Előtörténet:
A mostanában felvetődött XMPP szerveres kérdéshez kapcsolódva kitaláltam, hogy akkor én most működtetni fogok egy RocketChat instance-t, privát/családi üzenetküldési megoldásként. ( Persze, tudom, hogy van akinek megkérdőjelezhető az értelme, de most ettől tekintsünk el. )
Az első tesztek elég pozitívak voltak így gondoltam, oké mehet élesbe a dolog.
Viszont ekkor futottam bele a kérdésbe, hogy oké, de hová?!
Jelenleg ESXI 6.7 felett fut egy OPNsense aminek most két lába van. WAN/LAN. A LAN-ra egy Unifi US-8-60W van kötve, amibe a többi gép meg egy AP van csatlakoztatva.
( Jelenleg összesen 4+2 NIC áll rendelkezésre. Amiből 2-t már az opnsense használ.)
Az hamar kiderült, hogy LAN-ba nem tehetem ezt a virtuális gépet, mert akárcsak egy web/mail..stb server, ez a gép is elérhető lesz az Internet felől és mint támadási felület nem biztonságos a LAN-ban hagyni. Szóval kell egy DMZ terület...
(DDNS-t már beállítottam korábban így az elérhetőséggel nem lesz gond változó IP miatt.)
Elveszve a rengetegben:
Némi olvasgatás után belegabalyodtam a témába mint majom a házicérnába...
I. 1 tűzfalas vs 2 tűzfalas megoldás. Otthoni környezetben valószínűleg elég lenne OPNsense alatt egy újabb interfészt(subnetet) felvenni DMZ névvel. De sok helyen írták, hogy a 2 tűzfal jobb a zsilip jellege miatt. Ha az első tűzfal kompromittálódik akkor még mindig van egy második mielőtt a LAN-hoz érne a támadás... Viszont itt van pár kérdőjel. Ha 2 ugyanolyna tűzfalat használok, akkor adott sérülékenység miatt a második is sebezhető lehet?
Konkrét példánál maradva, lenne két OPNsense alapú rendszer. Egyiket nevezzük EXT-nek a másikat INT-nek. Az EXT lenne a bejárat, WAN és DMZ lábakkal és a DMZ egyik eleme lenne az INT rendszer ami nek a WAN-ja lenne a DMZ-felé és a LAN lenne a másik ága.
Szóval ez így okés, vagy érdemes lenne 2 eltérő tűzfalat használni?
II. Switch-es csatlakozások. Vegyesen voltak a vélemények a DMZ és a LAN szeparálásáról ami a fizikai közeget illeti. Mivel fontos lenne, hogy a jelenlegi eszközökkel oldjam meg a dolgot, így felmerült, hogy egy switch lenne, de két VLAN, és így lenne elkülönítve a két hálózat. De voltak ellen vélemények miszerint ez annyira nem biztonságos és inkább fizikailag is külön switchre kellene átvezetni a DMZ-t. Ezzel kapcsolatban mi a vélemény? Tényleg nem biztonságos VLAN-al megoldani?
III. FW szabályok.
A DMZ-be telepített gépeket azért időnként karban kell tartani..stb. Szóval jó lenne ha mondjuk SSH-n lenne hozzáférés LAN-ból. Ez mennyire sérti a DMZ filozófiáját?
A kérdéseim és problémáim nyilván próbáltam jól megfogalmazni, de nem ezzel foglalkozom napi szinten, csak érdekel a téma és szeretném megérteni. Ezért kérem, hogy ne hülyézzetek le azonnal, ha valami triviálisnak tűnő kérdést tettem fel.
Hozzászólások
II: azért ettől komolyabb környezetekben is a vlan-ok szeparáltságában legalább megbíznak.
,bár ezzel a switch-csel nincs tapasztalarom
I: eddig is egy tűzfalad volt..
de mindent lehet bonyolítani
I. Igen eddig is 1 volt és nem is gondoltam rá, hogy kell(het) 2. Egész egyszerűen csak olvasgattam az ajánlásokat/leírásokat. Hasonló érdeklődéseket, mint amit én is bedobtam. Nem gondolom, hogy szükséges lenne. Én az extra DMZ interfész hozzáadása mellett vagyok. Mert bőven elegendőnek érzem. Hiszen így is lesznek tűzfal szabályok, meg NAT. De hát volt olyan vélemény is ami szerint a két tűzfal fizikailag is külön vason kell menjen, mert az a tuti...
II. Szerintem ez egy viszonylag jó kis switch. VLAN-ok szeparáltságát nem kérdőjelezem meg. Csak én is úgy olvastam... WAN/DMZ/LAN kifejezésre a google sok ilyet is kidob.
Ha egy mód van nem szeretném bonyolítani. Sőt inkább egyszerűsíteném. Arra is gondoltam, hogy az lenne a legjobb ha nem kellene fizikai switchre kivezetnem és esxi alatt vswitchel megoldhatnám ezt valahogy.
Ha mást nem akarsz a DMZ-be rakni, csak az esxi-n futó virt gépet/gépeket és a tűzfal is ott fut, akkor simán meg tudod oldani esxi-n belül is port group-okkal, ami a belső 'virtuális' switch-en a vlan-okat jelenti. Csinálsz egy külön group-ot a dmz-nek, abból adsz egy virt interface-t a tűzfalnak és egyet a dmz-s gépnek.