Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
DMZ richtig einrichten?
« previous
next »
Print
Pages: [
1
]
Author
Topic: DMZ richtig einrichten? (Read 5973 times)
karl047
Full Member
Posts: 129
Karma: 5
DMZ richtig einrichten?
«
on:
June 27, 2019, 06:31:26 am »
Hallo Forum,
ich habe viel über DMZ Interface in der letzten Zeit gelesen, und bin ich jetzt echt verwirrt.?.. Sie empfehlen dass DMZ Interface " physical & logical " isoliert sein soll: eigenes NIC vor allem !l
Meine Frage ist: mit PC Engine habe ich nur 3 NICs: 1 für WAN und 1 für LAN und das letzte ist für DMZ, aber ich habe 2 Servers die von außen erreichbar sind, dürfen die beiden DMZ Interfaces auf dem gleichen NIC sein aber getrennt auseinander mit 2 VLANs " logical separating" ? oder soll jedes davon auf einem eigenen NIC sein? (was unmöglich ist in meinem Fall -nur ein NIC verfügbar- !
LG,
karl
Logged
hbc
Hero Member
Posts: 501
Karma: 47
Re: DMZ richtig einrichten?
«
Reply #1 on:
June 27, 2019, 08:33:50 am »
VLAN Interface ist völlig ok. Auch muß nicht jeder Server unbedingt in eine eigene DMZ.
Man gruppiert in der Regel Server mit ähnlichen sicherheitsrelevanten Eigenschaften in einer eigenen Zone, die einzelnen Zonen untereinander sind strikt voneinander getrennt und dürfen nur über definierte Schnittstellen (Firewall, Proxy) miteinander kommunizieren.
Logged
Intel(R) Xeon(R) Silver 4116 CPU @ 2.10GHz (24 cores)
256 GB RAM, 300GB RAID1, 3x4 10G Chelsio T540-CO-SR
karl047
Full Member
Posts: 129
Karma: 5
Re: DMZ richtig einrichten?
«
Reply #2 on:
June 27, 2019, 11:45:52 am »
Super... aber damit ich richtig verstehe:
1. wäre es besser wenn DMZ Interface auf einem anderen NIC sitzt?
2. oder einfach mit LAN auf einem NIC aber natürlich mit VLAN konfiguriert und richtig eingestellte Firewall Regeln?
3 und wenn es sich auf einem separaten NIC befindet, gibt es kein Problem wenn die alle drei DMZ Interfaces drauf sind?
LG,
Karl...
«
Last Edit: June 28, 2019, 12:13:42 am by karl047
»
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: DMZ richtig einrichten?
«
Reply #3 on:
June 28, 2019, 12:15:48 pm »
> 1. wäre es besser wenn DMZ Interface auf einem anderen NIC sitzt?
Du schreibst doch, dass du eine 3. NIC hast für DMZ - also ist das doch gegeben?
> Meine Frage ist: mit PC Engine habe ich nur 3 NICs: 1 für WAN und 1 für LAN und das letzte ist für DMZ, aber ich habe 2 Servers die von außen erreichbar sind, dürfen die beiden DMZ Interfaces auf dem gleichen NIC sein aber getrennt auseinander mit 2 VLANs " logical separating" ? oder soll jedes davon auf einem eigenen NIC sein? (was unmöglich ist in meinem Fall -nur ein NIC verfügbar- !
Das ist eine Sicherheitsabschätzung/Frage. Wenn bspw. beide Server eh miteinander kommunizieren müssen, macht es keinen wirklichen Sinn sie in unterschiedliche DMZs zu stellen. Wenn eh nur die absolut notwendige Kommunikation vom Internet in die DMZ erlaubt wird, ist die Angriffsfläche nochmals kleiner. Es ist also einfach eine Abschätzung ob und was man für Daten anbietet, verarbeitet, wie schlecht es wäre wenn eine Kiste gekapert wird und ob dann auch die andere involviert wäre, etc. etc.
Vielfach wird die DMZ aber als ein Netz umgesetzt, in dem durchaus mehrere Server stehen. Sind beides bspw. "nur" Webserver, die eh öffentlichen Kram anzeigen, ist es eher weniger notwendig. Prinzipiell steht aber einer Aufteilung auf mehrere VLAN Interfaces für DMZ Zwecke nichts entgegen. Ein effektiver VLAN Angriff ist IMHO noch nie umgesetzt worden, so dass VLANs als annähernd äquivalent zu getrennten Netzen/Switchen anzusehen sind und somit es auch kein Problem wäre, auf dem 3. Interface 2x VLANs für die 2 Server anzulegen. Solche Mikrosegmentierung ist durchaus häufiger mal im Einsatz um Kommunikationsbeziehungen zwischen verschiedenen Geräten auch besser sichtbar und kontrollierbar/überwachbar zu machen.
Grüße
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
karl047
Full Member
Posts: 129
Karma: 5
Re: DMZ richtig einrichten?
«
Reply #4 on:
June 28, 2019, 04:40:27 pm »
Danke euch für die beste Erklärung...
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: DMZ richtig einrichten?
«
Reply #5 on:
June 28, 2019, 05:13:45 pm »
Ansonsten immer raus damit!
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
DMZ richtig einrichten?