DMZ oder besser DMZs?

[Bob.Dig]

Ich hoste ein paar Sachen öffentlich von zu hause. Ich verlasse mich dabei auf (automatische) Updates etc., wie gut aber jedes Projekt noch upgedatet wird, kann ich nicht wirklich beurteilen.
Da die Sachen alle in VMs laufen und virtuelle Adapter nichts kosten, ist nun meine Überlegung, diese Server zu separieren und jedem sein eigenes, virtuelles Interface zu geben und daraus jeweils eine DMZ zu machen.
Was IPv6 betrifft, wird das ordentlich Arbeit machen...

Was haltet ihr von der Idee? Längst üblich oder total dämlich? 😉

 

[deveth0]

Wenn du weißt, was du tust, dann kann man das schon so machen. Es geht aber nichts über eine wirkliche Separierung der Netze.

 

[xammu]

Um der nächsten Frage zuvor zu kommen.

Mit den üblichen SoHo Routern aka Fritzbox und Co geht das nicht wirklich. Oder vielleicht doch, wenn man neuerdings Portweiterleitungen ins AVM Gastnetz machen kann.

Auch eine Router VM nützt da nix, da dann alles wieder über 1 Kabel zum Router läuft.

Naja vielleicht schaffts AVM irgendwann mal mit der Unterstützung von VLANs

 

[Helge01]

Mach ich schon immer so. Es gibt die DMZ und dort für jeden Server ein eigenes VLAN. Das vereinfacht sogar die Sache mit IPv6, man kann für jeden Server eigene Firewallregeln erstellen. Da spielt dann der wechselnde IPv6 Präfix keine Rolle.

 

[snaxilian]

Stehen alle öffentlich erreichbaren Server in einem Subnetz und einer der Server wird kompromittiert so kann sich ein potentieller Angreifer anschließend "seitlich" bewegen und findet weitere Server oder Dienste die ggf. weniger gut abgesichert sind weil vergessen o.ä.
Stehen aber unterschiedliche Anwendungen bzw. deren Server in unterschiedlichen Subnetzen deren Zugriff untereinander per Firewall verhindert wird so kann nicht ohne weiteres andere Systeme gefunden und erkundet werden.
Alternativ kannst du auf allen Systemen die jeweilige Host-Firewall pflegen und eingehende Verbindungen nur von dedizierten Managementsystemen erlauben und solltest dies absichern (SSH mit per Key, etc)

 

[Bob.Dig]

Da spielt dann der wechselnde IPv6 Präfix keine Rolle.

Für die Regeln, verstehe was Du meinst.

Aber die Prefixe muss ich auch erst mal ausrollen, danke HE. 😉

 

[Bob.Dig]

@Helge01 Eine Frage zu den DMZ-Regeln und IPv6.

Machst Du für jedes andere Interface eine Blockregel? Müsste man wohl, wenn dynamische Prefixe im Spiel sind.

Da mein ISP aber eh knauserig ist und nur einen einzigen 64/er-Prefix verteilt, nutze ich nun für jede DMZ einen Prefix von HE. Ich habe nun einen Alias erstellt, der den ganzen /48er von HE beinhaltet. Nun kann ich diesen wie einen RFC1918-Alias für IPv4 nutzen... oder habe ich einen Denkfehler?

 

[Helge01]

Hi @Bob.Dig Ja, ich habe für jedes andere Interface eine IPv6 Blockregel. Das ist je nach Anzahl der Netze etwas umständlich. Da bist du mit HE und dem Alias besser dran. Das kannst du so machen. Ist schon lustig, da hast du Dual Stack und muss trotzdem auf HE ausweichen.

 

[Bob.Dig]

@Helge01 Jupp 😄

Habe so eine ASN-Nummer von meinem ISP gefunden. Nun könnte ich doch eigentlich die unten auf der Site gezeigten Prefixe ebenfalls dem Alias hinzufügen und würde damit immer meine anderen Interface blocken können... Auf kosten, dass meine DMZs sich nirgends mit meinem IPS verbinden könnte, aber das scheint mir nicht weiter schlimm. Ergo, das dynamischer Prefix-Problem, mit weniger Regeln, ebenfalls gelöst, oder nicht?

 

[Helge01]

Das würde ich nicht machen. Erstens gibt es nicht die WAN IPv6 Adresse, da alle Interfaces eine haben und solange keine Freischaltung nach intern existiert, kann sowieso kein Zugriff erfolgen.. Möchtest du nur die IPv6 Adresse am WAN Interface schützen (warum auch immer), dann langt auch eine einfache Block Regel mit Ziel "Diese Firewall".

 

[Bob.Dig]

Erstens gibt es nicht die WAN IPv6 Adresse,

Hab ich doch schon längst oben korrigiert. 😉
Spräche nun was dagegen? Freischaltung nach intern erfolgt ja über die letzte Regel im Bild, ich nenne sie mal die "Internet-Regel".

 

[Helge01]

Ja, habe es zu spät gesehen .
Ich habe das so gelöst.

Ich glaube wir reden gerade etwas aneinander vorbei. Deine letzte Regel wäre so wie du es haben möchtest vollkommen richtig.

 

[Bob.Dig]

@Helge01 Mir geht es ja darum, nicht für jedes andere Netz eine Blockregel aufsetzen zu müssen. Deswegen ja der Alias, um das jeweils in einer IPv4 und IPv6 Regel abzufrühstücken.