Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Aufbau einer DMZ und VLAN Struktur

Frage Netzwerke

Mitglied: Nagus

Nagus (Level 2) - Jetzt verbinden

29.11.2010, aktualisiert 18.10.2012, 17507 Aufrufe, 8 Kommentare

Hi
ich bin gerade dabei ein neues Konzept für unsere Infrastruktur zu erstellen und habe ein paar Fragen ...

Derzeit ist unser RZ noch in unserem unsicheren Keller und soll ausgelagert werden.
Im Rahmen dieser Auslagerung, möchte ich auch ein wenig die Struktur gerade ziehen und da haben sich für mich ein paar Fragen aufgetan.

Zur DMZ:
1. Wenn ich eine DMZ aufbaue, dann sollte dies nach Empfehlung des BSI durch zwei unterschiedliche Firewalls erfolgen. Macht Ihr das so auch, oder nutzt Ihr einfach eine FW mit drei LAN Ports und setzt darüber die DMS auf?

2. Um die Konfiguration wirklich sauber hinzugekommen, muss ich doch physisch unterschiedliche Switche für die Umsetzung nutzen? Oder kann ich auch einen Switch mit VLANs nutzen und die Trennung darüber umzusetzen (wobei mir das riskant erscheint)?

3. Muss ich für DMZ und Produktivumgebung getrennte Subnetze nutzen? Bspw. 192.168.1.0/25 (wobei mir das logisch und sinnvoll scheint Oder ist es dann besser gleich zu trennen in der Art 192.168.1.0 und 192.168.2.0?

44e5757778ac012f5a6d097b60fb88bf - Klicke auf das Bild, um es zu vergrößern


Zur VLAN Konfig:
Sollte ich im Rechenzentrum innerhalb der Serverumgebung noch eine weitere VLAN Unterteilung vornehmen oder ist das Blödsinn? Wir haben eine Citrix Umgebung mit bei der die User nur die Apps sehen. Es wird kein gesamter Desktop zur Verfügung gestellt - zumindest derzeit nicht. Die User browsen auch darüber ins IE - sofern berechtigt.

In unseren Standorten möchte ich zukünftig auch VLANs nutzen. Derzeit haben wir dort PCs, ThinClients und Laptops im Einsatz. WLANs sind derzeit noch nicht existent würde ich aber optional planen.

Von der Idee würde ich die Konfig wie folgt umsetzen:
VLAN1 = PC/TC
VLAN2 = Laptops
VLAN3 = Wireless LAN
VLAN4 = Lokale Server und Drucker

Ist das richtig das Drucker und Server in einem VLAN sind?

e0e9bbe771b580014df1f9f2c30d1f93 - Klicke auf das Bild, um es zu vergrößern


Schon mal danke ...
Nagus

[/OT] hier schneits wie die blöde ^^
Mitglied: aqui
30.11.2010, aktualisiert 18.10.2012
Ad 1.)
Kommt auf dein Budget und deine Sicherheitsanforderungen drauf an. So mit der banalen Fragestellung kann man das hier nicht beantworten, da diese Anforderungen ja unbekannt sind oder du sie nicht nennst. Man müsste also für dich raten
Die meisten kleineren Netze setzen hier 3 Port FWs ein, größere Installationen nehmen dann 2 FWs.

Ad2.)
VLANs sind ein gängiges Mittel hier. Die größte Gefahr droht aber da von Leuten die dann dort patchen einmal einen falschen Port zu erwischen. Gute Dokumentation und Verwendung van Kabeln mit unterschiedlichen Farben (rot usw.) ist hier also ALLES !!
Auch separate Switches schützen dich nicht wirklich vor dem Problem. VLANs ist durchaus üblich. Letztlich bestimmen das aber die Sicherheitsanforderungen bei euch zu denen du nix sagst.

Ad3.)
Es spielt IP seitig keinerlei Rolle ob du Subnetze nimmst ala 172.16.1.0 /24, 172.16.2.0 /24, 172.16.3.0 /24 usw. oder separate Netze nimmst. Das ist mehr oder weniger lediglich eine kosmetische Frage wie du die Netze nummerieren willst bei dir.
Ausnahme ist das Segment mit VPN dann gilt immer DAS_hier.

VLAN Design:
Kann man so machen. Server solltest du aber immer trennen. Cluster oder HA Szenarien nutzen meistens Heartbeats mit heftigem Multicast oder Bordcast Traffic und den gilt es vom Produktivnetz fernzuhalten, deshalb sollten Server immer in ein separates RZ VLAN.
WLANs gehören immer zwingend in ein separates VLAN. Ein klassisches Multi SSID Szenario (Produktiv, Gäste usw.) für Firmen ist HIER beschrieben !
Printserver kannst du in PC/TC Netz mit hängen oder nimmst ein separates VLAN. Das solltest du nach Größe und Anzahl entscheiden um die Broadcast Doamins nicht zu groß zu machen. Leider nennst du da ja auch keine Zahlen..und so bleibt wieder nur die Kritallkugel
Bitte warten ..
Mitglied: Nagus
30.11.2010, aktualisiert 18.10.2012
Zitat von aqui:
Ad 1.)
Kommt auf dein Budget und deine Sicherheitsanforderungen drauf an.
Es werden u.a. Personen bezogene Daten verarbeitet und unser Geschäft hängt davon ab ... GROSSE Sicherheit also Das Budget ist klein - wie immer

So mit der banalen Fragestellung kann man das hier nicht
beantworten, da diese Anforderungen ja unbekannt sind oder du sie nicht nennst. Man müsste also für dich raten
Für mich war das neu - hatte mich bisher aber auch nicht weiter damit auseinander gesetzt. Mich interessiert so ein bisschen die best practice um ein Gefühl dafür zu bekommen. Wir haben ca. 1200 MA und haben ein knappes Dutzend Datenbanken am laufen.

Die meisten kleineren Netze setzen hier 3 Port FWs ein, größere Installationen nehmen dann 2 FWs.

Was verstehst Du unter kleinem bzw. großem Netz? Anzahl der Geräte oder User?

Ad2.)
VLANs sind ein gängiges Mittel hier. Die größte Gefahr droht aber da von Leuten die dann dort patchen einmal einen
falschen Port zu erwischen. Gute Dokumentation und Verwendung van Kabeln mit unterschiedlichen Farben (rot usw.) ist hier also
ALLES !!
Das ist klar! Ziel ist "Housing" d.h. bei einem spezialisierten Dienstleister wird die HW untergebracht. Da sich das für mich als "geschlossene" Struktur darstellt ist mir nicht klar ob ich diese noch einmal per VLAN unterteilen muss. Es wird ja sowieso ein separiertes Netz sein mit einem eigenen Subnetz.

Auch separate Switches schützen dich nicht wirklich vor dem Problem. VLANs ist durchaus üblich. Letztlich bestimmen das
aber die Sicherheitsanforderungen bei euch zu denen du nix sagst.

Ad3.)
Es spielt IP seitig keinerlei Rolle ob du Subnetze nimmst ala 172.16.1.0 /24, 172.16.2.0 /24, 172.16.3.0 /24 usw. oder separate
Netze nimmst. Das ist mehr oder weniger lediglich eine kosmetische Frage wie du die Netze nummerieren willst bei dir.
Ok - das war auch meine Annahme.
Ausnahme ist das Segment mit VPN dann gilt immer DAS_hier.

okay - kommt auf meine Agenda


VLAN Design:
Kann man so machen. Server solltest du aber immer trennen. Cluster oder HA Szenarien nutzen meistens Heartbeats mit heftigem
Multicast oder Bordcast Traffic und den gilt es vom Produktivnetz fernzuhalten, deshalb sollten Server immer in ein separates RZ
VLAN.
In den meisten Standorten wird es max. einen Server geben. Ausnahme wird vermutlich nur die Zentrale sein, da ich hier die Testsysteme behalten will. Der Rest wird im Rechenzentrum konzentriert der auch ein eigener Standort wird.
Dann wären zwei VLANs für das RZ ja ausreichend. Produktiv- und Systemnetz

WLANs gehören immer zwingend in ein separates VLAN. Ein klassisches Multi SSID Szenario (Produktiv, Gäste usw.) für
Firmen ist HIER beschrieben !
Printserver kannst du in PC/TC Netz mit hängen oder nimmst ein separates VLAN. Das solltest du nach Größe und
Anzahl entscheiden um die Broadcast Doamins nicht zu groß zu machen. Leider nennst du da ja auch keine Zahlen..und so bleibt
wieder nur die Kritallkugel

Die Standorte sind klein, max. 10-15 PCs,max. 5 Drucker, max. 1 Server, WLAN noch nicht vorhanden und nur optional aber 100 MA die sich die Geräte 24h am Tag teilen. Die Zentrale hat ca. 50 Mitarbeiter, jeder mit einem PC, Testsysteme (ca. 3 Server), 15 Drucker
Rechenzentrum ca. physische 12-15 Server, 5 Datenbanken, Terminalserver (Citrix), etc.

Danke für Deine Unterstützung!
Bitte warten ..
Mitglied: aqui
30.11.2010, aktualisiert 18.10.2012
1.)
OK, dann machen ggf. 2 FW auch Sinn. Entweder was kommerzielles ala Watchguard, Astaro und Co. oder preiswerte Eigeninitiative mit IPCop, Endian, PFsense & Co. Je nachdem was das Budget hergibt.

2.)
...Personen bezogene Daten verarbeitet und unser Geschäft hängt davon ab ... GROSSE Sicherheit also" und ""Housing" d.h. bei einem spezialisierten Dienstleister wird die HW untergebracht." ist eigentlich vollkommen unvereinbar und passt niemals zusammen.
Von "geschlossen" kann man in so einem Szenario ja keinesfalls reden wenn Daten da liegen wo ihr NICHT seit und von Fremden verwaltet werden....?!

In den Standorten benötigst du eigentlich kein VLAN. Bei WLAN Benutzung ist das aber immer immer sicherer eins zu verwenden um nicht aus versehen das Standortnetz zu kompromittieren... VLAN fähige Switches kosten heute kaum mehr als dumme Switches. In puncto Sicherheit fährst du da also besser das immer zu trennen....auch auf den WLAN APs.
Bitte warten ..
Mitglied: Nagus
30.11.2010, aktualisiert 18.10.2012
Zitat von aqui:
1.)
OK, dann machen ggf. 2 FW auch Sinn. Entweder was kommerzielles ala Watchguard, Astaro und Co. oder preiswerte
Eigeninitiative mit IPCop, Endian, PFsense & Co. Je nachdem was
das Budget hergibt.
Strategie ist Produkte einzukaufen, keine "eigen" Entwicklung. Deswegen ein fertiges Produkt. Ich glaube aber ich werde zunächst mit einem HA Cluster vor dem RZ starten und eine PC Lösung für den Übergang in das Internet wählen. Ich denke da kann ich die Kosten etwas reduzieren. Mals sehen was meine GF sagt wenn ich die Kosten aus dem Hut zaubere. Das habe ich noch gar nicht in meiner Budget Planung für nächstes Jahr - ojeoje


2.)
...Personen bezogene Daten verarbeitet und unser Geschäft hängt davon ab ... GROSSE Sicherheit also" und
""Housing" d.h. bei einem spezialisierten Dienstleister wird die HW untergebracht." ist eigentlich
vollkommen unvereinbar und passt niemals zusammen.
Von "geschlossen" kann man in so einem Szenario ja keinesfalls reden wenn Daten da liegen wo ihr NICHT seit und von
Fremden verwaltet werden....?!
Die Daten werden nicht von denen verwaltet! Die stellen mir zunächst einmal nur die Rechenzentrumsumgebung zur Verfügung. Die Hardware ist in abgeschlossenen Racks nur für uns zugänglich. Ich spare mir Klimaanlage, Brandlöschanlage, USV, Notstrom, getrennte Hauseinführung von Strom und Netzwerk, etc. weil das ja schon alles da ist. Und lege mein eigenes Netz rein.
Das derzeitige Konzept ist noch schlimmer .... ehrlich!
Und die Verwaltung machen andere Dienstleister - die sind nur relativ "Fremd" normales Outsourcing eben ...! Ein bisschen Vertrauen muss man immer haben. Aber zukünftig erledigen die das ja dann in meinem Netz und ich kann monitoren ...


In den Standorten benötigst du eigentlich kein VLAN. Bei WLAN Benutzung ist das aber immer immer sicherer eins zu verwenden
um nicht aus versehen das Standortnetz zu kompromittieren... VLAN fähige Switches kosten heute kaum mehr als dumme Switches.
In puncto Sicherheit fährst du da also besser das immer zu trennen....auch auf den WLAN APs.
Okay, unsere Switche sind alle VLAN fähig, dann passt das ja.

Danke für Deinen Input - ist doch etwas klarer für mich!!
Bitte warten ..
Mitglied: aqui
30.11.2010 um 18:24 Uhr
.. ."eine PC Lösung für den Übergang in das Internet " Doch dann wohl hoffentlich niemals mit einem Winblows Betriebssystem ??!!

"Die stellen mir zunächst einmal nur die Rechenzentrumsumgebung zur Verfügung" Aber nicht mehr unter eurer Hoheit. Abschliessbar ist Spielkram denn du hast keine ausschliessliche Gewalt über das Schliessystem.
"Und lege mein eigenes Netz rein..." Das kann jeder mit Mirror Ports und Spiegelung abgreifen ! Sicherheit ist was anderes !!
Outsourcing hat rein gar nix mit Sicherheit zu tun. Schon gar nicht bei privaten Daten und solchen Sachen wie "relativ "Fremd"... aber deine Entscheidung !
Bitte warten ..
Mitglied: Nagus
30.11.2010 um 20:04 Uhr
Zitat von aqui:
.. ."eine PC Lösung für den Übergang in das Internet " Doch dann wohl hoffentlich niemals mit einem
Winblows Betriebssystem ??!!
tststs - vertraust du Microsoft nicht? Nö - irgend etwas anderes auf Linux vermutlich oder ein fertiges Gerät - mal sehen

"Die stellen mir zunächst einmal nur die Rechenzentrumsumgebung zur Verfügung" Aber nicht mehr unter eurer
Hoheit. Abschliessbar ist Spielkram denn du hast keine ausschliessliche Gewalt über das Schliessystem.
okay - hast Du Geld bei der Bank? Dann hast Du auch keine ausschließlich Gewalt mehr. Aber es lohnt sich auch nicht für Dich einen Tresor bei Dir zu hause aufzustellen. Es ist eine Dienstleistung die für uns günstiger ist, als wie bisher diese selber im Keller zu erbringen. Das Risiko ist bei uns aktuell größer als in einem externen Rechenzentrum.

"Und lege mein eigenes Netz rein..." Das kann jeder mit Mirror Ports und Spiegelung abgreifen ! Sicherheit ist was
anderes !!
So interessant sind unsere Daten dann auch nicht. Wir erbringen Leistungen an Menschen, somit Personen bezogen, aber nicht so interessant zum Spionieren.

Outsourcing hat rein gar nix mit Sicherheit zu tun. Schon gar nicht bei privaten Daten und solchen Sachen wie "relativ
"Fremd"... aber deine Entscheidung !
Stimmt - hat nix mit Sicherheit zu tun. Es ist aber Standard in der IT. Vorher war ich bei einem Outsourcer - ist normal. Und mit internen Kräften bist du auch nicht wirklich sicherer. Ich habe schon externe kennengelernt die waren loyaler als interne ....
Bitte warten ..
Mitglied: aqui
01.12.2010 um 10:49 Uhr
OK, bevor wir jetzt ins Esoterische abgleiten...
http://www.administrator.de/index.php?faq=32
wenn es das denn gewesen ist.
Bitte warten ..
Mitglied: Nagus
01.12.2010 um 13:08 Uhr
Aber interessant wäre es schon
Gruß
Nagus
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Firewall
gelöst Sophos UTM DMZ und VLAN (2)

Frage von DaPedda zum Thema Firewall ...

Notebook & Zubehör
HP 8770W - LAN Netzwerkproblem (Aufbau, Geschwindigkeit) (3)

Frage von RiceManu zum Thema Notebook & Zubehör ...

Windows Netzwerk
Direct Access mit VPN aufbau (6)

Frage von geocast zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...