Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
IP adressering in DMZ
Ik zou wat raad kunnen gebruiken ivm met het adresseren van servers in een DMZ zone. Deze servers in DMZ wil ik toewijzen aan verschillende VLAN ' s .(dus ook verschillende subnets).
Stel er staat een webserver, proxyserver en mailserver in de DMZ . Dewelke alle 3 zijn aangesloten op een layer 3 switch. Deze layer 3 switch is vervolgens aangesloten op een firewall. En de firewall is aangesloten op een router .
router ----- firewall ----- layer 3 switch .
De router heeft 4 interfaces .
1. WAN poort met publiek IP 210.100.35.5/24 (fictief)
2. LAN poort met IP 192.168.10.0/24
3. LAN poort met IP 192.168.20.0/24
4. Deze interface moet verbonden worden met de firewall. Aangezien ik de servers achter de firewall een publiek IP wens te geven , neem ik aan dat deze interface ook een publiek IP moet krijgen , is dit correct ?
Aangezien ik elke server in een andere VLAN wil steken, moet ook elke VLAN een ander subnet hebben.
Hoe krijg je dit werkende , aangezien je meestal een range publieke IP ' s uit hetzelfde subnet krijgt toegedeelt van de ISP ?
Stel er staat een webserver, proxyserver en mailserver in de DMZ . Dewelke alle 3 zijn aangesloten op een layer 3 switch. Deze layer 3 switch is vervolgens aangesloten op een firewall. En de firewall is aangesloten op een router .
router ----- firewall ----- layer 3 switch .
De router heeft 4 interfaces .
1. WAN poort met publiek IP 210.100.35.5/24 (fictief)
2. LAN poort met IP 192.168.10.0/24
3. LAN poort met IP 192.168.20.0/24
4. Deze interface moet verbonden worden met de firewall. Aangezien ik de servers achter de firewall een publiek IP wens te geven , neem ik aan dat deze interface ook een publiek IP moet krijgen , is dit correct ?
Aangezien ik elke server in een andere VLAN wil steken, moet ook elke VLAN een ander subnet hebben.
Hoe krijg je dit werkende , aangezien je meestal een range publieke IP ' s uit hetzelfde subnet krijgt toegedeelt van de ISP ?
Reacties (8)
19-06-2013, 15:46 door
MrRight
Hallo,
Probeer eens te googlen op NAT / PAT.
Iets met public ip's op de buitenzijde van de firewall en static (port) translaties naar de private ip spaces.
En dynamic van private naar public ip.
Vergeet niet de access-rules!
MrRight.
Probeer eens te googlen op NAT / PAT.
Iets met public ip's op de buitenzijde van de firewall en static (port) translaties naar de private ip spaces.
En dynamic van private naar public ip.
Vergeet niet de access-rules!
MrRight.
20-06-2013, 08:39 door
SecOff
Door Funzy83: Aangezien ik elke server in een andere VLAN wil steken, moet ook elke VLAN een ander subnet hebben.Hoe krijg je dit werkende , aangezien je meestal een range publieke IPs uit hetzelfde subnet krijgt toegedeelt van de ISP ?
Subnetting
20-06-2013, 08:56 door
BaseMent
Het is mij niet helemaal exact duidelijk wat je wilt maar als jij een range van bijvoorbeeld 8 adresjes toegewezen krijgt, kan je met subnetting dit reeksje wel weer opdelen in verschillende nog kleinere reeksjes.
Voor jou provider maakt dit niets uit. Die stuurt alles naar jou toe, jouw router zal het vervolgens opknippen in nog kleinere reeksjes en doorzetten naar het juiste interface.
Dat subnetten kan je meestal doen als "/31" subnetten. Je mist dan een broadcast en netwerk adres, maar met slechts twee hosts maakt dat niet uit. Kijk wel even of je hardware het ondersteund. Anders worden het /30 subnet maar dan raak je weer 2 adressen kwijt per subnet.
Met nat kan je ook een heel eind komen. Het adres temineert dan op de router, die het vervolgens weer doorzet naar een interne machine. Maar hou er rekening mee dat nat niet altijd vlekkeloos gaat werken en dat het extra cpu belasting geeft op je router. Die moet het dus wel trekken.
Overweeg ook om een private VLAN te bouwen. Je gaat dan op laag twee knippen in het broadcast domein. De servers hebben dan wel een adres in hetzelfde subnet, maar kunnen onderling toch niet communiceren.
Je hebt dan echter wel een echte switch nodig. Dus geen doosje van de lokale computerboer.
Voor jou provider maakt dit niets uit. Die stuurt alles naar jou toe, jouw router zal het vervolgens opknippen in nog kleinere reeksjes en doorzetten naar het juiste interface.
Dat subnetten kan je meestal doen als "/31" subnetten. Je mist dan een broadcast en netwerk adres, maar met slechts twee hosts maakt dat niet uit. Kijk wel even of je hardware het ondersteund. Anders worden het /30 subnet maar dan raak je weer 2 adressen kwijt per subnet.
Met nat kan je ook een heel eind komen. Het adres temineert dan op de router, die het vervolgens weer doorzet naar een interne machine. Maar hou er rekening mee dat nat niet altijd vlekkeloos gaat werken en dat het extra cpu belasting geeft op je router. Die moet het dus wel trekken.
Overweeg ook om een private VLAN te bouwen. Je gaat dan op laag twee knippen in het broadcast domein. De servers hebben dan wel een adres in hetzelfde subnet, maar kunnen onderling toch niet communiceren.
Je hebt dan echter wel een echte switch nodig. Dus geen doosje van de lokale computerboer.
Stap over op IPv6. Duizenden subnets voor iedereen die publiek routable zijn.
Geen gedoe meer met NAT!
Geen gedoe meer met NAT!
20-06-2013, 19:09 door
AcidBurn
Door MrRight: Hallo,
Probeer eens te googlen op NAT / PAT.
Iets met public ip's op de buitenzijde van de firewall en static (port) translaties naar de private ip spaces.
En dynamic van private naar public ip.
Vergeet niet de access-rules!
MrRight.
Probeer eens te googlen op NAT / PAT.
Iets met public ip's op de buitenzijde van de firewall en static (port) translaties naar de private ip spaces.
En dynamic van private naar public ip.
Vergeet niet de access-rules!
MrRight.
Dit raakt kant noch wal. Hij vraagt zeer specifiek naar een manier om deze servers een public IP adres te geven en dus van buitenaf benaderbaar te maken. NAT is hiervoor dus geen optie.
De router heeft 4 interfaces .
1. WAN poort met publiek IP 210.100.35.5/24 (fictief)
2. LAN poort met IP 192.168.10.0/24
3. LAN poort met IP 192.168.20.0/24
4. Deze interface moet verbonden worden met de firewall. Aangezien ik de servers achter de firewall een publiek IP wens te geven , neem ik aan dat deze interface ook een publiek IP moet krijgen , is dit correct ?
1. WAN poort met publiek IP 210.100.35.5/24 (fictief)
2. LAN poort met IP 192.168.10.0/24
3. LAN poort met IP 192.168.20.0/24
4. Deze interface moet verbonden worden met de firewall. Aangezien ik de servers achter de firewall een publiek IP wens te geven , neem ik aan dat deze interface ook een publiek IP moet krijgen , is dit correct ?
Doordat je dit er bij zet werkt het een beetje verwarrend. Dit zou doen vermoeden dat er op de router dus al een firewall actief is (eventueel met NAT) en je nu een nieuwe transparante poort wilt toevoegen aan de router om daarachter een firewall te hangen. Eigelijk zou je dus de WAN poort zo moeten laten en een "LAN" poort moeten hebben waar de firewall aan zit. Hierachter komen dan de ip subnets 192.168.x.0/24 via een VLAN op de firewall. Deze subnets horen niet op de router.
Aangezien ik elke server in een andere VLAN wil steken, moet ook elke VLAN een ander subnet hebben.
Hoe krijg je dit werkende , aangezien je meestal een range publieke IP ' s uit hetzelfde subnet krijgt toegedeelt van de ISP ?
Hoe krijg je dit werkende , aangezien je meestal een range publieke IP ' s uit hetzelfde subnet krijgt toegedeelt van de ISP ?
Het hangt er vanaf hoe jouw ISP deze afleverd op de interface maar je zou zoals hierboven al is aangegeven kunnen subnetten, zodanig dat iedere host een eigen VLAN krijgt. Ik snap echter niet waarom je iedere server helemaal zou willen scheiden in een VLAN, dat is misschien een wat overkill.
Wat doen die poort 2 en 3?
Gezien het feit dat je "maar" een /24 van je provider gekregen hebt (ik zeg "maar" omdat het asociaal is om zoveel te krijgen terwijl je maar 5 adressen nodig hebt voor het bovenstaande) neem ik aan dat je vanuit deze twee netwerken met een many-to-one NAT naar internet gaat?
Dan heb je dus 2 externe (of misschien zelfs maar 1) adressen die corresponderen met die poort 2 en 3?
Ok dan moet je dus je /24 gaan subnetten. Dit gaat als je geen "truuks" wilt uithalen op de van dik hout zaagt men planken (en krijgt men veel zaagsel) manier.
Je deelt de /24 op in 2 /25 netwerken, uit een ervan geef je de adressen voor poort 2 en 3 en de andere routeer je door naar poort 4. Daaruit krijgt de router poort 4 en de firewall outside een adres.
Op de firewall deel je hem weer in 2 en heb je een /26 netwerk waarin de outside poort van de firewall en de router dus een adres hebben en de andere /26 routeer je naar de switch.
Op de switch kun je dan die /26 weer in kleinere blokken routeren naar de VLAN's in je switch, waar je ieder minimaal een /30 heen routeert. Je kunt dan dus 16 VLAN's maken met ieder 1 server erin waarvan je er nu 3 gebruikt.
Dit is de cleane manier, waarmee je helaas wel extreem veel van ons aller kostbare IPv4 adressen opstookt.
Als je "truuks" gebruikt kun je de hele exercitie ook wel met een /28 of zelfs /29 van je provider voor elkaar krijgen, maar dan gebruik je geen nette subnetting maar dingen als proxy-arp routing en in plaats van al die VLAN's gebruik je een switch die poorten kan isoleren van elkaar.
(je kunt een goede switch zo programmeren dat bijv poort 1-24 wel allemaal met poort 25 kunnen communiceren maar niet onderling met elkaar. dat zijn dan geen VLAN's maar het komt wel op hetzelfde neer voor wat de veiligheid betreft)
Gezien het feit dat je "maar" een /24 van je provider gekregen hebt (ik zeg "maar" omdat het asociaal is om zoveel te krijgen terwijl je maar 5 adressen nodig hebt voor het bovenstaande) neem ik aan dat je vanuit deze twee netwerken met een many-to-one NAT naar internet gaat?
Dan heb je dus 2 externe (of misschien zelfs maar 1) adressen die corresponderen met die poort 2 en 3?
Ok dan moet je dus je /24 gaan subnetten. Dit gaat als je geen "truuks" wilt uithalen op de van dik hout zaagt men planken (en krijgt men veel zaagsel) manier.
Je deelt de /24 op in 2 /25 netwerken, uit een ervan geef je de adressen voor poort 2 en 3 en de andere routeer je door naar poort 4. Daaruit krijgt de router poort 4 en de firewall outside een adres.
Op de firewall deel je hem weer in 2 en heb je een /26 netwerk waarin de outside poort van de firewall en de router dus een adres hebben en de andere /26 routeer je naar de switch.
Op de switch kun je dan die /26 weer in kleinere blokken routeren naar de VLAN's in je switch, waar je ieder minimaal een /30 heen routeert. Je kunt dan dus 16 VLAN's maken met ieder 1 server erin waarvan je er nu 3 gebruikt.
Dit is de cleane manier, waarmee je helaas wel extreem veel van ons aller kostbare IPv4 adressen opstookt.
Als je "truuks" gebruikt kun je de hele exercitie ook wel met een /28 of zelfs /29 van je provider voor elkaar krijgen, maar dan gebruik je geen nette subnetting maar dingen als proxy-arp routing en in plaats van al die VLAN's gebruik je een switch die poorten kan isoleren van elkaar.
(je kunt een goede switch zo programmeren dat bijv poort 1-24 wel allemaal met poort 25 kunnen communiceren maar niet onderling met elkaar. dat zijn dan geen VLAN's maar het komt wel op hetzelfde neer voor wat de veiligheid betreft)
21-06-2013, 19:05 door
MrRight
@AcidBrand
Dit raakt kant noch wal. Hij vraagt zeer specifiek naar een manier om deze servers een public IP adres te geven en dus van buitenaf benaderbaar te maken. NAT is hiervoor dus geen optie.
Hallo,
Hier de kant en tevens wal,
Volgens mij krijgen de server(s) met NAT/PAT een public ip address.
NAT is juist wel een optie.
Full NAT = 1:1 NAT van pubic IP naar private IP. Eventueel via proxy-arp.
Er is op Internet veel te vinden over NAT/PAT. Probeer google eens :-)
Mr Right.
22-06-2013, 12:21 door
[Account Verwijderd]
[Verwijderd]
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
