Chiarimento DMZ



  • Buongiorno,

    uso pfsene con solo la parte lan configurata, siccome ho anche un Nas, leggendo qua e la
    ho capito che potrei configurarlo in DMZ (ho a disposizione 4 porte lan) così anche se esposto
    ad internet e venga bypassato essendo su un'altro segmeto di rete almeno i pc della lan sono protetti.
    Se ho ben capito di default il segmento DMZ non comunica con la lan, mentre la lan comunica con l'area DMZ.

    Ora vi espongo il mio problema:
    non ho la necessità di raggiungere il NAS dall'esterno, quindi lo potrei anche lasciare in lan, ma in che modo potrei
    proteggere l'accesso ai dati (comunque l'accesso al nas è protetto da password) in caso venga violata la lan?

    Grazie in anticipo.


  • LAYER 8

    Per dmz si intende "zona demilitarizzata" (Demilitarized zone) è una rete separata intermediaria tra internet e la rete interna, brevemente .. generalmente viene configurata per i server che forniscono servizi verso internet mantenendolo separato dalle altre reti in modo che se viene compromesso non potrà accedere e quindi danneggiare anche la LAN.
    Detto questo se aggiungi una nuova interfaccia a pfSense questa si chiamerà OPT1 dove potrai creare una rete separata e isolata o una DMZ.
    mettendo il NAS in una rete separata puoi creare regole firewall adhoc come ad esempio impedire al nas di accedere ad internet e viceversa, impedire a determinati client nella LAN di accedere al NAS e viceversa, impedire l'utilizzo di determinati protocolli verso il nas (ad esempio samba/cifs/ftp/http/ssh). da una parte ti rende il sistema più sicuro, dall'altra aggiungi complessità alla tua rete che devi essere in grado di gestire con le regole del firewall. le interfacce aggiuntive di pfSense, a differenza di LAN, hanno tutte le porte chiuse.
    ti puo' salvare anche dai famosi virus che cryptano i dati, se un pc nella tua lan becca uno di quelli potrebbe non essere in grado di infettare il nas.
    se becchi uno di quei virus e hai il nas connesso al pc come unita' di rete, averlo in un altra rete non ti salverà.
    Nel mio nas ad esempio ho creato un utente che ha solo i permessi di lettura, questo utente viene utilizzato da tutti i pc che vogliano accedervi. uso l'utente che ha diritti di lettura/scrittura solo quando strettamente necessario



  • @kiokoman
    Grazie mille per la delucidazione, sei meglio di google...
    Allora seguirò il tuo consiglio, metto il nas in dmz e poi vedo di creare delle regole ad hoc. Non essendo esperto in materia non so dove arrivo. A lavoro finito ti aggiorno per ulteriori consigli.
    Grazie.



  • Ho aggiunto la terza interfaccia DMZ, assegnato l'IP e fin qua tutto ok.
    Nella sezione Firewall/rules/DMZ non ho toccato niente e neanche nella sezione Firewall/rules/Lan, se di default è permesso tutto il traffico dalla Lan alla DMZ, perchè dalla lan non riesco a pingare il nas e ne tanto meno riesco a collegarmi via FTP o via web?
    Cosa sbaglio?

    Grazie.


  • LAYER 8

    in teoria da lan a dmz dovresti essere in grado di farlo. questo ammesso che non hai sbagliato qualcosa nel configurare l'interfaccia e il server dhcp
    fai uno screenshot di come hai configurato le interfacce LAN e DMZ, uno screenshot delle regole, uno sscreenshot del server dhcp



  • In DMZ non c'è nessuna regola.

    Server_DHCP_LAN.png Server_DHCP_DMZ.png Regole.png Lan.png DMZ.png


  • LAYER 8

    i server dhcp sono disattivati, stai usano solo indirizzi ip statici ?



  • @kiokoman
    si solo ip statici.


  • LAYER 8

    e cosa hai collegato in dmz ? che indirizzo ip hai configurto per l'host ?
    riesci a pingare il gateway dmz che e' 192.168.2.1 ?



  • alla DMZ ho collegato un NAS con il seguente IP 192.168.2.128, si riesco a pingare tranquillamente il gateway DMZ.
    Però ora che ci penso, credo di non avere impostato nessun gateway nel NAS, può essere questo il problema?


  • LAYER 8

    prova ad impostarlo, ammesso che sia configurato per rispondere ai ping dovrebbe farlo.
    puoi anche rimuovere quella regola del synology che non serve più



  • Ho impostato il gateway sul nas e ora funziona tutto, anche senza eliminare la regola del synology


  • LAYER 8

    ottimo, si la regola del synology non e' causa del problema ma ora che il nas è nell'altra rete non ti serve più



  • ok elimino la regola, quindi ora il nas è collegato ad internet, se voglio che non sia collegato ad internet devo portare
    la regola sulle regole della DMZ?


  • LAYER 8

    in teoria l'interfaccia DMZ e' bloccata verso internet di default se non hai messo nessuna regola, comunque si la sposti sull'interfaccia DMZ mettendo ovviamente il nuovo ip che hai assegnato al nas



  • Ho collegato alla DMZ un notebook per testare la connessione internet, ho provato molte regole, però il notebook non esce
    in internet, non capisco dove sbaglio. Allego uno screenshot dell'ultima prova.Regole_DMZ.png


  • LAYER 8

    le regole sono giuste, il minimo per navigare
    potrebbe essere più un problema di come hai configurato il notebook visto che non hai il dhcp abilitato, controlla anche il log del firewall eventualmente



  • nel notebook ho impostato come gateway l'ip della DMZ, mentre come DNS ho provato sia con l'ip della Lan che con quello della DMZ.
    Il log credo che non riesco ad interpretarlo....


  • LAYER 8

    indirizzo ip da assegnare al notebook deve essere compreso tra 192.168.2.2 e 192.168.2.254
    subnetmask 255.255.255.0
    gateway 192.168.2.1
    dns 192.168.2.1

    controlla dns forwarder o dns resolver (non so cosa usi) fa uno screenshot eventualmente



  • il notebook è impostato come dici tu

    dns forwarder è disabilitato, quindi resta dns resolverDNS_Resolver.png


  • LAYER 8

    prova a navigare e a fare uno screenshot di
    Status \ System Logs \ Firewall \ Normal View



  • Log.png


  • LAYER 8

    se stavi cercando di fare un ping devi creare una regola che lo permetta

    Immagine1.jpg

    il dns funziona perchè www.google.it e' stato correttamente identificato come 216.58.210.4



  • ho messo anche la regola del ping (che ora ho tolto) ma comunque non pinga...


  • LAYER 8

    e da LAN riesci a pingare?
    comunque rimetti la regola del ping , riprova a navigare e rifai lo screenshot, da li vedo solo che il firewall ha bloccato il tuo ping per mancanza della regola icmp



  • Dalla lan riesco a pingare il notebook, mentre dalla DMZ pingo solo il gateway 192.168.2.1, allego lo screeshot con la regola icmpLog.png


  • LAYER 8

    non c'e' niente neanche qui, non ho idea
    non riesci a pingare neanche l'ip 8.8.8.8 ad esempio?



  • no non pingo nemmeno 8.8.8.8, inoltre ho abilitato il DHCP su DMZ, il notebook prende l'IP e il gateway ma comunque non naviga. Ho creato anche una regola sulla lan per permettere l'accesso alla DMZ e funziona.
    Mica bisogna fare un NAT oppure una cosa simile?


  • LAYER 8

    no assolutamente, per uscire e navigare nn devi fare NAT, ma mi chiedo cosa hai in quella interfaccia Openvpn che ho visto in una foto precedente. potresti avere problemi di routing se hai smanettato troppo in giro 😂



  • Pfsense è configurato con la VPN, durante queste prove ho più volte anche disattivato la VPN ma il risultato non cambia...
    c'è un modo per fare un reset di Pfsense così da poter configurare tutto da capo senza la VPN?
    Altrimenti faccio proprio una nuova installazione, a proposito la versione è la 2.4.4-RELEASE-p1 e mi chiede di aggiornare
    alla Versione 2.4.4_3, sarà questo il problema?


  • LAYER 8

    è sempre consigliabile aggiornare all'ultima release stabile.
    sotto il menu Diagnostic c'e' Factory defaults
    disattivando la vpn credo che le rotte comunque rimangano e l'unico modo è quella di cancellarla proprio ma ti conviene resettare e aggiornare



  • ho fatto il reset e aggiornato, ho configurato lan e dmz senza vpn ed ha funzionato tutto al primo colpo.
    Però solo ora mi sono ricordato che quando avevo configurato la VPN avevo messo mano anche in Firewall/NAT/Outbound
    (allego uno screenshot non mio, per farti capire), infatti solo con la lan è presente l'ip Wan address, io non ho controllato prima, ma sicuramente con la DMZ sicuramente era presente un'altra Wan address con il relativo ip da configurare, quindi come dicevi tu anche disattivando la VPN restavano delle rotte...
    Ora sono senza VPN, domani credo di configurare la VPN e ti faccio sapere.

    Outbound.png


  • LAYER 8

    ok, adesso che funziona fatti un backup della configurazione da diagnostic / backup and restore
    così se succede qualcosa puoi ripristinare ad uno stato funzionante



  • This post is deleted!


  • @kiokoman Una spiegazione sulla DMZ. Nella spiegazione che dai la DMZ protegge la LAN e non il server, esatto? Ad esempio nell' albergo dove lavoro il gestionale è su un server tutto suo, se il server subisce un attacco il server è morto ma i pc dell'ufficio sono salvi?
    Immagino di non aver campito una mazza perché mi sembra un controsenso....


  • LAYER 8

    la dmz è solo un'altra rete
    i server che offrono servizi verso il web sono esposti ad attacchi esterni e quindi sono i primi ad essere violati. spostando il server su un'altra rete impedisci che anche la lan sia esposta e quindi violata.
    non puoi violare una lan dietro ad un firewall, devi per forza sfruttare un servizio esposto per compromettere un pc.
    ecco perchè esistono i trojan che come insegna la storia aprono un accesso dall'interno
    quindi diventa vero anche il contrario, se la tua lan viene compromessa perchè hai involontariamente scaricato un trojan o hai aperto una email che non dovevi, questo potrebbe impedire di violare il server che si trova in un altra rete e ancora protetto da un firewall



  • @kiokoman confermo che sei meglio di google. Grazia



  • @kiokoman
    quello che mancava era proprio la configurazione in Firewall/NAT/Outbund sull'interfacia Wan address della DMZ, ora funziona tutto....
    adesso provo a smanettare sulle regole, in DMZ vorrei mettere anche la PS4 di mio figlio perchè gioca sempre online, strada facendo quando ho difficoltà replico a questo post.

    A proposito di regole, c'è un'ordine preciso per gestirle in modo corretto nella sezione Firewall/Rulse?
    Mi spiego meglio, in cima vanno sempre quelle che "permettono" e a seguire quelle che "bloccano"?


  • LAYER 8

    le regole vengono anallizzate dalla prima in alto in discesa verso il basso, la prima regola che corrisponde al traffico viene applicata e le successive ignorate. dipende quindi dalla situazione, non necessariamente il blocco va messo per forza alla fine

    Immagine.jpg

    prendiamo ad esempio queste regole che ho messo ad esempio
    con la prima permetto all'interfaccia RISERVA di usare il dns server fornito dal mio server
    con la seconda impedisco a qualsiasi pc dell'interfaccia RISERVA di utilizzare qualsiasi altro server dns che non sia il mio
    con la terza regola permetto ai pc di andare dove vogliono
    il risultato è che possono andare dove vogliono purchè usino il mio server dns per risolvere i nomi di dominio
    in questo specifico caso sono costretto a mettere il blocco dns prima del "permetti tutto" altrimenti non avrebbe alcun effetto / non verrebbe mai applicato.



  • @kiokoman
    ok grazie ancora per l'esempio
    siccome ho anche il WiFi quindi se parliamo di sicurezza è bene metterlo in DMZ, sfruttare l'altra interfaccia OPT2 oppure lasciare tutto sulla Lan?
    Per ogni segmento di rete (OPT1, OPT2, LAN) posso usare un solo switch per sismistare il traffico ai relativi host,
    oppure devo usare nell'eventualita uno switch per ogni segmento di rete?
    Nello screeshot di sopra relativo al mio log sull'interfaccia Wan l'ip del campo souce corrisponde ad un eventuale "attacco"?
    Cosa si intende per Alias IP?


Log in to reply