Pysische Aufteilung der DMZ-Komponenten

tarrian · 15.09.2003, 12:19

Hallo zusammen!

Demnächst möchte ich mir eine DMZ aufbauen. Ich glaube das Konzept verstanden zu haben, allerdings finde ich nirgendo Info über die pysische Aufteilung der einzelnen Komponenten.

Ich habe mir als externe Firewall eine Linuxkiste mit IPcop vorgestellt. Läuft dann sonst noch etwas auf diesem Rechner? Kann die interne Firewall (ISA) auf dem LAN-Server liegen (Mit "Kann" meine ich ob es sinnvoll ist)?

Könnt Ihr mir sagen, wie ich die Komponenten

externe Firewall
Web- und FTP-Server
Bastion Host
interne Firewall
LAN-Server

richtig auf pysische Rechner verteile.

Wäre fein, wenn Ihr mir da helfen könnt.

Danke und lg,
Tarrian

blauesau · 15.09.2003, 12:40

Meiner Meinung nach kannst du schon beispielsweise die "externe Firewall" und "Informations-Server-Dienste" auf dem selben Rechner betreiben. Ob das seitens Performance empfehlenswert ist, ist eine andere Frage.

Ich würde als Router (Firewalls) an den beiden "Enden" der DMZ aber sowieso reine Hardware-Lösungen vorschlagen.

Ist aber ein interessantes Thema.

Ist das nur eine Spielerei oder steckt mehr dahinter? Welche Informationsdienste (WWW, FTP, ...) willst du betreiben und wie groß ist das Netzwerk hinter der DMZ? (Interessehalber frage ich)

tarrian · 15.09.2003, 12:58

Im Moment haben wir (EDV-Dienstleister in den Bereichen .net-Entwicklung und BI) eine ADSL-Verbindung. Nun möchten wir unsere Infrastruktur auf eine Standleitung umbauen, da wir den Zugang zum Rechenzentrum eines unseren Kunden brauchen (und ADSL erlaubt der Kunde nicht - da wir eine offizielle IP brauchen).

Der Zusatznutzen ist der, dass wir mit einer Standleitung Webservices im Bereich BI (Produktdemos, Testszenarien, etc.) anbieten könnten. Da sollte das Sicherheitskonzept auch etwas aushalten.

Warum tendierst Du zu einer reinen Hardware-Lösung (ich vermute Router+Firewall (Netgear,etc.)) ?
Kanns da nicht Probleme mit fehlerhaften Firmware geben?
Ist Linux da nicht flexibler?

Das Netzwerk dahinter besteht aus 10 Rechnern.

LouCypher · 15.09.2003, 13:15

Ich würde eine hardwarelösung einer linuxkiste vorziehen, ausserdem reicht eine einzige firewall mit 3 schnittstellen aus, zb. eine zyxel zywall oder eine fortigate wenns was teureres sein soll. Ausserdem solltest du dir vorher überlegen wie schnell dein internet zugang sein wird und ob vpn verbindungen ein thema sind damit du dir eine firewall kaufst die die benötigte durchsatzleistung bietet.

Linux ist flexibler daher auch anfälliger als ein betriebsystem das einzig und allein für firewalls entwickelt wurde, wobei auch die hardwarelösungen in der regel auf einem angepassten linux/unix system laufen.

Klar ist eine standleitung bzw. ein xdsl zugang einem adsl zugang in jeder hinsicht überlegen, allerdings kannst auch beim adsl zugang eine statische ip adresse haben wennst einen gscheiten provider hast.

tarrian · 15.09.2003, 13:25

Durchsatz:
Als Einstieg werden wir wahrscheinlich eine 768kbit Standleitung nehmen. Die Zukunft wird zeigen ob das reicht.

Provider:
Nuja ... gscheit oder nicht gescheit. Wir haben die Telekom und die dreht nach 8 Stunden sogar die Leitung ab.

Um gleich noch ein Thema anzureissen:
Wir liebäugeln mit Inode als Standleitungsprovider. Habt Ihr diesbezüglich so Eure Erfahrungen???

VPN:
Danke für den Tip. VPN ist natürlich ein Thema.

LouCypher · 15.09.2003, 13:50

Inode ist ok, wüsste derzeit keinen besseren provider, zumindest vom preis her ist ycn auch ok wies mit der leistung aussieht kann ich nicht sagen.

Wennst wirklich gute firewall beratung haben willst wende dich an die Fa. Corex . Für deine zwecke sollte imho eine Zyxel Zywall 10 ausreichen, kostet nicht viel und ist wirklich ein spitzen gerät auch wenns keinen eigenen dmx port gibt.

Die suse firewall on cd wär u.u. auch eine interessante alternative, ich hab sie allerdings noch nie zum laufen gebracht.

tarrian · 24.09.2003, 15:13

Hi

Ich habe mich nun doch für die Zywall 10W entschieden. War recht schnell aufgesetzt - ein paar Abschlusstests fehlen noch.

Wegen der Standleitung:
Inode ist es doch nicht geworden!
Ich habe das Produkt Q5 von ATnet genommen. Da gibts um EUR 128,- eine 2mbit Leitung. Bei Inode bekommt man dafür eine 768kbit Leitung (+ Webspace, der bei ATnet nicht dabei ist). Allerdings gibts Q5 nicht überall in Wien (bei mir zum Glück schon

)

Allerdings quält mich immer noch die Frage, ob ich den ISA (interne FW) am LAN-Server rennen lassen soll, oder nicht???

cu all

LouCypher · 24.09.2003, 15:56

ich würds lassen der ISA macht dich fertig, da wird jedes port öffnen zum geduldsspiel. Verwende die ip alias funktion der zywall, ist etwas versteckt aber schaum mal im handbuch nach. Damit kannst der lan schnittstelle mehrere ip adressen zuweisen, also zb. 192.168.1.254 fürs lan und 192.168.10.254 fürs dmz. Ip aliases kannst, wenn du die zywall via telnet (nicht im webinterface) konfigurierst im lan setup menü (3.2 -> tcpip setup) finden, der letzte eintrag lautet: "Edit ip alias".

tarrian · 20.11.2003, 12:14

Hallo !

Das Ganze rennt nun schön rund, seit ich aber OWA auf Exchange freigegeben habe, gibt es ab und zu (so alle paar Minuten) Pingschwankungen.

Nochmals mein Netzwerk:

Router-->Firewall(Zywall)-->Firewall(ISA)-->LAN Server (SBS, exchange & co)-->LAN

Die Clients verbinden als FWC.
Ich bin mir zwar nicht sicher, aber ich glaube, dass diese Schwankungen erst seit dem OWA-Einsatz auftreten.

Kann das sein?

Vielleicht habt Ihr ja eine Lösung!

Danke

15.09.2003, 12:19	#1
tarrian Jr. Member Registriert seit: 15.09.2003 Beiträge: 25	Pysische Aufteilung der DMZ-Komponenten Hallo zusammen! Demnächst möchte ich mir eine DMZ aufbauen. Ich glaube das Konzept verstanden zu haben, allerdings finde ich nirgendo Info über die pysische Aufteilung der einzelnen Komponenten. Ich habe mir als externe Firewall eine Linuxkiste mit IPcop vorgestellt. Läuft dann sonst noch etwas auf diesem Rechner? Kann die interne Firewall (ISA) auf dem LAN-Server liegen (Mit "Kann" meine ich ob es sinnvoll ist)? Könnt Ihr mir sagen, wie ich die Komponenten externe Firewall Web- und FTP-Server Bastion Host interne Firewall LAN-Server richtig auf pysische Rechner verteile. Wäre fein, wenn Ihr mir da helfen könnt. Danke und lg, Tarrian

15.09.2003, 13:15	#4
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	Ich würde eine hardwarelösung einer linuxkiste vorziehen, ausserdem reicht eine einzige firewall mit 3 schnittstellen aus, zb. eine zyxel zywall oder eine fortigate wenns was teureres sein soll. Ausserdem solltest du dir vorher überlegen wie schnell dein internet zugang sein wird und ob vpn verbindungen ein thema sind damit du dir eine firewall kaufst die die benötigte durchsatzleistung bietet. Linux ist flexibler daher auch anfälliger als ein betriebsystem das einzig und allein für firewalls entwickelt wurde, wobei auch die hardwarelösungen in der regel auf einem angepassten linux/unix system laufen. Klar ist eine standleitung bzw. ein xdsl zugang einem adsl zugang in jeder hinsicht überlegen, allerdings kannst auch beim adsl zugang eine statische ip adresse haben wennst einen gscheiten provider hast. ____________________________________ Greetings LouCypher

15.09.2003, 13:50	#6
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	Inode ist ok, wüsste derzeit keinen besseren provider, zumindest vom preis her ist ycn auch ok wies mit der leistung aussieht kann ich nicht sagen. Wennst wirklich gute firewall beratung haben willst wende dich an die Fa. Corex . Für deine zwecke sollte imho eine Zyxel Zywall 10 ausreichen, kostet nicht viel und ist wirklich ein spitzen gerät auch wenns keinen eigenen dmx port gibt. Die suse firewall on cd wär u.u. auch eine interessante alternative, ich hab sie allerdings noch nie zum laufen gebracht. ____________________________________ Greetings LouCypher

24.09.2003, 15:13	#7
tarrian Jr. Member Registriert seit: 15.09.2003 Beiträge: 25	Zywall + Q5 Hi Ich habe mich nun doch für die Zywall 10W entschieden. War recht schnell aufgesetzt - ein paar Abschlusstests fehlen noch. Wegen der Standleitung: Inode ist es doch nicht geworden! Ich habe das Produkt Q5 von ATnet genommen. Da gibts um EUR 128,- eine 2mbit Leitung. Bei Inode bekommt man dafür eine 768kbit Leitung (+ Webspace, der bei ATnet nicht dabei ist). Allerdings gibts Q5 nicht überall in Wien (bei mir zum Glück schon ) Allerdings quält mich immer noch die Frage, ob ich den ISA (interne FW) am LAN-Server rennen lassen soll, oder nicht??? cu all

24.09.2003, 15:56	#8
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	ich würds lassen der ISA macht dich fertig, da wird jedes port öffnen zum geduldsspiel. Verwende die ip alias funktion der zywall, ist etwas versteckt aber schaum mal im handbuch nach. Damit kannst der lan schnittstelle mehrere ip adressen zuweisen, also zb. 192.168.1.254 fürs lan und 192.168.10.254 fürs dmz. Ip aliases kannst, wenn du die zywall via telnet (nicht im webinterface) konfigurierst im lan setup menü (3.2 -> tcpip setup) finden, der letzte eintrag lautet: "Edit ip alias". ____________________________________ Greetings LouCypher

15.09.2003, 12:40	#2
blauesau Hero Registriert seit: 08.04.2003 Beiträge: 821	Meiner Meinung nach kannst du schon beispielsweise die "externe Firewall" und "Informations-Server-Dienste" auf dem selben Rechner betreiben. Ob das seitens Performance empfehlenswert ist, ist eine andere Frage. Ich würde als Router (Firewalls) an den beiden "Enden" der DMZ aber sowieso reine Hardware-Lösungen vorschlagen. Ist aber ein interessantes Thema. Ist das nur eine Spielerei oder steckt mehr dahinter? Welche Informationsdienste (WWW, FTP, ...) willst du betreiben und wie groß ist das Netzwerk hinter der DMZ? (Interessehalber frage ich)

15.09.2003, 12:58	#3
tarrian Jr. Member Registriert seit: 15.09.2003 Beiträge: 25	Im Moment haben wir (EDV-Dienstleister in den Bereichen .net-Entwicklung und BI) eine ADSL-Verbindung. Nun möchten wir unsere Infrastruktur auf eine Standleitung umbauen, da wir den Zugang zum Rechenzentrum eines unseren Kunden brauchen (und ADSL erlaubt der Kunde nicht - da wir eine offizielle IP brauchen). Der Zusatznutzen ist der, dass wir mit einer Standleitung Webservices im Bereich BI (Produktdemos, Testszenarien, etc.) anbieten könnten. Da sollte das Sicherheitskonzept auch etwas aushalten. Warum tendierst Du zu einer reinen Hardware-Lösung (ich vermute Router+Firewall (Netgear,etc.)) ? Kanns da nicht Probleme mit fehlerhaften Firmware geben? Ist Linux da nicht flexibler? Das Netzwerk dahinter besteht aus 10 Rechnern.

15.09.2003, 13:25	#5
tarrian Jr. Member Registriert seit: 15.09.2003 Beiträge: 25	Durchsatz: Als Einstieg werden wir wahrscheinlich eine 768kbit Standleitung nehmen. Die Zukunft wird zeigen ob das reicht. Provider: Nuja ... gscheit oder nicht gescheit. Wir haben die Telekom und die dreht nach 8 Stunden sogar die Leitung ab. Um gleich noch ein Thema anzureissen: Wir liebäugeln mit Inode als Standleitungsprovider. Habt Ihr diesbezüglich so Eure Erfahrungen??? VPN: Danke für den Tip. VPN ist natürlich ein Thema.

20.11.2003, 12:14	#9
tarrian Jr. Member Registriert seit: 15.09.2003 Beiträge: 25	Ping Schwankungen Hallo ! Das Ganze rennt nun schön rund, seit ich aber OWA auf Exchange freigegeben habe, gibt es ab und zu (so alle paar Minuten) Pingschwankungen. Nochmals mein Netzwerk: Router-->Firewall(Zywall)-->Firewall(ISA)-->LAN Server (SBS, exchange & co)-->LAN Die Clients verbinden als FWC. Ich bin mir zwar nicht sicher, aber ich glaube, dass diese Schwankungen erst seit dem OWA-Einsatz auftreten. Kann das sein? Vielleicht habt Ihr ja eine Lösung! Danke

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)