Brauche Hilfe beim Aufbau einer DMZ

    Hallo,


    ich habe folgendes Problem. Ich möchte einen Webserver freigaben und möchte diesen in eine DMZ stellen. Mein Momentaner Aufbau sieht wie folgt aus:
    Internet --> FB7490--> QNAP LAN1--> SOPHOS XG Firewall-->QNAP LAN2-->HP ProCurve--> alle weiteren Rechner.....
    LAN1 (192.168.0.x) und LAN2(192.168.2.x) haben jeweils getrennte Netze. In meinem LAN befindet sich ein weiterer QNAP welches per VM ein Webserver befindet der freigegeben werden soll. Wie stelle ich das jetzt am besten an? Funktioniert eine DMZ wirklich nur mit 3 Netzwerkkarten oder lässt es sich auch so aufbauen?

    Also irgendwie verstehe ich Deinen Aufbau nicht. Du hast eine QNAP zwischen FB und Deiner Firwall geklemmt? ?(


    Ich habe die DMZs immer mit einer Firewall realisiert: je 1 Netzwerkanschluss für LAN, WAN und DMZ. Die DMZ ist eigentlich ein eigenes Netzwerk welches über die Firewall kontrolliert wird, wer und was ins und aus dem DMZ ins LAN darf. Der Vorteil ist, dass die Firewall beide Netzwerke kennt und somit die Gerät, User, IPs, etc.
    Müsste auch mit 2 Firewalls gehen.
    Ich kann mich irren, ab ich glaube die FB7490 hat eine Firewall mit DMZ. Aber Du hast ja noch eine Sophos XG Firwall. Was ist das für eine? Nur Software oder Appliance?

    Ja, mein TS251 hat 2 Netzwerkkarten. Eine ist mit der Fritz Box verbunden, der andere Port hängt via über einen switch am internen Netz. Ich muss ja die Firewall zwischen Internet und Internen Netz schalten. Oder wie hätte ich das sonst machen sollen? Die Fritz Box stellt nur das Internet am WAN der Sophos zur Verfügung. Mehr macht die Box nicht. WLAN ist auch aus.


    Es ist eine Software Version der Sophos, welche in der VM läuft

    Durch diese Verbindung hebelst Du die Firewall eigentlich vorbildlich aus. Sauber wäre es LAN, WAN und DMZ auf der Sophos einzurichten. Dazu müsste die FritzBox durch ein Modem ersetzt werden - falls es noch geht in den Modemmodus versetzt werden - oder Du richtest eine Routerkaskade ein.

    Einmal editiert, zuletzt von Ezekiel666 ()

    Ah, ok jetzt verstehe ich. Die QNAP dient Dir quasi als "Firewall-Appliance" für die virtuelle Sophos XG, und die QNAP-Firewall hat nur 2 Netzwerkanschlüsse.


    Wieso keine echte Appliance von Sophos? Eine kleine Sophos SG 105 wird wohl nicht teurer sein als eine QNAP und Softwarelizenz von Sophos XG. Die QNAP (mit Sophos XG) kannst Du dann in die echte DMZ der SG hängen und den Webserver darauf einrichten. Das würde eine saubere Sache abgeben.


    <-------> FB <---------> SG <-----> Switch <------> QNAP intern
    ...................................Illlll.............IIIIIIIIIII <------> Clients intern
    .....QNAP extern <--> IIIII............ IIIIIIIIIII <------> etc. intern
    .....(Webserver).........................................................................

    Hi,


    naja also eine SG 105 ist doch noch recht teuer. Ich habe aber eine Idee. Die DMZ befindet sich ja quasi zwischen dem externen und dem internen Netzwerk. Da die XG in der VM läuft kann ich ja einen 3ten Virtuellen Switch erstellen und der XG einen zusätzlichen virtuellen NIC geben. Dieser ist am Virtuellen Switch 3 angeschlossen. Den Webserver würde ich ebenfalls dran anschließen. Laut QNAP Info Seite wäre diese Verbindung dann ein Isoliertes Netzwerk. Somit hätte ich ja dann die DMZ geschaffen, oder sehe ich das falsch?

    Wenn der Webserver als eigene VM auf der QNAP-Firewall läuft. Müsste theoretisch funktionieren.


    Eine minimal ausgestattete Sophos SG 105 Firewall kostet ca. 400.- Euro. Klar wenn Du WLAN, Virenschutz oder weitere Möglichkeiten mit drauf packst bist Du schnell bei 1'500.- Euro.
    Habe eine SG 105 Appliance als Firewall und eine komplette Sophos UTM als VM im Einsatz. Die Produkte von Sophos sind richtig gut.

    Man kann so eine Sparlösung realisieren, was wichtig zu wissen wäre:
    - werden mehr Ports als TCP 80 und 443 von der Fritte zum Webserver weitergereicht?
    - werden die restlichen Dienste des Sohpos-QNAP nur an die interne LAN Verbindung gebunden?
    - der Webserver steht aber nicht in deinem LAN-192.168.2.0 /24, oder? Falls doch bleibt - mangels Ports - nur eine DMZ via VLAN zu basteln. Hier beachten, dass die Fritte nix mit VLAN anfangen kann.
    - Limitiert auf 50 IP-Adressen gibt es die Sophos (Software) für den Privatgebrauch auch für lau

    Also, ich versuche jetzt nochmals alles aufzuführen:


    An der FritzBox LAN1 ist der QNAP mit LAN 1 angeschlossen. An der FritzBox ist sonst nichts mehr angeschlossen. Nur DECT Telefonie. WLAN ist auch aus. Auf dem QNAP ist eine VM mit der SOPHOS XG als Home Edition installiert und konfiguriert. Am QNAP wurde der VM 2 LAN Ports zugewiesen. Einmal der LAN Port 1 (von der FritzBox kommend) und einmal LAN Port 2 welches zum HP ProCurve Switch geht. Innerhalb der SOPHOS ist Port 1 als WAN Port konfiguriert und Port 2 als Internes Netz. Der WAN Port innerhalb der SOPHOS ist mit 192.168.0.2. Die FritzBox hat die 192.168.0.1.
    Port 2 ist mit 192.168.2.1 konfiguriert. Das ist die IP der Sophos, da dieser auch als DNS gilt und an jedem Rechner innerhalb des Internen Netzwerkes so konfiguriert ist. Ich habe also schon mal 2 getrennte Netze. Einmal VOR der SOPHOS mit 192.168.0.x und einmal NACH der SOPHOS mit 192.168.2.x
    Des Weiteren habe ich noch einen SOPHOS AP im Einsatz, der mir das WLAN innerhalb des Internen Netzwerkes zur Verfügung stellt. Hier gibt es Bereits ein "Gäste" Zugang mit der IP Bereich 10.255.0.x


    Jetzt soll ja noch der Webserver dazu kommen. Dieser ist im Moment noch gar nicht aufgesetzt. Wird aber auch ein Virtueller. Hier benötige ich weitere angaben von euch, bzw. das ist ja meine Ursprüngliche Frage um die es geht. Wie richtige ich die DMZ jetzt genau ein?


    Wenn ich das richtig verstanden habe, darf der Webserver keine Verbindung ins interne Netz herstellen können. Nur vom Internen Netz darf es möglich sein, den Webserver zu erreichen. Das vorgehen möchte ich hier besprechen....


    Nun nochmals zu deinen Fragen:


    Die SOPHOS ist als Exposed Host an der FritzBox konfiguriert. Oder macht das keinen Sinn? Der Webserver muss ja erreichbar sein.
    Die SOPHOS soll den Webserver per https bereitstellen. Ein entsprechendes Zertifikat habe ich bereits. Damit sollte die Verbindung SSL verschlüsselt sein.
    Welchen IP Bereich soll ich der DMZ zuweisen? bzw. ich würde gerne der DMZ eine Feste und dem Webserver eine feste IP geben und DHCP komplett abschalten.


    Sichern möchte ich den Webserver zusätzlich noch mit dem oben genannten Link

    Ich hänge an dem Punkt die Sophos soll den Webserver bereitstellen, war das nicht ein weiteres QNAP?
    Exposed Host von der FritzBox zur Sophos kann man machen, aber ich würde das auch hier auf die notwendigesten Ports beschränken.


    Wenn der Webserver nun auf einem weiteren System läuft, dann brauchst Du mangels drittem Port an der "Sophos"" für die DMZ ein separates VLAN, falls dein Switch das kann.
    Alternativ den Webserver direkt an die FritzBox, Sohpos nicht als Exposed Host und dann über die Sophos steuern was in und aus dem internen Netz kommunizieren darf.

    Ja, genau der Punkt gilt es ja zu klären. Ich habe noch 2 weitere QNAP. Siehe mein Profil. Den Webserver wollte ich erstmal auf einem anderen QNAP Virtualisieren bis ich begriffen habe wo genau die DMZ sein muss und das ich ja gar keinen 3ten "Hardware" LAN Port besitze. Somit ist klar, das ich den Webserver als VM auf dem gleichen QNAP betreiben muss, wo auch die SOPHOS läuft. Sprich, SOPHOS und Webserver laufen auf dem selben QNAP. Der SOPHOS habe ich bereits einen 3ten "Virtuellen" Port zugewiesen und dieser soll jetzt mit einem Virtuellen Switch direkt mit dem Webserver verbunden werden. Somit sollte gewährleistet sein, das es eine DMZ ist, da der Webserver quasi direkt mit der 3ten LAN Port der Sophos verbunden ist. Es besteht sonst keinen weitere Verbindung zum Webserver.


    Das müsste jetzt wohl korrekt sein, oder?

    Netzwerk gesamt:
    ....................................................................................................................................
    Internet <-------> FB <---------> QNAP extern --------> Switch <------> QNAP intern...
    ................................................VM Sophos.......................I <---------> Clients intern...
    ................................................VM Webserver..................I <---------> etc. intern........
    ....................................................................................................................................


    Detailiert QNAP extern:
    ...........................................................................................................
    extern <-----> LAN1 <----> VM Sophos <------> LAN2 <----> intern....
    ....................................................I......................................................
    ..............................................Virt. DMZ..............................................
    ....................................................I......................................................
    ........................................VM Webserver...........................................
    ...........................................................................................................


    So oder so ähnlich. Ist nicht ganz einfach nur mit Zeichen zu zeichnen. ;)

    Paint, Powerpoint und Co kann dann niemand anders mehr verändern und anpassen. So kann man "Copy Paste" und anpassen. ;)