Sicherheits / Firewall - Architektur für Diskstation

[whitbread]

Hallo,
ich bin derzeit dabei meinen DSen eine Sicherheitsarchitektur zu verpassen, bei der ich beruhigt schlafen kann. Auch nach Lektüre diverser Netzwerk-Threads bin ich noch unsicher, wie nun eine DS, die von aussen erreichbar sein soll und halt sensible Daten bereitstellt optimal gesichert werden kann. Zwischen der klassischen SOHO Anbindung mit NAT-Router und der aufwendigen Anbindung grosser Firmen findet sich nicht so viel.

Aktuell habe ich - wie vermutlich die meisten hier - die klassische Architektur ISP - Modem - DSL-Router mit NAT und Port Forwarding - LAN / WLAN. Dabei habe ich eine DS412+ als Fileserver, die nach aussen nur die Ports für Webdav, DSM und VPN freigegeben hat und eine DS212+ als Webserver, die nach aussen zusätzlich die HTTP Ports freigegeben hat und ansonsten als Backup-Server dient. Sensible Daten habe ich auf der DS verschlüsselt, so dass diese auch nur verschlüsselt gesichert werden. Innerhalb des (W)LAN werden die Dienste wie Samba, Airprint, Airplay, Cloudstation, iSCSI, u.a. genutzt.

Angeregt durch die Tutorials auf administrator.de überlege ich derzeit, mein Netzwerk mit einer dedizierten Firewall wie pfSense oder Mikrotik abzusichern.

Folgende Architekturszenarien kommen mir in den Sinn:
0) Aktuelle Architektur mit NAT-Router und Port-Forwarding

ISP - Modem - DSL-Router mit NAT und Port Forwarding - LAN / WLAN

Ist die Freigabe der HTTP-Ports auf eine DS (Webserver und Backup) und die Freigabe von DSM, WebDAV und VPN auf die andere (Fileserver, VPN, u.a.) wirklich so unsicher ?
1) Einstufige Firewall-Architektur mit DMZ für Webserver und WLAN und getrenntes LAN mit dem Fileserver

ISP - Modem - Router/Firewall mit PPOE - DMZ / WLAN
                       |
                      LAN

Bietet ein dedizierter Router/Firewall ohne NAT und die Einrichtung der DMZ einen klaren Gewinn an Sicherheit?
2) Einstufige Firewall-Architektur mit VLAN-Switch, somit getrennten Netzen für Webserver, WLAN und Fileserver

ISP - Modem - Router/Firewall mit PPOE - VLAN-Switch - VLAN 1: DMZ / WLAN
                                              |
                                            VLAN 2: LAN

Welchen Vorteil hätte die Netzwerksegmentierung durch VLAN?
3) Zweistufige Firewall-Architektur mit DSL-Router und getrennten Netzen

ISP - Modem - DSL-Router mit NAT und Port Forwarding - DMZ / WLAN - Router - LAN

Welchen Vorteil hätte diese 2-stufige Lösung?

Allgemein bleiben noch weitere Fragen:
1) Bleibt ein Zugriff aus der DMZ in das LAN per VPN zulässig, um bspw. WLAN-Geräten Zugriff auf den Fileserver zu ermöglichen?
2) Gehören WLAN und Webserver in ein Netzwerksegment oder gehören diese getrennt?
3) Wo gehört der VPN-Server hin: Router vs. DMZ vs. LAN oder kaskadierend ?


Wer hat eine über den klassischen NAT-Router hinausgehende Konfiguration und mag seine Ansichten und Erfahrungen teilen ?

 

[itari]

hab deine Architektur nicht ganz verstanden ...

(1) in meinen Augen bringt eine DMZ nur dann etwas, wenn sie von zwei Firewalls eingeschlossen wird und Proxy-Dienste in der DMZ zur Verfügung gestellt werden ... DMZ bezeichnet ja prinzipiell den 'unsicheren' Bereich eines Netzwerkes, welcher deswegen durch Firewalls abgeschottet werden muss
(2) WLAN ist prinzipiell unsicherer als kabelgeführtes LAN ... also minimieren oder ganz sein lassen
(3) VPN sollte als Brücke gedacht werden ... also zwischen zwei Netzen, die man virtuell als eine Einheit betrachten möchte ... je kleiner die Netze, desto geringer ist der Schaden, falls ein Hacker erfolgreich ist
(4) grundsätzlich ist jede Architektur mit Netzzugang unsicher, also immer einen Rettungsplan vorsehen und regelmäßig die Logs inspizieren
(5) und ich langweile mit der Passwort-Geschichte: komplexe, lange und häufig gewechselte Kennworte sind besser als keine *gg*

Itari

 

[whitbread]

Hallo Itari,

also Netzwerk aktuell ist DSL-Router mit NAT und dahinter der Rest incl. WLAN.

Auf WLAN verzichten geht nicht, da Notebook und eipads daran hängen; daher die Idee der Trennung - egal, ob man es nun DMZ nennt oder nicht. Ich würde dann den Webserver und das WLAN in ein Subnetz stellen und den Fileserver in ein eigenes ohne WLAN. Zugriff vom eipad dann über VPN auf den Fileserver. Würde ein RADIUS - Server die Sicherheit erhöhen?

Das jeder Netzzugang ein Risiko bedeutet ist mir klar; nur bin ich viel unterwegs und muss an meine Daten 'ran. Zuhause sind die mir dann doch lieber als in der Cloud. Jetzt will ich halt das optimal Darstellbare - unter Berücksichtigung von Kosten und Aufwand umsetzen.

Pw's sind soweit sicher, auch mit 2-Stufen-Verifizierung bei DSM.


Die für mich zentrale Frage ist die Anordnung der/des Routers und der Subnetze:

A) ISP - Router/Firewall - VLAN Switch und daran ein VLAN-Subnetz für WLAN und Webserver und eines für den Fileserver

B) ISP - Router/Firewall und daran zwei getrennte Subnetze

C) ISP - NAT-Router - und daran Subnetz für WLAN und Webserver, sowie getrennt durch Router/FW der Fileserver

Alleine durch das Ersetzen des klassischen NAT-Routers durch eine dedizierte FW erhoffe ich mir einen Sicherheitsgewinn; liege ich da verkehrt?
Insgesamt bleiben nach aussen offen: DSM, VPN, WebDAV und HTTP(S)