+-Serie DS 107+ Feste IP Vergeben und anderes

[ag_bg]

Ob manuell am Rechner oder über DHCP fest verdrahtet macht m. E. keinen grossen Unterschied.

Wenn die DS im I-Net erreichbar sein soll, empfehle ich meine Konfig, bei der die DS in einer echten DMZ ist (nicht in dieser Semi-DMZ, die die Router anbieten):

(Kabelmodem/Splitter)---(Router DHCP off)---(Router DHCP on)---(mein Netz)                                      
                                         |                                             
                                         +--(DS)---(Drucker)

So kann ich vom I-Net aus auf die DS zugreifen und von meinem Netz aus. Aber ein Angreifer, der die DS über das I-Net kompromittiert kann nicht auf mein Netz durchgreifen. Ist ein bisschen mehr Konfigurationsarbeit, das ist's mir aber Wert.

Und welchen Vorteil bietet dir am Ende eine DMZ gegenüber einem vernünftigen Portmanagement?

 

[itari]

hi,

nur ganz kurz ein paar Bemerkungen:

1) wenn der Router mehrere Netzwerkausgänge hat, dann ist er meist auch zugleich ein Switch, so dass man sich einen zusätzlichen Switch sparen kann (ich würde mir zumindest immer einen Router mit Switch-Funktionalität kaufen).

2) ob DMZ mit einem oder zwei Routern/Switches bliebt sich eigentlich gleich; dass ist so wie wenn ich ne Netzwerkkarte mit mehrere IP-Nummer bestücke ... und so tu als wären es mehrere Netzwerkkarten. Im jedem Router/Switch ist auch nur eine Software(!), die die Funktionalität steuert und anbietet.

3) Hardware-Firewalls gibt es prinzipiell nicht; siehe 2. Die IP-Protokoll-Ebene 3 und 4 (in der sich die Firewall-Funktionalität, nämlich die Untersuchung der Header, stattfindet, ist pur Software). Da sie aber im kleinen Kästchen schön verpackt ist (wie die Firmware der DS auch), liegt es nahe, sie als 'Hardware' zu benennen, was sie aber nicht ist. Sonst könnte man das Web-Interface so manchem Routers auch als Hardware titulieren, wär es aber nicht, weil ein Web-Server ist.

3a) Ein Firewall im Router ist nicht zu verachten, weil sie zum Beispiel die ganzen Spam-Pings (Denial of Service (DoS)-Attaken) blockt und damit das interne Netz entlastet.

4) Ich würde so wenig wie möglich feste IP-Adressen vergeben. Also der DS und vielleicht den Geräten wie Drucker oder so und den Rest über DHCP machen. Allerdings sollte der Router DHCP-Server spielen, weil er vermutlich 24/7 an ist. Die festen Adressen nicht aus dem Nummernkreis wählen, die für DHCP zur Verfügung stehen. Aber wie gesagt, anders geht es auch ...

Ansonsten find ich es toll, wie schnell und gut hier das Netz von 0 auf 100 gebracht wird - Respekt.

 

[a-jay]

Und welchen Vorteil bietet dir am Ende eine DMZ gegenüber einem vernünftigen Portmanagement?

Wenn alles (Home-Netz inkl. DS) hinter nur einem Router liegt und die DS über (selbstverständlich) vernünftiges Portmanagement aus dem I-Net erreichbar ist, besteht immer die Gefahr, dass ein Angreifer die DS "in seine Gewallt" bringt und schwups hat er Zugriff auf's Home-Netz
Liegt die DS allerdings in einer DMZ, kann er nicht durch den 2. Router aufs Home-Netz durchgreifen, da im 2. Router keine Ports geöffnet sind.

Siehe auch: http://de.wikipedia.org/wiki/Demilitarized_Zone

 

[Trolli]

Wenn keine Ports geöffnet sind, könnte man die DS im Heimnetz nicht verwenden, was mir nicht wirklich sinnvoll erscheint...

EDIT: obwohl eine DMZ im eigentlichen Sinne wie es a-jay schreibt nicht per Definition ungeschützt ist, handelt es sich bei den DMZ in vielen Routern fälschlicherweise um ungeschützte Zonen, die keine Absicherung zum Internet aufweisen.

 

[ag_bg]

Wenn alles (Home-Netz inkl. DS) hinter nur einem Router liegt und die DS über (selbstverständlich) vernünftiges Portmanagement aus dem I-Net erreichbar ist, besteht immer die Gefahr, dass ein Angreifer die DS "in seine Gewallt" bringt und schwups hat er Zugriff auf's Home-Netz
Liegt die DS allerdings in einer DMZ, kann er nicht durch den 2. Router aufs Home-Netz durchgreifen, da im 2. Router keine Ports geöffnet sind.

Aber wenn ich dem Router mit einer Portweiterleitung ala Port 80 auf 192.168.1.10 sage,, dann wird der Router ein entsprechendes Kommando (Anfrage von aussen) auch nur auf diese Addresse weiterleiten und auf keine andere, dass müßte man ja anweisen, was widerum bedeuten würde, dass der Angreifer eh schon den Router eingenommen hat, womit die erste Mauert schonmal gefallen wäre.
Mal davon ab, ob es jetzt sicher ist oder nicht, wie nutzt du den itunes-Server in deiner Konfiguration. normalerweise dürfte es bei einer portgeschlossenen Konfiguration doch gar keinen Mediadienst möglich sein, in deinem restlichen Netzwerk seine Dienste anzubieten?

best regards

Edit, mensch, der Trolli tippt schneller wie ich

 

[a-jay]

Das man so eine Quasi-DMZ, wie sie die meisten Router anbieten, nicht nehmen sollte, hatte ich schon geschrieben.

Selbstverständlich kann ich von meinem Netz auf die DS zugreifen, wenn keine Ports geöffnet sind. Nur die Dienste, die von der DS aus "schreien" (z. B. ITunes) funktionieren dann nicht. Aber alles andere funktioniert wunderbar. Ports am Router müssen ja nur geöffnet werden, wenn von "aussen" jemand eine Verbindung aufbauen will. Wenn dieses von "innen" geschieht, muss kein Port geöffnet sein.

 

[itari]

also die meisten Vorstellungen von DMZ (De-militarisierte Zone) sind eigentlich nicht ganz ok. In eine DMZ stellt man die Server rein, die angegriffen werden können, aber eben nur diese und das der Angriff eben nicht tiefer ins eigene private Netz erfolgen kann. Deshalb werden 2 Zäune (= Firewalls oder Adress-Translaters) gezogen, der eine blockt alles ab was von draußen rein kommt, der andere alles was von drinnen nach draußen will (weil sonst Ports für die Rückantwort geöffnet werden). Die Server in der DMZ bzw. deren IP-Pakete sollten die einzigen sein, die durch beide Mauern dürfen und dabei so etwas wie eine Vermittlerrolle spielen (manchmal heißen sie ja auch so: Stellvertreter/Handlungsbevollmächtigter = Prokurist/Proxy).

Wenn man also eine DS vor Angriffen schützen will, dann gehört sie meiner Meinung nach nicht in die DMZ; wenn sie als Server nach draußen bedienen soll und keine (!) schützenswerten Daten enthält, dann ab in die DMZ.

 

[ag_bg]

Selbstverständlich kann ich von meinem Netz auf die DS zugreifen, wenn keine Ports geöffnet sind. Nur die Dienste, die von der DS aus "schreien" (z. B. ITunes) funktionieren dann nicht. Aber alles andere funktioniert wunderbar. Ports am Router müssen ja nur geöffnet werden, wenn von "aussen" jemand eine Verbindung aufbauen will. Wenn dieses von "innen" geschieht, muss kein Port geöffnet sein.

Genau deshalb wäre wohl die Konfiguration auch für den TO nicht die richtige, da er ja den itunes-Dienst nutzen wollte, was ja aufgrund des fehlenden Anfrage-Kommandos mit nichten selbstständig die NAT-Mauer passieren kann.
Jetzt aber noch direkt eine andere Frage: Wie greifst du über smb zu. Hast du dafür ip-forwarding genutzt, bzw. woher weiß der Router in deinem Homenetzrouter, welches lokale Kommando er an die DS weitergeben soll?

 

[o.s.t.]

....Ich hab zum Glück noch ein Router zuhause. Zwar mit Modem aber denke das sollte nicht so schlimm sein. Wird sich sicherlich auch abstellen lassen.

...davon würde ich nicht ausgehen. Wenns ein ADSL-Modem/Router ist, kannst du das Modem zu 99% NICHT abstellen.
Du brauchst einen reinen Breitbandrouter ohne integriertes Modem. Sehr empfehlenswert sind die Linksys WRT54-G. Habe den schon bei mehreren Bekannten seit Jahren problemlos an einem Cablecom (Schweiz) Anschluss in Betrieb. Was hast du denn noch für einen Router rumliegen?

gruss, o.s.t.

 

[a-jay]

Genau deshalb wäre wohl die Konfiguration auch für den TO nicht die richtige, da er ja den itunes-Dienst nutzen wollte, was ja aufgrund des fehlenden Anfrage-Kommandos mit nichten selbstständig die NAT-Mauer passieren kann.

Stimmt, der Thread ist vielleicht auch etwas verlaufen...

Jetzt aber noch direkt eine andere Frage: Wie greifst du über smb zu. Hast du dafür ip-forwarding genutzt, bzw. woher weiß der Router in deinem Homenetzrouter, welches lokale Kommando er an die DS weitergeben soll?

Also: 2 Router: R1, R2

Modem/Splitter <--> WAN(R1)LAN <--> WAN(R2)LAN <--> Home-Netz

An einen weiteren LAN-Anschluss von R1 die DS.
DS hat fixe IP.
WAN-Anschluss von R2 hat fixe IP.
LAN-Anschluss von R1 hat fixe IP.

In R2 muss als Default-Gateway die LAN-IP von R1 angegeben werden. Um auf die DS vom Home-Netz nicht über die IP-Adresse sondern bequem über einen Namen (z. B. '\\DS207') zugreifen zu können, habe ich in den hosts-Dateien der (Windows-)Rechner die IP-Adresse der DS mit 'DS207' verknüpft.

Jetzt kann ich ohne irgendein Portforwarding in R2 aus dem Home-Netz auf die DS zugreifen (Ping DS207, oder Ping 192.168.90.200). Da R2 die DS-IP in seinem LAN nicht sieht, reicht er die Anfrage an R1 weiter (wg. Default-Gateway). R1 sieht die DS in seinem LAN und .... juhu es funktionert.

Aber, will man im Home-Netz einen Server betreiben (FTP, HTTP,...) muss natürlich eine Portweiterleitung durch beide Router eingerichtet werden. Allerdings gehöhren Server ja in die DMZ (wozu sie ja da ist).

Und richtig: Wichtige Daten gehören nicht auf die DS in der DMZ. Allerdings gehören wichtige Daten nie auf einen Rechner, der von aussen (Internet) erreichbar ist! Egal, ob DMZ oder nicht.

 

[a-jay]

Du brauchst einen reinen Breitbandrouter ohne integriertes Modem. Sehr empfehlenswert sind die Linksys WRT54-G. Habe den schon bei mehreren Bekannten seit Jahren problemlos an einem Cablecom (Schweiz) Anschluss in Betrieb.

Ich selbst verwende zwar auch WRT54-GLs, empfehle anderen aber stests die Fritz-Boxen von AVM. Die werden sehr gepflegt (Updates mit neuen Funktionen auch für ältere Modelle), funktionieren (hier in DE ) problemlos und: das Modem lässt sich abschalten. Allerdings sind sie etwas teurer...

 

[ag_bg]

In R2 muss als Default-Gateway die LAN-IP von R1 angegeben werden. Um auf die DS vom Home-Netz nicht über die IP-Adresse sondern bequem über einen Namen (z. B. '\\DS207') zugreifen zu können, habe ich in den hosts-Dateien der (Windows-)Rechner die IP-Adresse der DS mit 'DS207' verknüpft.
Jetzt kann ich ohne irgendein Portforwarding in R2 aus dem Home-Netz auf die DS zugreifen (Ping DS207, oder Ping 192.168.90.200). Da R2 die DS-IP in seinem LAN nicht sieht, reicht er die Anfrage an R1 weiter (wg. Default-Gateway). R1 sieht die DS in seinem LAN und .... juhu es funktionert.

Genau so hatte ich mir das auch schon fast gedacht, einfach die IP forwarden und gut ist

Aber, will man im Home-Netz einen Server betreiben (FTP, HTTP,...) muss natürlich eine Portweiterleitung durch beide Router eingerichtet werden. Allerdings gehöhren Server ja in die DMZ (wozu sie ja da ist).

Eben, das andere würde ja eine 2Routerlösung ad absurdum führen

Und richtig: Wichtige Daten gehören nicht auf die DS in der DMZ. Allerdings gehören wichtige Daten nie auf einen Rechner, der von aussen (Internet) erreichbar ist! Egal, ob DMZ oder nicht.

Dafür gibt es ja zum Glück mittlerweile sehr günstig USB-Sticks, welche man temporär sehr gut für Sicherheitrelevante Daten nutzen kann, zumindest habe ich diese Lösung seit fast 3 Jahren, aber das wäre jetzt arg offtopic.
Danke dir für deine Erklärung

best regards

 

[a-jay]

Genau so hatte ich mir das auch schon fast gedacht, einfach die IP forwarden und gut ist

Naja, ein Default-Gateway muss ja jeder Router haben, wohin soll er sonst auch routen. Ob ich das IP-Forwarding nennen würde, weiss ich nicht.

OK, in diesem Sinne
A-Jay (der sich demnächst 'ne 2. DS für wichtige Daten holt)

 

[ag_bg]

A-Jay (der sich demnächst 'ne 2. DS für wichtige Daten holt)

Na, dass ist doch mal eine weise Entscheidung

best regards

 

[itari]

jaja, da hat sich mal wieder ganz fürchterlich eine kleine (schwarze? weisse?) Kiste als Server geoutet und sich was angemasst, was sie eigentlich nicht ist.

Server sind Programme und nichts anderes. Wenn du zwei Webserver auf einem Recher hast, dann kann der eine ganz locker für interne Dinge verwendet werden und der andere für externe - ohne das die sich beharken oder die Sicherheit verkümmert

Spaß beiseite: Sicherheit wird nicht durch Kistchen, Kabel oder sonstwas erzeugt, sondern durch Organisation - und Server waren und bleiben die kleinen doofen Programme, die fast nichts anderes können, als auf ihre Herrn und Meister 'Client-Programme' zu warten und deren Wünsche zu erfüllen. Ergo musste nu nicht noch ne DS kaufen, sondern einfach die Ports im Router so setzen, dass die Clients auf die richten Server weitergeleitet werden ... und gegebenfalls weitere (Web-)Server installieren oder dir nen zweiten (vollständigen) Apache installieren, der Servervirtualisierung direkt kann.

Am Rande bemerkt: der "Default-Gateway" ist nur ein anderer Name für deinen Router (wenn du denn dann einen einsetzt) aus der Sicht deiner internen PCs. Port-Forwarding wird just in diesem Router gemacht, um deine im lokalen, privaten Netz liegenden Server (=Software!!!) durch deine öffentlichen IP_Adresse (die des Routers) anzusprechen. Port-Forwarding oder auch Port-Mapping oder auch Adress-Translation ist deshalb auch nicht mit IP-Forwarding gleich zu setzen. Letzteres verwendet man beim Umlenken von IP-Adressen bei Web/Mailservern oder so).

Allerdings wenn du die Kistchen schön findest, dann musst du dir halt noch welche zulegen

 

[a-jay]

@itari

1. Server ist NICHT nur Software. Ein Server ist etwas, was ein Dienst anbietet! Das kann auch eine Einheit aus Hard- und Software sein (z. B. Terminal-Server aus dem Mainframe-Bereich). Und was ist ein File-Server ohne Festplatten?

2.

Spaß beiseite: Sicherheit wird nicht durch Kistchen, Kabel oder sonstwas erzeugt, sondern durch Organisation - und Server waren und bleiben die kleinen doofen Programme, die fast nichts anderes können, als auf ihre Herrn und Meister 'Client-Programme' zu warten und deren Wünsche zu erfüllen. Ergo musste nu nicht noch ne DS kaufen, sondern einfach die Ports im Router so setzen, dass die Clients auf die richten Server weitergeleitet werden ... und gegebenfalls weitere (Web-)Server installieren oder dir nen zweiten (vollständigen) Apache installieren, der Servervirtualisierung direkt kann.

Das Problem ist: Wenn du einen Port (z. B. 21) aus dem Internet über einen Router auf einen Rechner weiterleitest, dann ist dieser Rechner Angreifbar! Denn Du weist bestimmt nicht, wie gut/sicher/bugvoll der Software-Teil deines FTP-Servers ist. Es geht hier nicht um das normale Anwenden. Und wenn ein Angreifer Kontrolle über diesen Rechner hat, könnte er auf alle Rechner im selben Netz zugreifen. Mit Kontrolle meine ich: Dienste an-/abschalten, Programme starten, Programme installieren...

Steht dieser Rechner aber in einer DMZ, dann können nur die Rechner dieser DMZ erreicht werden. Durch einen 2. Router ohne Portweiterleitung kommt er nicht durch. Und so eine Konfiguration erreicht man nur durch Hardware! (= 2 getrennte Router)

 

[ag_bg]

Ich pers. habe auch eine 2 Server Strategie, jedoch dafür eine 1 Router Strategie. Vielleicht wäre auch eine 1 Router 1 Server Strategie mit einer CS das richtige gewesen, jedoch habe ich einmal die Straße so wie sie jetzt ist eingeschlagen, und kann mit meiner jetztigen Lösung ebenfalls sehr gut leben!

Ich glaube, dass es auch einfach sehr oft eine gewisse Philosphische Sache ist, was jetzt das Beste sei. Am Ende ist es der User resp. Admin, der über Erfolg oder Misserfolg einer umgesetzten Konfiguration entscheidet.
Jeder hat persönliche und vor allem individuelle Gründe, gewisse Sachen in einer gewissen Art und Weise abzuarbeiten. Ich finde es nichts desto trotz gut, sich über andere Lösungen zu unterhalten, da man dadurch auch oft Denkanstösse oder Verbesserungsvorschläge bekommt, welche dann wieder gewinnbringend für das individuelle Ergebnis sind. Dazu gehört aber dann natürlich auch, zu sagen, dass man vielleicht mal eingestehen sollte, wenn es woanders einen besseren Ansatz gab. In diesem Sinne: good routing und auf das wir am Montag siegen werden!

best regards

 

[itari]

@a-jay,

ich will da nicht wirklich mit dir streiten, aber ...

alle Programme, ob Server-Programme oder andere, laufen nur, wie du so schön sagst, nur dann wenns ne Hardware dazu gibt, wobei in einem Prozessor (man denkt, das ist Hardware pur) das meiste auch nur Software ist (=Microcode). Ein Router z. B. ist auch nur ein Stück Software, denn er arbeitet auf der Paket-Ebene (Paket-Layer oder darüber) - auch wenn er in einem Kästchen steckt. Auch das meiste auf einer Netzwerkkarte (man denkt, es ist ja Hardware) ist eigentlich Software (=Programm), wenns um die Analyse und das Auseinandernehmen von Pakten geht und nicht nur um die Signalverarbeitung. Aber es ist nun nicht unbedingt wirklich wichtig, ob man dieses Verständnis teilt oder ein anderes hat.

Wichtig ist, denke ich mal, ist die Einschätzung, dass sogenannte 'Hardware'-Router/Firewall etc.-Lösungen nicht schlechter oder besser sind als die Software-Lösungen, weil das meiste, was wir als Hardware identifizieren, eigentlich ja keine ist. Letztlich kann ein Kästchen genauso verbuggt sein, wie der FTP (=dein Beispiel). Wobei ich persönlich denke, dass der FTP mittlerweile nach mehr als 40 Jahren kaum mehr Fehler hat und ich mir im Moment auch nicht vorstellen mag, was der ftp-Server an Port 21 nun anders machen soll als was ein ftp-Server im allgemeinen tut; was manchmal halt mehr ist, als man möchte, gesteh ich gerne zu.

Deinem Gedanken, dass etwas in der DMZ sicherer ist, als außerhalb, kann ich leider nicht folgen. Die DMZ wird in der Regel nur durch eine Firewall nach außen hin gedeckt. Und manchmal sogar noch nicht einmal durch eine, wie bei meinem Router, welcher mir im Hilfetext sagt, dass die IP der DMZ nicht durch die eingebaute Firewall gesichert wird und zur Vorsicht rät, überhaupt eine DMZ-IP anzugeben: The DMZ feature allows you to specify one computer on your network to be placed outside of the NAT firewall. This may be necessary if the NAT feature is causing problems with an application such as a game or video conferencing application. Use this feature on a temporary basis. The computer in the DMZ is not protected from hacker attacks. Einen Rechner hinter die Firewall zu stellen und per Port-Forwarding (mein Router nennt es 'virtual server' einrichten), ist sicherer. Im übrigen ist es Software in meinem Router, die die Port-Umsetzung macht

Es kann nun sein, dass ich deinen Beitrag bezüglich der DMZ falsch interpretiert habe und du eigentlich so etwas gemeint hattest.

Aber das soll uns nun alle nicht zu Streithähnen machen, die nun laufend darüber weiter herumreiten; allerdings bringt manchmal eine Diskussion Klarheit in ein Thema, insofern mag es nützlich gewesen zu sein, darüber zu streiten

 

[Trolli]

Einen Rechner (oder die DS) in eine DMZ zu stellen macht ihn natürlich nicht sicherer. Aber der Rest Deines Netzwerks ist dann schon besser geschützt, da eine DMZ natürlich zwei Firewalls haben sollte: eine vor der DMZ und eine dahinter, wobei die zweite keine Verbindungen von aussen zulassen sollte (auch nicht aus der DMZ).

Deutlich unsicherer wird das gesamte lokale Netz aber, wenn die erste Firewall vor der DMZ nicht vorhanden ist, wie es bei vielen Routern leider der Fall ist. Dadurch ist der betroffene Rechner nämlich überhaupt nicht mehr geschützt und wird zu einer Gefahrenquelle für das gesamte lokale Netzwerk.

Trolli

 

[a-jay]

Einen Rechner (oder die DS) in eine DMZ zu stellen macht ihn natürlich nicht sicherer. Aber der Rest Deines Netzwerks ist dann schon besser geschützt, da eine DMZ natürlich zwei Firewalls haben sollte: eine vor der DMZ und eine dahinter, wobei die zweite keine Verbindungen von aussen zulassen sollte (auch nicht aus der DMZ).

Exakt! Nicht der/die Rechner in der DMZ sind sicherer, sondern die Rechner hinter dem zweiten Router (Heim-Netz).

Ist nur ein Router vorhanden, und wird ein Port weitergeleitet auf einen Rechner/Server/Service/wie auch immer, dann kann über diese Weiterleitung dieser Rechner angeriffen werden und der hängt im Heim-Netz, das dadurch auch verwundbar ist.