LAN ans Internet mit hohe Sicherheitsstufe

Hallo,
ich will ein sicheres Netzwerk für eine Gruppe von 5 Leuten einrichten. Besonders wichtig ist dabei
die Sicherheit. Als Vorgabe möchte ich die vom BSI vorgeschlagene 3 Zonen Architektur realisieren.
Es geht einfach nur darum das Internet Nutzen zu können, dabei soll aber das LAN nicht im Internet sichtbar sein.
Desweiteren will ich ein Webserver einstellen, der aus dem LAN und auch aus dem Internet ereichbar sein soll.

So sollte es eventuell aussehen:


1.Zone: LAN
2.Zone: Sicherheitsgateway
3.Zone: Internetanbindung also nur der Router.

Da ich kein Netzwerkspezialist bin, brüchte ich nachvollziehbare Indormationen, zu meinen Fragen.
------------------------------------------------------------------------------------
Fragen zur Zone 1:
Frage 1: die erste Zone besteht aus 5 Pcs (XP und Ubuntu) und zwei Servern (ubuntu), die beide an den Paketfilter angeschlossen sind.
brauche ich hier unbedigt einen DNS server?
kann ich im Client nicht einfach nur die externen DNS Server,
die es im Internet gibt angeben. Und falls ich einen DNS Server in Zone 1 brauche, dann brauche ich auch einen in Zone 2, der
die DNS Fragen nach außen leitet?
Falls ich ein DNS Server brauche, welche schlägt ihr vor? gibt es Opensource Produkte. Sollten einfach konfigurierbar sein.

Frage 2: Es sollte ein statusbehafteter Paketfilter (Stateful Inspection) sein. Welche gibt es dazu in Software, möglichst Open Source, die man empfehelen kann? Und als HW Lösung? (Preise ca.). Ich dachte ob es möglich ist ein alten Rechner dazu zu benutzen, auf dem als OS Ubuntu Server läuft und dann nur noch die Firewall. Was muss ich dann dazu genau einstellen?
--------------------------------------------------------------
Fragen zu Zone 2:


Das heißt der Paketfilter aus Zone1 im Lan (Paketfilter1) wir dann mit dem Paketfilter3 verbunden. Im goben weiss ich zwar was eine Applocation gateway Level ist, wird auch als ALF oder ALG bezeichnet. Diese Firewall kann sozusagen auf der Applikationseben z.b. smtp filtern. Benutzt habe ich aber noch nie so etwas.

Frage3: Gibt es Softwarelösungen für so eine ALG. Wie kann ich diese am besten realisieren, was benötige ich am besten dazu? Ubunut server? wie konfiguriert man so eine ALG?
Frage4: Gibt es zur ALG Alternativen die einfacher zu realisieren sind?

Frage5: Es soll ein Webserver aus dem Internet ereichbar sein, deswegen auch der WWW extern. Der eigentliche Webser ist der WWW Server, auf dem der Apache Server installiert werden soll. Damit dieser aber nicht direkt erreichbar ist von außen, ist ein WWW extern vorgeschaltet und mit dem Paketfilter5 gesichert.
Dies soll die Sicherheit erhöhen. Auf dem WWW Server läuft also ein apache server. Was ist dann WW extern und WWW Intern? Sind das Proxyserver also http server?
Wenn ja was bietet sich da an, und wie muss man diese dann konifgurieren?

Frage6: DNS server, also die selbe Frage wie in Frage1, Konifuration, SW-Lösung?

-------------
Zone3 ist dann nur der Router, da kann ich ja ein ganz normalen nehmen, wie z.b. von Dlink. Dieser wir dann mit dem Paketfilter2 verbunden.


Frage7: Wäre dies auch bei einer dynamischen IP machbar? also ohne Feste IP Adresse?

Vielen Dank

 

Moin,
ich versuch mich mal.
Ich möchte eingangs darauf hinweisen das ich hier auch nicht unbedingt der Super Spezi bin durch meine Ausbildung aber ein paar Kenntnisse habe
Für Ergänzungen und Korrekturen bin ich sehr dankbar...
zusätzlich frage ich gleich mal nach dem Einsatzgebiet der Architektur...zu welcher Branche gehört das Unternehmen und was steht an Budget bereit?
Unabhängig davon würde ich empfehlen die ganze Angelegenheit von einem entsprechenden Dienstleister wenigstens planen zu lassen. Diese Leute haben damit sehr viel mehr Erfahung als ich und wohl 99% der User hier. Gerade beim Sicherheitskonzept sollte man allerdings nicht sparen bzw. wie schon gesagt wirkliche Spezialisten ranlassen.

zu 1. DNS sollte schon eingerichtet sein...da ich selbst nur mit WinServer 2003 Erfahrung habe kann ich dir aber leider keine geeignete Distir nennen. DNS ist für die Administration auch wichtig, da einige Dienstes einen DNS vorraussetzen (Exchange, Active Direktory, Routing, DHCP etc...) Da du wohl auf Linux setzt muss dich Exchange und Active directory nicht unbedingt interessiere, ist nur falls doch ein W2k3 Server reinkommt.

zu 2. ein einzelner Rechner ist ok.....IPCOP solltest du dir mal anschauen
ein Serverbetriebssystem auf dem eine Firewallanwendung läuft ist aber auch eher strittig. Mit IPCOP installierst du im Grunde das rudimentäres Betriebssytem das ausschließlich Firewall/Routing/Kommunikations etc. Funktionalitäten bietet.

zu 3.

Softwarelösungen sind Murks.....gut jetz kann man sagen ist im Endeffekt so gut wie allles Software aber eine reine Anwendersoftware auf einem Serverbetriebssystem kann immer zu Problemen führen. In diesem und den anderen Fällen wäre eine Dedizierte Firewall wohl das beste. Mit dem IPCOP ist das hier auch wieder möglich, aber die Konfiguration wird auch sehr komplex.

zu 4. kann ich dir nicht viel sagen, das sollte sich ein entsprechender Servicepartner anschauen, bzw. jmd der oft mit solchen Lösungen arbeitet.

zu 5.

Die Zone 2 soll im Endeffekt eine DMZ bilden....warum schaltest du da vor jeden Server noch einen Paketfilter? Die DMZ wird über eine Firewall und einen Router mit dem Internet verbunden....auf der anderen Seite wird das lokale LAN mit einer Firewall/Router mit der DMZ verbunden.

vor jeden Rechner einzeln einen Paketfilter setzen ist bisschen sehr verschwenderisch, vorallem wenn man bedenkt das alles möglichst günstig werden soll.
Du kannst ja einfach sagen das der Webserver nur Anfragen von Port 80 und mir wegen noch 443 entgegen nehmen soll...diese werden weitergeleitet der Rest verwurfen.

Der Server ist sowieso nicht direkt erreichbar von außen.....man sieht nur den Router im Netz alles was dahinter steht ist "unsichtbar"....

zu deiner letzten Frage.....

DynDNS ist der Dienst der Wahl..als gewerblicher Nutzer muss man aber bezahlen soweit ich weis
Für Privatpersonen ist ein zugang kostenlos nutzbar.

Ich hoffe wenigstens ein bisschen geholfen zu haben und hoffe das sich hier noch jmd zur Unterstützung einklinkt.
Wie gesagt alle Angaben ohne Gewähr

MfG

 

Nimm einen anständigen Router - z.B. Netgear FVX538, dort lassen sich die Rechte für: WAN<->LAN, WAN<->DMZ, DMZ<->LAN separat festlegen. Mehr brauchst du nicht. Die ganze Webserver-/Paketfilterkonstruktion ist überflüssig. Die DNS-Auflösung macht der Router bzw. (wenn verwendet) der Domain Controller.

 

ja danke erstmal für die Infos. Sicherlich hat mit das schon geholfen, aber konkreter müsste ich das ganze nun haben. Also ich nehme mal den Vorschlag von nost89 an, das ich die anderen Paketfiler mal weg lasse.

Also denkt Euch mal die Paketfilter 3,4,5 weg, und die interne und externe Webserver lasse ich mal weg. Es bleibt also nur ein Webserver.

Dann würde ich nun die IPCOP nehmen, die ich auf einem Linuxrechner installiere.
Dann wären also Paketfilter1 und 2 IPCOP Rechner, ok?
Und die ALG lassen wir mal einfach halber weg.

Die Frage ist nun wie ich das ganze nun einstelle verbinde konfiguriere etc. Das müsste ja nun genug Schutz bieten.

Ein einzigen Router für alles? Was wenn der Router kompromittiert ist?
Es sollte schon so wie oben beschrieben sein.
Grüße

 

...wo ist der Unterschied zu deinem Konstrukt, außer das deins durch mehr Systeme auch eine größere Angriffsfläche bietet?