NAS in DMZ blöde Idee?

cspzagopqy

Neuling
Thread Starter
Mitglied seit
06.07.2020
Beiträge
21
Hallo zusammen,

ich habe einen HomeServer mit Proxmox als Hypervisor in der DMZ meiner Firewall stehen.
Einige VMs auf dem Server sollen via Port Weiterleitungen öffentlich zugänglich gemacht werden.

Mein ursprünglicher Plan war es, auf der Kiste auch mein NAS aufzusetzen.
Mittlerweile bin ich mir etwas unsicher, ob das eine gute Idee ist?
Auf dem NAS liegen immerhin persönliche und wichtige Daten.
Backups sind natürlich vorhanden, aber ich möchte trotzdem nicht, dass ein potenzieller Angreifer da ran kommt.

Sollte ich das NAS lieber auf einer separaten Kiste im sicheren Netz betreiben?
Aber selbst dann würde ich gerne Storage mit dem Server sharen.
Und der Server soll Backups auf das NAS machen.
Sprich ich würde sowieso über die zwei Netze hinweg Verbindungen aufbauen.

Den Zugriff kann man ja via Firewall Regeln und Authentifizierung ziemlich restriktiv einschränken.
Ich versuche immer meine Server und Dienste nach bestem Wissen und Gewissen abzusichern.

Was meint ihr? Aluhut oder gesunde Vorsicht?
Habt ihr ähnliche Konstellationen im Einsatz?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ich kenne das von eigentlich nur von Mail oder Access Server die dann die Anfragen an einen weiteren hinter der DMZ stehenden Server weiterleiten.

Also normalerweise sind die Daten (Server) eher hinter der DMZ; weil du sonst ja den Schutz aushebelst?

Was hast du denn für eine Firewall?

Ich hab mein NAS nicht in ner DMZ und auch nicht veröffentlicht. Bin grade Dabei mich um eine ordentliche Firewall zu kümmern. Wird wahrscheinlich eine Watchguard oder pFSense das sollte dann ausreichen um mich privat zu schützen...

Das was ich veröffentlicht habe sind Dienste wie Bitwarden und Nextcloud.

Was hat denn das NAS an sich für Sicherheitseinstellungen (2FA, Passwort, Verschlüsselung etc...)?
 
...Du hast also eine Firewall mit ener DMZ und einen Proxmox-Server...und hast den ganzen Server in die DMz gepackt und willst dann was genau absichern?
Sorry, aber das ist doch genau falsch rum aufgebaut.

Wie schon geschrieben, gehören die Services (VM) hinter die DMZ und die Firewall öffnet in Richtung DMZ, zB über Portweiterleitungen.
Das NAS mit nur privaten Daten gehört ins Heimnetz. Ich würde auch die VMs mit exponierten Services in ein eigenes Netz, also nicht ins Heimnetz legen.
Mit Firewall offenem Zugriff nur aus dem Heimnetz heraus....evtl. eben eine zweite Firewall nehmen.
Mit Proxmox kein Problem, da man zB pfsense auch in einer VM dafür einsetzen kann,
 
Was hat denn das NAS an sich für Sicherheitseinstellungen (2FA, Passwort, Verschlüsselung etc...)?
Das NAS soll eine weitere VM auf dem Proxmox Host werden. Mit durchgereichtem HBA. Habs testweise probiert. Funktioniert super.
Auf das NAS selbst (Also Weboberfläche oder SSH) kann man nur aus dem Heimnetz zugreifen. Der Admin Account ist mit 2FA TOTP geschützt.
Die Daten liegen auf einem ZFS Mirror der verschlüsselt ist. Bringt mir aber nur etwas wenn das Gerät ausgeschaltet ist.
Um auf Shares zugreifen zu können ist eine Authentifizierung notwendig.
Von meinen Clients greife ich via SMB zu. Die VMs sollten Storage via NFS erhalten.
NFSv4 bietet ja bessere und sicherere Möglichkeiten zur Authentifizierung im Vergleich zum Vorgänger.
Damit habe ich mich aber noch nicht explizit beschäftigt - so weit bin ich noch nicht.

Ich habe eine IPFire auf einem APU4C4 Board als Firewall im Einsatz.
Die DMZ ist standardmäßig ja genau so sicher wie das normale Heimnetz.
Das ist im Endeffekt ja nur ein zweites abgetrenntes Netz.

Erst wenn ich Ports von der Firewall auf eine VM in der DMZ weiterleite, ist der Zugriff von außerhalb möglich.
Und diese Ports sind dann z.B. Nextcloud, Gitea, Webserver o.Ä.
Da werden selbstverständlich auch die notwendigen Sicherheitsvorkehrungen getroffen.

Davor hatte ich ein Synology NAS im Heimnetz. Darauf eine VM.
Und die VM dann auch via Port Weiterleitung öffentlich erreichbar gemacht.

Den neuen Server in die DMZ zu stellen ist im Vergleich dazu eine wesentliche Verbesserung.
Denn wenn ein Angreifer tatsächlich Zugriff auf eine VM bekommen sollte, dann kann er nicht auf die Geräte im Heimnetz zugreifen.

Am besten wäre es natürlich, nur die VMs in die DMZ zu packen, die tatsächlich von außerhalb erreichbar sind.
Und alle anderen VMs, wie z.B. NAS, ins Heimnetz.

Das Mainboard des Servers hat mehrere NICs, ich könnte also einen an die DMZ und einen anderen ins Heimnetz hängen.
Es würde aber trotzdem Komminikation zwischen den zwei Netzen geben, weil ich z.B. Storage vom NAS an VMs sharen möchte.
Wäre das eine bessere Lösung?

Sorry, aber das ist doch genau falsch rum aufgebaut.
Wie meinst du das? Verstehe ich nicht ganz?
 
Zuletzt bearbeitet:
Also die meiner Meinung nach richtige Konfiguration wäre eine dedizierte NIC im Host an der physisch die DMZ anliegt.
Mit dieser physischen NIC wird dann im Host ein virtuelles Netz aufgebaut in dem die VMs liegen, die in der DMZ leigen.
 
Den neuen Server in die DMZ zu stellen ist im Vergleich dazu eine wesentliche Verbesserung.
Denn wenn ein Angreifer tatsächlich Zugriff auf eine VM bekommen sollte, dann kann er nicht auf die Geräte im Heimnetz zugreifen.


Wenn der Angreifer schon an deine Daten kommt ist sowieso Game Over
 
Also die meiner Meinung nach richtige Konfiguration wäre eine dedizierte NIC im Host an der physisch die DMZ anliegt.
Mit dieser physischen NIC wird dann im Host ein virtuelles Netz aufgebaut in dem die VMs liegen, die in der DMZ leigen.

Jo, das macht Sinn.

Und dann einen weiteren physischen NIC der mit dem sicheren Heimnetz verbunden ist?
Dahinter im Proxmox Host wieder ein virtuelles Netzwerk und daran dann z.B. die NAS VM?

Also zu DMZ und Heimnetz gibt es nun noch jeweils ein zusätzliches virtuelles Netz das dahinter liegt.
Sprich 4 statt 2 Netze?


Wie spreche ich einen Server in einem solchen Netz dann an? z.B. aus dem Heimnetz heraus.
Dazu muss ich statische Routen in meinem Router, bzw. in meinem Fall in der IPFire Firewall konfigurieren, oder?
Die VMs in dem Netz erhalten ja keine IP aus dem DMZ Netz, sondern aus dem virtuellen Netz, wenn ich das richtig verstehe?

Wenn der Angreifer schon an deine Daten kommt ist sowieso Game Over
Ja... ist klar. :d
 
Nein - kein eigenes Netz an der NIC, sondern ein vSwitch - das hat das selbe Netz, wie die NIC die da draufgeschalten ist.

Bei mir hängen in der DMZ 2 Gameserver (einer für TMN) und ein FTP-Server mit 20GB Speicherplatz, sollte ich unterwegs mal was sichern wollen - der Rest steht im internen Netz. - auch die Storage VM
es gibt sogar noch ein eigenes Storage-Netz, über das die NAS-VM per NFS dem Host einen teil des Speichers und auch 2 anderen Systemen zur Verfügung stellt (für Testzwecke) - auch ein externes Storage (Backup) hängt in diesem Netz ohne Zugang von außen, da nicht an der Firewall.

am besten ist doch, Du malst mal ein Bild von der Ist-Situation ;)
 
Nein - kein eigenes Netz an der NIC, sondern ein vSwitch - das hat das selbe Netz, wie die NIC die da draufgeschalten ist.
Das wäre dann aber nicht das was @Toupman beschrieben hat.
Oder hab ich das nur falsch verstanden?

Ein vSwitch ist in Proxmox ja bereits vorhanden für den NIC der DMZ.
Sonst könnte ich ja keine VMs erreichen.

am besten ist doch, Du malst mal ein Bild von der Ist-Situation
Absolut richtig. Mal einen ordentlichen Netzwerk Plan zu zeichen habe ich schon lange vor...
Jetzt kann ich es wohl nicht mehr länger vor mir her schieben.
Setze mich möglichst bald dran, versprochen. ;)

edit: Bzw. was heißt "Ist-Situation". Aktuell ist noch nix von außerhalb erreichbar und es gibt noch keine VMs.
Habe nur mal ein bisschen rumgetestet und mir Gedanken gemacht.
Aber ich werde mich spätestens übers Wochenende mal hinsetzen und einen Plan machen. :)
 
Zuletzt bearbeitet:
Ich glaub schon das Toupman das auch so gemeint hat - die Dedizierte NIC für die DMZ mit vSwitch dahinter für die DMZ-Sachen, eine eigene NIC für LAN, mit nem vSwitch dahinter.
man kann das auch über VLANs trennen, da gibt es dann am Ende wieder viele Möglichkeiten, jedoch würde ich zumindest Storage, der für so einen Server zur Verfügung gestellt wird, eine dedizierte NIC geben, genauso wie dem Management - einfach um sich hier ggf. nicht auszusperren, weil da doch irgendwelcher Traffic die Leitung blockiert.

in meinem Host z.B. sind 6 NICs - 4x Gbit LAN + 2x 10G - da hab ich genügend dedizierung ;)
 
Alles klar. Danke euch allen schon mal.
Ich würde sagen ich bastel mir erst mal einen Plan zusammen und melde mich dann wieder hier.

NICs habe ich auch 4x zur Verfügung.

VLAN ist halt so eine Sache. Das unterstützt meine Hardware nicht. Zumindest ein Großteil davon nicht.
 
Zuletzt bearbeitet:
Schau mal ob du noch alte Router daheim hast, wo du DD-WRT / OpenWRT flashen kannst. Habe mir erst neulich einen ollen Netgear WNR3500Lv1 Router mit aktuellstem OpenWRT 19.07.3 zu einem VLAN-fähigen Switch umgerüstet. Firewall, DHCP, WiFi usw. komplett runter und dann VLANs über das GUI eingerichtet. Insgesamt 5 Gigabit Ports, volle Geschwindigkeit über iperf. Zieht 4,4W mit 3 LAN-Kabel (Zyxel GS1200-8 ca. 2,7W), also auch diesbzgl. vollkommen okay.
 
Schau mal ob du noch alte Router daheim hast, wo du DD-WRT / OpenWRT flashen kannst. Habe mir erst neulich einen ollen Netgear WNR3500Lv1 Router mit aktuellstem OpenWRT 19.07.3 zu einem VLAN-fähigen Switch umgerüstet. Firewall, DHCP, WiFi usw. komplett runter und dann VLANs über das GUI eingerichtet. Insgesamt 5 Gigabit Ports, volle Geschwindigkeit über iperf. Zieht 4,4W mit 3 LAN-Kabel (Zyxel GS1200-8 ca. 2,7W), also auch diesbzgl. vollkommen okay.

Wozu? - er hat doch schon ein APU-Board für IPFire - das OpenWRT ist da nicht wirklich besser...
abgesehn davon, das er die 4 dedizierten NICs ja schon nutzen kann, und somit garnicht über VLANs das ganze Konsolidieren muss...

In dem Fall - keep it simple!
 
Deswegen:
VLAN ist halt so eine Sache. Das unterstützt meine Hardware nicht. Zumindest ein Großteil davon nicht.
Es geht nicht um OpenWRT. Habe ja schon geschrieben, das man alles runterschmeißt, was OpenWRT ausmacht. Geht darum, "kostenlos" an einen VLAN-fähigen Switch ranzukommen, damit er das im Heimnetz einsetzen kann.
 
Danke für den Tipp, aber VLAN möchte ich erst mal außen vor lassen, wenn es nicht sein muss.

So, ich habe mal einen Plan gezeichnet.
Was sagt ihr? Kann man damit was anfangen? :d
 

Anhänge

  • Netzwerkplan.png
    Netzwerkplan.png
    42,8 KB · Aufrufe: 609
Alles klar, dann werde ich es so machen.
Vielen Dank für eure Unterstützung.

Was mir aber noch nicht ganz klar ist: (Brauche vermutlich nur einen Anstupser in die richtige Richtung)
Die NAS VM in ein eigenes Storage Netz zu packen hört sich sinnvoll an.

Aber wie genau share ich jetzt Storage an die VMs?
Müssen die zwei NICs haben und jeweils auch mit dem Storage Netz verbunden sein?
Gleiche Frage gilt für: Wie greife ich von einem Client aus GREEN auf einen Share der Storage VM zu?
 
Wie greife ich von einem Client aus GREEN auf einen Share der Storage VM zu?
Eine Möglichkeit: über IPFire ein entsprechendes "Forward Rule" anlegen. Kenne mich leider nur unter OpenWRT aus; dort würde man folgende Regel erstellen:

Any tcp, udp
From any host in ZONE-GREEN
To IP-von-deinem-NAS at ports SAMBA in ZONE-STORAGENETZ

Der IPFire ermöglicht dann die Kommunikation zwischen Netz GREEN (10.0.0.x) und deinem Storage-Netz, wobei nur dein NAS erreicht werden kann und sonst keine weiteren Geräte.
 
To IP-von-deinem-NAS at ports SAMBA in ZONE-STORAGENETZ
Dazu müsste man aber noch eine statische Route auf der IPFire erstellen, oder?
Denn die IPFire kennt das Storage Netzt nicht. Das existiert ja nur virtuell innerhalb Proxmox.

Die NAS VM braucht natürlich auch Zugriff aufs Internet für Updates etc.
Wie realisiere ich das? Einfach an GREEN oder ORANGE hängen wirft ja das Konzept vom abgeschotteten Storage Netz über den Haufen.
Und statische Routen bringen mir hier auch nichts...(oder?)
 
Nein, eine statische Route wäre das nicht. Es wird ja immer nur dann aus GREEN geroutet, wenn jemand auf die Samba Share deines NAS zugreifen will. Z.B. wenn jemand aus GREEN auf den NFS des NAS zugreifen will, wird nicht geroutet. Aber du hast Recht: damit das klappt, müsste IPFire wissen, in welcher Zone dein NAS ist bzw. über welche IP-Adresse es erreichbar ist. Wenn ich das richtig interpretiere, ist es aktuell garnicht außerhalb von Proxmox erreichbar?

Schließe mich @konfetti hier an: keep it simple. Ich sehe da keinen Nutzen, ein eigenes, isoliertes Netzwerk aufzumachen, wenn Leute aus GREEN darauf Zugriff haben sollen. Würde es dann direkt an GREEN anschließen. Forward Rules brauchst du nur, wenn aus mehreren Zonen der Zugriff erfolgen soll (z.B. BLUE und GREEN). Aber selbst dann würde ich dir raten, nochmal ganz genau zu überlegen, ob es nicht vielleicht sogar sinnvoller ist, diese Zonen zusammenzulegen. Vereinfacht dir die Konfiguration.
 
Wenn ich das richtig interpretiere, ist es aktuell garnicht außerhalb von Proxmox erreichbar?
Ist alles noch Planung. Also aktuell gibt es noch gar keine VMs.
Aber ja, laut dem Plan existiert das Storage Netz nur virtuell innerhalb von Proxmox und ist sonst nicht erreichbar.

Schließe mich @konfetti hier an: keep it simple. Ich sehe da keinen Nutzen, ein eigenes, isoliertes Netzwerk aufzumachen, wenn Leute aus GREEN darauf Zugriff haben sollen.
Der Vorschlag mit dem isolierten Storage Netz kam aber von @konfetti (Siehe hier).

Heißt das, du bist der Meinung, ich sollte die NAS VM einfach ins GRÜNE Netz hängen?
 
Die Trennung LAN, DMZ, WAN macht vor allem Sinn wenn man Dienste im LAN hat die nicht aus dem WAN/DMZ erreichbar sein dürfen, auch dann nicht wenn ein Server im DMZ kompromittiert wird.

At Home sehe ich da wenig Nutzen für den Aufwand vor allem wenn man nur einen Server hat. Internetzugiff würde ich da per VPN realisieren oder via Port Forwarding auf den Dienst der extern erreichbar sein sollte.

In zweiterem Fall ist es halt wichtig, dass der Dienst "sicher" ist. Damit fällt NFS/SMB raus. Auch ein Apache Webserver mit dem ganzen Drumrum auch oder vor allem in Form einer komplexen Cloudsoftware wie NextCloud mit tausend extras ist da problematisch. Das ist kaum sicher zu bekommen ohne das hauptamtlich zu machen.

Es gibt aber durchaus Dienste wie z.B. Amazon S3 z.B. via minIO die man relativ gefahrlos per http oder besser https ins Internet stellen kann. MinIO ist z.B. nur eine Datei und nicht wie NextCloud hunderte die buggy sein können. Damit läßt sich ein externer Cloudzugriff auf ein internes NAS relativ problemlos realisieren, vgl https://forums.servethehome.com/index.php?threads/amazon-s3-compatible-zfs-cloud-with-minio.27524/ Das ist zwar für OmniOS geschrieben, minIO is aber ein Amazon S3 kompatibler Cloudserver (OpenSource) den es für jedes X System gibt.
 
Die Trennung LAN, DMZ, WAN macht vor allem Sinn wenn man Dieste hat die nicht aus dem WAN/DMZ erreichbar sein dürfen, auch dann nicht wenn ein Server im DMZ kompromittiert wird.
Das ist klar. Und triff eigentlich auf jeden Haushalt zu, würde ich sagen?
Wenn ein Server in der DMZ kompromittiert wird, soll dieser keinen Zugriff auf Clients wie Rechner, Laptops, Handy, Tablets, TVs, Drucker und weiß der Geier was alles haben.
Solche Geräte sind meist nicht so gut abgesichert könnte ich mir vorstellen.

Wenn man den Server in eine DMZ stellt fallen alle diese Geräte schon mal als Angriffsziele weg.
Ich sehe keinen Grund dafür, das nicht zu tun? Ziel sollte es doch immer sein, das Risiko zu minimieren.
Vor allem dann wenn man öffentlich erreichbare Dienste betreiben möchte.

Der Punkt mit der Nextcloud ist richtig. Das ist ein riesen Ding. Aber halt auch super gut und super praktisch.
Und von Haus aus, wenn man der Dokumentation folgt, schon recht gut abgesichert. Behaupte ich einfach mal.
Öffentlich erreichbar ist da eh nur Port 443. Dann noch fail2ban dazu. Sollte eigentlich passen.

Ich hab das ja auch so mit einer VM und Port Weiterleitung im Heimnetz betrieben. Gab nie Sicherheitsprobleme.
Aber jetzt mit dem "richtigen" Server und ein paar mehr öffentlichen Diensten, möchte ich den zusätzlichen Schutz der DMZ gerne mitnehmen.
Vor allem wenn meine Firewall eh schon eine solche Option mitbringt.

Und zum Punkto "Sinn und Aufwand". Ist doch unser Hobby. Muss Spaß machen. ;)
Und man lernt ne Menge dabei. Alleine schon während dieses Threads habe ich wieder ein paar neue Dinge gelernt.
Oder warum stellen sich hier Leute 19" Racks mit Servern und 100 Festplatten bis unter die Decke hin.
Mit Sinn kann das nicht mehr viel zu tun haben. :d
 
Der Vorschlag mit dem isolierten Storage Netz kam aber von @konfetti (Siehe hier).

Heißt das, du bist der Meinung, ich sollte die NAS VM einfach ins GRÜNE Netz hängen?
Vorweg: es gibt kein richtig oder falsch. Es gibt mehrere Lösungen und vieles ist Geschmackssache.

Ich persönlich bin aber der Ansicht, dass es bei dir einfacher ist, das NAS VM in GREEN einzuhängen. Wie du bereits gesagt hast, braucht die NAS VM ja auch Internet für Updates. In irgendeine Zone musst du es hängen. Neue Zone erstellen, aber dann GREEN durchreichen macht keinen Sinn. Dann lieber direkt in GREEN und neue Zone sparen.
 
Natürlich kam der Vorschlag von mir, mit einem separatem Storage-Netz, aber auch nur als Beispiel - mit keep it Simple war schon gemeint, so wenig wie möglich und nur so viel wie nötig als Netze anzulegen.
Wenn das NAS als hauptdienst, die Bereitstellung im LAN hat, würde ich es dort hinpacken, den NFS-Share als Storage für den VM-Host kann man da auch realisieren - Das ist bei Dir ja ein klassicher AiO.

in welcher Form willst Du denn den anderen VMs speicher zur verfügung stellen?
 
Hier läuft ein ESXi AiO auch mit separatem Management Netz, wo die beiden vmkernel, Switch, FW und eben der Hauptfiler drin läuft. Nur musste ich dann dem Filer eine zweite NIC ins LAN geben, weil die Hardwarefirewall mit max. 500 Mbit/s zwischen den beiden Netzen geroutet hat. Das war mir für den SMB Zugriff auf den VM Share dann doch zu langsam. Und die Zywall 110 ist ja jetzt nicht als schwache Hardware bekannt, obwohl schon ein bisschen älter.
 
Danke für den Tipp, aber VLAN möchte ich erst mal außen vor lassen, wenn es nicht sein muss.

So, ich habe mal einen Plan gezeichnet.
Was sagt ihr? Kann man damit was anfangen? :d
Als Transfernetz zwischen Fritte und IPFire kannst auch ein /30 nehmen, also 10.9.0.0/30
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh