Toon posts:

[DMZ]Zijn wij genaaid met de router?

Pagina: 1
Acties:
  • 149 views sinds 30-01-2008
  • Reageer

maandag 28 juni 2004 21:27

Acties:

Verwijderd

Topicstarter
Beste tweakers,

Wij hebben een Zyxel Zywal 35 router aangeschaft voor de Terminal Server van een klant. Deze klant heeft alleen de TS op het internet waarbij hij TS verbindingen en FTP van deze server gebruikt.

Volgens de Zywel dealer was het noodzakelijk een router te gebruiken met DMZ ondersteuning. Wij krijgen de server van WAN naar DMZ echter niet voor elkaar op de router (hebben de juiste poort van LAN naar DMZ geplaatst, geconfigureerd volgens het boekje, etc).

Ik snap ook eigenlijk de toegevoegde waarde van de DMZ niet t.o.v. het LAN. Als ik de poort namelijk op LAN laat kan ik ook nog eens verschillende poorten wel of niet dicht zetten en werkt het systeem over het internet gewoon wel.

Ik weet niet of ik nu beveiliging mis die ik in de DMZ wel gehad zou hebben. Voorlopig laten we het systeem dus op de LAN modus staan i.p.v. de DMZ. Ik kan mij voorstellen dat je de DMZ gebruikt als je ook nog LAN pc's zou hebben zodat je daar een scheiding in kan brengen, maar verder snap ik voor geen meter waarom ze ons een 300 euro duurdere DMZ router hebben verkocht.

Alle intelligente ideen zijn natuurlijk weer zeer welkom.

maandag 28 juni 2004 21:36

Acties:

Verwijderd

Verwijderd schreef op 28 juni 2004 @ 21:27:
Wij krijgen de server van WAN naar DMZ echter niet voor elkaar op de router (hebben de juiste poort van LAN naar DMZ geplaatst, geconfigureerd volgens het boekje, etc).
Je zet geen poort naar een DMZ, maar een IP adres.
Ik weet niet of ik nu beveiliging mis die ik in de DMZ wel gehad zou hebben.
Een DMZ betekent juist dat je alle beveiliging laat varen :)
Een DMZ staat helemaal open, alle requests voor wat voor poort dan ook gaan rechtstreeks naar de PC die als DMZ geconfigureerd is. Mocht je geen poorten specifiek naar andere IP's geforward hebben dan, want die krijgen in de regel voorrang.

[ Voor 10% gewijzigd door Verwijderd op 28-06-2004 21:39 ]

maandag 28 juni 2004 21:56

Acties:
  • mvdejong
  • Registratie: Juni 2000
  • Laatst online: 29-11-2024

mvdejong

When does the hurting stop ?

Verwijderd schreef op 28 juni 2004 @ 21:36:
Een DMZ staat helemaal open, alle requests voor wat voor poort dan ook gaan rechtstreeks naar de PC die als DMZ geconfigureerd is. Mocht je geen poorten specifiek naar andere IP's geforward hebben dan, want die krijgen in de regel voorrang.
Een DMZ wordt niet helemaal open. Het is niet een PC, maar een netwerk waar mogelijk ook meerdere servers op staan.

Het verschil tussen DMZ en het interne netwerk is dat in het DMZ servers staan die, op bepaalde (ook door de firewall gecontroleerde) poorten inkomende verbindingen van buitenaf verwerken (FTP, WWW, E-mail). Vervolgens kunnen systemen van binnenuit ook naar die systemen in de DMZ toe verbinding maken, alleen heel gecontroleerd verkeer mag verbinding maken van de DMZ naar het interne net.

De bedoeling is dat servers, die door hun functionaliteit inkomend verkeer van buiten moeten verwerken, en dus kwetsbaar zijn, alsnog afgeschermd zijn van toegang tot het interne netwerk, zodat je ook na een hack van je server nog op enige mate van veiligheid mag hopen.

[ Voor 5% gewijzigd door mvdejong op 28-06-2004 21:57 ]

The number of things that Arthur couldn't believe he was seeing was fairly large

maandag 28 juni 2004 21:57

Acties:
  • mvdejong
  • Registratie: Juni 2000
  • Laatst online: 29-11-2024

mvdejong

When does the hurting stop ?

Ooit, als ik oud en grijs zal zijn, zullen mijn vingers het verschil tussen de Edit- en Quote-buttons snappen.

[ Voor 88% gewijzigd door mvdejong op 28-06-2004 21:58 ]

The number of things that Arthur couldn't believe he was seeing was fairly large

woensdag 30 juni 2004 13:49

Acties:

Verwijderd

Topicstarter
Volgens de leverancier moeten wij de DMZ optie gebruiken willen wij de server ook als FTP server is passieve modus gebruiken. Anders zou van buitenaf namelijk een poort verbinding worden gezocht op een ip adres vanuit het interne lan wat dan niet gaat lukken.

Klopt dit verhaal dan ook niet? Zoals wij het nu zien hebben we inderdaad eigenlijk meer aan een LAN (omdat wij dan poorten nog makkelijker dicht kunnen zetten) dan aan het DMZ gebeuren. We hebben alleen het FTP verhaal nog niet echt goed getest.

woensdag 30 juni 2004 14:02

Acties:

Verwijderd

Nee,
je zou het als volgt moeten zien:

-> INTERNET->ROUTER--->LAN -> PC1, PC2, PC3
....................................\--->DMZ -> FTPSERVER

Je zou dan nog zo in moeten stellen dat je wel van LAN->FTP kan maar niet omgekeerd.
Zo is je FTP server volledig bereikbaar voor internet, maar je lan afgeschermd van dat verkeer.

woensdag 30 juni 2004 14:48

Acties:

Verwijderd

het hebben van een dmz is altijd beter dan verkeer direct naar je lan toestaan.

helaas verpesten de thuisroutertjes de naam DMZ en dat wordt nu door sommigen blijkbaar geassocieerd met al het verkeer toestaan ipv gecontroleerd verkeer toestaan. verder zou ik zeggen RTFM :)

donderdag 1 juli 2004 07:46

Acties:

Verwijderd

Topicstarter
Ja... maar... het punt is dus... er is geen lan.... sorry dat ik dit nog niet duidelijk heb vermeld. Er is alleen een enkele terminal / aanmeld / ftp server. 1 fysiek ding op 1 fysieke lokatie. Dan is het toch absoluut onnodig om dat ding op de DMZ te plaatsen? en kan ie toch gewoon op het LAN? Zodat we met een paar honderd euro goedkopere router ook klaar zijn? Er komt daar ook nooit een LAN. Het gaat puur en alleen om die ene server, doel is een zo veilig, snel en functioneel mogelijke oplossing... tot nu toe heb ik dan nog geen enkele reden gehoord waar ik DMZ functionaliteit voor nodig zou hebben.

[ Voor 5% gewijzigd door Verwijderd op 01-07-2004 07:47 ]

donderdag 1 juli 2004 07:55

Acties:
  • Neus
  • Registratie: Maart 2001
  • Laatst online: 20-12 13:27

Neus

www.zenaconsult.com

Als je geen LAN hebt dan heeft een DMZ geen enkele toegevoegde waarde want er valt dan niets te filteren tussen het internet en je 'LAN'. Je kan je TS dus net zo goed op de LAN poort aansluiten, alleen de poorten opzetten die je nodig hebt en klaar. DMZ heeft in dit geval helemaal geen zin en is die € 300 helaas verloren gegaan.

Very funny, Scotty... Now beam down my clothes !

donderdag 1 juli 2004 08:05

Acties:

Verwijderd

Verwijderd schreef op 30 juni 2004 @ 13:49:
Volgens de leverancier moeten wij de DMZ optie gebruiken willen wij de server ook als FTP server is passieve modus gebruiken.
Lijkt mij onzin. Een goede firewall heeft een ftp protocol inspector, die dynamisch de gebruikte passieve ftp poorten kan openzetten.
Dit is overigens ook in DMZ mode nodig.

alternatief voor protocol inspector: In de ftp server de range voor passieve poorten definieren (bijv 33000-33009 voor 10 simultane ftp sessies, en deze poortrange in firewall openzetten)

Zoals ik het verhaal lees beschikt je leverancier over meer verkoop vaardigheden dan technische kennis.

donderdag 1 juli 2004 09:26

Acties:
  • arikkert
  • Registratie: Juli 2002
  • Laatst online: 13-11 21:52

arikkert

Verwijderd schreef op 01 juli 2004 @ 07:46:
Er komt daar ook nooit een LAN. Het gaat puur en alleen om die ene server, doel is een zo veilig, snel en functioneel mogelijke oplossing... tot nu toe heb ik dan nog geen enkele reden gehoord waar ik DMZ functionaliteit voor nodig zou hebben.
ik denk omdat er geen technische reden voor is. Jouw config wijkt af van de gangbare configs, nl : Secure lan met Internet servers in DMZ en dat alles aan Internet. Jij wilt 1-host-zonder-lan protecten, dan lijkt me zywall35 beetje overdone.
Bespreek de mogelijkheid van een freeware software firewall op de host eens (of 1tje die al in het OS van de host zit) met die verkoper ;)
maar goed, nu heb je die mooie superfirewall al en probeer maar wat het makkelijkste is : host in lan-poort of host in dmz-port.
Vraag volgende keer of die verkoper een techneut/consultant meeneemt, die zijn verhaal kan ondersteunen. Das heel normaal.

vrijdag 2 juli 2004 21:13

Acties:

Verwijderd

Fysieke DMZ poorten
De ZyWALL 35 beschikt over 4 fysieke LAN/DMZ poorten.
Broninformatie :
http://zylamp.zyxel.nl/pr...indexFlagvalue=1021873683
(klik op Datasheet)

Logische- en Fysieke DMZ
Er is een onderscheid tussen een Logische en Fysieke DMZ, de poorten dienen wel statisch in te stellen en de DMZ computer ook met als gateway het lokale ip adres van de ZyWALL/ZyXEL.
Instructie instellen van DMZ : http://www.zyxel.nl/support/z096.html

Fysieke DMZ met Firewall
De Fysieke DMZ van de ZyWALL 35 is het mogelijk om met de zgn. 'Stateful Packet Inspection' hierop af te stemmen(default rule, rule summary, block and log). Namelijk : WAN to DMZ - DMZ to LAN - DMZ to WAN en DMZ to DMZ.

Routeren / NATTEN
Bij gebruik van Fysieke DMZ wordt er gerouteerd(alle dataverkeer doorzetten) en dat men niet vanuit gaat van NATten(dus poorten doorzetten).

FTP Passive & Active
Broninformatie Passive / Active FTP : http://www.zyxel.nl/support/z111.html#ftp

FTP op basis van passive(met veel kleine/snelle data pakketjes wisselingen) is het wel aan te raden om te gaan routeren naar de Fysieke DMZ/FTP computer.

[ Voor 52% gewijzigd door Verwijderd op 04-07-2004 12:42 ]

vrijdag 2 juli 2004 22:34

Acties:
  • Bor
  • Registratie: Februari 2001
  • Laatst online: 12:09

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Een DMZ betekent juist dat je alle beveiliging laat varen
Totaal niet waar. Een dmz is een zone waarin servers worden gezet die juist heel veilig zijn. Niet vertrouwde bezoekers komen op deze servers terecht ipv op de servers op het interne netwerk. Als je niet weet waar je het over hebt, roep dan svp niets..
Een DMZ staat helemaal open, alle requests voor wat voor poort dan ook gaan rechtstreeks naar de PC die als DMZ geconfigureerd is.
Ook dat heeft totaal niets met een dmz te maken maar is de naam die soho router fabrikanten geven aan een optie om alle beveiliging naar een station uit te zetten. DMZ is totaal wat anders!

[ Voor 46% gewijzigd door Bor op 02-07-2004 22:35 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zaterdag 3 juli 2004 22:58

Acties:

Verwijderd

Bor_de_Wollef schreef op 02 juli 2004 @ 22:34:
Een dmz is een zone waarin servers worden gezet die juist heel veilig zijn. Niet vertrouwde bezoekers komen op deze servers terecht ipv op de servers op het interne netwerk.
Misschien vertelde ik het inderdaad wat te algemeen, maar uitweiden vond ik in deze context niet nodig. Er zijn namelijk (te) veel bedrijven die je vertellen dat je je server in de DMZ moet plaatsen omdat ze geen gezeik willen dat het niet werkt. Ik kreeg het idee dat dat hier ook het geval was.
Als je niet weet waar je het over hebt, roep dan svp niets..
En bedankt :(
Ook dat heeft totaal niets met een dmz te maken maar is de naam die soho router fabrikanten geven aan een optie om alle beveiliging naar een station uit te zetten. DMZ is totaal wat anders!
"Totaal niets" vind ik persoonlijk wat overdreven, maar goed. Strict genomen heb je gelijk.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq