Also zu Hause habe ich im Prinzip ein Netzwerk nach Schaubild 3. Ganz vorn eine Fritzbox als Modem Konfiguriert. Danach eine OPNSense mit zwei Netzwerkports. Einmal hängt dort dann die DMZ mit meinen Webservern dran und an dem anderen Port eine Fritzbox für das interne Netzwerk. Hab halt dadurch zwar doppeltes NAT aber das hat mich bisher noch nicht gestört.
@turkishnova872 жыл бұрын
Dank Steno86 bin ich auf dein Kanal gekommen werde mir die Tage alles über DMZ ansehen
@RaspberryPiCloud2 жыл бұрын
Ja dann viel Spaß
@Alias_Max1308 ай бұрын
Hast du eine gute Quelle für einheitliche Symbole für drawio? Ich rede von Datenbank, Storage, Server, SAN etc. Symbolen
@Wilson91403 жыл бұрын
Moin, klasse erklärt 👍Welches Programm benutzt du zur Visualisierung? Sieht richtig gut aus.
@howdyho83453 жыл бұрын
Würde mich auch interessieren welches Tool da zum Einsatz kommt.
@launebaer863 жыл бұрын
Draw.io
@RaspberryPiCloud3 жыл бұрын
Draw.io
@majstealth Жыл бұрын
ich biete einen lancom router der internet, vlans, dhcp und natürlich exchanged rausreicht - kin bedarf hat man gesagt. habe ich schon von den teilweise 4stelligen passwötern ohne zahlen oder sonderzeichen gesprochen?
@thorstenh.38313 жыл бұрын
Sehr schön erklärt. Danke. Was ich mich immer frage ist, welche Art von „Exposed Host“ muss denn wirklich jede Anfrage aus dem Internet abbekommen? Also warum reichen nicht spezielle Ports? Also ohne DMZ einfach per Portweiterleitung von außen. Gibts da gute Beispiele? Danke
@niclas_86693 жыл бұрын
Was ist die Frage? Natürlich kannst du auch nur die speziellen Ports freigeben / weiterleiten. Aber Demilitarisierte Zone heist, das (bis zur nächsten Firewall) keine Firewall usw. dazwischen ist. Demilitarisiert halt.
@niclas_86693 жыл бұрын
Du kannst auch einfach Ports auf einen Rechner weiter leiten, aber wenn der Angreifer auf deinem Server ist, kommt er dann direkt ins Netzwerk, was nicht so gut ist. Ein Beispiel für nur eine Portweiterleitung ist z.B. ein VPN Server.
@Bogomil763 жыл бұрын
Das Prinzip „Exposed Hosts“ hast Du ja „nur“ wenn Du ein Modem mit integriertem Router einsetzt, so wie eine Fritte z.B.. Kann man machen, muss man aber nicht ;) Man kann sich auch einfach ein „dummes“ Modem besorgen und direkt eine Firewall inkl. Routing anklemmen. (Ich rede von „klassischen“ DSL/Kabel Privatkundenanschlüssen)
@joshi04603 жыл бұрын
Schönes Video. Alles ja immer eine Balance zwischen Einrichtungs-Aufwand und Administrations-Aufwand zum zu erreichender Sicherheitslevel. Und dann muss man abwägen von komplett separaten Host mit eigener Internetleitung und nur noch physikalischem Zugriff administrierbar, bis zu "ich deklariere einen Host in meinem Netz komplett als DMZ" (dessen sinnvollen Anwendungsfall ist mir allerdings auch schleierhaft, vielleicht noch als Honeypot, wenn mit der Rest von internen Netz auch egal ist ;-) ...). Interessant wären vielleicht Fallbeispiele und Gedankenspiele, was passiert, wenn bestimmte Teile kompromittiert werden, um besser abzuschätzen, wo man welchem Hersteller, Distribution oder Administrator zutraut, möglichst wenig Risiken preiszugeben.
@patrickdee73653 жыл бұрын
Tolles lehrreiches Video, komme egal wie ich es dreh auf den selben Nenner, nur wirklich Hardware bräuchte man 1x Fritzbox 1x Physische Opnsense und 1 Server mit Proxmox der dann nen Opensense virtualisiert der auch gleichzeitig dieses kompromitierte Netz an ne VM gibt die nur per VPN Tunnel erreichbar ist. Soetwas geht weil man in ner OPNSense Regeln setzen kann womit Kunden in Gastnetzen niemals auf den Router oder das Gateway selbst kommen können, ist also relativ sicher.
@eljodinkaki30183 жыл бұрын
Egal ob OPNsense oder pfSense (auf Proxmox),wenn aktiviert werden auf meinem Android einige Apps und Dienste nicht ausgeführt. Ich vermute das eine Regel (von mir wurde keine Änderung vorgenommen) die Verbindung blockt.Kennt jemand das Problem und hat eine Lösung ?
@revslife75032 жыл бұрын
Ich weiss nicht.. Der Sinn einer DMZ ist es doch, Dienste vom LAN abzukoppeln, welche vom WAN aus erreichbar sein müssen. Z.B. http(s), smtp(s), (s)ftp.. Ich habe den Reverse Proxy zum Beispiel in der DMZ. Dieser muss aber zwangsweise den Exchange erreichen. (Tut er in dem Fall über eine zweite NIC, die im Server-VLAN hängt) Dies ist eine Konstellation, die mir weitaus besser gefällt als den Exchange komplett in die DMZ zu stellen. Klar, je paranoider das ist, desto mehr kann man es absichern. Der Administrationsaufwand erhöht sich aber immens mit jedem weiteren Router hinterm Router usw. Und nen DC in der DMZ? Niemals :)
@robinhood20233Ай бұрын
Das einzige was ich zum Thema DMZ schon mal gehört habe ist, dass man zwei Router kaskadieren kann. Vielleicht kannst Du mal auf diese Lösung eingehen.
@Chris-oc7kh3 жыл бұрын
Was nutzt du für einen Server für Opensense?
@androidandroid16312 жыл бұрын
Hallo Dennis, tolles Video über DMZ Infrastrukturen. Die Idee eines Jump-Hosts zur Verwaltung finde ich super. Was meinst du für mehr Sicherheit das "Subnetz" mit einer VPN Einwahl abzusichern? Dabei könnte der VPN Server (Wireguard oder OpenVPN) im Netz des Jump-Hosts stehen. Oder man stellt alle benötigten DMZ Services z.B. Exchange Server und Webserver im externen Rechenzentrum Hetzner unter. Bei einer Hackerangriff und Verschlüsselung würde das interne Netz nicht in Gefahr geraten. Gruß aus Berlin Andreas
@linformatik5692 жыл бұрын
Hi, ich verfolge deine Videos seit einigen Tagen und finde sie mega interessant, man spürt deine IT-Leidenschaft macht richtig Spaß zuzuschauen:-) Bin zuhause gerade dabei eine DMZ für meine Proxmox VMs einzurichten. Mit welchem Programm hast du die schönen Netzwerkdiagaramme gezeichnet?
@RaspberryPiCloud2 жыл бұрын
draw.io
@1stslave1432 жыл бұрын
Super erklärt danke. Kann man dich auch anschreiben für Hilfe? Möchte mein Heimnetz neu aufbauen
@Donkeydoedel9 ай бұрын
Für zu Hause wird das leider immer sehr schnell zum Overkill, der auch die Stromkosten in die Höhe treibt. Derzeit habe ich einen Server auf dem alle Dienste laufen. Sowohl rein interne Dienste (DMS, fileserver, plex,...) als auch externe Dienste (nextcloud, minecraft,...). Davor hängt eine Firewall. Wenn ich das jetzt besser absichern möchte, bräuchte ich zwei physische Rechner die permanent laufen + eine weitere physische Firewall. Denke da muss man wirklich immer individuell abwägen wie hoch die Vorteile m Vergleich zu Kosten und Wartungsaufwand sind.
@PCJJCP25 күн бұрын
Habe es zuhause so gelöst, dass ich einen Thin Client mit meinem Proxy laufen habe. Beim Proxy habe ich Portforwarding konfiguriert und das ist für die meisten fälle auch ausreichend was Sicherheit angeht. Ich bin ja jetzt keine Firma bei der es sich lohnt das system zu knacken.
@Glatze6033 жыл бұрын
Mahlzeit, danke dir für das Erklär-Video :-) Wie ist das denn bei dem 2-Firewall-Konzept (Internet - FW1 - DMZ - FW2 - LAN) bzgl. NAT, z.B. mit einer Sophos XG und einer OPNsense (lassen wir die Fritzbox mal außen vor!)? Die Geräte aus dem LAN müssen dann doch durch 2 Firewalls und werden somit zweimal genattet. Wenn die FW2 die LAN-Geräte nattet, landet ja nur noch die WAN-IP von FW2 in FW1. Somit muss ich FW1 quasi für jeglichem Traffic der von FW2 kommt, auf Durchzug stellen. Wäre es nicht sinnvoller NAT auf FW2 zu deaktivieren (also nur routing)? Das bedeutet zwar, ich müsste Client- und/oder User-basierte Firewall-Regeln auf beiden Firewalls erstellen, aber genau das wäre doch deutlich sicherer. Geht das überhaupt und macht das Sinn?!? Das BSI beschreibt zwar grob, aber an Details wird wie immer gespart...
@m-electronics59773 жыл бұрын
Also für Zuhause finde ich reicht ein Router mit zwei getrennten Netzen. Wenn man es offiziell sieht natürlich nicht
@RaspberryPiCloud3 жыл бұрын
Sehe ich auch so. Für zuhause mehr als ausreichend.
@sundwitzi92253 жыл бұрын
Danke - tolles Video! Wäre interessant wie Du Redundanz im WAN aufbauen würdest. Ich bekomme jetzt zuhause Glasfaser und überlege DSL als Backup zu behalten. Wenn ich Server künftig zuhause hosten möchte darf es aber keinen single point of failure mehr geben... 🤔
@kriffos3 жыл бұрын
Nur als kleinen Einwurf: Wenn du nicht auch bei der Stromversorgung für Redundanz sorgst, wirst du immer einen SPOF haben, auch eine USV schafft keine Redundanz. Ich glaube der Aufwand lohnt sich kaum für Privatpersonen, ganz zu schweigen von den Kosten, aber Lösungsansätze dafür fände ich auch spannend.
@somethingpersonfem3 жыл бұрын
@@kriffos Außer die USV ist maßlos überdemensioniert. So 5-10W an einer welche 550Watt und 950VA kann.. Dann bekommt man schon eine ganze weile überbrückt aber vollständige Redundanz ist das auch noch nicht...
@Bogomil763 жыл бұрын
pfsense/opensense können Redundanz. Letztendlich ist dann eher die Frage wie bekommst Du die Redundanz von aussen auf Dein Netz hin. Wenn Deine IPs nicht erreichbar sind brauchst Du ja passende DNS Einträge, oder n vorgeschalteten Loadbalancer. Dual WAN ist da das „kleinste“ Problem. Zum Thema USV: Dann auch 2 USVs die an 2 unterschiedlichen Stromkreisen hängen, und Server mit ihren 2 Netzteilen hängen jeweils an beiden USVs ;) Geht zu Hause nicht, da Strom nur aus „einer“ Steckdose kommt ;) Und n Stinkediesel stellt sich keiner in den Garten… Aber, wie oft hat man Stromausfall, und wie oft hat man INetausfall…
@stefan97283 жыл бұрын
Und wie versorgt ihr den Netzwerkverteiler im DSLAM? Der ist meistens auch tot wenn ihr Stromausfall habt.
@Bogomil763 жыл бұрын
@@stefan9728 nur bei DSL…
@togolino6817 Жыл бұрын
Cool
@DigitEgal3 жыл бұрын
Na hast deinen Urlaub gut überstanden :D Gut erholt schaust aus :D
@RaspberryPiCloud3 жыл бұрын
Natürlich... War ja schließlich Urlaub! Danke, aber ich sehe immer gut aus !
@nilsraukamp77193 жыл бұрын
Ich will ja nichts sagen aber … DMZ ist ja echt gut und ok aber wenn ich dann alles absolut trenne ist es keine dmz mehr sondern nur n externer Server. Der braucht genauso ne FW etc. also hast du es nur unnötig verkompliziert aber kein Gewinn an Sicherheit. Die DMZ machst du ja entweder um Dienste ab zu Schotten und intern noch darauf zu zu greifen mit FW Regalen oder du trennst es gleich aber trotzdem sollen ja alle die das dürfen darauf zugreifen und das is dann n ganz normaler Server der im Internet steht und FW regeln hat. Der Jump Horst macht auch wenig Sinn. Entweder du hast wo n Schädling oder sowas dann nutzt er den Jump Horst genauso wie dein regulärer Traffic oder was genau versuchst du zu unterbinden?
@Schlitzauge89 Жыл бұрын
Nein, der JumpHost ist von außen nicht erreichbar, sondern nur intern zu nutzen und kann sich mittels SSH- oder VPN-Tunnel von intern in die DMZ connecten. Von Intern aus gesehen ist die DMZ quasi nichts weiter als ein sehr nahe gelegenes eigenes LAN/Internet vor dem eigentlichen Internet. Das ist im Video recht verwirrend, da die DMZ letztendlich auch nur ein weiteres LAN neben dem Intern-LAN ist. Einfach nur zwei getrennte LANs, wobei LAN1 (DMZ) von nur einer Firewall geschützt wird und LAN2 (intern) von zwei Firewalls. Eine DMZ nutzt man eigentlich nur, um darin Geräte und Dienste oder mit WLAN auch für potentiell unsicherere Protokolle separiert von eher kritischen Geräten bzw. Diensten in einem Gesamtnetzwerk zu betreiben und hierbei das kritische Netzwerk im Home hiervon zu entkoppeln. So richtig sehe ich da nicht einen Sinn. Sicherer wäre mMn, sowohl LAN1 als auch LAN2 jeweils über eigenständige VLANs jeweils mit eigener Firewall oder gar zwei Firewalls zu betreiben. Also: WAN -> Router-Firewall1: -> Router-Firewall2.1 -> VLAN1: Geräte & Dienste -> Router-Firewall2.2 -> VLAN2: Geräte & Dienste Die Frage ist nur, weshalb zwei Firewalls? Man könnte auch einfach über Firewall-Regeln der ersten Firewall und einem ReverseProxy am WAN-Router kontrolliert vorgeben, welcher Traffic von Outbound als auch Inbound in welches VLAN geht. Die Frage, die sich bei DMZ bei mir stellt ist, weshalb man Geräte und Dienste in der potentiell weniger sicheren DMZ betreiben sollte, die dann nur durch eine Firewall geschützt werden. Weshalb sollen diese nicht auch einen zweifachen Schutz wie die Geräte und Dienste in LAN2/VLAN2 mittels zweifacher Firewall erhalten? Einen Sicherheitsgewinn sehe ich hier eher darin, zwei hintereinander geschaltete Firewalls verschiedener Hersteller vor jedem LAN/VLAN anzuwenden. Quasi, wenn dann jeweils die erste Firewall eine Lücke haben sollte, kann die zweite Firewall diese Lücke vlt. nicht haben. Schön für die Geräte und Dienste hinter der zweiten Firewall, aber quasi sind bei klassischem DMZ-Setup alle Geräte und Dienste in der DMZ dann gnadenlos ausgeliefert. Dieses Konstrukt halte ich für sehr fragwürdig insb. wenn man z.B. Client-Geräte (LAN2/VLAN2) von Server-Diensten (LAN1/VLAN1/DMZ) netzwerktechnisch voneinander separiert, etwaiger Client-Server-Verkehr letztendlich aber eh wieder die dann kompromittierten Server-Dienste und Geräte in der DMZ nutzt.
@haudiweg2 жыл бұрын
Also ich brauch ein grösseren switch mit vlan…
@daniel_bliem3 жыл бұрын
Meine Meing zu 2 Firewall am besten 2 komplett unterschiedliche wie zum beispiel eine Pfsense und fortigate und nicht eine Pfsense und eben das fork davon. Meine empfellung statt einer DMZ man trennt gleich alles auf getrennte hardware so dass 2 netze sind die nicht miteinder verbunden und zur administration eine vpn bei bedarf .
@daniele.25543 жыл бұрын
Geht bei größeren Netzen nicht und wird viel zu teuer.
@Bogomil763 жыл бұрын
Ok, also Deine Meinung deckt sich also exakt mit dem was im Video gesagt wird ;)
@IamtheUli3 жыл бұрын
Sehe es wie @@daniele.2554 da wird eher mit VLANs gearbeitet, so kann man VMs auf dem Host-Clustern einfach logisch und einzeln in unterschiedliche Netzwerksegmente schieben, ohne gleich für alles eigene Hardware zu brauchen... So machen die großen von AWS / Azure / Google auch, nur eben in duetlich größer...
@Schlitzauge89 Жыл бұрын
@@daniele.2554 bei größeren Netzen kann man das alles virtuell aufbauen. Ressourcen hat man dann meist genug. Cloud-Anbieter wie AWS, Azure, OTC, Google Cloud Platform oder auch IONOS/Hetzker-Hoster etc. machen genau das.
@daniele.25543 жыл бұрын
DMZen werden aussterben. Cisco ACI zb aber das gibt es privat natürlich nicht 🤣
@RaspberryPiCloud3 жыл бұрын
Cisco ACI ist SDN und über diese kann man eine DMZ bilden, aber bei weitem haben nicht alle ACI. ;)
@TheSecurityAgency2 жыл бұрын
Why the hell the title is in English?
@RaspberryPiCloud2 жыл бұрын
Just to annoy you
@Schlitzauge89 Жыл бұрын
Von Intern aus gesehen ist die DMZ quasi nichts weiter als ein sehr nahe gelegenes eigenes LAN/Internet aus Sicht des internen LANs vor, aus Sicht des Internets hinter dem eigentlichen Internet. Das ist im Video recht verwirrend, da die DMZ letztendlich auch nur ein weiteres LAN neben dem Intern-LAN ist. Einfach nur zwei getrennte LANs, wobei LAN1 (DMZ) von nur einer Firewall geschützt wird und LAN2 (intern) von zwei Firewalls. Eine DMZ nutzt man eigentlich nur, um darin potentiell weniger kritische Geräte und Dienste oder mit WLAN auch für potentiell unsicherere Protokolle separiert von eher kritischen Geräten bzw. Diensten in einem Gesamtnetzwerk zu betreiben und hierbei das kritische Netzwerk im eigenen Netz hiervon zu entkoppeln. So richtig sehe ich da nicht einen Sinn, wichtige Geräte und Dienste in der DMZ zu betreiben. Sicherer wäre mMn, sowohl LAN1 als auch LAN2 jeweils über eigenständige VLANs jeweils mit eigener Firewall oder gar zwei Firewalls zu betreiben. Also: WAN -> Router-Firewall1: -> Router-Firewall2.1 -> VLAN1: Geräte & Dienste für Zweck und Prio A -> Router-Firewall2.2 -> VLAN2: Geräte & Dienste für Zweck und Prio B Halt ein dediziertes Application-Firewall-Konzept. Die Frage ist nur, weshalb zwei Firewalls? Man könnte auch einfach über Firewall-Regeln der ersten Firewall und einem ReverseProxy am WAN-Router kontrolliert vorgeben, welcher Traffic von Outbound als auch Inbound jeweils in welches VLAN geht. Die Frage, die sich bei DMZ bei mir stellt ist, weshalb man Geräte und Dienste in der potentiell weniger sicheren DMZ betreiben sollte, die dann nur durch eine Firewall geschützt werden. Weshalb sollen diese nicht auch einen zweifachen Schutz wie die Geräte und Dienste in LAN2/VLAN2 mittels zweifacher Firewall erhalten? Einen Sicherheitsgewinn sehe ich hier eher darin, zwei hintereinander geschaltete Firewalls verschiedener Hersteller vor jedem LAN/VLAN anzuwenden. Quasi, wenn dann jeweils die erste Firewall eine Lücke haben sollte, kann die zweite Firewall diese Lücke vlt. nicht haben. Schön für die Geräte und Dienste hinter der jeweils zweiten Firewall, aber quasi sind bei klassischem DMZ-Setup alle Geräte und Dienste in der DMZ dann gnadenlos ausgeliefert. Dieses Konstrukt halte ich für sehr fragwürdig insb. wenn man z.B. Client-Geräte (LAN2/VLAN2) von Server-Diensten (LAN1/VLAN1/DMZ) netzwerktechnisch voneinander separiert, etwaiger Client-Server-Verkehr letztendlich aber eh wieder die dann kompromittierten Server-Dienste und Geräte aus der DMZ nutzt.
@nixxblikka Жыл бұрын
Hallo Kevin Marco, verstehe Deinen Post nur so halb. Du schreibst eingangs, dass in einer DMZ nur weniger kritische Dienste laufen, um dann zu fragen, warum nur 1 FW für die DMZ statt 2? Du gibst die Antwort doch selber schon. Am Ende hältst Du es für fragwürdig, dass die Clients mit der DM Kommunizieren können, dieser Aspekt wird doch durch den JumpHost adressiert? Am Ende vom Tag möchte in einer DMZ Dienste haben, die von außen erreichbar sind, den Schutz fahre ich herunter, damit sie leichter erreichbar sind, das gesteigerte Risiko fange ich ab, indem ich meine anderen GEräte schütze. Nun muss ich natürlich a) die DMZ im AUge behalten und b) das Risiko abschätzen, mache ich sie für mich alleine zugreifbar plus „Grundrauschen“ ? Dann passt es wenn meine Cients die Dienste auch nutzen, weil man a) nicht so sehr von Risiken ausgehen muss und b) nicht jede Kompromittierung + Komminukation zu einem unsicheren internen Netz führt, sonst wäre ja jegliche Kommunikation mit unsicheren Servern direkt das eigene NEtz verseucht? Wenn ich natürlich viel Piblikumsverkehr habe, viele Angriffsvektoren muss ich natürlich überlegen wie ich das separiere…
@IamtheUli3 жыл бұрын
ein DC in der DMZ? 😨
@RaspberryPiCloud3 жыл бұрын
Nicht ? Dachte da baut man auch alles komplett auf.
@IamtheUli3 жыл бұрын
@Raspberry Pi Cloud kenne kein Setup, wo man ein DC in der DMZ braucht. Ich würde da nicht mal ein read only DC reinstellen. 😅 Bei KMU wird (wenn benötigt) meist eher LDAPs nach intern auf die DC(s) freigeschaltet (z.B. für Nextcloud mit AD Login usw.) Wenn man sowas aber aufgrund der Sicherheit nicht haben will oder darf, wird oft auch ein SSO mittels ADFS eingesetzt und hat in der DMZ nur einen ADFS Proxy stehen. Somit läuft die User Authentisierung über einen Identity Provider mittels SAML / oAuth2.