Ist das noch eine DMZ

[qiller]

Bisher habe ich die DMZ so konfiguriet wie Beitrag Nr. 3 von BFF es zeigt.

Nein, lt. deinem Netzwerkplan oben hast du das nicht. Z.B. nutzt die FW in #3 drei Schnittstellen, deine nur zwei Schnittstellen. Ich nehme dann einfach mal an, dass du dann Rot und Orange konfiguriert hast, alles andere macht irgendwie gar keinen Sinn. Dann kann ein Angreifer von einem kompromitierten Server in der DMZ deine restlichen Hosts erreichen. Und wenn das WLAN im Router nicht als Gäste-WLAN abgeschottet ist, auch die Hosts im WLAN, klar.

Edit: Um das zu verhindern, müsstest du bei deinem Netzwerkplan oben den Zugriff per extra FW-Regel von der DMZ auf das 192.168.2.0/24 Netz blockieren, und evt. die 192.168.2.1 ausnehmen (falls dein Server in der DMZ z.B. den DNS-Resolver des Routers verwenden soll).

 

[Piktogramm]

Kann man bei folgender Netzwerk-Topologie von einer DMZ sprechen? Da der Traffic durch das sichere Netz durchtransportiert wird und am Ende erst die DMZ auftaucht. Wäre so etwas sicher?
Anhang anzeigen 1612072

Wer nach Sicherheit fragt, sollte dazu sagen, WAS[1] gegen WAS[2] abgesichert werden soll.
Einfach irgend ein Diagramm mit ein paar fixen IPs sagt halt nichts aus. Auch da irgendwas vonwegen "DMZ" dran zu schreiben ist eher weniger hilfreich wenn man Sicherheit einschätzen will. Es braucht da deutlich konkretere Informationen.

Grundlegen halte ich es für einen Fehler, jedwedes Netzwerk als sicher zu deklarieren. Zudem dein 192.168.2.0/24 Netz ein Intranet ist. Intranets mit Internetverbindung, Nutzer·innen und all deren Softwaremüll sind Vieles, nur nicht sicher.

Der Mangel an IPv6 verdient Schelte.

Zudem hätte ich aber etwas entgleiste Gesichtszüge, wenn das ein Diagramm einer produktiven Umgebung wäre.
Web <-> Router <-> Intranet <-> Firewall <-> DMZ
Wobei die Firewall im Zweifel NAT betreibt und das Thema IPv6 komplett ignoriert wird.

[1] Dienste
[2] Angriffsszenarien

 

[CyborgBeta]

Täusche ich mich, oder hat 192.168.2.66|99 gar keine Firewall, weder Hardware noch Software?

 

[Khorneflakes]

Wer nach Sicherheit fragt, sollte dazu sagen, WAS[1] gegen WAS[2] abgesichert werden soll.

Genau so ist es.

Die eigentliche Frage hier lautet erstmal nicht wie man das nennt, DMZ hin oder her, und auch nicht ob der Server auf Ressourcen im anderen Netz zugreifen kann oder nicht.

Die Frage lautet was das werden soll. Du zweigst von deinem Netz mittels Firewall ein zweites Netz ab. Da das ja wohl dein lokales Netz ist, Betonung auf lokal, stellt sich ja zwangsläufig die Frage, wo dieser Server physisch steht und warum das potenziell ein Problem ist. Wer würde den denn kompromitteren?

Ist das so eine Geschichte wo du deinem Nachbarn oder einem Untermieter oder einem sonstigen Dritten ein Kabel zuwirfst damit der Internetzugang bekommt?

 

[BFF]

Wie kommst du zum Schluss, dass es nicht unterbunden wird? Wenn jemand schon auf die Idee kommt eine Firewall in seinem Netz zu installieren, dann wird er auch das Firewalling nutzen...? Es sind also erstmal nur Unterstellungen von dir.

Keine Unterstellung.
Ich weiss wie ein IPFire per default arbeitet und nirgends steht das etwas eingestellt wurde.

Von Gruen kommst Du immer ueber Rot nach irgendwo hin.
Von Orange/Blau kommst Du ueber Rot nach irgendwo hin.
Von Gruen kommst Du, wenn eingestellt nach Orange/Blau.
Von Orange kommst Du nicht nach Gruen.
Von Blau kommst Du nur nach Gruen wenn Freigabe.

Fuer das Konstrukt da ganz oben im Post 1 ist es also immer moeglich aus allen Netzen hinter dem IPFire ueber Rot in das Netz vor Rot zu kommen. Wenn Du mir nicht glaubst, probier es aus.

Von Rot nach Gruen/Orange/Blau kommst Du nicht. Das muss explizit frei gegeben werden.
Nach Gruen tut man nicht, nach Orange/Blau das an Ports was man haben will. Blau aber auch nicht unbedingt, wenn man damit z.B. Gast-Netz/WLAN haben mag.

Sagen wir, dass in der Abbildung das Kabel-Modem noch WLAN-Funktionalität hat und dort mobile Geräte mit dem Internet verbunden sind. Also müssten doch die mobil vernetzten Geräte leicht angreifbar sein, wenn der Computer in der DMZ kompromittiert wurde oder?

Wenn das Kabel-Modem/Router per WLAN noch angeschlossenen Geraete hat, sind die aus der DMZ erreichbar. Egal in welchem Konstrukt. Es wuerde passieren aus dem Bild in Post #1 und aus den von mir im Post #3

Um das zu verhindern muessten die WLAN Geraete an einen AP der sich im Gruenen Netz des IPFire befindet. Oder nman nutzt die Host-AP-Funktionalitaet des IPFire und baut mit Blau das WLAN.

Steht eigentlich alles ganz gut beschrieben in der Anleitung von dem.

Was konkret hast Du vor? @Tempo

 

[Sykehouse]

Wenn ich im Router einen Port als DMZ konfigurieren kann, dann sollte doch kein routing zwischen diesem port und anderen erfolgen, oder?

Doch, normalerweise schon. Insbesondere, wenn du eine IP und nicht einen Port konfigurieren musst. Was 0815 Router als DMZ bezeichnen, nennt sich korrekterweise Exposed Host und ist nicht vom Rest des LANs isoliert.

Bei "richtigen" Firewalls sieht das wieder anders aus. Oder auch, wenn du das Gastnetz als DMZ verwendest.