Zwei Router hintereinander = DMZ für Arme?

DFFVB

Lt. Commander
Dabei seit
Dez. 2015
Beiträge
1.916
Hallo zusammen,

ich hoffe, ich bringe mein Anliegen /meine Frage richtig rüber:

Ich habe vom Netzbetreiber eine Fritzbox 7530 - die ist soweit auch okay, aber das WLAN ziemlich mau. Zusätzlich habe ich einen Asus RT 88 U Router (ohne Modem), dahinter. Der hat sehr gutes WLAN. Im reinen Access Point Modus hat er Probleme mit dem Multiroom Lautsprechern zu kommunizieren, bzw vergisst sie immer bis zum nächsten Reboot. Es gibt jetzt zwei Möglichkeiten:

1. Man kann die FB auf Werkseinstellungen zurücksetzen und keine Zugangsdaten eintragen und Clients erlauben eigene PPPoe Verbindungen aufzubauen. So verhindert man doppeltes NAT.

2. Man kann aber auch den Asus Router glauben lassen er sei Router und ihm ne feste IP von der FB geben. Nachteil doppeltes NAT, wobei das Performance-mäßig bei mir wenig Auswirkungen zeigt. Mit Portweiterleitung und dem eingebauten DynDNS von AVM kann, man aber sogar den OpenVPN Server vom Asus nutzen.

So nun zum eigtl Punkt: Ich betreibe eine Nextcloud, auf welche ich bisher nur per OpneVPN zugegriffen habe. Letztlich geht das aber etwas auf die Performance und den Akku. Bei der Alternative die NC direkt ins Netz zu hängen (exposed host auf der FB, DMZ bei Asus), ist mir immer nicht so ganz wohl, auch wenn es da Tests von Qualys etc gibt. Insbesondere, wenn ich das richtig verstanden habe, die FB den exposed host nicht im Netz isoliert.

Die Idee: Wenn man nun im Setup 2, einen zweite NC Instanz dran hängt, mit den nicht so vertraulichen Daten, also vertretbaren Verlust, wenn sie gehackt werden würde, hat man doch noch theoretisch den zweiten Layer des Asus Router? Freilich würde ich versuchen auch hier zu härten, aber der Teufel ist ja ein Eichhörnchen :-)

Danke und Weihnachten.
 

byJona

Ensign
Dabei seit
Apr. 2016
Beiträge
211
Also ich verstehe das richtig, Du hast eine Fritzbox wo dein Internet vom Provider reingeht. An die Fritzbox ist ein Asus Router angeschlossen(Wie du beschreibst hoffentlich im WAN Port) Jetzt ist deine Idee deine Nextcloud an die Fritzbox zu hängen, und den Rest vom Netzwerk an den Asus Router damit es "sicherer" ist, richtig?
 

arvan

Admiral
Dabei seit
Juni 2008
Beiträge
7.226
Warum gibst du dem ASUS nicht eine feste IP innerhalb des Netzes der FB (außerhalb des DHCP)?
Somit haben alle Geräte das gleiche Subnetz und können fehlerfrei kommunizieren und du hast kein doppeltes NAT und keinerlei Probleme und trotzdem gutes WLAN.

PPPoE Verbindungen mehrfach wird vermutlich nicht funktionieren, da kaum ein ISP das noch ermöglicht und es ist auch dermaßen unsicher.
 

DFFVB

Lt. Commander
Ersteller dieses Themas
Dabei seit
Dez. 2015
Beiträge
1.916
@byJona - Jup LAN von der FB geht ins WAN des Asus. Die Idee ist eine NC an die FB zu hängen, mit Portforwardign auf diese NC Instanz. Diese soll dann direkt aus dem Netz erreichbar sein, ohne VPN. Hier sind auch weniger kritische Daten drinnen. Per VPN wird dann, wenn nötig auf die verschlüsselte NC am Asus zugegriffen.

@arvan Ich bin mir nicht sicher, inwiefern ich Dir folgen kann. In welchem Modus würde ich den Asus betreiben? Router oder Access Point? Und ich mache ja keine mehrfach PPPoE da ich die Fritzbox ja nicht anmelde, quasi blind lasse. Oder in Möglichkeit zwei, glaubt der Asus ein Router zu sein, bekommt aber einfach eine private IP von der FB
 

Raijin

Fleet Admiral
Dabei seit
Nov. 2007
Beiträge
10.405
Zusätzlich habe ich einen Asus RT 88 U Router (ohne Modem), dahinter. Der hat sehr gutes WLAN. Im reinen Access Point Modus hat er Probleme mit dem Multiroom Lautsprechern zu kommunizieren, bzw vergisst sie immer bis zum nächsten Reboot.
Den Part kann ich gerade nicht nachvollziehen. Was/wie/wo sollte der Asus als AP "vergessen"? Ein AP ist ein reiner Zugangspunkt wie der Name schon sagt. DHCP-Reservierungen übernimmt der Hauptrouter, da hat der AP also nix zu merken. Womit sich ein Client verbinden will, ist Sache des Clients. Auch hier hat der AP also nix zu melden. Die Probleme mit dem Asus erschließen sich mir daher nicht wirklich.

Wenn die Lautsprecher regelmäßig die Verbindung zum Asus verlieren, ist das natürlich etwas anderes, aber ich kann mir beim besten Willen nicht vorstellen, dass das nicht passiert, wenn der Asus nicht AP, sondern Router ist. Das WLAN an sich bleibt ja dasselbe?!

Wie dem auch sei, eine DMZ definiert sich dadurch, dass hier im Prinzip alle nach außen exponierten Geräte reingestellt werden. Die DMZ wird vom Rest des Netzwerks mittels Firewall getrennt. Diese Firewall ist so eingestellt, dass sie von der DMZ ins LAN ausschließlich antwortenden Verkehr zulässt, jedoch keinen Initialverkehr. Der Grundgedanke ist dabei, dass ein gehackter Server quasi in der DMZ eingeschlossen ist und nicht von sich aus das Hauptnetzwerk infiltrieren kann.

Request : LAN --> DMZ = erlaubt
Reply : LAN <-- DMZ = erlaubt

Request : DMZ --> LAN = verboten
Reply : gibt's nicht, weil der Request nie ankommt

Mit einem fortgeschrittenen Router mit mehreren LAN-Interfaces (nein, Fritzboxxen sind diesbezüglich so 08/15 wie Asus, TP-Link und Co) kann man die DMZ mit einer einstufigen Firewall isolieren, sieht dann so aus:

DMZ_network_diagram_1_firewall.svg.png
(Quelle: Wikipedia)

Da man bei einem 08/15 Heimrouter wie du ja weißt kein separates Netzwerk anlegen kann (zB eben für besagte DMZ), benötigt man ein zweistufiges Firewall-Konzept für die DMZ.
So sieht das dann aus:

DMZ_network_diagram_2_firewall.svg.png
(Quelle: Wikipedia)


"Exposed Host" braucht man dabei nicht - das beschreibt in 9 von 10 Heimroutern lediglich eine globale Portweiterleitung, die ganz banal TCP+UDP Port 1-65535 weiterleitet, also buchstäblich alles. Mehr passiert bei dieser Einstellung in der Regel nicht, auch nicht, wenn der Hersteller diese Funktion fälschlicherweise als DMZ bezeichnet. Daher ist "Exposed Host" oder die falsche DMZ genau genommen sogar ein immenses Sicherheitsrisiko, da im Zweifelsfalle auch zB SMB-Ports oder dergleichen aus dem Internet erreichbar sind, wenn der Exposed Host hier nicht selbst eine Firewall mitbringt, die das blockt!

Das bedeutet, dass man im Internetrouter nach wie vor nur die nötigen Portweiterleitungen einrichtet und diee dann auf den/die Server in der DMZ zeigen lässt. Fies wird es nun allerdings, wenn ein VPN-Server, über den man ins Hauptnetzwerk kommen soll, ins Spiel kommt. Dieser müsste ja im Idealfall in der DMZ stehen und nicht der Asus-Router sein. Obige Firewallregeln würden dann aber nicht mehr funktionieren, da vom VPN aus ja durchaus ein Zugriff auf das LAN stattfinden soll, vom VPN-Server (DMZ) aus initiiert. An dieser Stelle hat man mit 08/15 Equipment dann kaum eine andere Wahl als den Asus doch als VPN-Server zu nutzen. Das Problem ist nämlich, dass im oben beschriebenen zweistufigen Konzept der Asus ja immer noch ein 08/15 Router bleibt und somit kaum Möglichkeiten für Routing bzw. Firewall bietet, um an dieser Stelle ohne explizite Portweiterleitungen auszukommen. Dafür bräuchte man eben eine echte Hardware-Firewall, die zB auch NAT abschalten kann, also reines Routing+Firewall.
 

DFFVB

Lt. Commander
Ersteller dieses Themas
Dabei seit
Dez. 2015
Beiträge
1.916
Danke erstmal für die ausführliche Antwort

Wenn die Lautsprecher regelmäßig die Verbindung zum Asus verlieren, ist das natürlich etwas anderes, aber ich kann mir beim besten Willen nicht vorstellen, dass das nicht passiert, wenn der Asus nicht AP, sondern Router ist. Das WLAN an sich bleibt ja dasselbe?!
Wenn ich da eine Lösung für hätte... alle Clients spielen mit, außer die Musiccast Lautsprecher. Hab hier schon einige Stunden investiert (IGMP Snooping) etc. und es hat nixhts gebracht. Lief jetzt für ein paar Wochen, hab dann aber nochmal die PPPoE Kiste getestet, seitdem zicken die Lautsprecher wieder.


Unabhängig davon: Bzgl. des Expsoed Host bin ich etwas durcheinander gekommen, wie Du sagst, den brauche ich ja gar nicht. Für die NC 1 leite ich einfach die entsprechenden Ports in der FB weiter, die NC Instanz freilich gehärtet mit Firewall etc. Damit hätte ich ja die NC1 isoliert im LAN der FB, und wenn ich per VPN (weitergeleitet von der an den Asus) dann auf den Asus zugreife, kann ich hier auf die NC2 zugreifen?

Das heißt letzten Endes, für den Privatanwender, ist das ein gangbarer Weg, und wie der Titel schon sagt, eine DMZ für Arme?
 

Raijin

Fleet Admiral
Dabei seit
Nov. 2007
Beiträge
10.405
Das ist im Prinzip schon ein gangbarer Weg, aber das Doppel-NAT ist nun mal komplett überflüssig, lässt sich mit Consumer-Hardware aber nicht umgehen. Bei Routern wie Fritzboxxen, Asus und Co kann man leider das NAT am WAN-Port nicht abschalten. Dadurch verliert man am 2. Router die Möglichkeit, den eingehenden Traffic innerhalb der Firewall ganz gezielt zu erlauben oder nicht, weil man dazu stets eine Portweiterleitung einrichten müsste, die nun mal nur einen Ziel haben kann. Auch kann ein Server in der DMZ nicht mehr erkennen welches Gerät aus dem HauptLAN nun auf ihn zugreift, weil der 2. Router eben alles aus dem HauptLAN maskiert.

Man kann das so machen, aber bedenke, dass du so ein Setup auch warten können musst. Je komplexer das Setup umso zahlreicher die Fehlerquellen, insbesondere wenn Doppel-NAT im Spiel ist.

Einfacher zu handhaben wäre ein Setup mit einem fortgeschrittenen Router wie einem MikroTik oder einem EdgeRouter oder auch einer pfSense-Appliance oder einer vergleichbaren Hardware-Firewall (ohne NAT konfiguriert) anstelle des Asus. Selbiger würde dann wieder zum AP degradiert werden. Das könnte dann so aussehen:

www
|
Fritzbox
|
(LAN1 = WAN ohne NAT)
Router --- (LAN2) --- DMZ
(LAN3)
|
HauptNetzwerk

Dabei würde der 2. Router dann sowohl die DMZ als auch das Hauptnetzwerk verwalten, inkl. Firewall und ohne NAT-Gedöns. So läuft das beispielsweise bei mir mit einem Speedport und einem EdgeRouter. Mein Speedport ist ausschließlich Internet-Lieferant und hat mit dem Netzwerk als solchem nix mehr am Hut. Ich habe lediglich zwei seiner LAN-Ports in ein VLAN gepackt, um dort der Einfachheit halber direkt meine beiden Entertain-Receiver anzuschließen.

Aber wie gesagt, das Setup steht und fällt mit dem KnowHow des Einrichters. Wenn irgendwas nicht funktioniert und zB eine Spielekonsole auf Teufel komm raus nicht den richtigen NAT Typ anzeigt und es Probleme in Spielen und/oder Voicechats gibt, dann kann die Fehlersuche für unerfahrene Anwender extrem anstrengend sein.

Keep It Simple, Stupid - kurz: KISS. Das ist eine Faustregel in der IT. Wenn du die Sicherheit erhöhen willst, sich dadurch aber die Komplexität des Setups ebenfalls erhöht und dir im worst case sogar über den Kopf wächst, sind Probleme und eben auch Sicherheitsrisiken durch falsche Konfiguration fast schon vorprogrammiert.
 

DFFVB

Lt. Commander
Ersteller dieses Themas
Dabei seit
Dez. 2015
Beiträge
1.916
Ja stimmt natürlich. Aber wie gesagt der Asus meckert im AP Modus. Ein Edge Router ist zwar sehr mächtig und dafür fast geschenkt, Problem ist halt, der ist ab Werk offen und setzt wirkliches Knowhow voraus. Da bin ich mit meiner Krücke erstmal (noch) versorgt. Ich werde in der "DMZ" auch mal einen Honeypot installieren und schauen, was da so abgeht. Danke aber auf jeden Fall fürs Feedback !!!
 

Raijin

Fleet Admiral
Dabei seit
Nov. 2007
Beiträge
10.405
der ist ab Werk offen und setzt wirkliches Knowhow voraus
Das ist richtig.


Ich werde in der "DMZ" auch mal einen Honeypot installieren und schauen, was da so abgeht.
What?!? Das setzt noch mehr KnowHow voraus, weil du damit aktiv Hacker und/oder Skript-Kiddies in deine Bude einlädst. Mach das, wenn du unbedingt möchtest, aber das grenzt an Wahnsinn oder besser noch Dummheit, sorry. Gerade wenn das ganze Firewallkonzept auf Consumer-Hardware basiert...

Ein Honeypot "zum Ausprobieren" ist trotz allem kein Spielzeug in Laienhänden! Es ist dein Netzwerk, aber ich warne davor...
 

DFFVB

Lt. Commander
Ersteller dieses Themas
Dabei seit
Dez. 2015
Beiträge
1.916
Ich meine ja eher im gesicherten Netzwerk i um überhaupt zu schauen, ob was reinkommt - aber danke :-)
 

Raijin

Fleet Admiral
Dabei seit
Nov. 2007
Beiträge
10.405
Spiel nicht mit dem Feuer, wenn du nicht weißt wie man mit einem Feuerlöscher umgeht....

Hast du mal das Log eines öffentlich erreichbaren SSH-Servers gesehen? Da scrollen die Bruteforce-Attacken nur so durch. Im Zweifelsfalle ist ein Angreifer immer schlauer als du und ich.

Wenn du dein KnowHow in einem öffentlichen Forum sammelst und das ganze dann noch mit Consumer-Geräten umsetzt, wundere dich nicht, wenn dein Honeypot am Ende größere Bären anlockt als dir lieb ist. Die Chancen stehen gut, dass ein Angreifer mehr Sicherheitslücken kennt als du. Es reicht nicht, ein paar Tutorials, Youtube-Videos und Foren abzuklappern, um sowas umzusetzen.

Naja, am Ende musst du das selbst wissen. Mach was du willst, aber du solltest das nicht auf die leichte Schulter nehmen....
 

DFFVB

Lt. Commander
Ersteller dieses Themas
Dabei seit
Dez. 2015
Beiträge
1.916
Ich wollte das Thema nochmal aufwärmen...

Wenn die Lautsprecher regelmäßig die Verbindung zum Asus verlieren, ist das natürlich etwas anderes, aber ich kann mir beim besten Willen nicht vorstellen, dass das nicht passiert, wenn der Asus nicht AP, sondern Router ist. Das WLAN an sich bleibt ja dasselbe?!
Du hattest wohl Recht, der Asus vergisst auch als Router - sofern er per Zeitschaltuhr an- und ausgeschaltet wird. Habe weiter gegooglet und werde mal versuchen die Airtime Fairness zu deaktivieren, das hat bei Sonos geholfen.


What?!? Das setzt noch mehr KnowHow voraus, weil du damit aktiv Hacker und/oder Skript-Kiddies in deine Bude einlädst.
Ich wollte auch nochmal auf den Honey Pot zu sprechen kommen. Ich nehme die Bedenken diesbezüglich ernst, wollte aber auch sicher gehen, dass wir die gleiche Ausgangslage haben.

Wenn ich hinter der Fritzbox, welche ganz normal funktioniert, und ggf ein, zwei Ports weiterleitet, einen Honeypot installiere, auf einem Gerät welches gehärtet ist, dann sollte ja im Idealfall nie etwas erscheinen, da ja die FB sicher sein sollte. Wenn hier doch etwas passiert, dann konnte ein Angreifer ja die Fritzbox überlisten, und das Szenario hier eine gehärtete Nextcloud hinzustellen ist ohnehin hinfällig? Theoretisch könnte da ja sogar ein Exposed Host eingerichtet werden, weil die NC ja auch eine Firewall hätte. Wenn dann trotzdem was passiert, würde das ja zeigen, dass was falsch konfiguriert wurde.

Oder übersehe ich da was? AFAIK ist ein Honeypot doch ähnlich wie Canary Files, nur dass er eteas detaillierter zeigt, wer was macht... ?
 

Raijin

Fleet Admiral
Dabei seit
Nov. 2007
Beiträge
10.405
Wenn ich hinter der Fritzbox, welche ganz normal funktioniert, und ggf ein, zwei Ports weiterleitet, einen Honeypot installiere, auf einem Gerät welches gehärtet ist, dann sollte ja im Idealfall nie etwas erscheinen, da ja die FB sicher sein sollte. Wenn hier doch etwas passiert, dann konnte ein Angreifer ja die Fritzbox überlisten, und das Szenario hier eine gehärtete Nextcloud hinzustellen ist ohnehin hinfällig? Theoretisch könnte da ja sogar ein Exposed Host eingerichtet werden, weil die NC ja auch eine Firewall hätte. Wenn dann trotzdem was passiert, würde das ja zeigen, dass was falsch konfiguriert wurde.
Je nachdem was der Honeypot hinter der FB tun soll und welche potentiellen Sicherheitslücken dieser aufweist, kann das gesamte Netzwerk gefährdet sein.

Wenn der Honeypot beispielsweise einen Datendienst anbietet (FTP oder was auch immer) und nur von den Daten her angreifbar ist, kann der Eindringling nur Daten entwenden oder sie ggfs mit Malware infizieren.

Wenn dieser Datendienst hingegen auch auf Systemebene angreifbar ist und im worst case gar root-Zugriff gewährt, dann kann der Angreifer das gesamte System übernehmen und als Brückenkopf für die Infiltration des restlichen Netzwerks nutzen - genau hier setzt eine richtige DMZ an.

Bei einer richtigen DMZ wie #5 dargestellt ist das eigentliche Hauptnetzwerk vom DMZ-Netzwerk getrennt. Ein Angreifer kommt von außen ausschließlich in die DMZ, aber von dort nicht ins Hauptnetzwerk. Dafür sorgt die DMZ-Firewall. Diese lässt keinerlei Verbindungen zu, die von der DMZ in das Hauptnetzwerk hergestellt werden. Ein Hacker könnte also von einem gehackten Server in der DMZ nicht mal eben so ins Hauptnetzwerk rein, weil er dazu erstmal die DMZ-Firewall überlisten müsste. Andererseits stehen in der DMZ ja in der Regel auch Server, die vom Hauptnetzwerk aus bedient werden sollen (zB FileServer). Die DMZ-Firewall lässt Verbindungen vom Hauptnetzwerk ins DMZ-Netzwerk zu und die dazugehörige Antwort.
Eine fachgerecht aufgebaute DMZ verhindert daher, dass ein Angreifer einen gehackten Server in der DMZ als Ausgangspunkt für Attacken auf das Hauptnetzwerk nutzt - mal von potentiell Malware-verseuchten Daten abgesehen.
 
Top