Was soll alles in eine DMZ

Es gibt 7 Antworten in diesem Thema, welches 3.604 mal aufgerufen wurde. Der letzte Beitrag () ist von Tuxtom007.

    Hi Leute,

    ist vielleicht etwas Off Topic.

    Seit ich mit Unifi "herumspiele" und leicht verschiedene Netzwerke bereitstellen kann, denke ich auch über eine DMZ nach.

    Ich denke da an einen PI, in den alles von aussen geroutet wird. Und der als einziger vom WAN erreichbar ist (eventuell auch ein Container im Proxmox).


    Sicherlich brauche ich da einen Revers-Proxy (NGINX) der die Anfragen auf meine Services innerhalb der anderen Netze (Web, API, Cameras) weiterleitet.

    Aber gehört auch noch was anderes drauf, z.B. ein Pi-Hole?

    Die Firewall sollte dann wahrscheinlich nur zu den speziellen Services geöffnet werden.


    Oder ist das paranoisch für ein kleines Haus-Netzwerk?

    Zur Zeit habe ich folgende Netzwerke:

    - Standard (mit UDM)

    - Gäste-Netzwerk

    - IOT

    - Firmennetzwerk

    -- diwoma


    Firewall Konzepte kann man schwierig in ein paar Sätze rüberbringen oder wirkliche Ratschläge erteilen

    wenn das gante Umfeld nicht wirklich bekannt ist.


    Aber Grundlegend:

    In die DMZ gehören nur Dienste die von Extern erreichbar sein müssen.

    z.B Webserver, Mail Server (je nach Bedürfnis auch nur die Proxy / Weiterleiter dafür) VPN Server


    WAN > LAN Verboten Immer

    WAN <-> DMZ für die Nötigen Dienste

    LAN <-> DMZ für die Nötigen Dienste


    Mus ein PI Hole von außen erreichbar sein (und ich meine nicht den statefuel return Traffic)

    müssen deine Cams Erreichbar sein, oder wäre nicht ein VPN besser um sie von außen zu erreichen ?

    und so weiter und so fort....


    Da werden ja ganze Bücher gefüllt :smiling_face:

    Naja an sich wird dass auf eine Glaubensfrage hinauslaufen und auch durch den spielerischen Trieb bei solcher Technik beeinflusst.


    Grundsätzlich reicht für den Otto Normalbürger ne Fritte und das wars.

    Wenn es dir persönlich aber ein "sicheres" Gefühl vermittelt ist auch die Variante mit der DMZ nicht verkehrt man muss sich halt nur bewusst sein dass das für den Hausgebrauch eher mit Kanonen auf Spatzen schießen ist.


    Mich würde aber interessieren was du unter FIrmennetzwerk definierst.

    Bist du selbstständig und arbeitest von zuhause aus ?

    Dann wäre definitiv über die DMZ Variante nachzudenken um deine Geschäft sicherer zu halten aber dann sollte man sich direkt Gedanken darüber machen den Bürobereich auch physikalisch von deinem Privatnetz zu trennen.

    Einmal editiert, zuletzt von KJL ()

    Vielen Dank für die Antworten

    @KJL

    Ja, ich gebe mein Wohnungsbüro in der Stadt auf, weil ich die Wohnung verkaufe und mit meiner Infrastruktur (ESX-Server, MS-Server, Entwicklungs-Umgebung, usw.) in mein Haus-Netz übersiedle. Dafür habe ich eben ein eigenes Firmen-Netzwerk eingerichtet. Nur für mich, ich bin ein EPU in Sachen IT-Dienstleistung. Eigentlich schon im Ruhestand, aber mein Haupt-Kunde braucht mich noch eine Weile. Das Netzwerk wird abgeriegelt! Eventuell nur Zugang zum Drucker wird erlaubt. Das sehe ich erst, wenn ich gesiedelt bin.


    gierig

    Stimmt, PiHole muss nicht erreichbar sein, Kameras eigentlich schon, deren Stream bekomme ich jetzt schon über einen NGINX von einem PI mit Motion drauf. Nur ist jetzt alles, was ich über den NGINX in das WAN gebe, im gleichen Netzwerk.


    Vermutlich ist es wirklich nur "Mit Kanonen auf Spatzen zu schiessen". Aber früher hatte ich keine so einfache Möglichkeit, mehrere Netzwerke einzurichten. In Wirklichkeit ist ja auch die Unifi-Infrastruktur oversized, aber da ich sie nun habe, will ich sie auch ausreizen :grinning_face_with_smiling_eyes:.


    So gesehen wäre eigentlich nur der NGINX-Reverse-Proxy das einzige, das bei mir wirklich in eine mögliche DMZ kommen muß und ein PI sozusagen als Vorschalt-Gerät auch eine Hardware-mäßige Trennung von allen anderen Geräten.

    -- diwoma


    In die DMZ gehören nur System, die vom Internet erreichbar sein sollen, z.b. Webserver und eben auch vom internen LAN erreichbar sein müssen, z.b. die Wartung des Webservern.


    Der PiHole hat definitiv nichts in der DMZ zu suchen, der gehört ins interne LAN


    System, die von aussen erreichbar sein sollen aber nicht für die Allgemeinheit bestimmt sind, sollten man tunlichst auch nicht in die DMZ stellen, sondern ins interne LAN und per ReverseProxy oder VPN erreichbar machen.


    Jedes System in der DMZ ist ein Angriffstor für böse Buben.

    Ah okay dann ist ja schonmal das wichtigste geklärt :smiling_face:


    Aber wie du selbst festgestellt hast würdest du aktuell maximal ein Gerät/Anwendung haben die in der DMZ landet der Aufwand der aber dafür betrieben werden muss ist meines Erachtens viel zu hoch bzw. wird durch den daraus resultierenden Nutzen nicht gerechtfertigt.


    Aber wie gesagt grundsätzlich spricht nichts dagegen eine DMZ einzurichten wenn du Spaß daran hast dich mit der Technik und dem Aufbau auseinander zu setzen :smiling_face:

    Manchmal müssen gewisse Projekte keinen Sinn ergeben sondern den inneren Nerd befriedigen :grinning_squinting_face: :grinning_squinting_face:


    Ich bin auch immer wieder am überlegen ob ich nicht herkommen soll und mir nen gebrauchten Server kaufe und den als Virtualisierungsserver missbrauche um einfach ein paar Spielereien zu betreiben.

    Da ich das ganze aber in einer Windows Umgebung durchführen würde sind mir die Kosten für die Lizenzierung einfach defakto zu hoch :grinning_squinting_face: :grinning_squinting_face:

    Zitat von diwoma

    Vermutlich ist es wirklich nur "Mit Kanonen auf Spatzen zu schiessen".

    Na ja die beste Firewall ist und bleibt der Seiten Schneider.....
    Aber zwischen Seitenschneider und „ich schreibe alle meine Passwörter auf die Plakatwand gegenüber“

    gibt es hunderte von Abstufungen. „Zertifizierte“ und selbsternannte Firewall Götter

    würden wohl im lachen verfallen wenn du DMZ in den Mund nimmst aber

    nur einen HardwareRouter der gleichzeitig auch Firewall macht hast.


    Und genau das ist Problem das es viele viele Betrachtungsweisen und Abwägungen

    gibt. Es kommt immer drauf an was DU willst , bereit bist dafür zu tun.

    Zitat von gierig

    würden wohl im lachen verfallen wenn du DMZ in den Mund nimmst aber

    nur einen HardwareRouter der gleichzeitig auch Firewall macht hast.

    Machbar ist alles - aber ganz ehrlich, wenn ich mir eine DMZ einrichten würde für Zuhause, würde ich einen großen Bogen um Unifi machen.

    Da braucht es dann schon einen Router bzw. Firewallsystem, was sich entsprechend gut konfigurieren lässt - PFsense auf Hardware mit mehren LAN-Ports z.b., die sich gegeneinander abschotten lassen.


    Die UDMPro ist dafür vollkommen ungeeignet.