NAS für DMZ und internes Netz

NAS für DMZ und internes Netz (12 Beiträge, 276 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Hallo,
ich versuche mich gerade an einer Netzwerkplanung und stehe vor einigen Fragen/Problemen:
Ich plane gerade 3 Hyper-Vs auf denen verschiedene VMs laufen sollen. Mail und Webserver-VM erhalten eine externe Adresse wobei der Hyper-V selbst eine interne erhält. Auf einem anderen Hyper-V laufen Server(VMs) mit internen Adressen.
Nun stellt sich mir die Frage, wie man das sicherheitstechnisch am besten löst?
Sollte man eine DMZ einrichten die an einer Firewall hängt oder geht das auch über VLANs im internen Netzwerk?
Außerdem ist ein NAS geplant um alle Server zu sichern. Dieses sollte möglichst über GBit backupen... Wenn alles über die Firewall rennt, dann besteht dort ein Bottleneck...

Bin kompletter Neuling was Netzwerkplanung angeht

Vielleicht gibt es hier ein paar Experten...
Zur Veranschaulichung habe ich eine Grafik erstellt, wie ich es ursprünglich geplant habe (nur schematisch, Darstellung ist nicht komplett)

04.03.2014, 13:04 Uhr - Editiert von cheezy, alte Version: hier

Ich bin auch nicht so der große Experte, aber der Idee mit den VLANs ist schon mal OK. Wann du auch noch der Router und Firewall tauscht, sollte es hinhauen.
Router = Gerät mit mehrere Schnittstellen, welches entscheidet wo welches Packet hingehen soll.
Firewall = Gerät welches an hand von Regeln entscheidet ob Packets überhaupt weitergegeben werden.
Wieter draussen brauchst du dann noch ein Modem/Router (so nenne ich es mal) der dein netzwerk ans Internet bzw Provider anbindet.

Save the Earth... it's the only planet with chocolate.

If you're not on a government watchlist by now you should be ashamed of yourself

Vielen Dank für dein Kommentar.
Der Router im Bild ist schon der vom ISP, auf den kann nicht zugegriffen werden. Dahinter ist dann das Modem.
Ich weiß nicht wie es mit den Hyper-Vs aussieht, wenn der Host eine interne IP bekommt, die VMs aber eine externe? Ist das überhaupt sinnvoll/möglich? Wenn der Traffic dann Richtung VM soll, weiß doch die Firwall nicht wohin damit, weil ja der Host mit der internen Adresse angeschlossen ist? Oder wäre es besser, die Hyper-Vs hinter der Firewall in Richtung internes Netz zu stellen, wie im Bild?

So ists OK!

In einer guten FW kannst eh angeben welche IP wohin soll (so du überhaupt eine zweite öffentliche hast). Sonst nur den Port an den richtigen Server.

Ok. D.h. mit VLANs bin ich auf dem richtigen Weg...
Und öffentliche Adressen sind mehrere vorhanden, wobei Mail, Web, etc alle eine eigene bekommen und von der Firewall geNATet werden.
Wenn ich VLANs verwende, dann läuft allerdings die InterVLAN-Kommunikation über die FW?? D.h. dort hätte ich ein Bottleneck wenn diese kein GBit unterstützt?

Kann auch über den SWITCH laufen. ( ich glaube Layer 3 wird da benötigt)

Kann auch über den SWITCH laufen. ( ich glaube Layer 3 wird da benötigt)

Ja aber es sind nur Layer 2 Switches vorhanden... wäre es sinnvoll da einen Router mit GBit dazwischen zu schalten?

Hi!

Also vom Prinzip her schon ok, aber da gehört noch ein wenig Finetuning betrieben bzw. was abgeklärt:

Warum 2 Hyper-Vs für Web-/Mailserver?
Wenn auf jedem Server nur ein Gast läuf kannst Du es schon fast physisch bertreiben. Daher: ein Hyper-V Host (groß genug dimensioniert).

Nur eine NIC am Server zu verwenden und dann alle Netze drüberzulegen halte ich nicht für so günstig (würde aber klappen), zumindest eine NIC würde ich dediziert nur internen Hosts zu Verfügung stellen und dann eine zweite nur externen Adressen (und die dann auch nicht für den Host sichtbar machen).

Pro VM zwei NICs: eine für das interne und eine für das externe Netz. Dann hast Du auch das Problem mit den VLANs nicht, die über die Firewall geroutet werden müssen.

Im besten Fall also 4 Netzwerkkarten rein: eine für den physischen Host (intern) und pro VM eine eigene externe, die durchgereicht wird. Damit ist dann jegliches VLAN überflüssig und zweitens kannst Du die Server dann direkt an die Firewall hängen (wenn Du genug Interfaces drauf hast) oder da den Switch aus Deiner ersten Grafik nehmen.
Die internen NICs der VMs kannst Du ja an die vierte physische NIC im Server schalten (weil ich glaub kaum, dass beide Server permanent mit einem GBit versorgt werden müssen). Das Backup wirst Du wohl auch nicht gleichzeitg von beiden auf das NAS machen sondern eher hintereinander...

Falls Du keine Quadport NIC hast bzw. kaufen möchtest kann man es auch mit nur 2 oder 3 NICs machen (also eine am Board und eine Dualport NIC) - dann teilen sich der Host und die VMs für die interne Kommunikation eben eine NIC und bei nur zwei NICs sind zumindest die internen von den externen Netzen getrennt (also alle internen und externen Adressen auf jeweils eine NIC).

hth,

greetz

glockman

- There's no replacement for displacement. Not even Diesel. -

Ich bin weder die NSA noch der BND. Dennoch weiß ich, was ich letzten Sommer getan habe.

Mit den NICs ist es sicher die optimalste Lösung.

PS: Nach kurzer Nachfrage bei einem Freund - der verwendet ein Quad-Port Karte im Teaming für 2 x rein und raus.

Hallo Glockman,

Warum 2 Hyper-Vs für Web-/Mailserver?
Wenn auf jedem Server nur ein Gast läuf kannst Du es schon fast physisch
bertreiben. Daher: ein Hyper-V Host (groß genug dimensioniert).

Es wird so sein, dass 1 Hyper-V Host externe Gäste haben wird und einer interne. Der 3. ist für andere Zwecke (intern)
Was wichtig ist, dass im Notfall einfach VMs zwischen den Servern verschoben werden können falls einer Probleme hat, deswegen 3 Stück (wobei sich die Performance bei allen unterscheidet)

zumindest eine NIC würde ich dediziert nur internen Hosts zu Verfügung
stellen und dann eine zweite nur externen Adressen

So ist es auch geplant... die Server haben 4 NW-Anschlüsse (Link Aggregation wäre vielleicht auch noch ein Thema)

Danke für eure Hilfe, dann werd ich versuchen die Dinge in die Planung umzusetzen und melde mich bei weiteren Fragen

http://security.stackexchange.com/questions/1551/why-do-people-tell-me-not-to-use-vlans-for-security

Wenn du die VLANS aus Security Gründen willst, lass es sein. Wenns dir um Traffic, wild gewordene Clients etc geht, kein Problem.

mfg lukas

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung