Netzwerksicherheit Grundkurs

DMZ einrichten

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Eine DMZ kann in der pfSense-Firewall eingerichtet werden. Dabei besteht die Möglichkeit, den Zugriff auf den HTTP- sowie den DNS-Server von außen in der DMZ zu erlauben.

Transkript

In diesem Firewall Regeln Beispiel möchte ich Ihnen zeigen, wie sie eine Firewall DMZ aufbauen können. Wir haben hier die 10.0.102 die hat einen Zugriff auf die 10.0.0.1 und soll auch hier dementsprechend auf 192.168.1.100 zugreifen können. Von hier aus darf kein Zugriff erfolgen. Und die DMZ darf natürlich von sich aus auch keine Informationen nach draußen schaffen können. Der DNS Server ist so gestaltet, dass er, wenn er gefragt wird, erst mal natürlich bei sich selbst schaut und dann die Informationen über die Firewall hier zu diesem DNS Server bringt. So dass man also überprüfen kann, in dem Moment, wo ich hier eingebe www.spw.lan, findet er das hier nicht, wird also dementsprechend über die Firewall gehen. wird in die DMZ gehen, über den DNS Server fragen und dann wird er wieder zurück kommen, hier hin gehen, und dann startet der http Dienst. Das ist also die Aufgabe. die wir in dem Zusammenhang hier haben. Ich öffne mal die Firewall. Hier haben wir jetzt schon drei Netzwerkkarten drin. Ich möchte Ihnen kurz zeigen, wie man so eine Netzwerkkarte installiert. Sie gehen hier auf Interfaces, gehen hier auf Design Dann haben Sie normalerweise zwei Netzwerkkarten zur Verfügung. Dann drücken Sie hier auf Plus. Momentan steht keine mehr zur Verfügung, deswegen haben wir hier nur Minus. Aber wenn Sie noch eine über haben, werden Sie hier ein Plus haben. Drücken Sie drauf. Dann gehen Sie hier auf diesen Punkt DMZ. IN dem Fall heißt er Opt 1, den können Sie hier enablen. Geben hier die DMZ ein, die statische IP Adresse, und gehen hier runter und geben die IP Adresse fest ein. In unserem Fall 128.168.1.1. Und achten Sie bitte darauf, ganz wichtig, große Falle, hier steht immer 32 und wenn Sie da nicht aufpassen, haben Sie ein Riesenproblem. Das speichern Sie ab und damit haben Sie die DMZ eingerichtet. Schauen wir uns mal die Regeln an, die wir brauchen. Wir haben jetzt hier drei Reiter, einmal ür WAN einmal für LAN, einmal für DMZ. Was möchte ich machen? Ich möchte,. dass über die WAN Leitung eine Verbindung zur DMZ hergestellt wird. Demnach brauche ich einen Eintrag, und zwar möchte ich dort auf den Web Server zugreifen, brauche ich hier einen Eintrag, der sagt: Egal woher, egal welcher Port, das Ziel ist 168.192.1.100 uns es ist der Port 80 dann lasse ich diese Information durch das WAN durch. Das Gleiche gilt hier unten, 192.186.1.100 ist das Ziel und es ist der Port 53 auch dann lasse ich es durch. Achten Sie bitte darauf, dass her TCO/UDP steht, oder zumindestens UDP denn DNS arbeitet sowohl mit TCP als auch mit UDP Protokoll, und wen man das Ganze einrichtet, steht bei der Regeleinrichtung immer als erstes TCP und wenn man das verpasst, dann hat man das Problem, dass eben dementsprechend dort nur TCP steht und hier in diesem Fall wird mit UDP z.B. gearbeitet und dann bekommen Sie keine Informationen durchgereicht. Wie sieht es jetzt von der LAN Seite aus? Von der LAN Seite, diese Teil ignorieren wir mal ganz empfindlich, das ist nämlich eine - steht ja hier: Anti-Lockout Rule, Die steht immer als Erstes. Damit wird sichergestellt, dass ich, egal was ich dahinter mache, ich immer noch auf die Firewall zugreifen kann. Das wäre ja fatal, wenn ich jetzt diese Regel mit einer anderen Regel aushebeln würde, weil es gilt ja die Reihenfolge Dann könnte ich mir die Regeln auch nicht mehr zusammenbauen. Das wäre sehr Kritisch, deswegen ist es wichtig, dass die da oben stehen bleibt. Wir haben 2 Regeln. Die eine Regle heißt: egal wohin egal welcher Port, wenn das Ziel 192.168.1.0/24 ist, d.h. wenn das Netzwerk 192.168.1.0/24, meine DMZ, wenn das gemeint ist, dann schmeiß das Zeug weg. D.h. in dem Fall haben wir hier diesen Block. D.h. ich habe keine Möglichkeit in die DMZ mit irgend etwas zu kommen, egal, wer darin eingehängt wird. Und dann haben wir darunter noch eine Regel, die sagt: Was aus dem LAN Net kommt, egal was es ist, lass es durch. Wichtig ist in dem Fall die Reihenfolge. Wir müssen dieses 192.168.1.0 Netzwerk oben drüber haben, damit das geblockt wird, und danach lassen wir alles durch. Die Reihenfolge ist extrem wichtig, weil wenn wir das umdrehen würden, dann könnte ich, obwohl ich eine Sperre ausgesprochen habe, trotzdem noch darauf zugreifen und das ist ja nicht Sinn der Übung. Das wären im Prinzip die Regeln, die gemacht werden müssen. Also einmal die WAN Regel, dass ich durchgreifen kann zur DMZ. http und DNS. Man könnte noch https machen, aber in dem Falle reichen die 2 aus. Und die LAN Regel ist in dem Fall so gestellt, das alles, was zur DMZ gehen würde, wird gesperrt und alles, was sonst weiter geleitet werden soll, geht einfach normal nach draußen weiter. Das wäre also eine Möglichkeit, die wir hier haben. Jetzt können wir ja mal ein paar Tests durchführen. D.h. ich gehe jetzt mal her und versuche mal den 10.0.100.2 zu erreichen, Das ist eine Maschine außerhalb der Firewall auf dem 10er Netzwerk. Dieses erreiche ich aus dem 172.16er Netzwerk. Wir können ja mal versuchen, ob ich die 192.168.1.100 bekomme. Das wäre ein HTTP Server in der DMZ. Man sieht hier schon am Laufbalken, da passiert nichts. Also da komme ich nicht mehr durch. D.h. eine Seite haben wir abgedeckt. Ich komme durch, zu einem Server, der außerhalb meines Bereichs liegt, im 10er Netzwerk, ich komme nicht in das 192.168.1er Netzwerk, Das bleibt mir in dem Fall verwehrt. Schauen wir uns die anderen Ecken mal an. Ich wechsele jetzt mal auf S3. Wir befinden uns jetzt auf S3 und schauen mal nach, was man hier so alles treiben kann. Ich hole jetzt mal die Webseite raus, bzw. ich bin jetzt hier auf dem Browser und jetzt würde ich gerne die 192.168.1.100 ansprechen. Das funktioniert. D.h. zum Einen werden die Informationen IP technisch durchgereicht und das Gleiche mache ich jetzt noch mit www.spw.lan Funktioniert auch. Dann zeige ich gerade noch mal den DNS Server. Da haben wir dementsprechend jetzt hier bei Weiterleitung in dem Fall 192.168.1.100 drin stehen. D.h. die Information, so wie wir uns das vorgestellt haben funktioniert. Der globale LAN, also der S3, darf auf die DMZ zugreifen, Schauen wir mal, ob wir auf den 172.16.0.10 zugreifen könnten. Wie wir sehr schön sehen können, kann er es nicht. Auch das ist gewährleistet, es gibt keinen Rückweg, es geht nur zur DMZ. Jetzt müssen wir nur noch die DMZ Seite testen, dann haben wir alle durchgecheckt. Ich bin hier auf der S1 und wir versuchen es mal mit der IP Adresse 172.16.0.10. Das wäre auf C1. Da ist auch ein Web Server drauf. Da kommen wir nicht weiter. Und zum Schluss probieren wir noch den 10.0.100.2. Da kommen wir auch nicht hin. D.h. die DMZ ist nicht in der Lage nach draußen zu gehen. Wenn wir jetzt die ganzen Regeln raus nehmen und alles zulassen würden, könnten die sich tatsächlich auch unterhalten. Wir haben es also geschafft, wir haben eine DMZ aufgebaut. Die DMZ kann erreicht werden vom globalen LAN, DNS und http, alle anderen sind außen vor. Das war das Ziel.

Netzwerksicherheit Grundkurs

Machen Sie sich mit den grundlegenden Konzepten der Netzwerksicherheit vertraut und erfahren Sie, wie Sie Ihre Kenntnisse unter Windows, OS X und Linux praktisch umsetzen können.

11 Std. 47 min (142 Videos)
Derzeit sind keine Feedbacks vorhanden...

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!