IPFire Konfiguration - DMZ für NextCloud

[Tempo]

Ich betreibe seit ca. 1 Woche eine NextCloud Instanz auf einem sparsamen Mini-PC. Da dieser Mini-PC direkt bei mir im LAN hängt, habe ich ein wenig Sicherheitsbedenken. Falls mal wirklich eine Sicherheitslücke bestehen sollte, wäre der Mini-PC von außen mit den Ports 80 und 443 erreichbar und ein eventueller Angreifer direkt bei mir im LAN.
Nun dachte ich mir, dass ich einen Raspberry Pi 2B als Firewall (IPFire) benutze um eine DMZ zu realisieren in dem der Server steht. Folgendes Schemata habe ich mir überlegt.

Nun meine Frage. Ist dies so realistisch? Habe ich etwas übersehen? Der Raspberry Pi bekommt nochmals zwei weitere USB-Netzwerkanschlüsse um dies zu realisieren.
Wie muss ich nun die einzelnen Zonen (Rot, Orange, Green) hinsichtlich der IP-Adressen konfigurieren? Und wenn ich am Router das integrierte WLAN anschalte, liegen dann die verbundenen Geräte trotzdem jedem Angreifer offen?

 

[Bob.Dig]

Wenn Du ne Fritzbox hast, könntest Du den Server in das Gastnetz stecken. Außerdem wäre es besser, die NC nur über ein VPN verfügbar zu machen.

 

[conf_t]

Funktioniert Portforwarding für das Gastnetz?
@Topic:
Erst mal super, dass du eine DMZ einrichten willst. Viele erkennen die Notwendigkeit nicht. Dass ein LAN Port zuwenig ist oder dann VLANs und einen VLAN-fähigen Switch erfordert ist klar?

Ich habe das bei mir mit einer Routerkaskade gelöst. Hat zwar nicht so viele Optionen wie eine echte DMZ, aber bislang langt es mir für meine Nextcloud. Mögliche Unannehmlichkeiten wegen Doppel-NAT habe ich nicht. Zugriff aus dem LAN in die DMZ und aus dem Internet in die DMZ ist einwandfrei.

BTW stelle deine Nextcloud bei HTTP (80) auf redirect HTTPS (443) um, so dass HTTPS immer erzwungen wird. Absicherung und Härtung ist in den NC Tuts erklärt.

Nutze https://scan.nextcloud.com/ zum verifizieren. Gibt auch noch mehr Scanner.

 

[drago1401]

kann ipfire vlans? es kann Vlans
das ein Raspberry keine 3 Lan-Ports steht wohl außer Frage.

ich würde IPFire trotzdem auf eine Hardware mit 3 echten Lan-Ports setzen.

 

[Raijin]

Prinzipiell geht das so natürlich und eine DMZ ist eine gute Idee, aber gesetzt den Fall du musst die beiden USB-LAN-Adapter für den PI noch kaufen, würde ich das Geld lieber in einen EdgeRouter-X für 50€ oder einen kleinen MikroTik (zB hEX (S) oder gar hAP AC2 inkl Wifi) investieren. Beim ERX hättest du dann sogar 5 Schnittstellen und könntest beispielsweise 3 davon direkt als Switch für die DMZ nutzen, wenn da noch weitere Geräte reinkommen.

 

[Raijin]

Ich habe das bei mir mit einer Routerkaskade gelöst. Hat zwar nicht so viele Optionen wie eine echte DMZ, aber bislang langt es mir für meine Nextcloud. Mögliche Unannehmlichkeiten wegen Doppel-NAT habe ich nicht.

In der Tat, eine DMZ via Routerkaskade ist einfacher zu handhaben, weil sie einfach nur zusammengesteckt werden muss. Doppel-NAT ist auch bei weitem nicht so ein großes Problem wie es von manchen dargestellt wird.

 

[conf_t]

Absolut, selbst der VPN Server am hinteren Router in der Kaskade läuft, auch die IP-Telefonie darauf. Lediglich die Zugriffe auf die DMZ ins LAN sind durchs NAT eingeschränkt, aber da will man nicht soviele Zugriffe, da sonst die DMZ kein Sinn macht. Nutze ledlich rsync zum Sichern der der Docker-Container der NC und der DB ins hintere LAN.

 

[Tempo]

BTW stelle deine Nextcloud bei HTTP (80) auf redirect HTTPS (443) um, so dass HTTPS immer erzwungen wird. Absicherung und Härtung ist in den NC Tuts erklärt.

Nutze https://scan.nextcloud.com/ zum verifizieren. Gibt auch noch mehr Scanner.

Beides habe ich bereits schon gemacht, habe übrigens ein A+ Rating.

Prinzipiell geht das so natürlich und eine DMZ ist eine gute Idee, aber gesetzt den Fall du musst die beiden USB-LAN-Adapter für den PI noch kaufen, würde ich das Geld lieber in einen EdgeRouter-X für 50€ oder einen kleinen MikroTik (zB hEX (S) oder gar hAP AC2 inkl Wifi) investieren. Beim ERX hättest du dann sogar 5 Schnittstellen und könntest beispielsweise 3 davon direkt als Switch für die DMZ nutzen, wenn da noch weitere Geräte reinkommen.

Schade, der Tipp kam zu spät. Hatte hier bereits einen Raspberry Pi rumliegen. Brauchte nur noch die USB-LAN-Adapter. Kam dann wahrscheinlich insgesamt billiger.

Habe nun meine DMZ mittels IPFire eingerichtet:

Ich habe nur noch eine Frage zu meinen mobilen Geräten. Habe hier noch ein Tablet und ein Handy, welches sich mit dem integrierten WLAN zum Router verbindet (192.168.2.1). Die zwei Geräte bekommen dann die Adressen 192.168.2.100 und 101. Diese zwei Geräte wären ja einer möglichen Gefahr dann immer noch exponiert oder sehe ich das falsch?

 

[Raijin]

Diese zwei Geräte wären ja einer möglichen Gefahr dann immer noch exponiert oder sehe ich das falsch?

Naja, das kommt auf den Blickwinkel an.

Grundsätzlich ist eine DMZ ja so gestrickt, das Verbindungen von der DMZ ausgehend blockiert werden. Der Gedanke dabei ist, dass ein Server in der DMZ über einen seiner Dienste gekapert werden könnte, um anschließend als aktiver Brückenkopf zu dienen, von dem aus der Angreifer den Rest des Netzwerks angreift. Genau das soll die Firewall vor der DMZ verhindern, also der PI. Eine DMZ darf ausgehend immer nur auf eingehende Verbindugen antworten.
Das schließt aber Verbindungen von der DMZ (192.168.0.0/24) in das Hauptnetz (192.168.1.0/24) wie auch ins Routernetz (192.168.2.0/24) mit ein. Die Geräte im Routernetz genießen daher denselben Schutz vor der DMZ wie der Rest. Allerdings kannst du bei diesem Setup Probleme bekommen, wenn du vom Smartphone aus zB smarte Geräte wie einen Smart Hub für Lampen, o.ä. im Hauptnetz verbinden willst, weil Smartphone bzw. App und das zu steuernde smart device sich gegenseitig nicht direkt "sehen" können, weil der PI als Router dazwischensteckt.


Du kannst aber das Setup auch wie folgt vereinfachen:

www
|
Router
(192.168.2.1)
|
+-- (192.168.2.2) PI (192.168.0.1) --- DMZ
|
(192.168.2.x)
Hauptnetz

In diesem Szenario hast du ein Netzwerk eingespart und das Router-(W)LAN ist und bleibt das Hauptnetzwerk.

Alternativ:

www
|
Router
(192.168.2.1)
|
+--- (192.168.2.x) DMZ
|
(192.168.2.2)
PI
(192.168.1.1)
|
(192.168.1.x)
Hauptnetz


Sowohl in deinem skizzierten Setup wie auch in meiner zweiten Alternative benötigt das Hauptnetz eine eigene WLAN-Versorgung, weil du sonst wie gesagt Schwierigkeiten beim gegenseitigen Zugriff zwischen Router und Hauptnetz bekommen kannst. Ich würde daher eher zur erstgenannten Alternative raten, wenn du nicht ganz genau weißt was du da tust.

 

[Tempo]

@Raijin
Danke für die Infos. Smart-Home-Geräte will ich eigentlich nicht ins bestehende Netz einbinden.