Eigene DMZ mit Cisco Router

[ikarus1]

Hey Leute!
Ich habe einige Fragen und hoffe, dass ihr mir weiterhelfen könntet. Und zwar möchte ich in meinem Heimnetzwerk eine DMZ einrichten um einen Server zu betreiben, auf dem aus dem Internet zugegriffen werden soll, auf mein LAN jedoch nicht. Dazu habe ich einen Cisco rv082 Router gekauft und besitze einen von meinem Anbieter Unity-Media.
Hat eventuell bereits jemand Erfahrungen im Einrichten einer DMZ und im Konfigurieren der Router gesammelt?
Wie sieht es aus mit den statischen IP-Adressen? Eine wird nicht ausreichen, kann man beim Anbieter weitere beantragen?
Ich würde den Cisco-Router ans Internet anschließen und alle Zugriffe (in die DMZ) erlauben. Den Unity-Media Router klemme ich dann an den Cisco. Wie sieht es beispielsweise aus mit DHCP? Muss ich es auf dem Cisco-Router aktivieren und auf dem von Unity-Media deaktivieren?
Wie ihr seht steh ich noch am Anfang meines Projektes und bin dabei möglichst viele Informationen zu sammeln. Ich würde mich über eine Antwort von erfahrenen Leuten freuen, sodass wir uns weiter austauschen können.
Lg

 

[Reepo]

Ist es von Unity-Media erlaubt so etwas aufzubauen?

Und wegen der IP, das kannst Du mit DynDNS umgehen.

 

[chrigu]

du bekommst von unitymedia zwei statische ip, falls du business kunde bist. und zwar eine ipv4 und eine ipv6. für mehrere externe ipv4 wird das recht teuer, da zwei abos, zwei modems und eventuell sogar ein zweiter anschluss gezogen werden muss.

aus dieser sicht wird dein vorhaben wohl an den finanziellen mitteln scheitern.

wozu brauchst du unbedingt ein eigenen server?
da gibt es günstige alternativen zu mieten, für games, für daten zu schieben, für websites usw. pro monat je nach grösse ab 10 euro.. du hast damit nur vorteile.

 

[Conqi]

für mehrere externe ipv4 wird das recht teuer, da zwei abos, zwei modems und eventuell sogar ein zweiter anschluss gezogen werden muss.

In den Business Verträgen sind je nach Paket bis zu 5 statische IPv4 Adressen inklusive, in den kleineren Paketen kann man sie kostenpflichtig nachbuchen.

 

[ikarus1]

Danke für die schnellen Antworten. Ich habe auf meinem Raspberry-Pi die debian Distribution honeeepi laufen. Auf der sind mehrere Honeypots und IPS/IDS vorinstalliert. Ich würde den Server gerne ans Netz bringen, um Erfahrungen zu sammeln. Es geht mir vor allem darum, zu beobachten, was versucht wird in den Honeypots zu installieren etc. Außerdem würde ich auf diese Weise gerne den Umgang mit Snort lernen. Ich könnte es natürlich auch in VM's laufen lassen, aber das kostet mich an Performance.
Ist die Umsetzung eventuell durch den Cisco Router mit VLAN's möglich?

 

[Raijin]

Hm.. Hast du überhaupt Erfahrung in solchen Dingen? Versteh mich nicht falsch, aber wenn du keine Ahnung hast wie du DHCP, etc. einrichtest, dann möchte ich nicht wissen wie groß die Scheunentore werden, die du in deinen Server einbaust. Ok, du willst nen Honeypot bauen, aber gerade das ist dann ja das Risiko, weil die potentiellen Angreifer beliebigen Unfug auf dem Server treiben können. Wenn du dann selbst nicht die entsprechenden Kenntnisse und Fähigkeiten hast, das Netzwerk samt DMZ, Firewall, DHCP, etc. aufzusetzen, dann darfst du dich auch nicht wundern, wenn einer der Angreifer es eben doch schafft, auch dein Heimnetzwerk anzugreifen.

Dein Enthusiasmus in allen Ehren, aber Internet-/Netzwerksicherheit ist kein Spielplatz. Wenn du Erfahrung mit Servern sammeln willst, dann fang erstmal an, kleine Brötchen zu backen. Beschäftige dich intensiv mit Firewalls, Routing und Co. Im Idealfall machst du das alles bevor du irgendetwas ins Internet stellst.........

 

[ikarus1]

Hey Raijin,
praktische Erfahrungen habe ich tatsächlich nicht. Ich denke schon, dass ich mich zumindest theoretisch recht gut mit den Themen DHCP, NAT, Firewalls etc. auskenne. Aber genau das ist das Problem, vor dem ich zur Zeit stehe. Ich habe nur theoretisch Ahnung, keine praktischen Skills.
Aber aus deiner Kritik habe ich schon ein paar Gedanken mitgenommen. Es ist auf jeden Fall nicht sinnvoll, meinen Raspberry Pi als Honeypot direkt ans Netz zu bringen. Ich werde es erstmal mit VM's versuchen so einzurichten, wie ich es später bei mir im Heimnetzwerk vorstelle. Dann werde ich auch vorerst einen (Apache)-Webserver nutzen, um nicht direkt mit einem Honeypot die ganze Aufmerksamkeit direkt auf mein Netzwerk zu lenken.
Erfahrungen mit Servern habe ich bereits (zumindest grundlegend). Ich betreibe einen kleinen FTP-Server. Aber einen Server zu mieten, bringt mich in Sachen Erfahrungen sammeln nicht weiter. Dadurch sammel ich keine Erfahrungen in der Netzwerkarchitektur und nichts über das Einrichten von Netzwerken. Im Prinzip ist meine grundlegende Idee, eine kleine Firma mit internem LAN und isolierter DMZ einzurichten. Ich kann viel über DMZ's lesen, die Umsetzung lerne ich jedoch nur durchs "machen". Es ist ja (leider) noch kein Meister vom Himmel gefallen.

Raijin, Hast du praktische Erfahrungen in der Einrichtung von solchen Netzwerken? Was wäre deine erste Herangehensweise? Die Umsetzung in einer VM lehrt mir nur bedingt die Konfigurationen der einzelnen Router.

Glaubt ihr, dass der Cisco Router eine gute Hardware dafür ist?

Für negative und positive Kritik bin ich immer offen, vor allem aus der negativen kann man viel mitnehmen!
Ich

 

[Raijin]

Letztendlich sind für deine Erfahrungen zwei große Felder wichtig:

1. Wie konfiguriere ich einen Server. Firewall, Logging, denyhosts, etc..
2. Wie konfiguriere ich eine (HW-)Firewall, Router, etc.

Das solltest du erstmal in Trockenübungen machen, also ohne jegliche Internetanbindung. Irgendjemand hatte mal vor einiger Zeit ein cooles Tool gepostet, bei dem man Netzwerke, Router, Firewalls, etc simulieren konnte. Leider hab ich den Link verbummelt. Ansonsten kann man sowas zB auch mit mehreren VMs testen. Eine simple VM mit zB TinyLinux oder sowas reicht vollkommen für kleinere Setups. Davon kann man mehrere parallel laufen lassen und mit Routing, Firewalling, etc. spielen.

Das Ding ist halt, dass (semi)professionelle Router, etc. deutlich komplexer sind als zB eine Fritzbox, weil die Kisten eben einfach viel mehr Funktionen bieten und auch deutlich flexibler sind. Komplexität und Flexibilität setzt aber auch ein gehöriges Maß an Erfahrung bei der Einrichtung voraus.

 

[ikarus1]

Glaubst du, dass das Kostenlose NetSimK ausreichend ist?
http://netsimk.com/index.html

 

[Raijin]

Hab das mal überflogen. So auf den ersten Blick taugt das Tool für's Routing, aber ich hab da jetzt nix mit Firewalls gesehen. D.h. ein isoliertes Netzwerk mit reglementiertem Zugriff - wie zB eine DMZ - kann man dort nicht nachstellen. Kann aber sein, dass ich das einfach übersehen habe.

Eine DMZ als solche ist ja so konzipiert, dass Traffic von extern reinkommt (klar, da stehen ja die Server), aber von der DMZ nicht ins eigentliche Hauptnetzwerk kommt. Nur dann, wenn Traffic vom LAN aus initiiert wird, darf die DMZ auch ins LAN antworten (zB wenn man vom LAN auf das NAS in der DMZ zugreifen will) Damit wird verhindert, dass gekaperter ein Webserver in der DMZ von sich aus das LAN angreifen kann.

Ich bin mir nicht sicher ob man das in dem Tool nachbilden kann. Wie gesagt, Netzwerke sind nicht so trivial wie man anfangs denken mag. Auch wenn man sich zB bei einem Cisco-Router, MikroTik, EdgeRouter oder beliebigen anderen Geräten der eingebauten Wizards bedient, um zB eine DMZ zu erstellen, sollte man die Funktionalität, die dahintersteckt, dennoch verstehen und nachvollziehen können. Sonst sucht man sich bei Fehlern tot, weil man nicht kapiert warum zB der Server in der DMZ nicht aktiv eine Verbindung ins LAN aufbauen kann - selbst wenn das gewollt ist.