WAN und LAN trennen - DMZ Host?

[TVVista]

Hallo,

zurzeit habe ich einen ProSafeFirewallRouter von Netgear FR328S:

Firewall – Stateful Packet Inspection (SPI) zur Verhinderung von Denial of Service (DoS)-Attacken, Intrusion Detection System (IDS) mit Logging-Funktion, Reporting und Email-Benachrichtigung, Web URL Content-Filter. VPN-Funktionalität – Verbindung über Network Address Translation (NAT) (VPN-Passthrough) für IPSec, PPTP und L2TP VPNs
IP-Address-Management – Statische IP-Zuweisung, interner DHCP-Server für LAN, DHCP-Client für WAN, PPoE-Client Unterstüt-zung
Anschlüsse LAN-Ports: acht 10/100 Autosensing RJ-45-Ports WAN-Ports: 10/100BASE-T Ethernet RJ-45-Port Serielle Ports: DB-9-Anschluss
Verwaltung – Protokollierung, Berichte und A-larme über Internet-Aktivitäten und Content-Filterung auf URL-Basis, um für bestimmte Be-nutzer den Zugang zu bestimmten Webseiten zu sperren.


Die notwendigen Portfreigaben damit der WHS von "außen" her erreichbar ist, wurde hier im Forum hinsichtlich der Sicherheit schon diskutiert, ausgeräumt wurden hierbei jedoch die Bedenken nicht.

In Zukunft soll es ja bei mir so sein, das alle Clients vom WHS per WOL aufgeweckt werden können. Aus meiner laienhaften Sicht heraus stellt sich der WHS hierbei als Sicherheitsrisiko dar.
Zunächst gibt es keine Softwarefirewall für den WHS (Avast vielleicht in ein paar Wochen, AntiVir als Virensoftware habe ich installiert). Die "offenen" Ports die ich beim Router freigeben soll machen mir schon
Gedanken, da ich seit Jahren keine Probleme mit Viren, Würmern, Adware u. Rootkits habe.

Es gibt von Netgear einer ProSafeFirewallRouter der einen dezidierten DMZ Port hat: http://www.netgear.de/Produkte/Router/F ... blatt.html
Vielleicht bin ich ja vollkommen auf dem Holzweg, wäre es möglich den WHS per Port Forwarding auf eben diesen DMZ-Port zu leiten?
http://www.elektronik-kompendium.de/sit ... 907241.htm

Viele Grüße aus Darmstadt

Holger

[Christoph]

Hi Holger,

wenn dein Home Server in der DMZ steht, so sind aber im Grunde alle Ports erreichbar die offen sind ...

Meine Überlegung zur Zeit ist noch folgende:

Eine VMWare (Linux/OpenVPN) in die DMZ hängen und damit ein VPN aufbauen .... dann darüber auf den WHS zugreifen ... Manche Router können es auch direkt.

Nun ja ... wenn man mal schnell auf was zugreifen will ist das natürlich ohne Client nicht so einfach möglich (zumindest bei OpenVPN)

Ein Arbeitskollege von mir hat sich eine SonicWall gekauft. Wenn man auf diese von aussen zugreift, wird auf dem Client automatisch eine ActiveX Komponente installiert, die dann den VPNClient darstellt. Das ist echt ne smarte Lösung.

Grüße

Christoph

[TVVista]

Hallo Cristoph,

danke für Deine schnelle Antwort.

Die Ports 443 und/oder 4125 müssen geöffnet werden für das WebInterface. Wenn ich die Beschreibung von Netgear richtig verstanden habe ist diese Freigabe nur für den DMZ-Port, für die angeschlossenen Clients am Router sind die Portfreigaben nicht vorhanden. Vielleicht vertstehe ich etwas falsch.

Nach Netgear ist der Server als Client präsent und nicht als Server.

Gruß Holger

[TVVista]

Hallo,

vielleicht könnte einer der Moderatoren dieses Thema in den Bereich Netzwerk verschieben.

Werde mich mal im Netgear-Forum bezüglich meiner Fragestellung einloggen und berichte dann hier.

Danke.

Holger

*edit by AliG* erledigt...

[pleibling]

vorsicht! dmz host, ist nicht gleich dmz host! bei einigen routern heißt das, das einfach nur alles auf den rechner geleitet wird vom weg aus, was genau das gegeneteil bedeutet von dem was du möchtest.

also, gedanken um die sicherheit des homeservers brauchst du dir erstmal nicht zu machen - wenn du einige dinge beachtest:

- virenschutz
- firewall
- und vor allem windows updates!

der homeserver basiert auch win 2003 und das ist größtenteils sicher. sicherlich werden alle nase lang sicherheitslecks gefunden, auch in dem komponenten, die der homeserver nutzt (iis, rdp - ports 80, 443, 4125), deswegen sind die windowsupdates wichtig. damit sich kein konfigurationsfehler einschleicht, würde ich nicht so viel dran "basteln" (z.b. standardeinstellungen des iis ändern usw.).

der homeserver basiert auf den sbs, der hat sogar noch eine viel "gefährlichere" komponente an board, der exchange - der birgt (falsch konfiguriert) eine viel größere gefahr als der homeserver, dennoch ist der milliardenfach installiert und läuft.

wir selber setzen webserver (iis, z.b. mit intrexx) für kunden mit ca. 15000 europaweiteiten kunden ein sowie komplette netze für krankenkassen, pflegedienste, und weitere firmen im gesundheitsservice (mit terminalservern). diese systeme laufen schon seit 8 jahren einwandfrei, sicherlich hatten wir auch mal einen sicherheitsvorfall (ein kollege hatte einen ftp account mit einfachen passwort eingerichtet, der wurde aber schnell entdeckt, weil der traffic so hoch wurde).

es ist sicherlich richtig ein gutes sicherheitsdenken an den tag zu legen, aber man braucht nicht gleich paranoid zu werden. es hilft auch nichts mit großen vielen produkten hochzuschiessen, es reichen sicherlich auch wenige produkte, wenn es die richtigen sind!

das prinzip, wie die ct ihren "linux homeserver" macht gefällt mir (ich hatte es in einer ähnlichen konfiguration eingesetzt).

eine firewall (keinen router mit portfilter, sondern sowas wie du schon hast), die zum internet, dann eine dmz z.b. mit dem netz 192.168.1.0/24 (kann auch viel kleiner sein), darein den homeserver, auf den ein vmware server und auf dem server dann sowas wie astaro installieren, die ist schön flexibel und kostenlos für den hausgebrauch. dann die clients in ein anderes netz (z.b. 192.168.2.0/24) und die virtuelle firewall dann routen lassen und genau(!) definieren was durch darf, und vor allem in welchen richtungen.

damit habe ich ganz gute erfahrungen gemacht. wenn du aber auf das geld nicht achten mußt, dann schau dir mal die watchguards x700 bzw. x750e an (vielleicht reicht ja auch die smb version x1000, diese ist nicht wie die anderen upgradebar per key). da kannst du dir dann die virtuelle firewall sparen, denn du hast lan, wan und optional (notfalls lassen sich weitere ports freischalten über upgrade).

wenn du fragen hast, helfe ich dir gerne weiter.

p.s.: bin seit 12 jahren in der edv, habe bei siemens netzwerkadministrator /-oganisator gelernt, war 2 jahre bei einer siemens werksvertretung und bin seit 8 jahren selbstständig im netzwerk- und sicherheitsbereich, habe auch schon einengroßen niederländischen stahlkonzern erfolgreich durchs ensec (tüv enterprise security audit) gebracht. schau auch mal hier: http://www.ltcs.de/index.php?option=com ... 7&Itemid=9

hier mal ein paar bilder von meinem alten netz:

NAT Regeln.jpg (752.46 KiB) 5421 mal betrachtet

Virtual Server 2005.jpg (357.27 KiB) 5422 mal betrachtet

server.JPG (129.73 KiB) 5412 mal betrachtet

[TVVista]

Hallo peibling,

vielen Dank für Deine umfangreiche Antwort.

Jetzt muss ich Deine Informationen/Hinweise erst mal "Abarbeiten".

Unter Verfolgungswahn leide ich derzeit noch nicht, aber Du hast schon recht man kann auch einen "Futureoverkill" generieren, wenn nur Sicherheitsaspekte im Home Bereichim Vordergrund stehen.

Gruß Holger

[Christoph]

Pleibing! Du machst mir langsam Angst ....
Sag mal was hast du denn da alles an Hardware rumstehen?
Mir kommt es so vor, dass du besser ausgestattet bist als ein Rechenzentrum!

[pleibling]

nene, der server ist anfang des jahres meiner abrüstaktion zum opfer gefallen, das war ein dual xeon (jeweils hyper threading, deswegen 4 cpus), dazu noch 4 gb ram usw.

jetzt könnte ich mich ieder ärgern, das ich den verkauft habe, der war echt top und würde einen top homeserver abgeben .

aber egal.

mittlerweile habe ich nur noch ein mediacenter, eine workstation, einen testrechner, einen touchpanel, einen homeserver, 2 laptops und 3 xbox 360.

noch dazu ist gestern mein neues epia board gekommen, da wir aber soviel stress auf der baustelle haben (anwalt wegen alten fliesenleger, polizei wegen schlüssel nicht rausrücken, neue angebote einholen, usw.), wird das board wohl noch ein paar tage verpackt in der ecke liegen bleiben.

so ein mist alles!