0 Range gebe komme ich auf das Intranet was zu unsicher bei einem Angriff wäre.
Das Thema Schnittstellentag ist mir schon bekannt. Wo muss ich ansetzen?
Hier die Daten:
DMZ für separates LAN einrichten Webserver SQL Zugriff auf Intrannet gewähren
Moderator: Lancom-Systems Moderatoren
DMZ für separates LAN einrichten Webserver SQL Zugriff auf Intrannet gewähren
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
-
Dr.Einstein
- Beiträge: 2924
- Registriert: 12 Jan 2010, 14:10
Re: DMZ für separates LAN einrichten Webserver SQL Zugriff auf Intrannet gewähren
Blöde Frage, brauchst du wirklich die DMZ Funktion des Lancom Routers?
- Stelle das DMZ Netz auf den Typ Intranet um
- Firewall Regeln erstellen
-- hohe Prio, erlaube Quelle Intranet zu DMZ
-- hohe Prio, erlaube Quelle DMZ zu Server, evtl noch Ziel Port eingeschränkt
-- niedrige Prio, reject/drop Quelle LOCALNET Ziel LOCALNET
Fertig.
Wenn du noch etwas mehr haben willst, dann gibst du Intranet das Routing Tag 1, DMZ das Routing Tag 2. In den Firewallregeln musst du dann jeweils noch das Quell Tag und das (Ziel) Tag ergänzen. In der Routing Tabelle kannst du dann auch vom Routing Tag 0 abweichen für die Default Route und dort separate Routen anlegen für Tag 1 und 2, musst du aber nicht. Die Routen mit 0 dürfen von allen Schnittstellentags benutzt werden.
- Stelle das DMZ Netz auf den Typ Intranet um
- Firewall Regeln erstellen
-- hohe Prio, erlaube Quelle Intranet zu DMZ
-- hohe Prio, erlaube Quelle DMZ zu Server, evtl noch Ziel Port eingeschränkt
-- niedrige Prio, reject/drop Quelle LOCALNET Ziel LOCALNET
Fertig.
Wenn du noch etwas mehr haben willst, dann gibst du Intranet das Routing Tag 1, DMZ das Routing Tag 2. In den Firewallregeln musst du dann jeweils noch das Quell Tag und das (Ziel) Tag ergänzen. In der Routing Tabelle kannst du dann auch vom Routing Tag 0 abweichen für die Default Route und dort separate Routen anlegen für Tag 1 und 2, musst du aber nicht. Die Routen mit 0 dürfen von allen Schnittstellentags benutzt werden.
Re: DMZ für separates LAN einrichten Webserver SQL Zugriff auf Intrannet gewähren
Hi schebler,
das würde ich den Security-GAU nennen, dann wenn der WEB-Server in der DMZ an den SQL-Server im Intranet kommt, dann kannst du den WEB-Server gleich in dein Intranet stellen...
Wenn, dann müßtest du das anders herum aufziehen und auch den SQL-Server in die DMZ stellen... (ggf. auch in ein weiters getrenntes Netz)
Gruß
Backslash
das würde ich den Security-GAU nennen, dann wenn der WEB-Server in der DMZ an den SQL-Server im Intranet kommt, dann kannst du den WEB-Server gleich in dein Intranet stellen...
Wenn, dann müßtest du das anders herum aufziehen und auch den SQL-Server in die DMZ stellen... (ggf. auch in ein weiters getrenntes Netz)
Gruß
Backslash
Re: DMZ für separates LAN einrichten Webserver SQL Zugriff auf Intrannet gewähren
super, es wird etwas klarer denke ich. Bin nicht auf DMZ wirklich angewiesen und wenn in der Lancom Doku die "Do's" und 'Don'ts" drinnen wären ala "Dmz bedeutet keinerlei Zugriff auf Intranet möglich, auf nicht einzelne Ports!" dann entfiele die lange Suche was denn nun geht und was nicht.
Deine Antwort bedeutet im Umkehrschluss wohl genau dieses. DMZ ist halt der AHA effekt bei der IT Leitung. Wie es dann gemacht wird ist sekundär.
Hab die untere Vorgehensweise verstanden und werde das am WE testen, meine Frage ist noch ob der Webserver dann eine IP aus dem Intranet bekommt oder auf 192.168.0.0 bleibt und der LAN3 wieder auf Brg-1 mus?
Hm, ja security Gau trifft es wohl. Abgesehen davon dass dort kein regulärer Webserver ala IIS, Apache läuft und das auch nicht auslesbar ist. Ich teste es erst mit den FW Regeln.
grüsse
Hermann
Deine Antwort bedeutet im Umkehrschluss wohl genau dieses. DMZ ist halt der AHA effekt bei der IT Leitung. Wie es dann gemacht wird ist sekundär.
Hab die untere Vorgehensweise verstanden und werde das am WE testen, meine Frage ist noch ob der Webserver dann eine IP aus dem Intranet bekommt oder auf 192.168.0.0 bleibt und der LAN3 wieder auf Brg-1 mus?
Hm, ja security Gau trifft es wohl. Abgesehen davon dass dort kein regulärer Webserver ala IIS, Apache läuft und das auch nicht auslesbar ist. Ich teste es erst mit den FW Regeln.
grüsse
Hermann