WCM Forum - Einzelnen Beitrag anzeigen

powerman · 01.07.2007, 14:10

hi,#
ich bin mir da nicht so sicher-> Auszug von Heise->
Die beiden Router können von demselben Typ sein, damit man sich nicht in zwei unterschiedliche Konfigurationsoberflächen einarbeiten muss. Damit steigt jedoch die Gefahr, dass man sich bei den unterschiedlichen Einstellungen vertut. Die Anforderungen an die Geräte unterscheiden sich wenig: Das WAN-Interface des inneren, sekundären Routers sollte mindestens 100 MBit/s übertragen, damit es die Zugriffe aus dem ->

LAN auf den "DMZ-Server" nicht ausbremst.==wer macht das!!!!

Das WAN-Interface des externen Routers muss dagegen nur zur Internet-Leitung passen. Hier kann also durchaus ein Router mit integriertem DSL-Modem stehen, oder einer mit langsamem Ethernet-Port, wenn die Internet-Bandbreite nicht gar so hoch ist. Allerdings sollte dieser Router einen ausgefeilten Paketfilter haben,

-> um den DMZ-Server abzuschotten <- und seine eigenen

Konfigurationsseiten nur ausgewählten Rechnern zur Verfügung zu stellen.
Der externe Router bedient wie üblich die DSL-Strecke per PPPoE mit den Zugangsdaten vom Provider, wobei der Admin den Idle-Timeout ab- und das "Keep Alive" einschaltet, damit die Verbindung immer besteht. Sofern dieses Feature vorhanden ist, gibt der Router seine externe Adresse per DynDNS bekannt, sonst läuft ein entsprechendes Programm auf dem DMZ-Server. Im Router wird ein Port-Forwarding ("Virtual Server") auf den Server eingerichtet, das nur Pakete für den Port weiterreicht, auf dem der Server arbeitet. Zur weiteren Absicherung richtet man möglichst einen Filter ein, der Pakete vom Server nur mit diesem Quell-Port ins Internet weiterleitet. Auf der LAN-Seite des externen Routers deaktiviert man den DHCP-Server, denn in diesem Netz – der DMZ – befinden sich nur der Server und der sekundäre Router, die ohnehin feste IP-Adressen brauchen. Der Konfigurationszugang des Routers muss unbedingt mit einem sicheren Passwort verschlossen werden. Außerdem darf der Zugriff auf die Konfigurationsseiten nur von der IP-Adresse des sekundären Routers möglich sein, damit ein Hacker, der den DMZ-Server übernimmt, die Einstellungen nicht ändern kann. Falls die Firmware des Routers eine solche Einschränkung nicht erlaubt, muss der Verwalter den Zugang über Filterregeln beschränken

01.07.2007, 14:10	#8
powerman gesperrt Registriert seit: 08.06.2002 Alter: 76 Beiträge: 4.263	hi,# ich bin mir da nicht so sicher-> Auszug von Heise-> Die beiden Router können von demselben Typ sein, damit man sich nicht in zwei unterschiedliche Konfigurationsoberflächen einarbeiten muss. Damit steigt jedoch die Gefahr, dass man sich bei den unterschiedlichen Einstellungen vertut. Die Anforderungen an die Geräte unterscheiden sich wenig: Das WAN-Interface des inneren, sekundären Routers sollte mindestens 100 MBit/s übertragen, damit es die Zugriffe aus dem -> LAN auf den "DMZ-Server" nicht ausbremst.==wer macht das!!!! Das WAN-Interface des externen Routers muss dagegen nur zur Internet-Leitung passen. Hier kann also durchaus ein Router mit integriertem DSL-Modem stehen, oder einer mit langsamem Ethernet-Port, wenn die Internet-Bandbreite nicht gar so hoch ist. Allerdings sollte dieser Router einen ausgefeilten Paketfilter haben, -> um den DMZ-Server abzuschotten <- und seine eigenen Konfigurationsseiten nur ausgewählten Rechnern zur Verfügung zu stellen. Der externe Router bedient wie üblich die DSL-Strecke per PPPoE mit den Zugangsdaten vom Provider, wobei der Admin den Idle-Timeout ab- und das "Keep Alive" einschaltet, damit die Verbindung immer besteht. Sofern dieses Feature vorhanden ist, gibt der Router seine externe Adresse per DynDNS bekannt, sonst läuft ein entsprechendes Programm auf dem DMZ-Server. Im Router wird ein Port-Forwarding ("Virtual Server") auf den Server eingerichtet, das nur Pakete für den Port weiterreicht, auf dem der Server arbeitet. Zur weiteren Absicherung richtet man möglichst einen Filter ein, der Pakete vom Server nur mit diesem Quell-Port ins Internet weiterleitet. Auf der LAN-Seite des externen Routers deaktiviert man den DHCP-Server, denn in diesem Netz – der DMZ – befinden sich nur der Server und der sekundäre Router, die ohnehin feste IP-Adressen brauchen. Der Konfigurationszugang des Routers muss unbedingt mit einem sicheren Passwort verschlossen werden. Außerdem darf der Zugriff auf die Konfigurationsseiten nur von der IP-Adresse des sekundären Routers möglich sein, damit ein Hacker, der den DMZ-Server übernimmt, die Einstellungen nicht ändern kann. Falls die Firmware des Routers eine solche Einschränkung nicht erlaubt, muss der Verwalter den Zugang über Filterregeln beschränken