DMZ ja oder nein?

[EliteGroup]

Hey Leute,
Ich plane einen Umstieg auf 10Gbe LAN, das größte Problem ist wohl DMZ:

Aktuell habe ich 3 Netze LAN / DMZ-Server / Gäste
Gäste ist zu vernachlässigen da reicht eine GBit Schnittstelle die schon vorhanden ist.
Also brauche ich eine Dual 10GBit Karte und zwei 10GBit Switches was sehr in die kosten und Stromverbrauch geht.

Meine Frage:
Server / NAS in eine DMZ zu packen dient der Sicherheit, nur in der DMZ sind offene Ports.
Was wäre wenn ich die DMZ weg lasse und meine Server ins LAN dazu packe und auf OpnSense einen Proxy-Dienst installiere.
Für die Server werden keine externe Ports geöffnet sondern alles externe bearbeitet der OpnSense Proxy der leitet dann an alle interne Ports / Dienste.

Wie sicher ist dieses Setup? Wäre dann eine DMZ trotzdem nötig?
Extern benötige ich nur einige Webhosts, die ich extern nur per HTTPS 443 anspreche.
Aktuell ist auf dem Server selbst der Proxy (nginx) und OpnSense leitet externe Anfragen an die DMZ Server.
So bleibt trotzdem das LAN sicher.

So bräuchte ich nur einen neuen Switch mit 10GBit Ports und spar viel Geld / Strom.

lg

[thogru]

Moin EliteGroup,

Du betrachtest in Deinen Gedanken, nur "den Weg der Pakete". Das ist in meinen Augen nur der Anfang.

Ich persönlich betreibe meinen Server nur in einer DMZ. Das hat mit meinem Gedanken zu tun, dass der Server ja übernommen werden kann, durch eine Schwachstelle in den angebotenen Diensten. Dann ist zwar der Server korrumpiert und muss eventuell neu aufgesetzt werden, aber meine Rechner im LAN sollten keine Schäden davon tragen. Sofern ich meinen Router richtig eingestellt habe. Dann können die Angreifer nicht von meiner DMZ in mein LAN.

Meine Vermutung:
Wenn Du Stromkosten sparen willst, könnte es helfen, verschiedene VLANs zu konfigurieren und einen Switch zu nutzen, der das unterstützt. Mit der VLAN-Technik kenne ich mich zu wenig aus, um zu beurteilen, ob das "wirklich" sicher ist. Ich stelle mir das so vor: Du hast nur ein Kabel zwischen Router und Switch (UpLink), auf dem Pakete aus beiden VLANs gesendet werden. Die anderen Ports am Switch müsstest Du dann auf ein VLAN festlegen, sodass die VLAN Tags den Switch nicht verlassen brauchen.

Gruß
Thomas

[JeGr]

> Server / NAS in eine DMZ zu packen dient der Sicherheit, nur in der DMZ sind offene Ports.
Was wäre wenn ich die DMZ weg lasse und meine Server ins LAN dazu packe und auf OpnSense einen Proxy-Dienst installiere.

Proxy ist keine DMZ, das Gerät steht trotzdem parallel zu anderen im LAN und kann bspw. bei Infektion andere "anstecken". Gleiches für einen Hack via Schwachstellen in Software etc. etc.

Verstehe aber da den Aufriss nicht. Warum "brauchst" du notwendig gleich 2x10G nur wegen der DMZ? Ich kann mir kaum vorstellen, dass du WAN mit >1Gbps hast. Ergo kommt auch in deine DMZ nur max 1Gbit an. Also ist der Flaschenhals lediglich Kommunikation LAN zu DMZ. Was hindert dich daran dass dann als VLANs aufs gleiche 10G Interface zu hängen? Dann hast du im Maximalfall 5Gbps von LAN Client zur DMZ. Wenn das nicht reicht und du 2x10G brauchst für die volle 10G Performance von LAN zum Server dann hast du glaube ich andere Probleme