• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

(offtopic) Konfiguration DMZ / Beziehung zum Kollegen

D

dieter32

Hi Leute,
mir geht es hier um folgendes:

Wir haben hier im Betrieb einen Mikro$oft-Zertifizierten SE der sich um das Netzwerk kümmert; vertretungsweise mache ich da auch ein bissel mit.

Unser Netz sieht vereinfacht so aus: Router, dahinter in 1. internen Netz die Workstations und im 2. Internen Netz als DMZ (Demilitarized-Zone) die Server

Der Admin ist auf dem Standpunkt "eine logische Trennung der DMZ reicht, und der IP-Bereich sei auch egal, da es sich um ein internes Netz handelt"

Meiner Meinung sollte so eine DMZ jedoch auch physikalisch getrennt sein (eigene Switch) und eine seperate Netzwerkkarte in der Firewall/Router bekommen, was hier nicht der Fall ist. Ebenso halte ich eine RFC1918-konforme IP-Vergabe des lokalen Subnets für wünschenswert.

Wie würdet ihr an meiner Stelle vorgehen? Es dabei belassen, schliesslich ist es nicht mein Aufgabenbereich und es funktioniert ja auch alles soweit?

Den Kollegen nochmal eindringlich versuchen zu überzeugen, dass eine Änderung der Konfiguration doch sinnvoll sein kann? (mit welchen Argumenten) ?

Gleich zum Vorgesetzten gehen? schließlich möchte ich gerne auch beim Chef einen guten Eindruck machen und zeige so ein Engagiertes Verhalten.


Entschulding dass ich hier evtl. leicht offtopic bin, doch über euren Rat freue ich mich.
 
B

Bonsai

:shock: :shock: :shock:
Du musst sogar zum Chef gehen, weil Du haftbar bist.

In der DMZ hat nur der Webserver etwas verloren, von Datenbanken die der Webserver eventuell benötigen sollte man ein Duplikat in der DMZ stehen haben, das NUR die Datensätze und -felder enthält, die der Webserver auch wirklich braucht.

Es muss eine Physikalische Trennung geben, weil sonst ein gehackter Webserver zum Angreifer im lokalen Netz wird. Irgendjemand hackt von aussen den Webserver, installiert ein RootKit und ist dann in der Lage, sich im LAN völlig ohne Firewall auszutoben, samtlichen Netzwerkverkehr abzuhören, und kann so auch relativ einfach die Windoosen im lokalen Netz unter seine Kontrolle bringen. Wenn er dann geschickt vorgeht, hackt er mit dem Rechner von Deinem Chef den Webserver eures Konkurrenten und ihr könnt euren Laden schliessen.

Wenn er die Kundendatenbank oder ähnliches in die Finger bekommt, findet er bei eurer Konkurrenz bestimmt auch gut zahlende Abnehmer. Das ein Datenbankfile, wenn es verschlüsselt ist, mit Bruteforce beizukommen ist, wenn es erstmal lokal verfügbar ist, sollte ja kein Geheimniss sein.

Noch was zur "Logischen Trennung". Wenn der Webserver Linux oder Unix ist, kann er problemlos mehrere IP-Adressen auf einer Netzwerkkarte haben. In Verbindung mit einem RootKit sogar für root unsichtbar!!!

Wenn Dein Kollege das nicht einsieht, sollte man ihm eine Frist einräumen in der er sich vielleicht noch ein Firewallbuch zu Gemüte führen kann, damit er selbst erkennt, das das Szenario, dass ich beschrieben habe möglich ist.

Sag ihm, dass Du nach dieser Frist gezwungen bist, den Chef einzuschalten, da Du als Mitarbeiter ansonsten eine schwerste Vertrauensverletzung Deiner Firma gegenüber begehst.

Mach das auf alle Fälle per Mail oder schriftlich. Die Mail kannst Du dann für den Fall der Fälle an Deinen Chef weiterleiten.

Gut, dass Du den Firmennamen nicht nennst, sonst hättest Du jetzt vielleicht schon besuch.

IP Adressen sollten schon aus dem Bereich der privaten Adressen sein, da sonst irgendwelche Rechner im Internet, die identische Adressen haben einfach nicht zu erreichen sind.
 
Martin Breidenbach

Martin Breidenbach

Sinn einer DMZ ist es Systeme die von 'Außen' erreichbar sind vom internen Netz abzuschotten da man davon ausgeht daß diese 'gehackt' werden könnten. Klassische Kandidaten für eine DMZ sind z.B. Web- und Mailserver.

Im Falle des Mailservers kann man ggf den Mailserver auch ins interne Netz stellen und in der DMZ einen Mail Relay installieren.

Client PCs trennt man vom direkten Internet-Zugang indem man in der DMZ einen HTTP Proxy installiert.

Es mag durchaus sinnvoll sein mehrere DMZs zu haben - dann kann sich z.B. ein Einbruch auf dem Proxy nicht auf den Mail-Relay auswirken weil da dann eben wieder die Firewall dazwischen ist.

'Abschotten' bedeutet physikalische Trennung. Logische Trennung (etwa durch getrennte IP-Bereiche) reicht NICHT weil das keinen ernstzunehmenden Einbruchsversuch aufhält.

Man kann hier durchaus einen gemeinsamen Switch verwenden - wenn sich dieser denn in mehrere getrennte Segmente partitionieren läßt und zwischen den Segmenten eine Firewall filtert.

Die Firewall wird so konfiguriert daß ein Verbindungsaufbau von der DMZ ins interne Netz nicht möglich ist.
 
framp

framp

Moderator
Teammitglied
Das ist zwar ein Securityproblem - aber eben ein spezielles Netzwerksecurityproblem und hier gibt es ein Netzwerkforum. Desshalb ... schieb
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben