Grundlagenfragen: Firewall zur Absicherung des Firmennetzwerk

[jyveee]

Ich habe ein paar Anfängerfragen zum Thema Firewall. Ich würde mich über jede Hilfe freuen. Gerne auch Verbesserungsvorschläge oder einfach nur nützliche Stichworte oder Lektüre bzw. Links. Vielen Dank schonmal.
Die eigentlichen Fragen kommen weiter unten.

Zunächst die Ausgangslage:

Ich plane gerade ein Aufsplitten eines Netzwerks. Wir haben ein Büro in einem Gemeinschaftskomplex mit bestehendem Glasfaseranschluss via Fritzbox. Ich habe vollen Zugriff und bin quasi Systemadmin. Ich möchte nun unser Firmennetzwerk abschirmen. Dazu habe ich eine Zyxel USM 40 zur Verfügung.

In unserem Netzwerk laufen fast alle Server in einem Proxmox Umfeld, zusätzlich gibt es eine NAS und diverse andere Geräte (Alarmanlage, Gebäudeautomatisierung, 3D Drucker, IP Telefon etc). Das Netzwerk soll später via VPN von aussen erreichbar sein.

Es soll 3 Bereiche geben:
Bereich 1: öffentliches Netzwerk
Bereich 2: privates Unternehmensnetzwerk
Bereich 3: DMZ

Als Server laufen:

... im "öffentlichen Netzwerk (Bereich 1)"* ...
ein NVR (0)

...im Firmennetzwerk (Bereich 2)...
eine (1) Nextcloud-Webserver (inkl 2 Apache vHost für Nextcloud und Collabora im docker container),
ein (2) Windows Server (ActiveDirectory, Workstation für Office, Buchhaltung etc. via RDP),
eine (3) IOBroker Instanz,
ein (4) Homematic Server als Alarmanlage,
eine (5) NAS für Backups

... in der DMZ (Bereich 3) ...
ein anderer (6) Webserver (als Apache2 Reverse Proxy, TURN Server, roundcube Webmail Client sowie der Unternehmenswebseite) soll in einer DMZ laufen.

• öffentlich bedeutet, alle Personen auf dem Gemeinschaftskomplex haben Zugriff

Folgendes soll gewährleistet sein:
1. der Reverse Proxy in dem öffentlich von außen erreichbaren Webserver (6) soll den im privaten Netzwerk befindlichen Nextcloud-Webserver erreichen (Port 80, 443, 9980, 3478, 3479)
2. Guacamole auf dem selben Webserver (6) soll den RDP Dienst auf dem Windowsserver (2) erreichen können (Port 3389)
3. Der Reverse Proxy auf Webserver (6) soll den IO Broker Server auf Port 80 und 443 erreichen
4. Der Webserver (6) soll Backups auf der NAS (5) via FTP machen können (Port 21)
5. Rechner im Firmen Netzwerk (Bereich 2) sollen den NVR (0) im öffentlichen Netzwerk (Bereich 1) erreichen können
6. Das IP Telefon soll Anrufe empfangen können
7. Geräte aus Bereich 1 sollen keine aus Bereich 2 erreichen können

Der Proxmox Server hat zwei Netzwerkkarten (NIC 1 und 2).

Wie kann ich realisieren, dass alles gewährleistet ist. Ich bin leider nicht so fit was Firewalls angeht. Wie ist diese zu konfigurieren? (generell). Welche Einstellungen sind wichtig für mich? (Nat, Portfreigabe, etc).

Muss der Webserver (6) in beiden Netzwerken "hängen"? Also eine NIC die in Bereich 2 verbindet und eine NIC die in Bereich 3 verbindet? Wie stelle ich sicher das die Pakete in die richtigen Netzwerke gesendet werden. Unterschiedliche Netzwerkbereiche notwendig?

Wie stelle ich sicher dass die Fritzbox (Bereich 1) die Pakete annimmt und an den richtigen Server leitet. Also ein http-Paket kommt rein das zur Nextcloud (1) soll. Stelle ich die Portfreigaben (z.B. Port 80) nun so ein das sie zunächst an die Firewall geleitet werden? Wie stelle ich sicher das die Firewall die Pakete dann an die Nextcloud in Bereich 2 weiterleitet?

Wie stelle ich sicher das eine VPN Verbindung mit dem Firmen-Netzwerk aufgebaut werden kann? Was muss dazu in der Fritzbox (Portfreigaben für VPN?) und was in der Firewall (als VPN Server?) eingerichtet werden

Ist dieses Netzwerk sicher? Was wären eure Verbesserungsvorschläge? Habe ich etwas übersehen?

VIELEN DANK FÜR EURE HILFE!!!

 

[xxMuahdibxx]

Firma + Fritzbox - Systemhaus = ohje ..

Sorry aber wenn es darum geht so etwas richtig zu planen sollte man schon das Geld dafür ausgeben und sich bei Fachkräften Rat hohlen ... nicht das hier keine Wären ... aber gerade sowas sollte schon noch von anderen mehr durchdacht werden.

 

[snaxilian]

quasi Systemadmin

Quasi ne handvoll Youtube Tutorials geschaut? Sorry aber dir fehlen echt die absoluten Grundlagen-Kenntnisse im Bereich Netzwerke sowie IT-Sicherheit.
Da du ja auch Links möchtest: https://www.elektronik-kompendium.de/sites/net/index.htm
Eigentlich kannst da einmal alles lesen. Zumindest die Grundlagen werden da recht gut erklärt.

Kann der Switch in der Mitte des Bildes mit VLANs umgehen?
Wenn du verschiedene Schutzbereiche (intranet, dmz, public, etc) willst, dann macht es Sinn unterschiedliche VLANs und Subnetze zu verwenden und die Firewall regelt die Zugriffe untereinander.

Windows Server (ActiveDirectory, Workstation für Office, Buchhaltung etc. via RDP)

OGOTT nein. Domain-Controller kommt auf eine eigene VM.

Ansonsten grundlegender Tipp neben dem bereits genannten Systemhaus:
Eine Firewall ist kein Allheilmittel, gerade die kleineren Systeme können oft nur nach Ports und den Protokolltypen gucken. Da kannst zwar definieren, dass nur Zugriff auf Server XYZ, tcp/443 und http/https erlaubt ist. Wenn aber die dann erreichbaren Anwendungen Lücken haben, Anwender oder schlimmer Admins schwache Kennwörter oder kein 2FA/MFA verwenden hilft dir auch keine Firewall.

Stell dir deine IT wie ein Haus vor. Die Firewall ist die Haustür aber wenn diese offen ist oder ich andere Wege herein finde (Kellertür, offene Balkontür, etc. sind in dem Beispiel das die eben genannten Schwachstellen) dann ist ein Angreifer drin und kann sich austoben.
Was da hilft ist ein kleiner 8-jähriger Kevin, der es Bösewichtern kontinuierlich schwer macht und Hindernisse aufbaut, sprich Defense in Depth.

 

[h00bi]

Generell ist es auch eine miese Idee dass du im "public" Netz und im Privaten Netz den gleichen IP Adressraum nutzen willst. So kann ein Gerät aus dem Firmennetz nie auf die Kameras bzw. auf den NVR kommen.

Die Kameras und der NVR gehören zum Gebäude?
Hier ist "public" evtl. etwas fehlplatziert. public impliziert öffentlich für jeden.
Ggf. solltest du also gleich noch über ein Gastnetz nachdenken.

Was arbeitet als VPN Server? Die USM?

Ansonsten hast du von außen schon mal 2 Probleme: Du musst den VPN Traffic durch die Fritzbox und durch deine Zyxel USM leiten. Also jeweils 2 Portforwardings für allen Traffic der zu dir rein soll.
Hier wirst du evtl. auch Probleme bekommen wenn andere Firmen Ports wie 80 oder 443 für sich beanspruchen wollen. Ich gehe mal davon aus ihr habt nur eine öffentliche IP.

1. der Reverse Proxy in dem öffentlich von außen erreichbaren Webserver (6) soll den im privaten Netzwerk befindlichen Nextcloud-Webserver erreichen (Port 80, 443, 9980, 3478, 3479)

Ich verstehe was du damit erreichen willst, aber wenn der nextcloudserver außerhalb des Netzwerks vom Webserver liegt brauchst du keinen Reverse Proxy.
Ich würde hier evtl. die lokalen DNS Einträge so manipulieren dass der Traffic intern umgeleitet wird. Wie das Sicherheitstechnisch aussieht kann ich dir ehrlich gesagt nicht beantworten.

 

[DerGast]

Klar, kann man alles so machen...
Wäre nicht die erste Umgebung die via Fritzbox ins Netz geht.
Die Frage ist halt auch immer, was ist man bereit zu konfigurieren?

Die Zyxel USG40 hat auch einen WAN Port.
Wenn Du Dir ein Modem besorgt (pass-through), dann kannste die USG auch als "richtiges" Gateway nutzen und ersparst Dir umständliche Konfigurationen mit Portforwardings und Co.
Ich glaube nämlich dass spätestens bei einem doppelt belegten Port (zB 443 für SSL VPN und https) die Fritzbox ein Problem darstellt, selbst wenn der Reverseproxy den Einsprungspunkt über XX.domain.tld erkennen sollte(!).
Die Fritzbox lauscht ja nur auf Port 80... ähnlich wie ne Hausnummer. Sie kann aber nicht frei entscheiden (da keine WAF/RP) ob Port 80 nun zur Nextcloud oder Webserver oder zu Herr Müller gehen soll.

Der Reverseproxy einer UTM ist sonst in der Lage zu erkennen:
mail.domain.com:443 soll zum Mailserver
nextcloud.domain.com:443 soll zum nextcloud VM
nas.domain.com:443 soll zum NAS

Die internen Ports lassen sich dann auch super für DMZ Zwecke gebrauchen (hast Du ja auch so angedacht).

Allerdings hat h00bi meines Erachtens zwei relevante Punkte erwähnt: öffentliche IP und VPN
Du möchtest gefühlt 10 Dienste über eine(?) IP veröffentlichen. Sogar der MX soll, wenn ich dein Schaubild so sehe, darüber laufen.
Das fällt Dir irgendwann auf die Füße.
Wie sieht's eigentlich mit der VPN Performance der Zyxel aus? Gibt's da nicht sogar eine Begrenzung?

Btw sind unterschiedliche Netze bei Verwendung eines VLANs echt sinnvoll, das macht die Fehlersuche später auch einfacher. Bringt aber mit sich, dass Du entweder Netzwerkhardware einsetzen solltest welche mit tagged VLAN umgehen kann, oder aber untagged Ports am Switch konfigurieren müsstest. Und das bringt wiederum mit sich, dass Du entsprechende Switche hast und Du technisch etwas damit anfangen kannst.

Alles in allem technisch machbar... aber nicht via Foren-Support.

 

[t-6]

Auch noch so eine Frage: Du schreibst was von "Gemeinschaftskomplex". Und dass anscheinend eine gemeinsam genutzte Fritzbox bereitsteht.

Hier aber das größte Problem: Sobald auch nur ein anderer Kunde eine Portweiterleitung für 80, 443 oder 25 auf sein Firmennetz haben will, kannst du das ganze Konstrukt eigentlich direkt vergessen, weil die Fritzbox eben eine Portweiterleitung/DNAT nur auf eine einzige IP-Adresse zulässt.
Und mit PAT kannst du vielleicht ein paar obskure Dienste/Ports shiften, aber 80, 443 & 25 nicht (also das geht schon, ist aber ohne weiteren Kommentar absoluter Schwachsinn).

Je nachdem was Ihr für ein "Gemeinschaftskomplex" seid, könnte man überlegen anstelle der Fritzbox eine potente UTM (oder 2...) hinzustellen, über die die verschiedensten Dienste sauber veröffentlicht & aufgetrennt werden können. Das braucht aber Planung, Zustimmung (inklusive der gemeinschaftlichen Finanzierung!) und vor allem muss es eine unabhängige Instanz geben die die UTM verwaltet.
Auf gar keinen Fall sollte irgendeine Person innerhalb des "Gemeinschaftskomplex" die Zugangsdaten zu der Kiste haben um mal eben schnell Ports weiterleiten zu können, auch wenn Ihr noch so agil sein wollt. Spätestens wenn eine Person aus Firma X der Firma Y im Dunst die Mailports weggedreht hat, fliegt der Mate-Tee über den Kicker.
Vor allem muss es auch Instanz sein, die den Unterschied zwischen "Any" und "Internet" kennt.
Wenn ich schon die Frage sehe ob ein Server in einer DMZ eine zweite NIC ins interne Netz haben sollte...

Das wäre der sinnvollere Weg als zu versuchen in bester Startup-Mentalität irgendwas mit der hingeworfenen Hardware zu versuchen.
Ja, die USG wäre ein Anfang, mir persönlich fehlt da aber in den technischen Daten der Begriff "Reverse Proxy".

Mit anderen Worten: Deine angedachte Lösung "skaliert" nicht.
Und die Webseite sollte idealerweise sowieso nicht im Büro liegen, sondern bei einem entsprechenden Hoster. Email idealerweise auch, wenn Ihr nicht eine gewisse Größe habt (die Ihr auf den ersten Blick nicht habt).