Synology-NAS: Handgemachte DMZ schottet virtuelle Maschinen ab
Netzwerkspeicher von Synology enthalten keine DMZ-Funktion. Hier finden Sie die Netzwerktricks zum NachrĂĽsten, damit das Netzwerk bei Angriffen geschĂĽtzt ist.
- Sebastian Piecha
- Dusan Zivadinovic
Mit zunehmender Verbreitung schneller Glasfaseranschlüsse wird es auch für Admins kleiner Netze interessanter, Server am eigenen Anschluss zu hosten. Doch um Folgeschäden erfolgreicher Angriffe zu begrenzen, sollte man die öffentlichen Server vom Rest des Netzwerks abschotten.
Das Konzept ist es schnell erklärt: Man legt zwei oder mehr Subnetze an (zum Beispiel 192.168.178.x und 172.16.0.x) und steckt die angreifbaren Server in eines davon. Dann öffnet man für diese die Firewall für die Internet-Kommunikation, sperrt aber den Verkehr zum Hauptnetz — fertig ist die demilitarisierte Zone (DMZ).
- Vielen Routern fehlt eine DMZ-Funktion, um öffentliche Server vom übrigen Netzwerk abzuschotten.
- Auf dem Synology-NAS kann man die Funktion mit einem virtuellen Router gratis nachbauen.
- Vorhandene und neue virtuelle Server kann man mit wenig Aufwand in die DMZ umtopfen.
Als konkretes Beispiel sei eine Methode skizziert, die uns der NAS-Gerätehersteller Synology auf Anfrage empfohlen hat: Man nehme einen Router mit virtuellen LANs (VLAN) und definiere darin ein neues VLAN, zum Beispiel mit der ID 66; per Firewall-Regel wird dem VLAN 66 nur den Verkehr mit dem Internet gestattet. Dann richtet man im Virtual Machine Manager von Synology ein neues Netzwerk mit dem Namen "DMZ" ein, ordnet ihm das VLAN 66 zu, sperrt in der Synology-Firewall den Verkehr vom Host-System zum VLAN 66 und weist einer Server-VM das DMZ-Netz zu – fertig.
Das war die Leseprobe unseres heise-Plus-Artikels "Synology-NAS: Handgemachte DMZ schottet virtuelle Maschinen ab". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.