Jump to content

DMZ und internes Netz auf selber Netzwerkkarte? Warum ein Problem?


Recommended Posts

Hallo Zusammen,

 

vorab ich bin der Ausbildung. Also könnte manches für euch lächerlich wirken. Ich weiß es aber wirklich nicht.

Wenn man einen Hypervisor hat, der intern als auch die Dienste extern bereitstellen soll über DMZ und wenn man eine DMZ hat mit völlig anderem Netzbereich und anderem Gateway, warum kann es dann ein Problem sein, wenn der Server dahinter

also der Hypervisor auf der Netzwerkkarte ein Kabel zum internen LAN hat und zum DMZ Gateway? Die Ports sind doch getrennt und auch die Netzbereiche. Also eigentlich hat man doch gar keinen Zugriff.

Ich musste mir auch anhören das man externe und interne Dienste nicht auf dem selben Hypervisor betreibt.

Als Stichworte zur Lösung der Frage gab es noch Reverse Proxy, different v-lans und Service distribution.

 

Würde mich freuen wenn jemand was sagen kann. :)

Link to post

Moin,

 

kurz gesagt: Die VMs sind auf dem Host zwar weitgehend, aber eben nicht vollständig voneinander isoliert. Aus Sicherheitssicht widerspricht es also dem Prinzip der Trennung, das man ja mit einer DMZ erreichen will, wenn man Dienste (also VMs) der verschiedenen Zonen auf demselben Host betreibt.

 

Oder wie ich vor vielen Jahren bei Rati*pharm schrieb:

 

[Hyper-V: Firewall virtuell betreiben? | faq-o-matic.net]
https://www.faq-o-matic.net/2015/06/10/hyper-v-firewall-virtuell-betreiben/

 

Gruß, Nils

 

  • Thanks 1
Link to post

Hallo,

 

ok, ja verstehe.

Setzt man dann aus diesem Grund Reverse Proxy Systeme ein, damit diese Systeme weiter intern stehen können aber trotzdem von außen erreicht werden?

Nicht jeder möchte ja vielleicht eine Reihe an Hypervisorn haben die nur für DMZ sind oder doch?

Sonst verstehe ich die Notwendigkeit von Reverse Proxy nicht.

Link to post

Moin,

 

ein Reverse Proxy spielt auf einer anderen Ebene und hat mit dem Hypervisor nichts zu tun. Vereinfacht gesagt, nutzt man einen Reverse Proxy meistens, damit Anwender von "außen" auf ein System einen Dienst "im LAN" zugreifen können, das also eben nicht in einer DMZ steht. Exchange ist (bzw. war) ein typisches Beispiel für sowas.

 

Eigene Hypervisoren für die DMZ richten Kunden leider viel zu selten ein. Aus meiner Sicht ein schwerer Fehler.

 

Gruß, Nils

 

Edited by NilsK
Klarstellung: bei Reverse Proxies geht es gerade um den Zugriff auf einen einzelnen Dienst, nicht auf ein ganzes System
  • Thanks 1
Link to post
vor einer Stunde schrieb NorbertFe:

Ich kenne mindestens einen. ;)

Ich kenne ganz viele, aber bei der Hälfte stehen in dieser sogenannten DMZ dann virtuelle Systeme, die Mitglied im AD sind ;-) Und wenn man dann sagt "Nein, Sie haben keine DMZ, sondern nur ein LAN-Segment mit Öffnung nach außen", sagen sie dann "aber der Hypervisor ist getrennt, und die Switche auch"...

  • Haha 3
Link to post

Leute mit Testsystem haben dann meist auch zwei produktivsysteme weil man das Testsystem nicht einreißen kann und wenn, dann hat es mit der Produktion meist wenig zu tun. ;) aussagekräftige Tests lassen sich damit also meist auch nicht durchführen. :)

vor 38 Minuten schrieb cj_berlin:

In der Berliner Verwaltung sagt man dazu "Probeechtbetrieb". 

Da fallen mir noch andere Umschreibungen zu ein. ;)

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...