Jump to content

DMZ und internes Netz auf selber Netzwerkkarte? Warum ein Problem?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Zusammen,

 

vorab ich bin der Ausbildung. Also könnte manches für euch lächerlich wirken. Ich weiß es aber wirklich nicht.

Wenn man einen Hypervisor hat, der intern als auch die Dienste extern bereitstellen soll über DMZ und wenn man eine DMZ hat mit völlig anderem Netzbereich und anderem Gateway, warum kann es dann ein Problem sein, wenn der Server dahinter

also der Hypervisor auf der Netzwerkkarte ein Kabel zum internen LAN hat und zum DMZ Gateway? Die Ports sind doch getrennt und auch die Netzbereiche. Also eigentlich hat man doch gar keinen Zugriff.

Ich musste mir auch anhören das man externe und interne Dienste nicht auf dem selben Hypervisor betreibt.

Als Stichworte zur Lösung der Frage gab es noch Reverse Proxy, different v-lans und Service distribution.

 

Würde mich freuen wenn jemand was sagen kann. :)

Link zu diesem Kommentar

Moin,

 

kurz gesagt: Die VMs sind auf dem Host zwar weitgehend, aber eben nicht vollständig voneinander isoliert. Aus Sicherheitssicht widerspricht es also dem Prinzip der Trennung, das man ja mit einer DMZ erreichen will, wenn man Dienste (also VMs) der verschiedenen Zonen auf demselben Host betreibt.

 

Oder wie ich vor vielen Jahren bei Rati*pharm schrieb:

 

[Hyper-V: Firewall virtuell betreiben? | faq-o-matic.net]
https://www.faq-o-matic.net/2015/06/10/hyper-v-firewall-virtuell-betreiben/

 

Gruß, Nils

 

Link zu diesem Kommentar

Moin,

 

ein Reverse Proxy spielt auf einer anderen Ebene und hat mit dem Hypervisor nichts zu tun. Vereinfacht gesagt, nutzt man einen Reverse Proxy meistens, damit Anwender von "außen" auf ein System einen Dienst "im LAN" zugreifen können, das also eben nicht in einer DMZ steht. Exchange ist (bzw. war) ein typisches Beispiel für sowas.

 

Eigene Hypervisoren für die DMZ richten Kunden leider viel zu selten ein. Aus meiner Sicht ein schwerer Fehler.

 

Gruß, Nils

 

bearbeitet von NilsK
Klarstellung: bei Reverse Proxies geht es gerade um den Zugriff auf einen einzelnen Dienst, nicht auf ein ganzes System
Link zu diesem Kommentar
vor einer Stunde schrieb NorbertFe:

Ich kenne mindestens einen. ;)

Ich kenne ganz viele, aber bei der Hälfte stehen in dieser sogenannten DMZ dann virtuelle Systeme, die Mitglied im AD sind ;-) Und wenn man dann sagt "Nein, Sie haben keine DMZ, sondern nur ein LAN-Segment mit Öffnung nach außen", sagen sie dann "aber der Hypervisor ist getrennt, und die Switche auch"...

Link zu diesem Kommentar

Leute mit Testsystem haben dann meist auch zwei produktivsysteme weil man das Testsystem nicht einreißen kann und wenn, dann hat es mit der Produktion meist wenig zu tun. ;) aussagekräftige Tests lassen sich damit also meist auch nicht durchführen. :)

vor 38 Minuten schrieb cj_berlin:

In der Berliner Verwaltung sagt man dazu "Probeechtbetrieb". 

Da fallen mir noch andere Umschreibungen zu ein. ;)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...