kostenloser Webspace werbefrei: lima-city


Optimale IP Aufteilung im Netzwerk

lima-cityForumHeim-PCNetzwerke

  1. Autor dieses Themas

    freewareecke

    Kostenloser Webspace von freewareecke

    freewareecke hat kostenlosen Webspace.

    Nabend,

    Ich habe ein kleines Problem, ich möchte mein Server der zur Zeit im Regulären Netzwerk läuft in die DMZ Des Routers verschieben. Da ergibt sich nun die Frage, wie ich das anpassen müsste was die Netzwerkeinstellungen angeht.

    Zur Zeit hat der Server folgende Daten:

    IP - Adresse: 192.168.1.99
    Sub-Net Mask: 255.255.255.0
    Gateway: 192.168.1.10

    Wäre folgendes den richtig für die DMZ:

    IP Adresse z.B. 172.16.0.1
    Subnet Mask: 255.255.0.0
    Gateway: 192.168.1.10 oder fällt der Gateway hier dann weg?



    Michael
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. lordoflima

    Admin Kostenloser Webspace von lordoflima

    lordoflima hat kostenlosen Webspace.

    a) was heißt "reguläres Netzwerk"? Er hängt im öffentlichen IP-Space oder ist er in deinem lokalen Netzwerk (LAN)?
    b) welche Art Firewall setzt du zwischen DMZ und Internet bzw. DMZ und LAN ein?
    c) wie viele LAN/Internet-Schnittstellen gibt es zur DMZ?

    Vielleicht wäre ein Blick in den BSI Grundschutz-Katalog an dieser Stelle erst einmal sinnvoll um zu eruieren ob das, was du vorhast, überhaupt mit deinem Konzept erreicht werden kann. Vielleicht kannst du auch dein Konzept kurz als Skizze aufzeichnen und hier posten, damit es klarer wird was überhaupt rauskommen soll.

    Grundsätzlich sehen die IP-Einstellungen nämlich so aus, als ob die Netze überhaupt nicht untereinander kommunizieren könnten und über eine Bridge/Firewall/Router ist nichts gesagt worden. Das lässt darauf schließen dass du dir über wichtige Komponenten nicht im Klaren bist. Daher wäre die Konzept-Skizze hilfreich (vor allem für dich!) das eigentliche Problem zu verstehen.


    Beitrag zuletzt geändert: 26.3.2014 1:10:57 von lordoflima
  4. Autor dieses Themas

    freewareecke

    Kostenloser Webspace von freewareecke

    freewareecke hat kostenlosen Webspace.

    Zeichen ist etwas komplizierter, aber ich denke ich hole mal etwas aus und beschreibe die aktuelle Situation.

    Ich bin im Besitz eines Routers, der die Funktion bereitstellt, eine DMZ Gerät über den Router zu erstellen. Dies erfolgt dadruch, dass ich im Konfigurationsmenü des Routers eine bestimmte IP eintrage, welche dann für das DMZ Gerät ist. Somit brauch ja dann nur noch das Gerät für die DMZ mit dem Router verbunden werden und entsprechend konfiguriert, in Form von den Netzwerkeinstellungen und ggf. die Firewalleinstellungen.

    Also in meinem Fall wäre das ein Raspberry Pi mit einer festen IP Adresse (zur Zeit 192.168.1.99). Dieser soll in die DMZ gestellt werden, dass die Zugriffe aus dem Internet auf den Raspberry Pi gewiesen werden. Der Raspberry Pi ist per LAN Kabel mit dem Router verbunden. Auf dem Raspberry Pi (DMZ - Server) läuft die iptables als Firewall.

    Die Firewall auf dem Router lässt zur Zeit für den Verkehr ins Netzwerk aus dem Internet lediglich den Port für den Webserver und FTP Server zu.

    Im Netzwerk (Netzwerk 192.168.1.0) an sich befinden sich noch ein paar andere Geräte wie z.B. der Laptop, ein weiterer Raspberry Pi (HomeServer) und noch paar Geräte mehr. Diese sind entweder ebenfalls per W-LAN bzw. per LAN Kabel mit dem Router verbunden.

    Somit wäre der Router der "Knotenpunkt" zwischen Internet, DMZ und Netzwerk.

    Ich hoffe, ich habe es so nun ein wenig besser ausgedrückt, wie die Situation ist und wie diese werden soll.



    Michael

    PS: Aber zu deinen Fragen noch kurz:

    a) Ja er befindet sich zur Zeit im allgemeinen IP Bereich des LANs.
    b) Zwischen DMZ und Internet bzw. DMZ und LAN möchte ich die Hardwarefirewall des Routers nutzen bzw. der Server bekommt zusätzlich eine Firewall über iptables.
    c) Und das DMZ Gerät besitzt eine LAN Schnittstelle zum Router, der wie gesagt den "Knotenpunkt" vom ganzen bildet.

    Beitrag zuletzt geändert: 26.3.2014 1:43:10 von freewareecke
  5. lordoflima

    Admin Kostenloser Webspace von lordoflima

    lordoflima hat kostenlosen Webspace.

    Also zur Begriffsklärung nur ganz kurz: eine DMZ macht nicht das, was du brauchst bzw. haben willst.
    Ein DMZ ist ein Netzwerk, dass andere Zugriffsmöglichkeiten hat als das "normale" Netzwerk. Beispielsweise hat ein Unternehmen ein Netzwerk, das zwischen Internet und LAN hängt und dann DMZ genannt wird, und aus dem Internet kommt man nicht in das LAN, nur über einen Host aus der DMZ.

    Sogar bei Wikipedia steht, dass einige Router das "Exposed Host"-Konzept fälschlicherweise als DMZ benennen.

    Das zu benutzen wäre aber im Normalfall totaler Unsinn. Sinnvoller ist es, eine normale Portweiterleitung einzurichten. Die benötigten Ports (22, 80, etc.) leitest du dann auf die IP des PI um (normalerweise, z.B. bei Port 80, ohne den Port zu verbiegen. Bei SSH wird es aber sinnvoll sein, den Port z.B. von öffentlich 55022 o.ä. auf 22 umzuleiten, damit die ganzen Scan und Brute-Force-Attacken nicht nerven.).

    Mit DMZ hat das also nichts zu tun. Es ist deutlich(!) sinnvoller, Dienste die man freigeben möchte, explizit aufzumachen als Dienste die man nicht braucht zu schließen. Sonst dauert es nicht lange, bis ein CUPS o.ä. auf dem PI aufgemacht wird und plötzlich dein Raspberry als Bot in deinem Netzwerk herummarodiert. Das geht deutlich schneller als man denkt und macht im Zweifelsfall auch richtig böse Ärger. Nochmal zur Wiederholung: Dass du diese Frage stellen musstest sagt so viel über dein Netzwerk- und Admin-Wissen aus dass ich dringend davon abraten muss das Exposed Host-Konzept (hier DMZ genannt) zu verwenden!

    Beitrag zuletzt geändert: 26.3.2014 2:23:57 von lordoflima
  6. Autor dieses Themas

    freewareecke

    Kostenloser Webspace von freewareecke

    freewareecke hat kostenlosen Webspace.

    Danke für die Aufklärung.

    Nur wie gesagt, ich hatte bislang das ganze immer so verstanden, das es eigentlich besser wäre, den Server der im Internet verfügbar sein soll "auszulagern" aus dem normalen IP Bereich um das Risiko für das Netzwerk zu reduzieren. Aber wenn es tatsächlich besser wäre, lediglich die Portweiterleitung ein zu richten werde ich mir da drüber mal meine Gedanken machen.



    Michael
  7. freewareecke schrieb:
    Danke für die Aufklärung.

    Nur wie gesagt, ich hatte bislang das ganze immer so verstanden, das es eigentlich besser wäre, den Server der im Internet verfügbar sein soll "auszulagern" aus dem normalen IP Bereich um das Risiko für das Netzwerk zu reduzieren. Aber wenn es tatsächlich besser wäre, lediglich die Portweiterleitung ein zu richten werde ich mir da drüber mal meine Gedanken machen.



    Michael



    Der Lord meinte, dass du dir eher Gedanken machen solltest, einen Dienst nach außen überhaupt auf zu machen...


    und ich meine: was willst du da drauf machen, was auf lima nciht ginge? Also die Frage: Wofür brauchst du einen http und einen ftp-Server nach außen bei dir lokal zuhause? mit einem dieser Standard-Geräte, die du vom Provider bekommst, würde ich sowieso nicht nach außen gehen... außerdem bezweifle ich, dass das auf deinem Router eine Hardware-Firewall genannt werden kann...

    Außerdem gilt dann sowieso en anderer Rechtsbereich für dich und du musst schauen, ob dein Vertrag mit dem Internet-Provider zulässt, dass du http und ftp-Dienste nach außen bereit stellst. außerdem macht es keinen sinn, einen einzelnen Host in einen B-IP-Bereich zu stellen, ein beliebiges anderes C-Netz würde das auch erfüllen...(private IP-Range beachten).

    Was ich dir empfehlen kann, wenn es etwas ist, wo Daten zuhause anfallen, die du von woanders abrufen willst, eine VPN-Verbindung aufzubauen und nur den VPN-Port zuzulassen. den lässt du dann auf einen proxy laufen, den du auf dem Rask einrichtest, der lokalhost auf den VPN linkt linkt, um darüber auf den webserver zu kommen. Das wäre eine Notkonfiguration die mir grad einfällt, die man halbwegs vertreten kann, wobei immer noch Fraglich ist, wie gut du deinen Router konfigurieren kannst... und das auch nur solange, bis du die Hardware hast, um dir eine 2. Kaskade aufzubauen...


    und wenn du nicht mal Schematisch Zeichnen kannst, was du erreichen willst und begründen, warum du es erreichen willst, würd ich dir raten, so lange die Finger davon zu lassen, bis du es weißt und vor allem von jemandem, der sich damit auskennt, bestätigt bekommst, dass dem so ist...

    im Detail wären das:
    -Netzwerktopologien
    -Netzwerkprotokolle(speziell ARP, IP, TCP, UPD)
    -Routing/RAS
    -Firewall-Konfiguration
    -DMZ-Konzept
    -Forward/Reverse-Proxy
    -Konfiguration Webserver
    -FTP/SFTP
    -SSL
    -Störerhaftung (§1004 BGB)

    Die Punkte abarbeiten, wenn du das alles hast, kannst du dir Gedanken darüber machen, selbst virtuell deine Tür aufzumachen von von außen was rein zu lassen.

    Außerdem ist die Gefahr weniger, dass du Schaden erleidest, sondern dass andere Schaden erleiden, weil DU deine Konfiguration nciht hinreichend abgesichert hast. Wie der Lord schon sagte, gehören könnte dein arduino teil eines Botnetzes werden, ist dein Router komprommitiert, kann dein gesamtes Netzwerk teil eines Botnetzes werden. dann macht deine infrastruktur so nette Sachen ,die dich wahrscheinlich auch immer aufregen, wie Spammails versenden, andere domains mit DoS zuzupflastern, als kreditkartendaten/onlinebanking-Daten im Auftrag des Botnet-INhabers zu erspähen(nicht nur deine eigenen) und und und... oder dein WLAN als Hotspot zu öffnen, damit jemand über dein Netz illegale Dinge zieht(wo dann ein paar Monate später nette Briefe von Abmahnanwälten im Briefkasten liegen). Das Spektrum ist sehr breit gefächert, was man mit einem kompromittierten Netzwerk anstellen kann. Meinst du, du kannst sowas rechtzeitig erkennen und unterbinden, bevor Schaden entsteht?
  8. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!