Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

DMZ mit Hyper V oder ESX

Frage Virtualisierung

Mitglied: roland123

roland123 (Level 2) - Jetzt verbinden

20.01.2012 um 10:48 Uhr, 7761 Aufrufe, 10 Kommentare

Hallo zusammen,

ich möchte mir gerne eine DMZ einrichten, da wir unseren eigenen Webserver hosten möchten.

Firewalleinstellungen etc. ist schon vorhanden die DMZ steht momentan vom jetzigen Internen Netzwerk getrennt. So wie es ja eigentlich auch sein soll.

Momentan ist ein einziger Server nur dafür zuständig unsere Homepage zu hosten (Debian 6 Server) von der Leistung her lacht der Server sich darüber tot und hat den ganzen Tag nichts zu tun.

Nun mal meine Frage. Was währe, wenn man einen HYperV oder ESX Server nehmen würde dort eine extra Netzwerkkarte einbauen würde und darüber den Webserver als VM laufen lassen würde. Parallel könnte man die anderen Netzwerkkarten für das interne Netzwerk nehmen um dort andere VM´s laufen zu lassen um den Server optimal auslasten zu können.

Nun haben mir einige Leute geraten dieses nicht zu tun, da es gefahren durch Hacker bergen kann. Frage kann ein Hacker durch diese beschriebene Konfig durch und voll auf den Hyper V oder ESX Server zugreifen um dadurch mein internes Netzwerk angreifen oder besteht da keine Gefahr?

Hat da vielleicht jemand von Euch ein paar Tipps für mich wie man sowas am besten machen kann ob ich meinen Server wirklich so "alleine" stehen lassen muss oder ob ich die Vm Lösung machen könnte?

Vielen Dank schonmal im voraus für Eure Hilfe
Mitglied: wiesi200
20.01.2012 um 10:51 Uhr
Hallo,

ich würd's auf keinen Fall machen.
Mir ist zwar nicht bekannt das man irgendwie auf den Hypervisor drauf kommt aber sein kann alles.
Bitte warten ..
Mitglied: roland123
20.01.2012 um 11:09 Uhr
Hallo Wiesi200

ja genau das habe ich auch gehört und ich dachte ich mache hier mal einen Post auf und frage mal nach ob jemand mehr weiß.

Auf der einen Seite geht es auf der anderen wieder nicht. Woran soll man sich halten?

vg
roland
Bitte warten ..
Mitglied: OliverHu
20.01.2012 um 11:10 Uhr
Hallo,

ich meine es gab in früheren Versionen von Hyper-V die Möglichkeit, aus der Child Partition auszubrechen, bin mir aber nicht sicher.
Aktuell gibt es mit Sicherheit keine Sicherheitsprobleme mit Hyper-V.

An deiner Stelle würde ich dies trotzdem nicht tun, denn du weißt nie ob es vielleicht doch mal möglich ist und du schnell genug reagieren kannst.
Andererseits kenn ich Leute, die das so machen. Ich würde allerdings wie gesagt davon abraten.
Bitte warten ..
Mitglied: oldmav
20.01.2012 um 11:43 Uhr
Benutzt du, wenn ESX, HA?
Das Problem ist nicht so sehr die Netzwerke sauber zu trennen, so dass man eine schöne DMZ hat. Das Problem ist die Kommunikation der VMs im VM-Kernel Netzwerk. Das wir genutzt um die Maschinen zu überwachen und bei HA schnell eine neue online zu bringen.
Du musst auf jeden Fall bei ESX die VMCI zwischen VMs deaktivieren. Das kann zum Einfallstor werden.

Aber ansonsten sind mir bei ESX keine Probleme bekannt. Es ist zwar immer schöner die Hardware für die DMZ klar zu trennen, aber es geht auch auf virtueller Ebene.
Bitte warten ..
Mitglied: Dani
20.01.2012 um 12:59 Uhr
Moin,
also die DMZ auf eure Intranet ESX-Umgebung zu mirgieren würde ich ebenfalls nicht machen. Da wäre mir das Risiko zu groß und der Schaden der entstehen könnte. Denn du musst schließlich den Kopf am Ende vllt. hinhalten.
DMZ virtualisieren ist kein Problem, aber dann bitte eine extra phy. getrennte ESX-Umgebung die keine Abhänigkheiten zu deren im LAN hat.


Grüße,
Dani
Bitte warten ..
Mitglied: Luie86
20.01.2012 um 13:37 Uhr
Hallo,

also ich habe hier 2 MTA´s die ich aufgrund der Last (zu minimal) auch virtualisiert habe.
Setzte für die Virtualisierung 2 ESXi-Server mit jeweils einer Netzwerkkarte ein und habe dort,
auf den Switchen und auf dem Router alles über VLAN´s getrennt (vom Hauptnetz / anderen VM´s).
Switche, ESXi-Management (Kernel Netzwerk) und Router sind dabei aus der DMZ nicht ansprechbar bzw. in anderen VLAN´s.

Ich muss sagen, ich mach mir eher Sorgen das irgendwann ein Exploit für den Mail-Server
auftaucht als das jemand vom Internet über SMTP den Mailserver hackt und sich dann
irgendwie weiterhangelt.


Gruß & Schönes WE
Bitte warten ..
Mitglied: OliverHu
20.01.2012 um 13:42 Uhr
Zitat von Luie86:
Hallo,

also ich habe hier 2 MTA´s die ich aufgrund der Last (zu minimal) auch virtualisiert habe.
Setzte für die Virtualisierung 2 ESXi-Server mit jeweils einer Netzwerkkarte ein und habe dort,
auf den Switchen und auf dem Router alles über VLAN´s getrennt (vom Hauptnetz / anderen VM´s).
Switche, ESXi-Management (Kernel Netzwerk) und Router sind dabei aus der DMZ nicht ansprechbar bzw. in anderen VLAN´s.

Ich muss sagen, ich mach mir eher Sorgen das irgendwann ein Exploit für den Mail-Server
auftaucht als das jemand vom Internet über SMTP den Mailserver hackt und sich dann
irgendwie weiterhangelt.


Gruß & Schönes WE

Hallo,

und was ist, wenn mal jemand aus der VM ausbricht und Zugriff auf deine Hosts bekommt?
Ob das zum jetzigen Zeitpunkt möglich ist oder nicht, spielt erstmal keine Rolle.
Bitte warten ..
Mitglied: Luie86
20.01.2012 um 14:35 Uhr
Hallo,

interessante Frage. Ich gebe zu, ja dann hätte ich ein Problem.
Habe jetzt gerade mal Google bemüht, weil ich mich gefragt habe wie wahrscheinlich sowas ist
und siehe da: http://www.pcsympathy.com/2009/06/04/hacking-tool-lets-a-vm-break-out-a ...
bzw: http://www.blackhat.com/presentations/bh-usa-09/KORTCHINSKY/BHUSA09-Kor ...

Es scheint also schonmal geklappt zu haben.

Trotzdem ist meine Meinung, sobald das System in der DMZ kompromittiert wurde, ist die Sache eh gelaufen.
Klingt jetzt vielleicht doof aber: Genau wie Hacker muss man halt einfach versuchen seine System immerwieder
zu verbessern, zu patchen und weiter abzusichern sonst hat man einfach verloren.

Egal ob physische Maschinen oder Virtuelle Systeme.


Gruß Daniel
Bitte warten ..
Mitglied: Dani
05.02.2012 um 10:50 Uhr
Moin,
besteht hier noch Interesse?
Bitte warten ..
Mitglied: roland123
05.02.2012 um 11:23 Uhr
Hallo Dani,

natürlich besteht noch interesse. Ich habe mich allerdings gestern entschieden den Webserver direkt in eine DMZ zu erstellen ohne ESX oder Hyper V das scheint einfach sicherer zu sein.

vg
roland
Bitte warten ..
Ähnliche Inhalte
Virtualisierung
Langzeiterfahrung - Hyper-V und ESX - Stabilität
Frage von Xaero1982Virtualisierung12 Kommentare

Nabend Zusammen, bei nem Kunden will ich nen neues Netz aufbauen. Neuer Server, neue Clients, alles neu. Jetzt bin ...

Hyper-V
DMZ für VM in Hyper-V-Server 2012
gelöst Frage von KMP1988Hyper-V1 Kommentar

Servus, ich setzte gerade einen virtuellen Mailserver auf der in die DMZ soll. Folgende konfiguration habe ich einstellt:Ö - ...

Hyper-V
Hyper-V unter Hyper-V installieren
gelöst Frage von ConfettiHyper-V3 Kommentare

Hallo, ich habe auf meinem Windows 8 Pro - PC die Virtualisierungssoftware Hyper-V installiert. Als Virtualen PC hab ich ...

Hyper-V
Hyper-V: Kein Internetzugriff der Hyper-V Clients
gelöst Frage von wksadmmrHyper-V

Update Update Problem besteht nicht mehr. Ich habe, bevor ich diese Frage eingestellt habe, ziemlich an den VM's bzw. ...

Neue Wissensbeiträge
Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 6 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 10 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 10 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 13 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server19 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server15 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...