fly87 10 Geschrieben 15. Oktober 2021 Melden Teilen Geschrieben 15. Oktober 2021 Hallo Zusammen, vorab ich bin der Ausbildung. Also könnte manches für euch lächerlich wirken. Ich weiß es aber wirklich nicht. Wenn man einen Hypervisor hat, der intern als auch die Dienste extern bereitstellen soll über DMZ und wenn man eine DMZ hat mit völlig anderem Netzbereich und anderem Gateway, warum kann es dann ein Problem sein, wenn der Server dahinter also der Hypervisor auf der Netzwerkkarte ein Kabel zum internen LAN hat und zum DMZ Gateway? Die Ports sind doch getrennt und auch die Netzbereiche. Also eigentlich hat man doch gar keinen Zugriff. Ich musste mir auch anhören das man externe und interne Dienste nicht auf dem selben Hypervisor betreibt. Als Stichworte zur Lösung der Frage gab es noch Reverse Proxy, different v-lans und Service distribution. Würde mich freuen wenn jemand was sagen kann. :) Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 15. Oktober 2021 Melden Teilen Geschrieben 15. Oktober 2021 Moin, kurz gesagt: Die VMs sind auf dem Host zwar weitgehend, aber eben nicht vollständig voneinander isoliert. Aus Sicherheitssicht widerspricht es also dem Prinzip der Trennung, das man ja mit einer DMZ erreichen will, wenn man Dienste (also VMs) der verschiedenen Zonen auf demselben Host betreibt. Oder wie ich vor vielen Jahren bei Rati*pharm schrieb: [Hyper-V: Firewall virtuell betreiben? | faq-o-matic.net]https://www.faq-o-matic.net/2015/06/10/hyper-v-firewall-virtuell-betreiben/ Gruß, Nils 1 Zitieren Link zu diesem Kommentar
fly87 10 Geschrieben 15. Oktober 2021 Autor Melden Teilen Geschrieben 15. Oktober 2021 Hallo, ok, ja verstehe. Setzt man dann aus diesem Grund Reverse Proxy Systeme ein, damit diese Systeme weiter intern stehen können aber trotzdem von außen erreicht werden? Nicht jeder möchte ja vielleicht eine Reihe an Hypervisorn haben die nur für DMZ sind oder doch? Sonst verstehe ich die Notwendigkeit von Reverse Proxy nicht. Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 15. Oktober 2021 Melden Teilen Geschrieben 15. Oktober 2021 (bearbeitet) Moin, ein Reverse Proxy spielt auf einer anderen Ebene und hat mit dem Hypervisor nichts zu tun. Vereinfacht gesagt, nutzt man einen Reverse Proxy meistens, damit Anwender von "außen" auf ein System einen Dienst "im LAN" zugreifen können, das also eben nicht in einer DMZ steht. Exchange ist (bzw. war) ein typisches Beispiel für sowas. Eigene Hypervisoren für die DMZ richten Kunden leider viel zu selten ein. Aus meiner Sicht ein schwerer Fehler. Gruß, Nils bearbeitet 15. Oktober 2021 von NilsK Klarstellung: bei Reverse Proxies geht es gerade um den Zugriff auf einen einzelnen Dienst, nicht auf ein ganzes System 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 15. Oktober 2021 Melden Teilen Geschrieben 15. Oktober 2021 vor 11 Minuten schrieb NilsK: Eigene Hypervisoren für die DMZ richten Kunden leider viel zu selten ein. Aus meiner Sicht ein schwerer Fehler. Ich kenne mindestens einen. ;) 1 Zitieren Link zu diesem Kommentar
cj_berlin 1.315 Geschrieben 15. Oktober 2021 Melden Teilen Geschrieben 15. Oktober 2021 vor einer Stunde schrieb NorbertFe: Ich kenne mindestens einen. ;) Ich kenne ganz viele, aber bei der Hälfte stehen in dieser sogenannten DMZ dann virtuelle Systeme, die Mitglied im AD sind Und wenn man dann sagt "Nein, Sie haben keine DMZ, sondern nur ein LAN-Segment mit Öffnung nach außen", sagen sie dann "aber der Hypervisor ist getrennt, und die Switche auch"... 3 Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 15. Oktober 2021 Melden Teilen Geschrieben 15. Oktober 2021 Moin, "Wir haben kein Testsystem." "Doch, haben Sie. Sie haben kein Produktionssystem." Gruß, Nils 4 Zitieren Link zu diesem Kommentar
cj_berlin 1.315 Geschrieben 15. Oktober 2021 Melden Teilen Geschrieben 15. Oktober 2021 In der Berliner Verwaltung sagt man dazu "Probeechtbetrieb". 4 Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 15. Oktober 2021 Melden Teilen Geschrieben 15. Oktober 2021 Leute mit Testsystem haben dann meist auch zwei produktivsysteme weil man das Testsystem nicht einreißen kann und wenn, dann hat es mit der Produktion meist wenig zu tun. ;) aussagekräftige Tests lassen sich damit also meist auch nicht durchführen. :) vor 38 Minuten schrieb cj_berlin: In der Berliner Verwaltung sagt man dazu "Probeechtbetrieb". Da fallen mir noch andere Umschreibungen zu ein. ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.