DNS server i Smoothwall DMZ

Uden at være helt sikker på hvad det er du vil, er det min opfattelse at du er ude i noget sikkerhedsmæssigt snavs og måske ikke helt har forstået hvad en DMZ bruges til.

Hvad er grunden til at du vil placere DNS serveren i DMZ?

Jo, dette er etter min mening en helt vanlig og ordinær måte å bruke et dmz oppsett på.

Det finnes jo i prinsipp slik som jeg ser det to hovedmåter å gjøre disse tingene på:

1. et oppsett basert på to stk firewalls. Først en ytre bastion firewall ut mot internett. Så et nettverkssegment fram til neste firewall som man kaller dmz. På dmz så kjører alle typiske internett server funsjoner. Innenfor dmz så befinner først den innerste firewall seg, "choke firewall". Den ytterste firewalls oppgave er å beskytte mele nettverket, men samtidig å tillate den trafikk inn som er nødvendig for server funsjonene. På dmz nettverkssegmentet så vil det i noen grad være tillatt med trafikk inn fra internett. Den innerste "choke firewall" stenger i prinsipp av for all videre trafikk inn via internett og dmz slik at LAN skal være trygt i forhold til inntrengere utenfra.

2. Den annen måte, alternativ 2 baserer seg på et prinsipp der man oppnår nær den samme firewall effekt bare ved bruk av en firewall. DEnne skal da være satt opp med 3 nettverkskort. Kort 1: internett Kort 2: DMZ Kort 3: LAN

Fordelen med metode 1 for å lage dmz det er at dette er forholdvis enkelt å konfigurere og å sette opp. En annen fordel det er at det fysisk to firewalls, så dersom en hacker skulle klare å "hijacke" den ytre firewall, så står fremdels den mest restriktive firewall tilbake. Ulempen er først og fremst prisen for to fysiske firewalls.

Fordelen med metode 2 det er først og fremst at man sparer en fysisk firewall maskin. Ulempen det er at en trekortløsning er betydelig vanskeligere å konfigurere. Spesielt så gjelder dette problemstillingene rundt det å få invendige LAN Maskiner til å accesere makiner og server funsjoner på 3 kort varianten av DMZ.

Har satt opp begge disse to variantene på basis av Red Hat 7.x men aldri ved hjelp av Smoothwall. Prinsippene skulle jo ellers bli de samme. Det hele ble satt opp ved hjelp av iptables script. Men hva slags kernel er det i smoothwall ? 2.2.x eller 2.4.x ?? Konfigurering er ut fra grafisk interface ??

Når jeg satte opp disse tingene så hadde jeg sånn sett tilgang til flere faste ip adresser, men for å få løsningen litt rimelig enkel så satte jeg bare opp en enkel ekstern ip og så lot jeg det øvrige kjøre på interne nummerserier. Requester innenfra LAN og utenfra fra internett ble forwardet til aktuelle interne ip på basis av portnummer.

Kan du legge litt mere detaljopplysninger om hvordan du har tenkt å få det helt til å kjøre, hva som skal kjøre på dmz osv.

En annen og enklere måte å lage dmz på i dette tilfellet det er å la adsl modemet ivareta den ytre firewall funsjon. Så legges dmz mellom adsl modem og Smootwall. Smootwall settes da opp bare som 2 port maskin og den gis oppgaven / funksjonen til til en chocke firewall i et dobbelt firewall oppsett. Dette er sannsynligvis enklere å sette opp. (Forutsatt at ditt adsl modem har den funsjonalitet som behøves. Hva slags modem dreier det seg om ??)

Den tradisjonelle nevnte metode med 2 stk firewalls (Slik som foreslått like over). http://www.sans.org/rr/firewall/DMZ.php

Tre kort modellen prinsippielt. Man kan godt "bygge" en slik med Linux, men konfigureringen blir noe mere komplisert og det oppstår ofte den type problemer som dette spørsmålet inneholder. Det som typisk kan være problemstillingen det er for eksempel å få egene klienter på lan til både å fungere riktig mot externe servere på inernett og egene servere på dmz.
http://cc.uoregon.edu/cnews/spring2002/firewall.html

Forslag a.) 2 kort løsning:

--Internett--ADSL/Firewall/Router--DMZ-Serv--Linux-Firewall--Lan---ArbStasjon-

Alternativt forslag b.) 3 kort løsning:

--Internett--ADSL/FIREWALL/ROUTER--eth0-Linux-Maskin---eth1--LAN---Arbeidssta
                                                    I
                                                    I-eth2--DMZ-Servere------

"Ascii grafikken" fungerte ikke. De to nederste linjene skulle startet ved eth1. (Slik at linjene slutter av likt.)

Kunne du eventuelt brukt Red Hat 7.3 eller må det være Smoothwall ??

Hva med web servere eksterent og på dmz, fungerer det nå ? Problemstillingen her blir vel noenlunde den samme som for dns server problemstillingen.

I DMZ zonen kører pt. en WEB server med en fast ip. Denne fungerer upåklageligt. DNS-serveren fungerer til dels. Med nslookup direkte på
dns-serveren kan jeg godt lave opslag. Men hvis jeg på en hvilken som
helst anden pc i netværket bruger nslookup med dns-serverens ip-adresse
som server får jeg kun timeouts. Er det Smoothwall'en der forhindrer
trafikken (jeg har forsøgt at forwarde port 53 direkte til dns-serveren) eller er det dns-serveren der ikke er sat rigtigt op ?

Det er jo egentlig ikke godt å vite. Det eneste jeg vet det er at den gangen jeg selv satte opp en Red Hat 7.1 på samme måte, så hadde jeg ganske mange problemer med å route trafikken fra lan til dmz og fra lan til internett. Det hadde en tendens til å bli enten det ene eller det annet. Gikk derfor bort fra løsningen og brukte 2 stk red hat i stedet. (Med dmz i midten.)

Kan du kjøre kommando "uname -a" og sjekke hviken kernel det er du har på Linux maskinen ?

eller: "uname -r"

Bla på grunn av de interessante beskrivelsene som står her så har jeg nå lastet ned og testet ut (delvis) Smoothwall 1.0 og 2.0.

Begge disse er etter mitt syn bygget opp ut fra et standard prinsipp for en 3 port router.

Begge smoothwallene kjørte upåklagelig som 2 port firewalls men da jeg forsøkt å sette opp en 3 port løsning med dmz da ville heller ikke tingene kjøre her hos meg. Problemene var faktisk ennå større. Kunne faktisk hverken pinge eller komme i kontakt med orange dmz kort.

Har satt opp slike 3 port løsninger "på experimental basis" ved hjelp av Red Hat Linux. (Kernel 2.4.x)

I de interaktive dialogene/det konfigureringsverktøyet som finnes hos smoothwall så finner jeg ingen steder beskrivelse av de forwarding funksjonene som skal til for å få til en portforwarding fra LAN til orange/dmz sone. (Med mindre det eventuelt skulle finnes noen slags "skjult automatikk" for dette.

Kan heller ikke finne dette beskrevet i Smoothwall sin dokumentasjon.

Legger du et par ord om hvordan det går (ettersom jeg vurderer en ny testrunde.) :-)

MVH Langbein.

Forresten: Kernel Smoothwall 1.0: 2.2.x Smoothwall 2.0: 2.4.x
Smoothwall 2.0: Statefull inspection firewalling.
(Det siste ser man hvis man kjører kommando "iptables -L".)

Kunne du ellers tenke deg å sette opp en Red Hat firewall router som gjør samme jobben (med dmz)?? (Synes det er greit og faktisk ganske morsomt å skrive script, men blir av og til trett av å kople opp og teste.)

Har du tilladt trafik fra lan til dmz???? Det er en velkendt sikkerheds begrænsning at man ikke tillader trafik fra lan til inet til dmz. Man skal aldrig kunne tilgå dmz via ydersiden af firewall´en (undgå spoofing). Det skal foregå direkte fra lan til dmz.

Prøv at lave en access rule der tillader trafik fra lan til dmz, så tror jeg det virker;-)

Ja, men hvordan gjør man dette ?? Kikket etter et sted for å kunne sette opp nettop denne trafikken i Smoothwall 1.0 og 2.0 Kunne ikke finne noen slik mulighet. Derfor forslaget om å bruke Red Hat der dette skulle være godt mulig.
(I smoothwall er det jo bare et nokså enkelt grafisk konfigurasjonsgrensesnitt og få andre muligheter. Hos Red Hat (eller en 2.4.x "standardlinux") så kan man jo sette opp trafikken eksakt slik som man ønsker vha script.)

Godt mulig at jeg ikke har satt meg godt nok inn i Smoothwall. Kunne i hvert fall ikke finne noen mulighet for å sette opp trafikk fra lan til dmz.

Andre som sitter på info om hvordan dette kan gjøres ??