4
Aufbau eines Backupnetzes - Sicherheitsgedanken
Sicherheitsgedanken beim Aufbau eines Backupnetzes
Hallo zusammen,
wir diskutieren in letzter Zeit häufiger über die Entzerrung unserer Backups in ein eigenes Netz. Somit sparen wir hohen Traffic über die Firewall und entlasten diese damit.
Nun stellt sich die Frage. Wenn ich in jeden Server an einem weiteren Port das Backupnetz konfiguriere, ist das, was Performance angeht eine saubere Lösung. Befinden sich jetzt allerdings mehrere Server aus unterschiedlichen von der Firewall getrennten Netzen mit jeweils einem Bein in diesem Backupnetz, untergrabe ich damit jede Sicherheit.
Ein VLAN Routing kann hier zwar ein bisschen Entspannung bringen, doch sobald sich mehrere Server eines Virtual Server Hosts ein Port für das Backupnetz teilen ist dieses Konzept auch hier hinfällig.
Wer hat in solchen Bereichen Erfahrung, bzw. wie setzt ihr eure Backupstrategien um?
Im Voraus vielen Dank
Flo
wir diskutieren in letzter Zeit häufiger über die Entzerrung unserer Backups in ein eigenes Netz. Somit sparen wir hohen Traffic über die Firewall und entlasten diese damit.
Nun stellt sich die Frage. Wenn ich in jeden Server an einem weiteren Port das Backupnetz konfiguriere, ist das, was Performance angeht eine saubere Lösung. Befinden sich jetzt allerdings mehrere Server aus unterschiedlichen von der Firewall getrennten Netzen mit jeweils einem Bein in diesem Backupnetz, untergrabe ich damit jede Sicherheit.
Ein VLAN Routing kann hier zwar ein bisschen Entspannung bringen, doch sobald sich mehrere Server eines Virtual Server Hosts ein Port für das Backupnetz teilen ist dieses Konzept auch hier hinfällig.
Wer hat in solchen Bereichen Erfahrung, bzw. wie setzt ihr eure Backupstrategien um?
Im Voraus vielen Dank
Flo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 164851
Url: https://administrator.de/contentid/164851
Printed on: April 25, 2024 at 07:04 o'clock
4 Comments
Latest comment
Hallo Flo,
ist irgendwie ein fundamentales Problem, oder?
Egal wie die Konfig im Detail hinterher aussieht, im Grunde gibt es doch nur zwei alternativen:
1) Ich leite den Traffic über die FW und genieße deren Sicherheit, belaste Sie aber natürlich damit oder
2) Ich leite den Traffic um die FW herum, entlaste die FW aber schlage eine große Bresche in mein Sicherheitskonzept.
Wüsste nicht wie man das Problem umgehen sollte.
Aber mal eine ganz andere Frage:
Kann es wirklich sein, dass die FW eher die grätsche macht, als die Internetleitung die sie absichert?
Was habt ihr denn für eine FW, was für eine Leitung?
Grüße
Bastian
ist irgendwie ein fundamentales Problem, oder?
Egal wie die Konfig im Detail hinterher aussieht, im Grunde gibt es doch nur zwei alternativen:
1) Ich leite den Traffic über die FW und genieße deren Sicherheit, belaste Sie aber natürlich damit oder
2) Ich leite den Traffic um die FW herum, entlaste die FW aber schlage eine große Bresche in mein Sicherheitskonzept.
Wüsste nicht wie man das Problem umgehen sollte.
Aber mal eine ganz andere Frage:
Kann es wirklich sein, dass die FW eher die grätsche macht, als die Internetleitung die sie absichert?
Was habt ihr denn für eine FW, was für eine Leitung?
Grüße
Bastian
Hallo Bastian,
haargenau zusammengefasst. Unsere Firewall trennt insgesammt acht Netzwerke intern. Wir haben eine Nokia 1220 und Checkpoint R65. Bei einem großen Backup über zwei Netze, unabhängig vom Internet macht sich das schon sehr deutlich auf der Firewall bemerkbar.
Ich habe schon erste Tests mit VLAN Tagging gemacht, so kommen die Systeme wenigstens nur auf die Backupserver. Ist das System allerdings mal kompromittiert, kann man die VLAN ID ja leider auch locker zurücksetzen.
Also echt ein ein Mist.....
Grüße
Flo
haargenau zusammengefasst. Unsere Firewall trennt insgesammt acht Netzwerke intern. Wir haben eine Nokia 1220 und Checkpoint R65. Bei einem großen Backup über zwei Netze, unabhängig vom Internet macht sich das schon sehr deutlich auf der Firewall bemerkbar.
Ich habe schon erste Tests mit VLAN Tagging gemacht, so kommen die Systeme wenigstens nur auf die Backupserver. Ist das System allerdings mal kompromittiert, kann man die VLAN ID ja leider auch locker zurücksetzen.
Also echt ein ein Mist.....
Grüße
Flo
Ah, ich ging davon aus, dass die Backups nach Extern in eine Colo o.Ä. geschoben werden.
Intern ist das natürlich eine andere Geschichte.
Wieso setzt ihr denn eine FW ein um interne Netze voneinander zu trennen?
Wieso habt ihr denn 8 unterschiedliche Netze intern?
Wäre hier VLAN zur Trennung der Netze nicht viel eher geeignet?
Was befindet sich denn in Netz A, wovor die FW Teilnehmer von Netz B, C, D, etc. schützen muss?
Bin gerade von dem Setup ein wenig überrascht.
Grüße
Bastian
Intern ist das natürlich eine andere Geschichte.
Wieso setzt ihr denn eine FW ein um interne Netze voneinander zu trennen?
Wieso habt ihr denn 8 unterschiedliche Netze intern?
Wäre hier VLAN zur Trennung der Netze nicht viel eher geeignet?
Was befindet sich denn in Netz A, wovor die FW Teilnehmer von Netz B, C, D, etc. schützen muss?
Bin gerade von dem Setup ein wenig überrascht.
Grüße
Bastian
Hi Bastian,
Wir sind ein Softwareentwicklungsstandort... Die Firewall dient hier zur kontrollieren Trennung zwischen Entwicklungsbereichen, Sondernetzen (ohne Patchmanagement) , Server und Clientnetz.....
Das Trennen von Netzen (sichere und unsichere) mittels VLAN verbietet die IT-Policy, der Einstaz von Routern wäre möglich, ist aber wieder ein etwas größerer Aufwand.
Gruß
Florian
Wir sind ein Softwareentwicklungsstandort... Die Firewall dient hier zur kontrollieren Trennung zwischen Entwicklungsbereichen, Sondernetzen (ohne Patchmanagement) , Server und Clientnetz.....
Das Trennen von Netzen (sichere und unsichere) mittels VLAN verbietet die IT-Policy, der Einstaz von Routern wäre möglich, ist aber wieder ein etwas größerer Aufwand.
Gruß
Florian
