What is a DMZ? Examples with pfSense and OPNsense

Dank Steno86 bin ich auf dein Kanal gekommen werde mir die Tage alles über DMZ ansehen

Also zu Hause habe ich im Prinzip ein Netzwerk nach Schaubild 3. Ganz vorn eine Fritzbox als Modem Konfiguriert. Danach eine OPNSense mit zwei Netzwerkports. Einmal hängt dort dann die DMZ mit meinen Webservern dran und an dem anderen Port eine Fritzbox für das interne Netzwerk. Hab halt dadurch zwar doppeltes NAT aber das hat mich bisher noch nicht gestört.

Tolles lehrreiches Video, komme egal wie ich es dreh auf den selben Nenner, nur wirklich Hardware bräuchte man 1x Fritzbox 1x Physische Opnsense und 1 Server mit Proxmox der dann nen Opensense virtualisiert der auch gleichzeitig dieses kompromitierte Netz an ne VM gibt die nur per VPN Tunnel erreichbar ist. Soetwas geht weil man in ner OPNSense Regeln setzen kann womit Kunden in Gastnetzen niemals auf den Router oder das Gateway selbst kommen können, ist also relativ sicher.

Hi, ich verfolge deine Videos seit einigen Tagen und finde sie mega interessant, man spürt deine IT-Leidenschaft macht richtig Spaß zuzuschauen:-) Bin zuhause gerade dabei eine DMZ für meine Proxmox VMs einzurichten. Mit welchem Programm hast du die schönen Netzwerkdiagaramme gezeichnet?

Schönes Video. Alles ja immer eine Balance zwischen Einrichtungs-Aufwand und Administrations-Aufwand zum zu erreichender Sicherheitslevel. Und dann muss man abwägen von komplett separaten Host mit eigener Internetleitung und nur noch physikalischem Zugriff administrierbar, bis zu "ich deklariere einen Host in meinem Netz komplett als DMZ" (dessen sinnvollen Anwendungsfall ist mir allerdings auch schleierhaft, vielleicht noch als Honeypot, wenn mit der Rest von internen Netz auch egal ist ;-) ...).
Interessant wären vielleicht Fallbeispiele und Gedankenspiele, was passiert, wenn bestimmte Teile kompromittiert werden, um besser abzuschätzen, wo man welchem Hersteller, Distribution oder Administrator zutraut, möglichst wenig Risiken preiszugeben.

Was nutzt du für einen Server für Opensense?

Hallo Dennis,
tolles Video über DMZ Infrastrukturen.
Die Idee eines Jump-Hosts zur Verwaltung finde ich super. Was meinst du für mehr Sicherheit das "Subnetz"
mit einer VPN Einwahl abzusichern? Dabei könnte der VPN Server (Wireguard oder OpenVPN) im Netz des
Jump-Hosts stehen. Oder man stellt alle benötigten DMZ Services z.B. Exchange Server und Webserver
im externen Rechenzentrum Hetzner unter. Bei einer Hackerangriff und Verschlüsselung würde das interne
Netz nicht in Gefahr geraten.
Gruß aus Berlin
Andreas

Na hast deinen Urlaub gut überstanden :D Gut erholt schaust aus :D

Super erklärt danke. Kann man dich auch anschreiben für Hilfe? Möchte mein Heimnetz neu aufbauen

Moin, klasse erklärt 👍Welches Programm benutzt du zur Visualisierung? Sieht richtig gut aus.

ich biete einen lancom router der internet, vlans, dhcp und natürlich exchanged rausreicht - kin bedarf hat man gesagt. habe ich schon von den teilweise 4stelligen passwötern ohne zahlen oder sonderzeichen gesprochen?

Hast du eine gute Quelle für einheitliche Symbole für drawio? Ich rede von Datenbank, Storage, Server, SAN etc. Symbolen

Egal ob OPNsense oder pfSense (auf Proxmox),wenn aktiviert werden auf meinem Android einige Apps und Dienste nicht ausgeführt. Ich vermute das eine Regel (von mir wurde keine Änderung vorgenommen) die Verbindung blockt.Kennt jemand das Problem und hat eine Lösung ?

Sehr schön erklärt. Danke. Was ich mich immer frage ist, welche Art von „Exposed Host“ muss denn wirklich jede Anfrage aus dem Internet abbekommen? Also warum reichen nicht spezielle Ports? Also ohne DMZ einfach per Portweiterleitung von außen. Gibts da gute Beispiele? Danke

Cool

Ich weiss nicht.. Der Sinn einer DMZ ist es doch, Dienste vom LAN abzukoppeln, welche vom WAN aus erreichbar sein müssen. Z.B. http(s), smtp(s), (s)ftp.. Ich habe den Reverse Proxy zum Beispiel in der DMZ. Dieser muss aber zwangsweise den Exchange erreichen. (Tut er in dem Fall über eine zweite NIC, die im Server-VLAN hängt) Dies ist eine Konstellation, die mir weitaus besser gefällt als den Exchange komplett in die DMZ zu stellen. Klar, je paranoider das ist, desto mehr kann man es absichern. Der Administrationsaufwand erhöht sich aber immens mit jedem weiteren Router hinterm Router usw. Und nen DC in der DMZ? Niemals :)

Mahlzeit, danke dir für das Erklär-Video :-) Wie ist das denn bei dem 2-Firewall-Konzept (Internet - FW1 - DMZ - FW2 - LAN) bzgl. NAT, z.B. mit einer Sophos XG und einer OPNsense (lassen wir die Fritzbox mal außen vor!)? Die Geräte aus dem LAN müssen dann doch durch 2 Firewalls und werden somit zweimal genattet. Wenn die FW2 die LAN-Geräte nattet, landet ja nur noch die WAN-IP von FW2 in FW1. Somit muss ich FW1 quasi für jeglichem Traffic der von FW2 kommt, auf Durchzug stellen. Wäre es nicht sinnvoller NAT auf FW2 zu deaktivieren (also nur routing)? Das bedeutet zwar, ich müsste Client- und/oder User-basierte Firewall-Regeln auf beiden Firewalls erstellen, aber genau das wäre doch deutlich sicherer. Geht das überhaupt und macht das Sinn?!? Das BSI beschreibt zwar grob, aber an Details wird wie immer gespart...

Danke - tolles Video!
Wäre interessant wie Du Redundanz im WAN aufbauen würdest. Ich bekomme jetzt zuhause Glasfaser und überlege DSL als Backup zu behalten. Wenn ich Server künftig zuhause hosten möchte darf es aber keinen single point of failure mehr geben... 🤔

Für zu Hause wird das leider immer sehr schnell zum Overkill, der auch die Stromkosten in die Höhe treibt. Derzeit habe ich einen Server auf dem alle Dienste laufen. Sowohl rein interne Dienste (DMS, fileserver, plex,...) als auch externe Dienste (nextcloud, minecraft,...). Davor hängt eine Firewall.
Wenn ich das jetzt besser absichern möchte, bräuchte ich zwei physische Rechner die permanent laufen + eine weitere physische Firewall. Denke da muss man wirklich immer individuell abwägen wie hoch die Vorteile m Vergleich zu Kosten und Wartungsaufwand sind.

Also für Zuhause finde ich reicht ein Router mit zwei getrennten Netzen. Wenn man es offiziell sieht natürlich nicht

Also ich brauch ein grösseren switch mit vlan…

Ich will ja nichts sagen aber … DMZ ist ja echt gut und ok aber wenn ich dann alles absolut trenne ist es keine dmz mehr sondern nur n externer Server. Der braucht genauso ne FW etc. also hast du es nur unnötig verkompliziert aber kein Gewinn an Sicherheit. Die DMZ machst du ja entweder um Dienste ab zu Schotten und intern noch darauf zu zu greifen mit FW Regalen oder du trennst es gleich aber trotzdem sollen ja alle die das dürfen darauf zugreifen und das is dann n ganz normaler Server der im Internet steht und FW regeln hat. Der Jump Horst macht auch wenig Sinn. Entweder du hast wo n Schädling oder sowas dann nutzt er den Jump Horst genauso wie dein regulärer Traffic oder was genau versuchst du zu unterbinden?

Meine Meing zu 2 Firewall
am besten 2 komplett unterschiedliche wie zum beispiel eine Pfsense und fortigate und nicht eine Pfsense und eben das fork davon.
Meine empfellung statt einer DMZ
man trennt gleich alles auf getrennte hardware so dass 2 netze sind die nicht miteinder verbunden und zur administration eine vpn bei bedarf .

Why the hell the title is in English?

DMZen werden aussterben. Cisco ACI zb aber das gibt es privat natürlich nicht 🤣

"Physisch" :-)

ein DC in der DMZ? 😨

Von Intern aus gesehen ist die DMZ quasi nichts weiter als ein sehr nahe gelegenes eigenes LAN/Internet aus Sicht des internen LANs vor, aus Sicht des Internets hinter dem eigentlichen Internet.
Das ist im Video recht verwirrend, da die DMZ letztendlich auch nur ein weiteres LAN neben dem Intern-LAN ist. Einfach nur zwei getrennte LANs, wobei LAN1 (DMZ) von nur einer Firewall geschützt wird und LAN2 (intern) von zwei Firewalls.
Eine DMZ nutzt man eigentlich nur, um darin potentiell weniger kritische Geräte und Dienste oder mit WLAN auch für potentiell unsicherere Protokolle separiert von eher kritischen Geräten bzw. Diensten in einem Gesamtnetzwerk zu betreiben und hierbei das kritische Netzwerk im eigenen Netz hiervon zu entkoppeln.
So richtig sehe ich da nicht einen Sinn, wichtige Geräte und Dienste in der DMZ zu betreiben.
Sicherer wäre mMn, sowohl LAN1 als auch LAN2 jeweils über eigenständige VLANs jeweils mit eigener Firewall oder gar zwei Firewalls zu betreiben.
Also:
WAN -> Router-Firewall1:
-> Router-Firewall2.1 -> VLAN1: Geräte & Dienste für Zweck und Prio A
-> Router-Firewall2.2 -> VLAN2: Geräte & Dienste für Zweck und Prio B
Halt ein dediziertes Application-Firewall-Konzept.
Die Frage ist nur, weshalb zwei Firewalls? Man könnte auch einfach über Firewall-Regeln der ersten Firewall und einem ReverseProxy am WAN-Router kontrolliert vorgeben, welcher Traffic von Outbound als auch Inbound jeweils in welches VLAN geht.
Die Frage, die sich bei DMZ bei mir stellt ist, weshalb man Geräte und Dienste in der potentiell weniger sicheren DMZ betreiben sollte, die dann nur durch eine Firewall geschützt werden. Weshalb sollen diese nicht auch einen zweifachen Schutz wie die Geräte und Dienste in LAN2/VLAN2 mittels zweifacher Firewall erhalten?
Einen Sicherheitsgewinn sehe ich hier eher darin, zwei hintereinander geschaltete Firewalls verschiedener Hersteller vor jedem LAN/VLAN anzuwenden. Quasi, wenn dann jeweils die erste Firewall eine Lücke haben sollte, kann die zweite Firewall diese Lücke vlt. nicht haben. Schön für die Geräte und Dienste hinter der jeweils zweiten Firewall, aber quasi sind bei klassischem DMZ-Setup alle Geräte und Dienste in der DMZ dann gnadenlos ausgeliefert. Dieses Konstrukt halte ich für sehr fragwürdig insb. wenn man z.B. Client-Geräte (LAN2/VLAN2) von Server-Diensten (LAN1/VLAN1/DMZ) netzwerktechnisch voneinander separiert, etwaiger Client-Server-Verkehr letztendlich aber eh wieder die dann kompromittierten Server-Dienste und Geräte aus der DMZ nutzt.