Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

DMZ mit Hyper V oder ESX

Frage Virtualisierung

Mitglied: roland123

roland123 (Level 2) - Jetzt verbinden

20.01.2012 um 10:48 Uhr, 7376 Aufrufe, 10 Kommentare

Hallo zusammen,

ich möchte mir gerne eine DMZ einrichten, da wir unseren eigenen Webserver hosten möchten.

Firewalleinstellungen etc. ist schon vorhanden die DMZ steht momentan vom jetzigen Internen Netzwerk getrennt. So wie es ja eigentlich auch sein soll.

Momentan ist ein einziger Server nur dafür zuständig unsere Homepage zu hosten (Debian 6 Server) von der Leistung her lacht der Server sich darüber tot und hat den ganzen Tag nichts zu tun.

Nun mal meine Frage. Was währe, wenn man einen HYperV oder ESX Server nehmen würde dort eine extra Netzwerkkarte einbauen würde und darüber den Webserver als VM laufen lassen würde. Parallel könnte man die anderen Netzwerkkarten für das interne Netzwerk nehmen um dort andere VM´s laufen zu lassen um den Server optimal auslasten zu können.

Nun haben mir einige Leute geraten dieses nicht zu tun, da es gefahren durch Hacker bergen kann. Frage kann ein Hacker durch diese beschriebene Konfig durch und voll auf den Hyper V oder ESX Server zugreifen um dadurch mein internes Netzwerk angreifen oder besteht da keine Gefahr?

Hat da vielleicht jemand von Euch ein paar Tipps für mich wie man sowas am besten machen kann ob ich meinen Server wirklich so "alleine" stehen lassen muss oder ob ich die Vm Lösung machen könnte?

Vielen Dank schonmal im voraus für Eure Hilfe
Mitglied: wiesi200
20.01.2012 um 10:51 Uhr
Hallo,

ich würd's auf keinen Fall machen.
Mir ist zwar nicht bekannt das man irgendwie auf den Hypervisor drauf kommt aber sein kann alles.
Bitte warten ..
Mitglied: roland123
20.01.2012 um 11:09 Uhr
Hallo Wiesi200

ja genau das habe ich auch gehört und ich dachte ich mache hier mal einen Post auf und frage mal nach ob jemand mehr weiß.

Auf der einen Seite geht es auf der anderen wieder nicht. Woran soll man sich halten?

vg
roland
Bitte warten ..
Mitglied: OliverHu
20.01.2012 um 11:10 Uhr
Hallo,

ich meine es gab in früheren Versionen von Hyper-V die Möglichkeit, aus der Child Partition auszubrechen, bin mir aber nicht sicher.
Aktuell gibt es mit Sicherheit keine Sicherheitsprobleme mit Hyper-V.

An deiner Stelle würde ich dies trotzdem nicht tun, denn du weißt nie ob es vielleicht doch mal möglich ist und du schnell genug reagieren kannst.
Andererseits kenn ich Leute, die das so machen. Ich würde allerdings wie gesagt davon abraten.
Bitte warten ..
Mitglied: oldmav
20.01.2012 um 11:43 Uhr
Benutzt du, wenn ESX, HA?
Das Problem ist nicht so sehr die Netzwerke sauber zu trennen, so dass man eine schöne DMZ hat. Das Problem ist die Kommunikation der VMs im VM-Kernel Netzwerk. Das wir genutzt um die Maschinen zu überwachen und bei HA schnell eine neue online zu bringen.
Du musst auf jeden Fall bei ESX die VMCI zwischen VMs deaktivieren. Das kann zum Einfallstor werden.

Aber ansonsten sind mir bei ESX keine Probleme bekannt. Es ist zwar immer schöner die Hardware für die DMZ klar zu trennen, aber es geht auch auf virtueller Ebene.
Bitte warten ..
Mitglied: Dani
20.01.2012 um 12:59 Uhr
Moin,
also die DMZ auf eure Intranet ESX-Umgebung zu mirgieren würde ich ebenfalls nicht machen. Da wäre mir das Risiko zu groß und der Schaden der entstehen könnte. Denn du musst schließlich den Kopf am Ende vllt. hinhalten.
DMZ virtualisieren ist kein Problem, aber dann bitte eine extra phy. getrennte ESX-Umgebung die keine Abhänigkheiten zu deren im LAN hat.


Grüße,
Dani
Bitte warten ..
Mitglied: Luie86
20.01.2012 um 13:37 Uhr
Hallo,

also ich habe hier 2 MTA´s die ich aufgrund der Last (zu minimal) auch virtualisiert habe.
Setzte für die Virtualisierung 2 ESXi-Server mit jeweils einer Netzwerkkarte ein und habe dort,
auf den Switchen und auf dem Router alles über VLAN´s getrennt (vom Hauptnetz / anderen VM´s).
Switche, ESXi-Management (Kernel Netzwerk) und Router sind dabei aus der DMZ nicht ansprechbar bzw. in anderen VLAN´s.

Ich muss sagen, ich mach mir eher Sorgen das irgendwann ein Exploit für den Mail-Server
auftaucht als das jemand vom Internet über SMTP den Mailserver hackt und sich dann
irgendwie weiterhangelt.


Gruß & Schönes WE
Bitte warten ..
Mitglied: OliverHu
20.01.2012 um 13:42 Uhr
Zitat von Luie86:
Hallo,

also ich habe hier 2 MTA´s die ich aufgrund der Last (zu minimal) auch virtualisiert habe.
Setzte für die Virtualisierung 2 ESXi-Server mit jeweils einer Netzwerkkarte ein und habe dort,
auf den Switchen und auf dem Router alles über VLAN´s getrennt (vom Hauptnetz / anderen VM´s).
Switche, ESXi-Management (Kernel Netzwerk) und Router sind dabei aus der DMZ nicht ansprechbar bzw. in anderen VLAN´s.

Ich muss sagen, ich mach mir eher Sorgen das irgendwann ein Exploit für den Mail-Server
auftaucht als das jemand vom Internet über SMTP den Mailserver hackt und sich dann
irgendwie weiterhangelt.


Gruß & Schönes WE

Hallo,

und was ist, wenn mal jemand aus der VM ausbricht und Zugriff auf deine Hosts bekommt?
Ob das zum jetzigen Zeitpunkt möglich ist oder nicht, spielt erstmal keine Rolle.
Bitte warten ..
Mitglied: Luie86
20.01.2012 um 14:35 Uhr
Hallo,

interessante Frage. Ich gebe zu, ja dann hätte ich ein Problem.
Habe jetzt gerade mal Google bemüht, weil ich mich gefragt habe wie wahrscheinlich sowas ist
und siehe da: http://www.pcsympathy.com/2009/06/04/hacking-tool-lets-a-vm-break-out-a ...
bzw: http://www.blackhat.com/presentations/bh-usa-09/KORTCHINSKY/BHUSA09-Kor ...

Es scheint also schonmal geklappt zu haben.

Trotzdem ist meine Meinung, sobald das System in der DMZ kompromittiert wurde, ist die Sache eh gelaufen.
Klingt jetzt vielleicht doof aber: Genau wie Hacker muss man halt einfach versuchen seine System immerwieder
zu verbessern, zu patchen und weiter abzusichern sonst hat man einfach verloren.

Egal ob physische Maschinen oder Virtuelle Systeme.


Gruß Daniel
Bitte warten ..
Mitglied: Dani
05.02.2012 um 10:50 Uhr
Moin,
besteht hier noch Interesse?
Bitte warten ..
Mitglied: roland123
05.02.2012 um 11:23 Uhr
Hallo Dani,

natürlich besteht noch interesse. Ich habe mich allerdings gestern entschieden den Webserver direkt in eine DMZ zu erstellen ohne ESX oder Hyper V das scheint einfach sicherer zu sein.

vg
roland
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Hyper-V
Erfahrungswerte zur Stabilität von Hyper-V Replikation (5)

Frage von DerWoWusste zum Thema Hyper-V ...

Netzwerkmanagement
gelöst Macht eine VPN Verbindung in eine DMZ sinn? (7)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Hyper-V
gelöst Fehler auf Hyper-V nach Tausch eines Mainboard und Raid-Controllers (17)

Frage von Henere zum Thema Hyper-V ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...