10. april 2003 - 19:09Der er
3 kommentarer og 2 løsninger
Hvilken opsætning/kombination??
Hejsa exp.dk
Jeg har lige et "lille" spørgsmål til hvordan jeg på den bedste måde sætter mit lokalnetværk op med følgende udstyr:
1 stk Zyxel 642R Adsl Router 1 stk Zyxel Zywall 1 1 stk Server m. Astaro Security Linux 3.2 ( Opdaterer til 4.0 )
Førhen stod min ASL 3.2 server direkte efter routeren og stod for NAT - samt firewall.
Eftersom jeg netop har erhvervet mig min Zywall 1 skal den kobles ind i netværket... Men hvordan klarer jeg det smartest. Der er følgende krav:
1) Mit netværk skal deles op i en Sikker Zone og en DMZ ( Jeg har 3 servere stående... ) 2) Der skal oprettes en VPN-tunnel fra det sikre netværk til en arbejdsplads. 3) Jeg vil ikke gå på kompromis med sikkerheden. 4) Serveren med ASL 3.2 skal bevares pga NAT-funktionaliteten... Der er ikke plads til nok NAT-entrys i Zyxel 642R eller Zywall1
Jeg har overvejet følgende opsætning: Zyxel 642R -> Zywall 1 -> Asl 3.2 ->DMZ | Sikkert LAN
Jeg er i tvivl om en dygtig hacker vil kunne bryde ind på DMZ-nettet til den ene server, og derfra oprette en VPN-tunnel til arbejdspladsen gennem Zywall'en som jo er imellem... I dette tilfælde vil jeg ikke få brug for den indbyggede firewall i Zywall'en da jeg lader al trafik gå videre til min server med ASL 3.2
I dette tilfælde vil firewallen i Zywall'en beskytte mit lokalnetværk. Desuden vil jeg kunne oprette en VPN-tunnel til arbejdspladsen. Er det korrekt at en dygtig hacker ikke vil kunne komme ind på den beskyttede side af zywall'en ??
Eftersom der bl.a. kører mailserver, webserver som jeg skal have adgang til er det vigtigt at jeg kan komme ind på DMZ-nettet. Men der må ikke være adgang den anden vej...
For at opsummere vil jeg gerne have den bedst mulige kombination af ovenstående hardware... Og den skal selvfølgelig overholde de krav jeg har stillet :D
Jeg har overvejet følgende opsætning: Zyxel 642R -> Zywall 1 -> Asl 3.2 ->DMZ | Sikkert LAN Lige en rettelse.. Hvis tegningen viser at der skal være forbindelse mellem DMZ og Sikkert LAN er det forkert... Det skal selvfølgelig være mellem ASL 3.2 og DMZ samt ASL 3.2 og Sikkert LAN
Zyxel 642R -> Zywall 1 -> ASL 4.002 ->DMZ | Sikkert LAN
Nu kan du oprettet din VPN enten inde fra dit LAN eller via din Zywall - og således route trafikken ud i din VPN tunnel direkte på Zywall'en.
Jeg har dog lidt svært ved at se berettigelsen for din Zywall - i forhold til din ASL. Din ASL kan løse alle disse ting alene - og du har helt klart bedre styringsmuligheder i ASL end du har i Zywall.
Nu er det jo ikke for at være provokerende, men når du har Astaro'en, hvorfor købte du så osse Zywall'en, der ganske givet er fiks og let at bruge, men kan mindre. Nu kommer jeg lige med mit oplæg, og så kan du jo bruge det som inspiration. Du har skrevet en del om dit net, men jeg er alligevel nødt til at lave nogen antagelser. Jeg ville lave en løsning bygget op omkring en enkelt firewall, da det ikke hjælper en pind at sætte en firewall mere i mellem så længe begge disse firewalls er baseret på regler om hvilke port der må lukkes igennem, og hvordan. Skal trafikken igennem den første skal nøjagtig den samme regel puttes i den næste firewall også, og det eneste du opnår er dobbeltadministration og en langt mere besværlig fejlfinding.
Nå, for at komme til sagens kerne, så er mit forslag som sagt at putte et ekstra netkort i Astaro'en. Så har du et ben til yderside, et til inderside, og et til DMZ. Så skal du jo bare lave forwarded og allow'et mail og http ind til hhv mailserver og web server på DMZ'en. Du kan jo så sætte en regel op, at du kan tilgå alt på DMZ indefra, hvilket ikke udgør noget problem i forhold til din sikkerhed, da svar jo kun kan gives på sessioner der er initialiseret indefra din LAN. Sørg for at intet fra en farligere zone kan initialisere en forbindelse mod en sikrere zone. Så er du nogenlunde fornuftigt kørende. Data som fx din fil-server, hvis du har sådan en, skal du bare (om muligt) holde på dit LAN. Det tjener ikke noget formål at de ligger ude på DMZ, og de skal alligevel kun tilgåes fra dit LAN. Mht til sikkerhed, så er det jo osse vigtigt at du for din egen nattesøvn's skyld kører noget godt virusbeskyttelse på din mail-server. Jeg kører selv med Trend Micro's Interscan Viruswall. En smtp "proxy" der scanner al ind og udgående post inden det læsses ind på min Lotus Notes mail server. Din webserver er osse ret vigtig at holde vedlige med opdateringer. Der er noget der hedder Microsoft Baseline Security Analyser. Et bette tool, man kan hente, der kan sige hvilke patches man mangler for at være sikker (indenfor hvad der er kendt). Hmm, tjae, det var vist hvad jeg kunne komme på i denne omgang.
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
