Hallo Forum,
ich habe viel über DMZ Interface in der letzten Zeit gelesen, und bin ich jetzt echt verwirrt.?.. Sie empfehlen dass DMZ Interface " physical & logical " isoliert sein soll: eigenes NIC vor allem !l
Meine Frage ist: mit PC Engine habe ich nur 3 NICs: 1 für WAN und 1 für LAN und das letzte ist für DMZ, aber ich habe 2 Servers die von außen erreichbar sind, dürfen die beiden DMZ Interfaces auf dem gleichen NIC sein aber getrennt auseinander mit 2 VLANs " logical separating" ? oder soll jedes davon auf einem eigenen NIC sein? (was unmöglich ist in meinem Fall -nur ein NIC verfügbar- !
LG,
karl
VLAN Interface ist völlig ok. Auch muß nicht jeder Server unbedingt in eine eigene DMZ.
Man gruppiert in der Regel Server mit ähnlichen sicherheitsrelevanten Eigenschaften in einer eigenen Zone, die einzelnen Zonen untereinander sind strikt voneinander getrennt und dürfen nur über definierte Schnittstellen (Firewall, Proxy) miteinander kommunizieren.
Super... aber damit ich richtig verstehe:
1. wäre es besser wenn DMZ Interface auf einem anderen NIC sitzt?
2. oder einfach mit LAN auf einem NIC aber natürlich mit VLAN konfiguriert und richtig eingestellte Firewall Regeln?
3 und wenn es sich auf einem separaten NIC befindet, gibt es kein Problem wenn die alle drei DMZ Interfaces drauf sind?
LG,
Karl...
> 1. wäre es besser wenn DMZ Interface auf einem anderen NIC sitzt?
Du schreibst doch, dass du eine 3. NIC hast für DMZ - also ist das doch gegeben?
> Meine Frage ist: mit PC Engine habe ich nur 3 NICs: 1 für WAN und 1 für LAN und das letzte ist für DMZ, aber ich habe 2 Servers die von außen erreichbar sind, dürfen die beiden DMZ Interfaces auf dem gleichen NIC sein aber getrennt auseinander mit 2 VLANs " logical separating" ? oder soll jedes davon auf einem eigenen NIC sein? (was unmöglich ist in meinem Fall -nur ein NIC verfügbar- !
Das ist eine Sicherheitsabschätzung/Frage. Wenn bspw. beide Server eh miteinander kommunizieren müssen, macht es keinen wirklichen Sinn sie in unterschiedliche DMZs zu stellen. Wenn eh nur die absolut notwendige Kommunikation vom Internet in die DMZ erlaubt wird, ist die Angriffsfläche nochmals kleiner. Es ist also einfach eine Abschätzung ob und was man für Daten anbietet, verarbeitet, wie schlecht es wäre wenn eine Kiste gekapert wird und ob dann auch die andere involviert wäre, etc. etc.
Vielfach wird die DMZ aber als ein Netz umgesetzt, in dem durchaus mehrere Server stehen. Sind beides bspw. "nur" Webserver, die eh öffentlichen Kram anzeigen, ist es eher weniger notwendig. Prinzipiell steht aber einer Aufteilung auf mehrere VLAN Interfaces für DMZ Zwecke nichts entgegen. Ein effektiver VLAN Angriff ist IMHO noch nie umgesetzt worden, so dass VLANs als annähernd äquivalent zu getrennten Netzen/Switchen anzusehen sind und somit es auch kein Problem wäre, auf dem 3. Interface 2x VLANs für die 2 Server anzulegen. Solche Mikrosegmentierung ist durchaus häufiger mal im Einsatz um Kommunikationsbeziehungen zwischen verschiedenen Geräten auch besser sichtbar und kontrollierbar/überwachbar zu machen.
Grüße
Danke euch für die beste Erklärung...
Ansonsten immer raus damit! :)