Hallo,
ich hab ein paar fragen wie ihr manche sachen am besten machen würdet und warum.
Aktuell haben wir hier diverse Server (VMs) die direkt eine öffentliche IP-Adresse haben die Server koennen darüber auch unser internes Netz erreichen.
Dass das alles nicht so korrekt ist, weiss ich auch, aber wie genau besser machen?
Ich wuerde eine zweite IP vergeben und nur über diese die interne kommunikation zu lassen, oder?
Schonmal vielen Dank vorab!
Best practice
Best practice
Debian-Nutzer 
ZABBIX Certified Specialist
ZABBIX Certified Specialist
Re: Best practice
Du brauchst im Prinzip eine DMZ:
http://de.wikipedia.org/wiki/Demilitarized_Zone
Diese nutzt entweder eine gemeinsame Firewall (Router) oder besser zwei Firewalls. Wichtig ist, dass man bei einer gemeinsamen Firewall (Router) echtes Routing/Firewall/NAT und nicht nur einen Switch als Trennung zwischen DMZ und internem LAN verwendet. Gerne werden billige Router mit DMZ-Support verkauft, die dieses gar nicht anbieten. Und wo man dabei ist sollte man gleich zwischen internem LAN und DMZ nur den Zugriff per NAT erlauben. Klar müssten dann alle Kommunikationen zwischen DMZ und internem LAN vom internen LAN aus aufgebaut werden. Dafür ist es jedoch unmöglich, dass ein Angreifer von der DMZ das interne LAN erreicht. Wobei wohl heute niemand mehr über eine DMZ versucht interne Netze zu erreichen. Geht mit Client-Schadcode viel einfacher. Leider weiß ich nicht ob es möglich ist NAT zu nutzen, falls z.B. in der DMZ der Webserver und im internen LAN der Datenbankserver steht. Alternativ müssen einzelne Ports in der Firewall geöffnet und auf NAT verzichtet werden.
http://de.wikipedia.org/wiki/Demilitarized_Zone
Diese nutzt entweder eine gemeinsame Firewall (Router) oder besser zwei Firewalls. Wichtig ist, dass man bei einer gemeinsamen Firewall (Router) echtes Routing/Firewall/NAT und nicht nur einen Switch als Trennung zwischen DMZ und internem LAN verwendet. Gerne werden billige Router mit DMZ-Support verkauft, die dieses gar nicht anbieten. Und wo man dabei ist sollte man gleich zwischen internem LAN und DMZ nur den Zugriff per NAT erlauben. Klar müssten dann alle Kommunikationen zwischen DMZ und internem LAN vom internen LAN aus aufgebaut werden. Dafür ist es jedoch unmöglich, dass ein Angreifer von der DMZ das interne LAN erreicht. Wobei wohl heute niemand mehr über eine DMZ versucht interne Netze zu erreichen. Geht mit Client-Schadcode viel einfacher. Leider weiß ich nicht ob es möglich ist NAT zu nutzen, falls z.B. in der DMZ der Webserver und im internen LAN der Datenbankserver steht. Alternativ müssen einzelne Ports in der Firewall geöffnet und auf NAT verzichtet werden.
Re: Best practice
uname, danke erstmal.. also ist das mit den 2IPs doof ?
Anfänge einer DMZ sind ja schon da, aber dort ist nichts eingestellt das man evtl das ein oder andere nicht darf.
Und der Router sollte das koennen, ist immerhin ein Brocade MLX
Anfänge einer DMZ sind ja schon da, aber dort ist nichts eingestellt das man evtl das ein oder andere nicht darf.
Und der Router sollte das koennen, ist immerhin ein Brocade MLX
Debian-Nutzer
ZABBIX Certified Specialist
ZABBIX Certified Specialist
Re: Best practice
Mehrere IP-Adressen werden ja auch gerne dann genutzt, wenn man z.B. Admin-VLAN, Backup-VLAN und Produktions-VLAN trennen möchte. Natürlich kannst du auch noch in diese Richtung suchen. Wobei ich mir dann nicht sicher bin ob es sinnvoll oder notwendig wäre auch wirklich getrennte Netzwerkkarten zu verwenden.also ist das mit den 2IPs doof ?