westberliner
Goto Top

VLAN Zugriffsbeschränkungen

Hallo zusammen,

ich habe hier 2 ESXi-Server am Laufen und Netzwerk mit mehreren VLANS.

Ich möchte den Server, welcher in einer "DMZ" steht virtualisieren und auf die ESXi packen.

An beiden ESXi-Servern sind jeweils alle 4 Netzwerkanschlüsse belegt und sind auf dem entsprechenden VLAN erreichbar. Nun dachte ich, dass ich für die DMZ-Maschine ebenfalls nur ihr spezielles VLAN zuweise, an sich kein Problem.

Ich habe aber noch etwas von VLAN-Berechtigungen gelesen. Was sind das für Berechtigungen und brauche ich die? Es darf ja niemand von dem DMZ-VLan ins interne VLAN geraten.

Oder reicht es hier lediglich die entsprechende Eintrag vom Router rauszunehmen?

Content-Key: 300358

Url: https://administrator.de/contentid/300358

Ausgedruckt am: 28.03.2024 um 20:03 Uhr

Mitglied: SlainteMhath
SlainteMhath 30.03.2016 um 08:52:21 Uhr
Goto Top
Moin,

eine VM die zusammen mit den "anderen" Production VMs auf einem Host(-Cluster) läuft per VLAN in die DMZ zu stellen würde ich mir 2mal Überlegen. Stichworte dazu: VLAN-Hopping, VM-Escape etc.

"Rechte" auf ein VLAN zuzugreifen vergibt man per Switchport-Config und per Firewall. Wie genau ist denn deine Netzinfrastruktur aufgebaut?

lg,
Slainte
Mitglied: westberliner
westberliner 30.03.2016 um 09:08:40 Uhr
Goto Top
Hallo,

danke für deine Antwort.

Der Server in der DMZ ist aktuell eine Hardwarekiste mit 2008r2 drauf, welche ich in meiner konstellation nicht sichern kann. Hier soll eine Art Dropbox laufen - das wars.

Mein Netzwerk ist wie im Bild aufgebaut.

Von der Firewall geht einmal der Traffic dann auf den Backbone fürs LAN - welcher auch gleichzeitig der Router zwischen den VLANs ist. Und einmal auf den DMZ-Server.

Ist es denn dann ein Sicherheitsrisiko, eine DMZ-Maschine auf die internen ESXi-Hosts zu packen und per eigenem restricted VLAN anzubinden?
netzwerkstruktur
Mitglied: SlainteMhath
SlainteMhath 30.03.2016 um 09:19:31 Uhr
Goto Top
Ist es denn dann ein Sicherheitsrisiko, eine DMZ-Maschine auf die internen ESXi-Hosts zu packen und per eigenem restricted VLAN anzubinden?

Sicher ist das ein Sicherheitsrisiko. Wird die VM gehackt besteht die Gefahr das der Host und/oder alle darauf befindlichen VMs übernommen werden. Angesichts aktueller Meldungen umso brisanter.

Google mal nach den Stichworten aus meinem ersten Post und bewerte das dann für dich selbst.