Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Aufbau einer DMZ und VLAN Struktur

Frage Netzwerke

Mitglied: Nagus

Nagus (Level 2) - Jetzt verbinden

29.11.2010, aktualisiert 18.10.2012, 19289 Aufrufe, 8 Kommentare

Hi
ich bin gerade dabei ein neues Konzept für unsere Infrastruktur zu erstellen und habe ein paar Fragen ...

Derzeit ist unser RZ noch in unserem unsicheren Keller und soll ausgelagert werden.
Im Rahmen dieser Auslagerung, möchte ich auch ein wenig die Struktur gerade ziehen und da haben sich für mich ein paar Fragen aufgetan.

Zur DMZ:
1. Wenn ich eine DMZ aufbaue, dann sollte dies nach Empfehlung des BSI durch zwei unterschiedliche Firewalls erfolgen. Macht Ihr das so auch, oder nutzt Ihr einfach eine FW mit drei LAN Ports und setzt darüber die DMS auf?

2. Um die Konfiguration wirklich sauber hinzugekommen, muss ich doch physisch unterschiedliche Switche für die Umsetzung nutzen? Oder kann ich auch einen Switch mit VLANs nutzen und die Trennung darüber umzusetzen (wobei mir das riskant erscheint)?

3. Muss ich für DMZ und Produktivumgebung getrennte Subnetze nutzen? Bspw. 192.168.1.0/25 (wobei mir das logisch und sinnvoll scheint Oder ist es dann besser gleich zu trennen in der Art 192.168.1.0 und 192.168.2.0?

44e5757778ac012f5a6d097b60fb88bf - Klicke auf das Bild, um es zu vergrößern


Zur VLAN Konfig:
Sollte ich im Rechenzentrum innerhalb der Serverumgebung noch eine weitere VLAN Unterteilung vornehmen oder ist das Blödsinn? Wir haben eine Citrix Umgebung mit bei der die User nur die Apps sehen. Es wird kein gesamter Desktop zur Verfügung gestellt - zumindest derzeit nicht. Die User browsen auch darüber ins IE - sofern berechtigt.

In unseren Standorten möchte ich zukünftig auch VLANs nutzen. Derzeit haben wir dort PCs, ThinClients und Laptops im Einsatz. WLANs sind derzeit noch nicht existent würde ich aber optional planen.

Von der Idee würde ich die Konfig wie folgt umsetzen:
VLAN1 = PC/TC
VLAN2 = Laptops
VLAN3 = Wireless LAN
VLAN4 = Lokale Server und Drucker

Ist das richtig das Drucker und Server in einem VLAN sind?

e0e9bbe771b580014df1f9f2c30d1f93 - Klicke auf das Bild, um es zu vergrößern


Schon mal danke ...
Nagus

[/OT] hier schneits wie die blöde ^^
Mitglied: aqui
30.11.2010, aktualisiert 18.10.2012
Ad 1.)
Kommt auf dein Budget und deine Sicherheitsanforderungen drauf an. So mit der banalen Fragestellung kann man das hier nicht beantworten, da diese Anforderungen ja unbekannt sind oder du sie nicht nennst. Man müsste also für dich raten
Die meisten kleineren Netze setzen hier 3 Port FWs ein, größere Installationen nehmen dann 2 FWs.

Ad2.)
VLANs sind ein gängiges Mittel hier. Die größte Gefahr droht aber da von Leuten die dann dort patchen einmal einen falschen Port zu erwischen. Gute Dokumentation und Verwendung van Kabeln mit unterschiedlichen Farben (rot usw.) ist hier also ALLES !!
Auch separate Switches schützen dich nicht wirklich vor dem Problem. VLANs ist durchaus üblich. Letztlich bestimmen das aber die Sicherheitsanforderungen bei euch zu denen du nix sagst.

Ad3.)
Es spielt IP seitig keinerlei Rolle ob du Subnetze nimmst ala 172.16.1.0 /24, 172.16.2.0 /24, 172.16.3.0 /24 usw. oder separate Netze nimmst. Das ist mehr oder weniger lediglich eine kosmetische Frage wie du die Netze nummerieren willst bei dir.
Ausnahme ist das Segment mit VPN dann gilt immer DAS_hier.

VLAN Design:
Kann man so machen. Server solltest du aber immer trennen. Cluster oder HA Szenarien nutzen meistens Heartbeats mit heftigem Multicast oder Bordcast Traffic und den gilt es vom Produktivnetz fernzuhalten, deshalb sollten Server immer in ein separates RZ VLAN.
WLANs gehören immer zwingend in ein separates VLAN. Ein klassisches Multi SSID Szenario (Produktiv, Gäste usw.) für Firmen ist HIER beschrieben !
Printserver kannst du in PC/TC Netz mit hängen oder nimmst ein separates VLAN. Das solltest du nach Größe und Anzahl entscheiden um die Broadcast Doamins nicht zu groß zu machen. Leider nennst du da ja auch keine Zahlen..und so bleibt wieder nur die Kritallkugel
Bitte warten ..
Mitglied: Nagus
30.11.2010, aktualisiert 18.10.2012
Zitat von aqui:
Ad 1.)
Kommt auf dein Budget und deine Sicherheitsanforderungen drauf an.
Es werden u.a. Personen bezogene Daten verarbeitet und unser Geschäft hängt davon ab ... GROSSE Sicherheit also Das Budget ist klein - wie immer

So mit der banalen Fragestellung kann man das hier nicht
beantworten, da diese Anforderungen ja unbekannt sind oder du sie nicht nennst. Man müsste also für dich raten
Für mich war das neu - hatte mich bisher aber auch nicht weiter damit auseinander gesetzt. Mich interessiert so ein bisschen die best practice um ein Gefühl dafür zu bekommen. Wir haben ca. 1200 MA und haben ein knappes Dutzend Datenbanken am laufen.

Die meisten kleineren Netze setzen hier 3 Port FWs ein, größere Installationen nehmen dann 2 FWs.

Was verstehst Du unter kleinem bzw. großem Netz? Anzahl der Geräte oder User?

Ad2.)
VLANs sind ein gängiges Mittel hier. Die größte Gefahr droht aber da von Leuten die dann dort patchen einmal einen
falschen Port zu erwischen. Gute Dokumentation und Verwendung van Kabeln mit unterschiedlichen Farben (rot usw.) ist hier also
ALLES !!
Das ist klar! Ziel ist "Housing" d.h. bei einem spezialisierten Dienstleister wird die HW untergebracht. Da sich das für mich als "geschlossene" Struktur darstellt ist mir nicht klar ob ich diese noch einmal per VLAN unterteilen muss. Es wird ja sowieso ein separiertes Netz sein mit einem eigenen Subnetz.

Auch separate Switches schützen dich nicht wirklich vor dem Problem. VLANs ist durchaus üblich. Letztlich bestimmen das
aber die Sicherheitsanforderungen bei euch zu denen du nix sagst.

Ad3.)
Es spielt IP seitig keinerlei Rolle ob du Subnetze nimmst ala 172.16.1.0 /24, 172.16.2.0 /24, 172.16.3.0 /24 usw. oder separate
Netze nimmst. Das ist mehr oder weniger lediglich eine kosmetische Frage wie du die Netze nummerieren willst bei dir.
Ok - das war auch meine Annahme.
Ausnahme ist das Segment mit VPN dann gilt immer DAS_hier.

okay - kommt auf meine Agenda


VLAN Design:
Kann man so machen. Server solltest du aber immer trennen. Cluster oder HA Szenarien nutzen meistens Heartbeats mit heftigem
Multicast oder Bordcast Traffic und den gilt es vom Produktivnetz fernzuhalten, deshalb sollten Server immer in ein separates RZ
VLAN.
In den meisten Standorten wird es max. einen Server geben. Ausnahme wird vermutlich nur die Zentrale sein, da ich hier die Testsysteme behalten will. Der Rest wird im Rechenzentrum konzentriert der auch ein eigener Standort wird.
Dann wären zwei VLANs für das RZ ja ausreichend. Produktiv- und Systemnetz

WLANs gehören immer zwingend in ein separates VLAN. Ein klassisches Multi SSID Szenario (Produktiv, Gäste usw.) für
Firmen ist HIER beschrieben !
Printserver kannst du in PC/TC Netz mit hängen oder nimmst ein separates VLAN. Das solltest du nach Größe und
Anzahl entscheiden um die Broadcast Doamins nicht zu groß zu machen. Leider nennst du da ja auch keine Zahlen..und so bleibt
wieder nur die Kritallkugel

Die Standorte sind klein, max. 10-15 PCs,max. 5 Drucker, max. 1 Server, WLAN noch nicht vorhanden und nur optional aber 100 MA die sich die Geräte 24h am Tag teilen. Die Zentrale hat ca. 50 Mitarbeiter, jeder mit einem PC, Testsysteme (ca. 3 Server), 15 Drucker
Rechenzentrum ca. physische 12-15 Server, 5 Datenbanken, Terminalserver (Citrix), etc.

Danke für Deine Unterstützung!
Bitte warten ..
Mitglied: aqui
30.11.2010, aktualisiert 18.10.2012
1.)
OK, dann machen ggf. 2 FW auch Sinn. Entweder was kommerzielles ala Watchguard, Astaro und Co. oder preiswerte Eigeninitiative mit IPCop, Endian, PFsense & Co. Je nachdem was das Budget hergibt.

2.)
...Personen bezogene Daten verarbeitet und unser Geschäft hängt davon ab ... GROSSE Sicherheit also" und ""Housing" d.h. bei einem spezialisierten Dienstleister wird die HW untergebracht." ist eigentlich vollkommen unvereinbar und passt niemals zusammen.
Von "geschlossen" kann man in so einem Szenario ja keinesfalls reden wenn Daten da liegen wo ihr NICHT seit und von Fremden verwaltet werden....?!

In den Standorten benötigst du eigentlich kein VLAN. Bei WLAN Benutzung ist das aber immer immer sicherer eins zu verwenden um nicht aus versehen das Standortnetz zu kompromittieren... VLAN fähige Switches kosten heute kaum mehr als dumme Switches. In puncto Sicherheit fährst du da also besser das immer zu trennen....auch auf den WLAN APs.
Bitte warten ..
Mitglied: Nagus
30.11.2010, aktualisiert 18.10.2012
Zitat von aqui:
1.)
OK, dann machen ggf. 2 FW auch Sinn. Entweder was kommerzielles ala Watchguard, Astaro und Co. oder preiswerte
Eigeninitiative mit IPCop, Endian, PFsense & Co. Je nachdem was
das Budget hergibt.
Strategie ist Produkte einzukaufen, keine "eigen" Entwicklung. Deswegen ein fertiges Produkt. Ich glaube aber ich werde zunächst mit einem HA Cluster vor dem RZ starten und eine PC Lösung für den Übergang in das Internet wählen. Ich denke da kann ich die Kosten etwas reduzieren. Mals sehen was meine GF sagt wenn ich die Kosten aus dem Hut zaubere. Das habe ich noch gar nicht in meiner Budget Planung für nächstes Jahr - ojeoje


2.)
...Personen bezogene Daten verarbeitet und unser Geschäft hängt davon ab ... GROSSE Sicherheit also" und
""Housing" d.h. bei einem spezialisierten Dienstleister wird die HW untergebracht." ist eigentlich
vollkommen unvereinbar und passt niemals zusammen.
Von "geschlossen" kann man in so einem Szenario ja keinesfalls reden wenn Daten da liegen wo ihr NICHT seit und von
Fremden verwaltet werden....?!
Die Daten werden nicht von denen verwaltet! Die stellen mir zunächst einmal nur die Rechenzentrumsumgebung zur Verfügung. Die Hardware ist in abgeschlossenen Racks nur für uns zugänglich. Ich spare mir Klimaanlage, Brandlöschanlage, USV, Notstrom, getrennte Hauseinführung von Strom und Netzwerk, etc. weil das ja schon alles da ist. Und lege mein eigenes Netz rein.
Das derzeitige Konzept ist noch schlimmer .... ehrlich!
Und die Verwaltung machen andere Dienstleister - die sind nur relativ "Fremd" normales Outsourcing eben ...! Ein bisschen Vertrauen muss man immer haben. Aber zukünftig erledigen die das ja dann in meinem Netz und ich kann monitoren ...


In den Standorten benötigst du eigentlich kein VLAN. Bei WLAN Benutzung ist das aber immer immer sicherer eins zu verwenden
um nicht aus versehen das Standortnetz zu kompromittieren... VLAN fähige Switches kosten heute kaum mehr als dumme Switches.
In puncto Sicherheit fährst du da also besser das immer zu trennen....auch auf den WLAN APs.
Okay, unsere Switche sind alle VLAN fähig, dann passt das ja.

Danke für Deinen Input - ist doch etwas klarer für mich!!
Bitte warten ..
Mitglied: aqui
30.11.2010 um 18:24 Uhr
.. ."eine PC Lösung für den Übergang in das Internet " Doch dann wohl hoffentlich niemals mit einem Winblows Betriebssystem ??!!

"Die stellen mir zunächst einmal nur die Rechenzentrumsumgebung zur Verfügung" Aber nicht mehr unter eurer Hoheit. Abschliessbar ist Spielkram denn du hast keine ausschliessliche Gewalt über das Schliessystem.
"Und lege mein eigenes Netz rein..." Das kann jeder mit Mirror Ports und Spiegelung abgreifen ! Sicherheit ist was anderes !!
Outsourcing hat rein gar nix mit Sicherheit zu tun. Schon gar nicht bei privaten Daten und solchen Sachen wie "relativ "Fremd"... aber deine Entscheidung !
Bitte warten ..
Mitglied: Nagus
30.11.2010 um 20:04 Uhr
Zitat von aqui:
.. ."eine PC Lösung für den Übergang in das Internet " Doch dann wohl hoffentlich niemals mit einem
Winblows Betriebssystem ??!!
tststs - vertraust du Microsoft nicht? Nö - irgend etwas anderes auf Linux vermutlich oder ein fertiges Gerät - mal sehen

"Die stellen mir zunächst einmal nur die Rechenzentrumsumgebung zur Verfügung" Aber nicht mehr unter eurer
Hoheit. Abschliessbar ist Spielkram denn du hast keine ausschliessliche Gewalt über das Schliessystem.
okay - hast Du Geld bei der Bank? Dann hast Du auch keine ausschließlich Gewalt mehr. Aber es lohnt sich auch nicht für Dich einen Tresor bei Dir zu hause aufzustellen. Es ist eine Dienstleistung die für uns günstiger ist, als wie bisher diese selber im Keller zu erbringen. Das Risiko ist bei uns aktuell größer als in einem externen Rechenzentrum.

"Und lege mein eigenes Netz rein..." Das kann jeder mit Mirror Ports und Spiegelung abgreifen ! Sicherheit ist was
anderes !!
So interessant sind unsere Daten dann auch nicht. Wir erbringen Leistungen an Menschen, somit Personen bezogen, aber nicht so interessant zum Spionieren.

Outsourcing hat rein gar nix mit Sicherheit zu tun. Schon gar nicht bei privaten Daten und solchen Sachen wie "relativ
"Fremd"... aber deine Entscheidung !
Stimmt - hat nix mit Sicherheit zu tun. Es ist aber Standard in der IT. Vorher war ich bei einem Outsourcer - ist normal. Und mit internen Kräften bist du auch nicht wirklich sicherer. Ich habe schon externe kennengelernt die waren loyaler als interne ....
Bitte warten ..
Mitglied: aqui
01.12.2010 um 10:49 Uhr
OK, bevor wir jetzt ins Esoterische abgleiten...
http://www.administrator.de/index.php?faq=32
wenn es das denn gewesen ist.
Bitte warten ..
Mitglied: Nagus
01.12.2010 um 13:08 Uhr
Aber interessant wäre es schon
Gruß
Nagus
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen
VLAN Struktur - Switches in welches VLAN
Frage von ITF02Netzwerkgrundlagen3 Kommentare

Hallo zusammen, ich benötige ein paar Tipps und Anregungen bzlg. der VLAN Struktur. Ich habe folgende Struktur, welche auch ...

LAN, WAN, Wireless
Heimnetzwerk Aufbau und Struktur
gelöst Frage von banane31LAN, WAN, Wireless15 Kommentare

Hallo zusammen, ich habe da mal wieder eine Frage an die Experten. Anbei einmal eine Skizze von der Netzwerkverkabelung ...

Switche und Hubs
VLAN für DMZ
Frage von bluemindSwitche und Hubs1 Kommentar

Hallo ich habe hier ein altes HP Switch 2520-8-PoE im Schrank an dem ich drei Ports belegt habe: Port1 ...

LAN, WAN, Wireless
Hilfe bei VLAN Struktur für EFH
Frage von Maik20LAN, WAN, Wireless6 Kommentare

Hallo zusammen, wir haben ein Einfamilienhaus gekauft und renoviert. In dem Zusammenhang habe ich auch die Elektrikleitungen neu verlegt ...

Neue Wissensbeiträge
Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 12 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 16 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 16 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 19 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte14 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...