Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 3 subscribers
  • Views 3905 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM DMZ und VLAN

DaPedda

Servus,

auf einem anderen Portal habe ich eine Verstandnisfrage bezüglich DMZ und VLAN gestellt. Ein Teil der Frage lautete:

FRAGE: "Eine DMZ dient vereinfacht dazu einen Host oder eine Gruppe von Client's exponiert ins öffentliche Netz zu stellen aber auch gleichzeitig vom internen Netz zu trennen, ist das korrekt? Demnach dürften Client's aus diesem Netz keine Adresse im internen Netz anpingen dürfen, ist das auch korrekt?"

Der erste Teil der Frage wurde mit "korrekt" beantwortet, der zweite teil mit "Nein oder besser Jein" beantwortet.  Es wurde ausgeführt, das ich selber auf der Firewall definieren muss, ob ein ICMP Typ 0 und 8 (Echo Request/Reply = Ping) zugelassen oder blockiert wird.

Und hier kommt meine Frage an Euch: wenn ich das Interface DMZ aktiviere, wird da nicht automatisch eine Regel erstellt, welches u.a. auch ICMP einschränkt?

Und wenn man nun VLAN auf der DMZ (eth2) definiert, dann dürfte ein Client aus diesem VLAN niemals ein Client aus den internen Netz (eth0) sehen können... ist das korrekt so?

 

Gruß Peter



This thread was automatically locked due to age.
Parents
  • 0

    Hi Peter,

    wenn du das Interface "DMZ" aktivierst und sonst nichts weiter konfigurierst sollte der Verkehr in die Default-Action "block alles" der Netzwork-Security laufen.

    Es gilt das Prinzip "alles wird geblockt was nicht explizit erlaubt wird" bzw. "First Match Wins"...

    Allerdings kannst du ICMP-Echos etc. Global zulassen.

    Zur DMZ: Der erste Teil der Beschreibung ist soweit korrekt. Allerdings musst du selbst definieren was aus der DMZ ins interne Netzwerk soll und was nicht. Es muss deinen Anforderungen entsprechen...Natürlich sollte man dort auch wieder nach dem Prinzip "nur die Ports öffnen die unbedingt gebraucht werden - alles andere wird geblockt" vorgehen.

    In unserer DMZ steht z.B. ein Webserver der verschiedene Web-Applikationen hostet - dazu zählt auch eine OwnCloud-Installation. Die Authentifizierung erfolgt durch die interne Active-Directory. So muss der DMZ-Server über den LDAP-SSL-Port die Domänencontroller nach den Benutzerdaten fragen können.

    In die andere Richtung muss das interne Monitoring-System den DMZ-Server über die benötigten Ports erreichen können.

    Eine gewisse Kommunikation zwischen den Netzen war also bei uns definitiv notwendig!

    Gruß

Reply
  • 0

    Hi Peter,

    wenn du das Interface "DMZ" aktivierst und sonst nichts weiter konfigurierst sollte der Verkehr in die Default-Action "block alles" der Netzwork-Security laufen.

    Es gilt das Prinzip "alles wird geblockt was nicht explizit erlaubt wird" bzw. "First Match Wins"...

    Allerdings kannst du ICMP-Echos etc. Global zulassen.

    Zur DMZ: Der erste Teil der Beschreibung ist soweit korrekt. Allerdings musst du selbst definieren was aus der DMZ ins interne Netzwerk soll und was nicht. Es muss deinen Anforderungen entsprechen...Natürlich sollte man dort auch wieder nach dem Prinzip "nur die Ports öffnen die unbedingt gebraucht werden - alles andere wird geblockt" vorgehen.

    In unserer DMZ steht z.B. ein Webserver der verschiedene Web-Applikationen hostet - dazu zählt auch eine OwnCloud-Installation. Die Authentifizierung erfolgt durch die interne Active-Directory. So muss der DMZ-Server über den LDAP-SSL-Port die Domänencontroller nach den Benutzerdaten fragen können.

    In die andere Richtung muss das interne Monitoring-System den DMZ-Server über die benötigten Ports erreichen können.

    Eine gewisse Kommunikation zwischen den Netzen war also bei uns definitiv notwendig!

    Gruß

Children
No Data