Privates Netz aufbauen - Sicherheitskonzept mit DMZ oder Alternativen?

UCS - Univention Corporate Server
, ,
#1

Guten Morgen Zusammen,

ich bin seit einiger Zeit dabei, meinen Wechsel weg von Windows Server 2016 als DC und einem 2016er Exchange hin zu UCS zu planen.
Mein interner Mailserver ist hierbei das Zentrum für Handys, Outlook usw.
Die Emails selber liegen auf meinem Webspace, die werden und sollen auch weiterhin per POP3 vom Mailserver abgerufen werden.

Aktuell habe ich auf einem Testpc Proxmox laufen und dort dann einen UCS DC Master und einen Member-Server mit Kopano / Fetchmail aufgesetzt und soweit am Laufen mit den vielen Hilfestellungen hier und auf der Website. Danke dafür schon mal :slight_smile:

Geplant ist nun dass die Proxmox-Umgebung später wenn mein finaler Aufbau steht, auf einen HP Microserver umzieht, dort habe ich dann die Möglichkeit auf 2 LAN Ports mit VLANs zu setzen, das habe ich auf meinem Testgerät bisher nicht getan.

Da die eigentliche Struktur aus DC und Member läuft, Zertifikate per Lets Encrypt abgeholt werden und ich mit meinem Handy von Unterwegs auf die Emails zugreifen kann, ist für mich das nächste Kapitel die Sicherheit.
Bisher hängt alles hinter einer Fritzbox in einem großen Netzwerk mit allem anderen im Haushalt. Ich habe lediglich Port 80 + 443 auf den Member-Server weitergeleitet und komme daher an Kopano und den Member-Server.
Ich habe nun, basierend auf einigen Beiträgen hier, für mich die Frage ob eine DMZ ein mehr an Sicherheit bietet. Ich möchte gerne später weitere Member-Server aufsetzen mit anderen Funktionen, daher wäre mir die Trennung dieser Server vom Mailserver sehr recht.
Wenn ich das richtig Verstanden habe, würde mir hier in der DMZ ein reiner Debian-Server als Proxy bereits ausreichen, der dann alle Anfragen an die entsprechenden Server weiterleitet.
Mir stellt sich hier als Nicht-IT-Sicherheitsexperte die Frage, wo der Unterschied ist ob da ein Server Anfragen weiterleitet oder ich direkt auf den entsprechdenden Server zugfreifen kann per Portfreigabe…

Mein Szenario ist Emails von Unterwegs abrufen und senden zu können, aber halt den Server so sicher wie möglich zu betreiben und den Rest vom LAN ebenfalls zu sichern.

Als Idee wäre nun, da ja alles Virtualisiert ist, mein internes Netzwerk 192.168.0.0/24 mit der Fritzbox, den Clients, Drucker usw. zu betreiben und dort ebenfalls den Proxmox / HP Server einzubinden.
Auf dem Proxmox läuft dann die UCS Umgebung mit allen Servern in einem eigenen Netzwerk zB 192.168.1.0/24
HIer würde ich nun einen Proxy oder eine Firewall (Sophos UTM, ebenfalls als VM) aufsetzen die zwischen den beiden Netzen vermittelt.
Dadurch hätte ich die normalen Clients von den Servern ja getrennt und notwendige Zugriffe über den Proxy laufen.
Würde das Sinn machen oder ist das für Privat Kanonen auf Spatzen?
Da ich bisher keinerlei Erfahrung mit Proxys noch besonders viel mit Firewalls (Sophos, pfsende usw.) habe, bin ich hier frei und würde das nehmen was am meisten Sinn für meinen Anwendungsfall macht.

Ich hoffe Ihr versteht was ich vor habe :slight_smile:
Gruss,
Michael

#2

Moin
Ich habe ein ähnliches Setup wie du, nur ich hole die mails direkt ab über das Proxmox Mailgateway. Als Firewall setze ich die Opnsense ein und habe mir dort den HA Proxy eingerichtet mit Lets encrypt. Der HA Proxy verteilt dann nach den FQDN auf die dahinter liegenden Server. Ich nutze OX, Nextcloud und Zammad. Ich habe mich für Opnsense entschieden, da es dort einen guten Support gibt und viele Beiträge in Blogs. Pfsense ist nur ein anderer Zweig aber man kann viele Infos übergreifend nutzen.
Ich habe mein Mailgateway in eine DMZ gesetzt, die sich schnell mit einem VLAN einrichten ließ und mit zwei Regeln war dann auch der Mailserver schnell angebunden. Die normalen Server habe ich nur hinter dem HA laufen, was für die meisten Fälle ausreichend sein sollte. Als Virtualisierung setze ich auch Proxmox VE ein.

Gruß aus Berlin
Ben

#3

Hallo Ben,

das klingt interessant, da ich nicht gebunden bin an Firewall usw. wäre mir opnsense auch recht.

Im Endeffekt würde der Aufbau also so aussehen:

Proxmox Server für die VMs: 192.168.0.10

opnsense mit HA Proxy (VM): WAN 192.168.0.11 // LAN 10.10.10.1
Proxmox Mail Gateway (VM): WAN 10.10.10.2 // LAN 11.11.11.1 (??)
Proxmox UCS (VM): LAN 10.10.10.3
Proxmox Diverse VMs: LAN 10.10.10.xxx

Würde es denn nicht “noch besser” werden, wenn man eine DMZ einrichten würden, also

opnsense --> Reverse Proxy --> opnsense --> VMs

Die 1. opnsense hinge dann im “normalen” Lan und wäre mit der Fritzbox und den normalen Haushaltsgeräten in einem LAN und alles würde über den Proxy auf die Server zugreifen?

Gruss,
Michael

#4

Hallo Michael
die zweite FW kannst du weglassen. Ich habe es so

opensense --> Reverse Proxy --> VMs
|-> PMG-VM in einem VLAN
und dann mit einer Regel aus dem VLAN zum mailserver, das ist ja dann auch eine DMZ, in der nur das PMG sitzt.
Wenn du einen entsprechenden Switch hast, kannst du auch vieles über VLANs regeln, so habe ich es bei mir gemacht.

Gruß Ben

#5

Hallo Ben,

das klingt nach einem guten Plan.
Aktuell habe ich 2 “echte” Ports an meinem Server, die kann ich mit VLAN belegen. Dazu habe ich noch einen VLAN-fähigen Switch im Büro, somit kann ich die Kommunikation intern über VLAN regeln auf dem 2. Port des Servers.
Aktuell habe ich bereits eine opnsense Firewall und dahinter den UCS als DC sowie den Mailserver laufen, da ich die IP Adressen aber anpassen musste werde ich die Systeme hinter der opnsense neu aufsetzen um da keine Altlasten mitzuschleppen.

Wenn ich das richtig verstanden habe, soll ich die PMG in ein eigenes VLAN stellen welches an der opnsense konfiguriert ist. Am opnsense leite ich dann die Emails an die PMG in das VLAN weiter, aber wie gehe ich dann den Weg dass mein Mailserver auf die PMG kommt bzw. die Emails zugestellt bekommt?
Wie richtige ich bei der Konfiguraton eigentlich den Mailserver korrekt ein, so dass ich von Extern mit Handys auf die Emails zugreifen kann und auch Zertifikate per Lets Encrypt funktionieren?
Die Zertifikate müssten doch auf dem PMG konfiguriert werden, oder kommen die auf den Proxy / opnsense?

Gruss,
Michael

#6

Hallo Michael
Hast du

  • feste IP
  • sub Domäne für den mailserver
  • soll der MX auf deinen Server verweisen?
    Dann kann ich dir näheres dazu schreiben.

Gruß Ben

#7

Hallo Ben,

ich habe eine dynamische IP die ich an meinem Root-Server aber per DNS auf-Eintrag auf mein Dnydns zeigen lasse. Ich bin hier also frei in der Einstellung und kann alles notwendige unternehmen :slight_smile:
Der MX soll nicht auf den UCS verweisen, ich hole die Emails per Gateway per POP vom Rootserver ab. Das macht bis jetzt noch der Exchange.
Aktuell habe ich bereits die opnsense aufgesetzt und das Mail-Gateway installiert, aber noch nicht eingerichtet, da ich heute erst die Domäne und den Mailserver installieren werde.

Aktuell sieht das Netzwerk so aus:

Netzwerk:
Proxmox Server für die VMs: 192.168.0.10

Im Proxmox Host:
opnsense mit HA Proxy (VM): WAN 192.168.0.11 // LAN 192.168.5.xxx // DMZ 192.168.15.xxx
Proxmox Mail Gateway (VM): DMZ 192.168.15.20
Proxmox UCS (VM): LAN 192.168.5.20
Proxmox UCS Mailserver (VM): LAN 192.168.5.21

Gruss,
Michael

Mastodon