tiggr1994
Goto Top

DMZ aufbauen ESXi, Virtualisierung.

Hallo zusammen,

Ich möchte auf einer 1 Maschine, 3 virtuelle Maschinen aufsetzen, und eine davon soll in eine DMZ. Als Virtualisierungsumgebung wird VMware ESXi 6.0.0 genutzt. Der host hat nur 2 Netzwerkkarten

Auf dem host sind folgende VMs :

- Windows Server 2012 als DC, DHCP im LAN
- Pfsense als Firewall zwischen LAN und DMZ
- Ubuntu Server 16.04 als Webserver in die DMZ

Das alles soll hinter einer Sophos UTM betrieben werden, die als Firewall vor dem DMZ sowie als WAN Router genutzt werden soll.
Eine Netzwerkkarte (intern) für den Windows server und für die interne Schnittstelle der pfsense und eine für pfsense extern UND Ubuntu zur UTM(extern)

Ist es mit diesen Geräten überhaupt möglich eine DMZ aufzubauen?

Ich hätte jetzt wie folgt versucht:

LAN 10.10.10.0/24
DMZ 192.168.100.0/24

Sophos UTM - 192.168.100.1/24
Pfsense extern - 192.168.100.2/24
Ubuntu - 192.168.100.3/24

Pfsense intern - 10.10.10.254/24
Windows - 10.10.10.1/24


Versuche das erste mal ne DMZ aufzubauen, ich hoffe ich bin nicht komplett auf dem Holzweg. Aber selbst wenn ich bin ja noch jung und muss noch lernen :D.

Vielen Dank für die Hilfe.

Grüße und schönes Wochenende
Steven.

Content-Key: 336962

Url: https://administrator.de/contentid/336962

Ausgedruckt am: 29.03.2024 um 06:03 Uhr

Mitglied: aqui
aqui 05.05.2017 aktualisiert um 16:42:19 Uhr
Goto Top
Generell ist eine Firewall und eine DMZ in einer Virtualisierungsumgebung schon ein erhebliches Sicherheitsrisiko aber das ist dir ja sicher bewusst und darum geht es primär ja auch erstmal nicht.
Letztlich ist das Adresskonzept aber richtig. Aus Layer 3 Sicht sähe dein Netzwerk dann ja so aus:

sophos1

Wie du aber auch als Jüngling erkennen musst und wo Kollege ashnod seine berechtigten Bauchschmerzen zu Recht her hat, ist die unumstößliche Tatsache, das das KEIN wirkliches DMZ Design ist sondern Gefrickel eines Jungspundes.
Warum das so ist offenbart ein Blick auf das o.a. Bild sofort, denn der gesamte interne Traffic fliest durch die vermeintliche DMZ und damit ist die DMZ keine wirkliche DMZ mehr.
Jemand der in die DMZ einbricht hat kompletten Zugang zum ungeschützten Traffic aus dem internen Netz. Muss man sicher auch nicht weiter kommentieren hier.
Eine Minimal DMZ die den Namen auch verdient sähe so aus:

sophos2

Oder sofern du die Sophos so belassen musst dann auch so:
sophos3

Denk mal drüber nach !
Mitglied: ashnod
ashnod 05.05.2017 um 16:11:36 Uhr
Goto Top
Zitat von @Tiggr1994:
Pfsense intern - 10.10.10.254/24
Windows - 10.10.10.1/24


Moin ... sagen wir ml fast richtig face-wink

Mal abgesehen von dem Gesamtkonzept das ich nicht wirklich sinnvoll finde ... aber so geht ..

Da die Pfsense aber doch vermutlich eher das Gateway für dein LAN werden soll würde ich an der Stelle die IP's drehen ... für den Überblick zumindest.

VG
Ashnod
Mitglied: ashnod
ashnod 06.05.2017 aktualisiert um 08:32:12 Uhr
Goto Top
Zitat von @aqui:
Warum das so ist offenbart ein Blick auf das o.a. Bild sofort, denn der gesamte interne Traffic fliest durch die vermeintliche DMZ und damit ist die DMZ keine wirkliche DMZ mehr.

Moin
Juppa, und für die Monk's und für die Schönheit und als Erinnerung für vergessliche Admins....

das Transportnetz DHCP off und nur so groß wie es unbedingt sein muss.

Also z.B. 192.168.100.0/30

ergibt laut Heise

Netzadresse: 192.168.100.0
Broadcast: 192.168.100.3
Host-IPs von: 192.168.100.1 (Sophos) bis: 192.168.100.2 (pfsense)

für die DMZ ein beliebiges anderes /24er Netz z.B. 192.168.200.0/24

VG
Ashnod
Mitglied: aqui
aqui 06.05.2017 aktualisiert um 10:05:49 Uhr
Goto Top
Stimmt ! Danke für die Korrektur ! Ein /30er Prefix für das Transportnetz ist in der Tat erheblich besser aus Sicherheitssicht.
für die DMZ ein beliebiges anderes /24er Netz z.B. 192.168.200.0/24
Nöö, warum ?
Den Rest des kostbaren .100.0er Netzes muss man ja nicht verschwenden. Das kann man doch noch gut nutzen face-wink
Mit einem /25er Prefix und dem .128er Netz ist er doch gut bedient, denn mehr als 126 Endgeräte wird er in seiner popeligen DMZ ja vermutlich gar nicht brauchen face-wink
Netzadresse: 192.168.100.128 /25
Maske: 255.255.255.128
Broadcast: 192.168.100.255
Host-IPs von: 192.168.100.129 bis: 192.168.100.245

Na ja...er ist ja noch jung face-big-smile
Mitglied: ashnod
ashnod 06.05.2017 um 10:47:51 Uhr
Goto Top
Zitat von @aqui:
Den Rest des kostbaren .100.0er Netzes muss man ja nicht verschwenden. Das kann man doch noch gut nutzen face-wink

Juppa, ich dachte an die Ü50 Gruppe, die immer nüsch mehr wees watt se warum so jemacht hat, datt mit dem sparen liegt eigentlich noch ne gute nextGeneration weiter bei den Ü70ern face-wink

VG
Ashnod