Hallo,
ich suche nach einem DSL Router, der nicht nur über eine DMZ verfügt, sondern bei dem ich auch regeln kann, welche Ports sowohl aus dem Inet als auch aus dem LAN an die DMZ weitergeleitet werden. Alle, die ich mir bisher angeschaut habe machen ein Portforwarding ALLER Ports an die DMZ, das brauche ich genau nicht.
Kann mir da Jemand ein Produkt empfehlen?
Mit freundlichen Grüßen aus Osnabrück
Markus Pawlak
Hallo,
habe machen ein Portforwarding ALLER Ports an die DMZ, das
Ist denn nicht genau das der Sinn einer DMZ?
Wenn du Portforwarding willst: T-Sinus 130 DSL. Ist aber schon mit integriertem DSL-Modem und WLan
Ciao! Bjoern
Hi
Ist denn nicht genau das der Sinn einer DMZ?
Nicht unbedingt. Man kann eine DMZ auch so aufbauen, dass eben nur benötigte Ports ankommen lässt (für mailserver etwa 25 & 110). Man hätte also eine interne und eine externe Firewall zur DMZ.
Ein Portforwarding sowohl für die LAN- wie auch für die WAN-Schnittstelle an die DMZ wäre das was ich suche.
Markus
habe machen ein Portforwarding ALLER Ports an die DMZ, das
Ist denn nicht genau das der Sinn einer DMZ?
Nö, das was viele Routerhersteller als DMZ bezeichnen (abschalten der Firewall) hat mit einer solchen nicht das geringste zu tun. Das was Paddel sucht, kommt der DMZ schon weitaus näher, nämlich die Trennung Internet zu demilitarisierter Zone und demilitarisierte Zone zu LAN. Üblicherweise benötigt man hierfür aber zwei Firewalls; um das mit einem Router bzw. dessen integrierten Paketfilter zu realisieren, müsste dieser mit drei getrennten Netzwerkinterfaces ausgestattet sein (DSL/ISDN, DMZ, LAN). Dass es aber solche Geräte für den Consumermarkt gibt, bezweifle ich stark.
Abhilfe schaffen könnte die Anschaffung eines PC (ruhig ältere Bauart) mit drei Netzwerkkarten und entspr. Firewalling-Software unter Linux.
Gruss
Schorsch
Hallo,
ja, genau so, mit drei NICs (WAN, LAN, DMZ), hätte ich mir das auch vorgestellt. Ich würde allerdings eine Hardwarelösung bevorzugen.
Ich suche diese Lösung für einen Kunden, der möchte mit der Administration einer zusätzlichen Linux Rechners nichts zu tun haben und auch nich in Auftrag geben müssen. Der Aufwand hierfür ist doch erheblich…
Das es einen solchen Router nicht für 35€ gibt, hab ich mir schon gedacht aber ich bin schon der Hoffnung, dass es sowas gibt…!
Markus
ja, genau so, mit drei NICs (WAN, LAN, DMZ), hätte ich mir das
auch vorgestellt. Ich würde allerdings eine Hardwarelösung
bevorzugen.Ich suche diese Lösung für einen Kunden, der möchte mit der
Administration einer zusätzlichen Linux Rechners nichts zu tun
haben und auch nich in Auftrag geben müssen. Der Aufwand
hierfür ist doch erheblich…
Hardwareappliances gibt’s wohl unter diversen Betriebssystemen (BSD wäre hier wohl das geeignetste), allerdings wüsste ich auf Anhieb kaum Hersteller zu nennen. In der iX 12/04 war ein Bericht über den MS ISA Server, welcher z. B. von Pyramid http://www.pyramid.de/d/produkte/server/isa.php vertrieben wird.
Der Aufwand, eine DMZ zu betreiben, dürfte aber vom BS weitgehend unabhängig sein, mir persönlich jagt die Vorstellung, ein Sicherheitsdevice mittels Microsofts Management Console konfigurieren und betreiben zu müssen, jedoch Schreckensschauer über den Rücken.
Gruss
Schorsch
Hallo,
Hi,
ja, genau so, mit drei NICs (WAN, LAN, DMZ), hätte ich mir das
auch vorgestellt. Ich würde allerdings eine Hardwarelösung
bevorzugen.
Was unterscheidet jetzt ein fertig gekauftes device von einem PC mit Linux drauf? Abgesehen von der Architektur sind die IMHO sogar sehr aehnlich.
Das es einen solchen Router nicht für 35€ gibt, hab ich mir
schon gedacht aber ich bin schon der Hoffnung, dass es sowas
gibt…!
Ich hab sowas in der Kueche stehen: fuer 627EUR verkauf ich Dir das, fertig installiert, spielt automatisch updates ein, schickt mails, wenn’s ihm schlecht geht. Webfrontend zum konfigurieren gibt’s dazu und Du darfst selbst mitbestimmen, was das alles koennen soll.
Gruss vom Frank.
Was unterscheidet jetzt ein fertig gekauftes device von einem
PC mit Linux drauf? Abgesehen von der Architektur sind die
IMHO sogar sehr aehnlich.
In einem Fall hast du Eingabemasken oder gar Assistenten für die Konfiguration, im anderen Fall einen einfachen Texteditor. Aber dank der IchSchiessMirInsKnie-Direktive[*1] benötigt man heutzutage in beiden Fällen praktisch kein Wissen und keinen Plan mehr, ein solches Gerät narrensicher zu konfigurieren
SCNR
Schorsch
[*1] shorewall.conf: ADMINISABSENTMINDED=Yes
Hi
Was unterscheidet jetzt ein fertig gekauftes device von einem
PC mit Linux drauf? Abgesehen von der Architektur sind die
IMHO sogar sehr aehnlich.
zum beispiel die Fehleranfälligkeit. Ich gebe dir recht, die Architektur wird in der Tat sehr ähnlich sein. Ein Router hat aber keine Festplatte, die Kaputt geht, keine beweglichen Teile und ist schlicht sicherer. An jedem Linux (egal welche Version und Distribution, bei Win32 genauso) tauchen immer wieder kleine Lücken und Fehler auf, die Jemand gehackt hat. Die müssen geschlossen werden, ergo administrativer Aufwand, sonst Sicherheitslücke.
Ich hab sowas in der Kueche stehen: fuer 627EUR verkauf ich
Dir das, fertig installiert, spielt automatisch updates ein,
schickt mails, wenn’s ihm schlecht geht. Webfrontend zum
konfigurieren gibt’s dazu und Du darfst selbst mitbestimmen,
was das alles koennen soll.
Bin grad fündig geworden, ich denke ein LanCom DSL/I 10+ hat genau die Features die ich gesucht hab, eine in beide Richtungen administrierbare DMZ. Liegt bei 300 € mit drei Jahren Garantie. Noch ein Vorteil gegenüber einem extra PC, oder?
Gruß, Markus
Hallo,
ich hätte da noch ein Produkt für Dich:
von Watchguard (http://www.watchguard.com) die Firebox, gib’s auch als SOHO Version. Bietet DMZ auf eigenem Netzwerkport, genaue Beschreibung ist auf der Webseite.
Gruss
Stephan
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
An jedem Linux (egal welche
Version und Distribution, bei Win32 genauso) tauchen immer
wieder kleine Lücken und Fehler auf, die Jemand gehackt hat.
Die müssen geschlossen werden, ergo administrativer Aufwand,
sonst Sicherheitslücke.
Also, da begibst du dich auf extrem dünnes Eis. Wenn du mir irgendeine Appliance zeigst, auf der diese kleinen (oder dicke und fette) Lücken und Fehler nicht auftauchen, und die keine konsequente Wartung benötigt, zeige ich dir im Spiegel ein hochgradig unsichere, weil offenbar von ihrem Hersteller in keiner Weise supportete Appliance.
Der von dir genannte Hardwareaspekt - Verzicht auf mechanische Teile, geringe Abwärme - ist allerdings tatsächlich nicht zu unterschätzen.
Gruss
Schorsch
was genau ist den DMZ??
hallo,
vielleicht kann mir einer bei der gelegenheit mal erklären was DMZ genau ist. ich weiß das es demilitäre zone oder so heißt.
und ich weiß, das man soclhe im router einstellen kann, also unter dem punkt DMZ kann man eine IP eintragen. und was passiert dann??
und vor allem, welche IP sollte man dort eintragen?? die interne vom router (LAN-IP)? die externe vom router (WAN-IP)? die eines LAN-rechners??
und was bewirkt das dann und wann sollte man es machen und wann nicht??
fragen über fragen.
axl
vielleicht kann mir einer bei der gelegenheit mal erklären was
DMZ genau ist. ich weiß das es demilitäre zone oder so heißt.
Demilitarisierte Zone. Die DMZ steht zw. zwei Netzen, i. d. R. zw. Internet und privatem LAN und makelt alle Anforderungen des jeweils einen Netzes ggüber dem anderen. Als Makler treten dabei eigenständige Server innerhalb der DMZ auf. Da diese Server gegen beide Seiten jeweils durch einen Paketfilter getrennt sind, ist sichergestellt, dass sie nicht zur Spielwiese von Hackern oder Scriptkiddies werden, die sich in Internet oder LAN herumtummeln. Aussen sollen sie rumballern wie sie lustig sind, zu diesem Bereich haben sie keinen Zutritt, daher der Begriff ‚entmilitarisiert‘.
Selbst wenn ein Server innerhalb der DMZ aus dem Internet erfolgreich angegriffen wird, ist das lokale Netz noch nicht unmittelbar gefährdet, da der Hacker zunächst nur die erste Barriere durchbrochen hat. Siehe http://de.wikipedia.org/wiki/DMZ
und ich weiß, das man soclhe im router einstellen kann, also
unter dem punkt DMZ kann man eine IP eintragen. und was
passiert dann??
Das, was in Consumer-Routern als DMZ bezeichnet wird, hat, wie bereits geschrieben, tatsächlich nichts mit einer DMZ zu tun. Willst du privat einen Server betreiben, sind diese Billigheimer oft überfordert, entspr. Anfragen aus dem Internet gefiltert an diesen Server weiter-, bzw. die Antworten des Servers zurückzureichen. Um dir den Betrieb des Servers dennoch zu ermöglichen, kannst du die IP-Adresse des Servers angeben, zu dem und von dem alle Anfragen einfach ungefiltert weitergereicht werden.
Mit dem kleinen Nachteil, dass alle Dienste, die dieser Server anbietet, dann im Internet frei verfügbar sind. Windows-Dateifreigaben, RPC-Server, Druckdienste… Wird dieser Server erfolgreich angegriffen (und das wird er), steht dein komplettes privates Netz also völlig offen.
und vor allem, welche IP sollte man dort eintragen?? die
interne vom router (LAN-IP)? die externe vom router (WAN-IP)?
die eines LAN-rechners??
Die des LAN-Rechners, der als Server fungieren soll.
und was bewirkt das dann und wann sollte man es machen und
wann nicht??
Man sollte es dann machen, wenn einem die Vertraulichkeit des eigenen Netzes (und die Kosten des Netzwerktraffics) völlig egal ist.
Gruss
Schorsch
Hallo,
vielleicht kann mir einer bei der gelegenheit mal erklären was
DMZ genau ist. ich weiß das es demilitäre zone oder so heißt.
Demilitarisierte Zone
und ich weiß, das man soclhe im router einstellen kann, also
unter dem punkt DMZ kann man eine IP eintragen. und was
passiert dann??
AFAIR ist eine DMZ eine Zone ausserhalb jeglicher Firewall-Mechanismen. Also ein ungeschuetzter Bereich ausserhalb des LANs.
Aber anscheinend ist es noch was anderes. Da die Experten hier alle schreiben, dass es sich wohl um einen geschuetzten Bereich handelt. Auch hinter einer Firewall.
Deswegen waer ich auch fuer eine allgemeingueltige, nicht-wikipedia Erklaerung =:wink:
und vor allem, welche IP sollte man dort eintragen?? die
interne vom router (LAN-IP)? die externe vom router (WAN-IP)?
die eines LAN-rechners??
und was bewirkt das dann und wann sollte man es machen und
wann nicht??
Ich mach es nicht. Wuesste in meinem Netzwerk auch nicht wofuer.
Ciao! Bjoern
Erklärung ‚DMZ‘
Eine DMZ (=Demilitarisierte Zone) ist ein Bereich eines Netzwerkes, der sozusagen „zwischen Gut und Böse“ steht.
Man unterscheidet normalerweise von einem vertrauenswürdigen Netz und einen nicht-vertrauenswürdigen Netz; das eigene Unternehmensnetzwerk ist idR vertrauenswürdig, das Internet hingegen nicht1.
Diese beiden Netze voneinander zu trennen ist die Aufgabe einer Firewall, die idR durch mehrere Komponenten (Paketfilter, Application Level Gateways etc.) realisiert wird.
An diesem Punkt werden also strenge Regeln aufgestellt, die den zugelassenen Verkehr in beide Richtungen einschränken. Üblicherweise werden gewisse Dienste von innen(=vertrauenswürdig) nach außen(=nicht-vertrauenswürdig) zugelassen, von außen nach innen jedoch gar nichts.
Nun mag es aber Dienste geben, die man für „außen“ anbieten möchte. Das sind dann Dinge wie Mail, Webseiten, VPN o.ä. Damit man sich keine Löcher in die Firewall schiesst und das Sicherheitskonzept damit hinfällig macht, richtet man für diese Dienste eine eigene Zone ein, die DMZ. Die DMZ ist also ein gesonderter Bereich, in dem die Maschinen, die diese Dienste anbieten, lokalisiert sind. Häufig wird das als „drittes Beinchen“ an der Firewall gemacht.
Die Firewallregeln werden nun so erweitert, daß Verkehr von außen in die DMZ zugelassen ist, ebenso von innen in die DMZ und von der DMZ nach innen (sofern notwendig).
Ich hab das mal eben skizziert: http://m.bsdhackers.org/stuff/dmz
Was nun einige SOHO-Router machen, ist diesen Begriff zu mißbrauchen, denn das, was dort unter „DMZ-Funktionalität“ verstanden wird, ist nichts anderen als „Leite alle Anfragen von außen an den Rechner X des internen Netzes weiter“ und das hat mit der oben erklärten DMZ nun nicht mehr allzuviel zu tun.
Gruß,
Malte.
[1] Man kann auch noch feinere Abstufungen benutzen, wennn es innerhalb des Unternehmensnetzes bspw. besonders schützenswerte Bereiche gibt - die Aussage „vertrauenswürdig“ ist also stets als relativ anzusehen.
Hallo,
und ich weiß, das man soclhe im router einstellen kann, also
unter dem punkt DMZ kann man eine IP eintragen. und was
passiert dann??
Das steht hoffentlich im Handbuch zu Deinem Router. Ich vermute mal, es werden für diese IP sämtliche Portfilter ausgeschaltet und ggf. gleich ein entsprechendes NAT/Forwarding eingerichtet, dass bestimmte Anfragen (HTTP/Port 80, SMTP/Port 25, etc.) an diese IP weitergeleitet werden.
und vor allem, welche IP sollte man dort eintragen?? die
interne vom router (LAN-IP)? die externe vom router (WAN-IP)?
die eines LAN-rechners??
Die eines Rechners, der die Serverdienste Anbieten soll.
und was bewirkt das dann und wann sollte man es machen und
wann nicht??
Eine DMZ richtet man ein, um nach außen sichtbare Rechner (Web-Server, Mail-Server, File-Server, Proxy) sauber vom LAN zu trennen. In der DMZ können sich so durchaus eine ganze Anzahl von Servern tummeln, i.d.R. deutlich mehr als einer. Die Firewall zwischen DMZ und LAN kann dann entsprechend extrem restriktiv eingerichtet werden und bietet damit einen höheren Schutz vor ungebetenen Gästen.
Router --- DMZ --- Firewall --- LAN
Es gibt natürlich auch die Möglichkeit, die DMZ selbst per Firewall zu sichern, die dann entsprechend nur die Funktionen zur Verfügung stellt, die unbedingt für den Betrieb der Server erforderlich sind. Das ist weniger restriktiv, als bei der zwischen DMZ und LAN, aber bietet einen zusätzlichen Schutz.
Router --- Firewall --- DMZ --- Firewall --- LAN
Es scheint Geräte zu geben, die Router, Switch und Firewall in einem sind. Dort sind also WAN, DMZ und LAN Anschlüsse in einer Box vereint und man kann unterschiedliche Firewall-Konfigurationen für DMZ und LAN vornehmen. Oder so ähnlich. Mir selbst sind solche Wunderkisten (am besten noch für
Gruß aus Osna zurück!
[buw]-Power!
Mit freundlichen Grüßen aus Osnabrück