[Marco1279]

Hi,

folgende Situation, ein kleines Netz mit 3 Client PCs hängen
an einer Fritzbox. Einer der PCs hat eine Webserveranwendung
am laufen, auf die vom Internet aus zugegriffen wird. Nun ist
es so, dass der Destination Host (XP) ja normal im internen Netz
ist. Die Windows XP Firewall wird mir da nicht wirklich helfen.

Meine Sorge ist das von Aussen ein Angreifer auf das System
zugreift und somit in meinem Netz ist.

Die Idee wäre, hinter die Fritzbox eine Hardware Firewall (z.B.
Netgear) zu installieren. Ausgehend die typischen 2 Ports für
DMZ und Intranet. An den Intranetport einen kleinen Switch an-
schliessen und daran die restlichen Clients. An den DMZ Port
den XP Client mit der Webserver Anwendung.

Würdet ihr es auch so machen? Muss ich auf der Firewall eingehend
und ausgehend erstmal alles blocken und nur die Ports für meine
Webanwendung freischalten, und meinetwegen noch die Windows Ports
für Microsoft Updates etc.

Wenn ich im internen Netz nun auch auf dem anderen Client Daten
austauschen möchte, wie wird dies getan? Wenn ich alle Ports für
solche Datentrasfers öffne, brauche ich ja auch keine Firewall-
lösung mehr.

Was sagt ihr dazu? wie würdet ihr es lösen?

Alternativ würde mir noch einfallen die Webanwendung extern
1&1 etc. laufen zu lassen.

Über Antworten würde ich mich freuen.

[Ludacris]

ich würde ganz einfach den Host virtualisieren und nur den virtuellen Host freigeben und abgesehen vom 80er Port alles sperren.

[shiversc]

Die Fritbox kennt auch sowas wie eine DMZ.
Die beiden Hausfrauenrouter würden auch ein Doppel-NAT bedeuten.

[Marco1279]

Ich sehe es doch aber richtig, dass ein extra Hardware Firewall die
gescheiteste Lösung ist oder? Bin mir nicht sicher ob die Fritzbox
auch aus 2 verschiedenen Netzen routen kann. Momentan sind alle
Clients im gleichen Netz, wobei ich überlege den Webserver in ein
anderes Netz zu verfrachten.

[tavoc]

@Ludacris

virtualisierung bringt nichts. Ich übernehme dann über Port 80 den virtuellen Rechner und von da aus kann ich dann ins interne Lan pivoten.

[shiversc]

Eine Hardwarefirewall würde nur dann was bringen, wennd er Traffic dann in ein extra Netz geht.

[Marco1279]

Nein muss es doch nicht. Es ist ja extra vom normalen Netz
aufgezweigt und wird per Portregeln eingeschränkt. In ein
anderes Netz muss das System deswegen nicht. Notfalls könnte
man noch Subnetting betreiben.

[shiversc]

So wirklich extra ist das nicht...
Die Kuh steht auf dem Eis, da werden Portregeln nichts bringen.
Subneting geht nur dann, wenn du zwei Gateways betreibst, das geht mit einfachen Routern nur über eine virtuelle IP. Das wäre dann keine Netztrennung.

[Ludacris]

Zitat (tavoc: 17. Oktober 2011 - 15:14)

@Ludacris

virtualisierung bringt nichts. Ich übernehme dann über Port 80 den virtuellen Rechner und von da aus kann ich dann ins interne Lan pivoten.

ich hab da auch in Richtung virtuelles Netzwerk gedacht :/

[tavoc]

du meinst VLANs?
Das bringt nur was, wenn aus dem Vlan keine Route zum anderen besteht. Und ich sehe oft, dass dann auf dem Webserver zur einfacheren Verwaltung sowas eingerichtet wird.

[Ludacris]

Ja klar, aber wo ist dann der sinn hinter 'nem vlan, wenn du erst wieder ne direkt Verbindung rein machst oO...

[tavoc]

Nutzer

Es gibt oft Rechner die 2 NICs haben oder ähnliches und dann passiert sowas halt. Weil man mal schnell an den Rechner ranmöchte.
Z.b. NIC 1 ist nur für das Inet
NIC 2 für das interne LAN

[Marco1279]

Ich denke schon das mit Subnetting etwas bringt. Es
sind öffentliche IP Adressen. Somit kann ich nicht
einfach ein weiteres IP Segment herbei zaubern. Da
die DMZ Netztechnisch immer getrennt sein sollte vom
Rest Netzwerk. Da eine Fritzbox als Router auch
Routing Tables unterstützt, denke ich mal mit Sub-
netting weiterzukommen und dann für beide Netze nur
entsprechende Ports aufzumachen.

Wie sind denn diese Netgear Firewalllösungen vor-
eingestellt? Alles blocken?

Hat keiner #Zuhause ein ähnliches Konstrukt mit
Webserver etc. ?

[Holger_N]

Also ich hab das bei mir so, dass ich den Webserver mit meiner Anwendung im lokalen Netzwerk laufen habe. Am Router hab ich den Dienst http erlaubt, so dass man von außen auch auf die Webanwendung zugreifen kann. Abgesichert ist das dadurch, dass ich zum einen ausschließlich diesen Dienst erlaubt und den dazugehörigen Port (80) geöffnet habe, dann ist der Webserver selbst für diesen Einsatz konfiguriert und nicht etwa in irgendeinem Entwicklermodus, der allerhand erlaubt und per htaccess ist auch nur der normale Zugriff vom LAN möglich und von außen passwortgeschützt. Außerdem muß natürlich die Anwendung selbst vernünftig abgesichert sein, also Datenbankzugriffe der Anwendung an sich. Naja und dann sollte man natürlich immer im Bilde sein, was so für Aktivitäten auf dem Server stattfinden.