NAS in mehreren Zonen

[AliManali]

Hi

Ich habe ein FreeNAS auf dem ESXi, welches derzeit am LAN hängt. Nun möchte ich gewisse Freigaben vom NAS aber auch im Gästenetz und der DMZ zur Verfügung stellen.

Da die vLAN's alle auf dem ESXi existieren, habe ich zwei Möglichkeiten:

• Ich weise dem FreeNAS mehrere vNIC's zu, und beregle den Zugriff am NAS.
• Ich lasse das NAS an einer Schnittstelle, und beregle den Zugriff an der Firewall.

Lieber wäre mir Option 1, allerdings weiss ich nicht, ob man am NAS gewisse Freigaben nur an einem Netz machen kann. Bei Option 2 weiss ich nicht einmal, an welcher Schnittstelle ich das betreiben soll. Im LAN oder in der DMZ?



Danke für alle Anregungen!

 

[konfetti]

Hi,

am schönsten wäre aber Option 2, da hier die Zugriffe entsprechend geregelt werden können, dazu sind ja Firewalls da, um Netze abzusichern oder eben Übergangspunkte zu schaffen, die man dediziert nur auf wenige Ports oder IPs (ggf. auch User) begrenzt.

Entsprechend regelst Du natürlich dann die Zugriff von den anderen Zone aus in die LAN-Zone und umgekehrt (es braucht ja auch Rückregeln) - wobei idR. es so ist, das traffic von Sicheren Zonen in unsichere erlaubt ist, LAN (inside) idR 100, DMZ 50 und Internet (outside) 0 - man kann verschiedenen Zonen auch andere Wertungen geben, macht meist nur kaum Sinn...

-
Ob FreeNAS das so kann, weiß ich nicht, in der NAS4Free Box hatte ich zumindest dediziert die Möglichkeit erlaubte Netze für den Zugriff einzugeben und auch Shares entsprechend verschieden zu berechtigen...

 

[AliManali]

Hi

Ja, danke!

Naja, dann würde das NAS wohl in die DMZ gehören. Allerdings brauche ich das NAS in der DMZ und am Gästenetz nur als Zwischenablage. Des weiteren würde ich gerne ein VPN ins LAN machen, dann. Von mir aus gehört das NAS also eher ins LAN. Wenn das NAS aber im LAN hängt, muss ich vom Gästenetz und der DMZ Traffic ins LAN zulassen, was ich eigentlich vermeiden möchte.

Im Moment hängen ein paar Server in der DMZ. Von den Clients aus läuft aber alles aufs WAN, und dann per NAT zurück zu den Servern. Interzoneregeln versuche ich zu vermeiden, wo es geht. Weil wenn jemand die DMZ kapert, und auf das LAN beregelt wurde, bringt mir meine schöne DMZ wenig.

Ich bin da echt noch unentschlossen, was das angeht.

 

[konfetti]

Du machst entsprechend halt dann die Regel das aus der DMZ (ggf. nur bestimme IPs) nur über den entsprechenden Dienst (z.B. SMB) auf die IP (das NAS) im LAN darf, is doch nun echt nicht so schwer, oder? - Das ist normales Firewalling...

 

[CommanderBond]

Nur als Zwischenablage? Dafür kann man doch auch ne USB Festplatte an den "Router" dann stecken sofern er das kann. Nur als Zwischenablage würde ich das NAS nicht in die DMZ stellen.
Gästenetz kenne ich auch eher im Zusammenhang mit Clientisolation. Sprich außer Internet geht da in der Regel sowieso nix. Will man dann Daten austauschen dann eben ganz klassisch über Internet, vielleicht btsync benutzen oder dropbox, email usw.

 

[AliManali]

Hi

Ja, das habe ich mir auch gerade gedacht. Ich glaube, ich setze ein zweites FreeNAS auf, welches genau für DMZ und Gästenetz gedacht ist. Die Platten am ESXi benutze ich eh per virtual Disk. Da kann ich auch etwas davon abzweigen.

Dann kann ich wenistens vom LAN auswärts beregeln.

 

[AliManali]

Hi

Ist mir ja klar, dass das beregeln per Firewall die eleganteste Lösung wäre. Ich habe jetzt eine NAS VM am LAN, und eine Weitere als Zwischenablage an diversen Netzen, auch potentiell unsicheren. Ich stelle mir einfach die Frage, ob das ein potentielles Sicherheitsrisiko darstellt, ein NAS an mehrere Interfaces zu hängen, oder ob das durchaus auch gängige Praxis ist.

Um die Daten auf der Zwischenablage NAS VM mache ich mir überhaupt keine Sorge. Viel eher denke ich da an ein gekapertes unsicheres NAS, welches dann einem Angreifer Zugriff von einem komprommitierten Netz z.B. ins LAN ermöglicht.