Aufbau DMZ

Jehul

Big d00d

Registered: Nov 2000
Location: lnz
Posts: 295

21.07.2006 - 08:58

Hallo!

Ich bräuchte eure hilfe beim ändern unserer DMZ.
in der dmz stehen "sichere" server (werden von mir betreut) und "unsichere" (kunden-server) auf die ich keinen zugriff habe.

jetzt möcht ich gerne unsere server von den kundenservern trennen.
und meine liebste lösung wäre, dass alle unsere server untereinander kommunizieren können und jeder kundenserver "abgeschottet" ist.

wir haben ein ip-segment mit öffentlichen ip adressen.

derzeit schaut das netzwerk so aus:

inet -> hardware-router/firewall -> switch -> alleserver

version 1 (trennung sichere/unsichere server):
ich werde das ip segment auf 2 aufteilen.

inet router geht zu segment 1 (sichere server) direkt
inet router geht zu segment 2 (unsichere) über router #2

Code:

inet -> router/firewall -> switch -> sichereserver
                                  -> router/firewall#2 -> switch -> unsichere server

jetzt meine frage: hab ich wo nen denkfehler?
oder gibt es eine einfachere lösung.
und hat wer eine idee, wie das funktionieren könnte, dass die kundenserver untereinander sich nicht stören können?
es könnte ja jederzeit ein kund per ssh eine 2te ip adresse eintragen und so nen anderen server stören etc...

danke für antworten

n4plike

core i7 Addicted

Registered: Mar 2005
Location: 127.0.0.1
Posts: 997

21.07.2006 - 09:11

Mach doch am Internet einen Hub einen Häng 2 Router Dran und die sache hat sich? Ist doch etwas einfacher oder? ^^

Crash Override

BOfH

Registered: Jun 2005
Location: Germany
Posts: 2951

21.07.2006 - 12:49

Es gibt verschiedene Möglichkeiten, die von dem vorhandenen Router abhängen. Für die Sicherheit der fremden Server sind die Betreiber eigentlich selbst zuständig. Warum sollten die sich gegenseitig nicht erreichen können wenn sie von überall aus der Welt erreichbar sind?

Jehul

Big d00d

Registered: Nov 2000
Location: lnz
Posts: 295

21.07.2006 - 13:45

hallo.

@n4plike: nur hub wird nicht gehen, da ich am router nur 1e externe ip-adresse einstllen kann, weil auf die der provider weiterroutet.

@crashoverride:
hab jetzt auch beschlossen, dass der aufwand einfach zu hoch wäre (planung, realisierung, kosten) für so eine lösung. jeder kunde soll selber verantwortlich sein.
überall aus der welt sinds trotzdem nicht erreichbar, weil ich am router explizit prots für jeden server freischalte.

unser hardware router/firewall hat 3 ports (wan, dmz, intern).
das intern ist für uns zum surfen. das werd ich jetzt als "unsichere kunden" hernehmen.
somit hab ich wan und 2*lan für sichere dmz und kunden dmz.

damit wir intern auch ins netz kommen, kauf ich mir nen 0815 router.

darkboarder

Here to stay

Registered: Nov 2002
Location: Wien
Posts: 846

21.07.2006 - 13:59

kannst du nicht mit subnetzen trennen und einfach eine regel aufstellen das die Geräte nur mit Geräten im eigenen Subnetz kommunizieren können?

Jehul

Big d00d

Registered: Nov 2000
Location: lnz
Posts: 295

24.07.2006 - 08:43

hallo darkboarder.
das wäre schon möglich, aber wo stellst die regel ein?
man bräuchte einen switch, auf den man für jeden port eine ip-adresse festlegen kann.

darkboarder

Here to stay

Registered: Nov 2002
Location: Wien
Posts: 846

28.07.2006 - 20:09

ist etwas kompliziert. Die Einstellungen triffst du am Router bzw du musst die Subnetze ausrechnen und dann diese an jedem PC/Server einstellen.

Sagen wir es so, wenn du es somit günstig/gscheid lösen willst geht das nicht ohne das man sicht damit gscheid auskennt.

always_on

Bloody Newbie

Registered: Jun 2006
Location: Vienna
Posts: 32

17.08.2006 - 11:35

du könntest es auch so machen

Inet---router1--switch--router2---sicherer bereich
_________________ --router3---unsicherer bereich

ist zwar ein bissi mehr aufwand aber wär sicher machbar

NyoMic

xepera-xeper-xeperu

Registered: Feb 2001
Location: Stahlstadt
Posts: 2620

17.08.2006 - 11:39

mit jeweils eigenen VLAN's würds gehen dass die server nicht direkt miteinander kommunizieren können. Allerdings gibts bei den meistens Switches ein VLAN-Limit von 30 - ist halt die Frage ob du damit auskommst.

DAO

Si vis pacem, para bellum

Registered: Mar 2001
Location: Austria
Posts: 4980

18.08.2006 - 20:41

Die Fragen sind :

wieviele ips, (sercure, unsecure)
Welche Hw ist bereits vorhanden mit welchen Lizenzen.
Bzw mit welchem Grosshändler/Hersteller bestehen Verträge.
Welche Routing Protokolle kommen bereits zum einsatz.
Welches Budget ist vorhanden.
usw

Erst dann kann man in der PRaxis beginnen zu Evaluieren.

Wenn ich orbiges ausser acht lasse währe ein Bespiel :
(andere Varianten sind auch möglich)

Ich würd die sicheren Server über den Switch S1 mir Router R1 verbinden.
Weiters würde ich im Bereich der sicheren Server, die Ports an welchen diese gepatched sind an die Ip des Servers dahinter binden.

Da die Server den Router R1 nicht sinnlos belasten sollen bekommen sie jeweils eine zusätzliche Nic rein.
Und bekommen einen eigenen Switch S3 um allen Traffic welcher untereinander bestehen muss eben über diesen eigenen Switch erfolgt.
und der Interne Traffic ist an Switch S1 auch nicht ersichtlich.

Die unsicheren Server hängen an Switch S2.
Ips an die gepatchten Ports auch fix gebunden.
Dieser Switch hängt an Router R2.

Router R2 hängt an Switch S1.

Nun nur noch die Router und Switches anständig confen.
Eine ordentliche Doku Führen und passt.

PS: hab leider nix andres als MS Paint auf der Kiste oben.

dmz_97713.jpg (downloaded 63x)

Jehul Big d00d Registered: Nov 2000 Location: lnz Posts: 295	21.07.2006 - 08:58 Hallo! Ich bräuchte eure hilfe beim ändern unserer DMZ. in der dmz stehen "sichere" server (werden von mir betreut) und "unsichere" (kunden-server) auf die ich keinen zugriff habe. jetzt möcht ich gerne unsere server von den kundenservern trennen. und meine liebste lösung wäre, dass alle unsere server untereinander kommunizieren können und jeder kundenserver "abgeschottet" ist. wir haben ein ip-segment mit öffentlichen ip adressen. derzeit schaut das netzwerk so aus: inet -> hardware-router/firewall -> switch -> alleserver version 1 (trennung sichere/unsichere server): ich werde das ip segment auf 2 aufteilen. inet router geht zu segment 1 (sichere server) direkt inet router geht zu segment 2 (unsichere) über router #2 Code: `inet -> router/firewall -> switch -> sichereserver -> router/firewall#2 -> switch -> unsichere server` jetzt meine frage: hab ich wo nen denkfehler? oder gibt es eine einfachere lösung. und hat wer eine idee, wie das funktionieren könnte, dass die kundenserver untereinander sich nicht stören können? es könnte ja jederzeit ein kund per ssh eine 2te ip adresse eintragen und so nen anderen server stören etc... danke für antworten
n4plike core i7 Addicted Registered: Mar 2005 Location: 127.0.0.1 Posts: 997	21.07.2006 - 09:11 Mach doch am Internet einen Hub einen Häng 2 Router Dran und die sache hat sich? Ist doch etwas einfacher oder? ^^
Crash Override BOfH Registered: Jun 2005 Location: Germany Posts: 2951	21.07.2006 - 12:49 Es gibt verschiedene Möglichkeiten, die von dem vorhandenen Router abhängen. Für die Sicherheit der fremden Server sind die Betreiber eigentlich selbst zuständig. Warum sollten die sich gegenseitig nicht erreichen können wenn sie von überall aus der Welt erreichbar sind?
Jehul Big d00d Registered: Nov 2000 Location: lnz Posts: 295	21.07.2006 - 13:45 hallo. @n4plike: nur hub wird nicht gehen, da ich am router nur 1e externe ip-adresse einstllen kann, weil auf die der provider weiterroutet. @crashoverride: hab jetzt auch beschlossen, dass der aufwand einfach zu hoch wäre (planung, realisierung, kosten) für so eine lösung. jeder kunde soll selber verantwortlich sein. überall aus der welt sinds trotzdem nicht erreichbar, weil ich am router explizit prots für jeden server freischalte. unser hardware router/firewall hat 3 ports (wan, dmz, intern). das intern ist für uns zum surfen. das werd ich jetzt als "unsichere kunden" hernehmen. somit hab ich wan und 2*lan für sichere dmz und kunden dmz. damit wir intern auch ins netz kommen, kauf ich mir nen 0815 router.
darkboarder Here to stay Registered: Nov 2002 Location: Wien Posts: 846	21.07.2006 - 13:59 kannst du nicht mit subnetzen trennen und einfach eine regel aufstellen das die Geräte nur mit Geräten im eigenen Subnetz kommunizieren können?
Jehul Big d00d Registered: Nov 2000 Location: lnz Posts: 295	24.07.2006 - 08:43 hallo darkboarder. das wäre schon möglich, aber wo stellst die regel ein? man bräuchte einen switch, auf den man für jeden port eine ip-adresse festlegen kann.
darkboarder Here to stay Registered: Nov 2002 Location: Wien Posts: 846	28.07.2006 - 20:09 ist etwas kompliziert. Die Einstellungen triffst du am Router bzw du musst die Subnetze ausrechnen und dann diese an jedem PC/Server einstellen. Sagen wir es so, wenn du es somit günstig/gscheid lösen willst geht das nicht ohne das man sicht damit gscheid auskennt.
always_on Bloody Newbie Registered: Jun 2006 Location: Vienna Posts: 32	17.08.2006 - 11:35 du könntest es auch so machen Inet---router1--switch--router2---sicherer bereich _________________ --router3---unsicherer bereich ist zwar ein bissi mehr aufwand aber wär sicher machbar
NyoMic xepera-xeper-xeperu Registered: Feb 2001 Location: Stahlstadt Posts: 2620	17.08.2006 - 11:39 mit jeweils eigenen VLAN's würds gehen dass die server nicht direkt miteinander kommunizieren können. Allerdings gibts bei den meistens Switches ein VLAN-Limit von 30 - ist halt die Frage ob du damit auskommst.
DAO Si vis pacem, para bellum Registered: Mar 2001 Location: Austria Posts: 4980	18.08.2006 - 20:41 Die Fragen sind : wieviele ips, (sercure, unsecure) Welche Hw ist bereits vorhanden mit welchen Lizenzen. Bzw mit welchem Grosshändler/Hersteller bestehen Verträge. Welche Routing Protokolle kommen bereits zum einsatz. Welches Budget ist vorhanden. usw Erst dann kann man in der PRaxis beginnen zu Evaluieren. Wenn ich orbiges ausser acht lasse währe ein Bespiel : (andere Varianten sind auch möglich) Ich würd die sicheren Server über den Switch S1 mir Router R1 verbinden. Weiters würde ich im Bereich der sicheren Server, die Ports an welchen diese gepatched sind an die Ip des Servers dahinter binden. Da die Server den Router R1 nicht sinnlos belasten sollen bekommen sie jeweils eine zusätzliche Nic rein. Und bekommen einen eigenen Switch S3 um allen Traffic welcher untereinander bestehen muss eben über diesen eigenen Switch erfolgt. und der Interne Traffic ist an Switch S1 auch nicht ersichtlich. Die unsicheren Server hängen an Switch S2. Ips an die gepatchten Ports auch fix gebunden. Dieser Switch hängt an Router R2. Router R2 hängt an Switch S1. Nun nur noch die Router und Switches anständig confen. Eine ordentliche Doku Führen und passt. PS: hab leider nix andres als MS Paint auf der Kiste oben. dmz_97713.jpg (downloaded 63x)

Aufbau DMZ

Forum Index > Digital Life > Internet & Provider

Jehul

n4plike

Crash Override

Jehul

darkboarder

Jehul

darkboarder

always_on

NyoMic

DAO