DMZ Konzept

[Titanstaub]

Hi, es gibt einen einzelnen ESXi Host (HP ProLiant DL-380 Gen 10) mit 4 NICs. Alle NICs hängen am selben physischen HP Switch und es gibt für alle VMs nur einen virtuellen Switch und keine Trennung via VLANs. Der HP Switch ist via Glasfaser mit einem zweiten HP Switch in einem anderen Gebäude verbunden an welchem der Router / Firewall hängt. Nun soll eine DMZ implementiert werden. Wie würdet Ihr Netzwerk designen wenn es möglichst einfach sein soll? Es geht um ein Netzwerk für ca. 30 Mitarbeiter. Ich sehe zwei grundsätzliche Ansätze:

1.Netzwerk-DMZ auf dem ESXi Host:
https://docs.vmware.com/de/VMware-vSphe ... 8D6B4.html

Hier bräuchte ich "lediglich" zwei Firewall VMs und müsste virtuelle Switche erstellen. Müsste aber nichts mit VLANs machen, oder? Welche Firewalls würdet Ihr nehmen?

2. Ich konfiguriere VLANs auf den physischen und virtuellen Switches und erreiche dadurch eine Netz-Trennung. Ich brauche keine virtuelle Firewall sondern nur die vorhandene Hardware Firewall im anderen Gebäude.

Danke für Eure Anregungen!

Nico

[rprengel]

Hi, es gibt einen einzelnen ESXi Host (HP ProLiant DL-380 Gen 10) mit 4 NICs. Alle NICs hängen am selben physischen HP Switch und es gibt für alle VMs nur einen virtuellen Switch und keine Trennung via VLANs. Der HP Switch ist via Glasfaser mit einem zweiten HP Switch in einem anderen Gebäude verbunden an welchem der Router / Firewall hängt. Nun soll eine DMZ implementiert werden. Wie würdet Ihr Netzwerk designen wenn es möglichst einfach sein soll? Es geht um ein Netzwerk für ca. 30 Mitarbeiter. Ich sehe zwei grundsätzliche Ansätze:

1.Netzwerk-DMZ auf dem ESXi Host:
https://docs.vmware.com/de/VMware-vSphe ... 8D6B4.html

Hier bräuchte ich "lediglich" zwei Firewall VMs und müsste virtuelle Switche erstellen. Müsste aber nichts mit VLANs machen, oder? Welche Firewalls würdet Ihr nehmen?

2. Ich konfiguriere VLANs auf den physischen und virtuellen Switches und erreiche dadurch eine Netz-Trennung. Ich brauche keine virtuelle Firewall sondern nur die vorhandene Hardware Firewall im anderen Gebäude.

Danke für Eure Anregungen!

Nico

Ein echte DMZ ist physikalisch sauber getrennt da immer die gefahr besteht das durch Softwarefehler ein Angreifer eine Vm verlassen kann.
Wenn es aber um z.B. Demo-Systeme geht kann man da möglicherweise was machen.
Schritt 1 wäre ein Go von Datenschützern und IT-Security einzuholen.

Gßruss

[Titanstaub]

Danke.

Also einen zweiten ESXi Host anschaffen und direkt mit der NIC in die DMZ der Hardware-Firewall?

[rprengel]

Danke.

Also einen zweiten ESXi Host anschaffen und direkt mit der NIC in die DMZ der Hardware-Firewall?

Yeap,
wäre eine Lösung.

Gruß

[irix]

Ja wir haben Kunden mit getrennter pyhs. DMZ. Aber ganz ehrlich... die kann ich an einer Hand abzaehlen, weil bei allen anderen faellt es mir schwer zu argumentieren warum man 1-2 (redundanz/planed downtime) zwei weitere Hosts benoetigt fuer eine Handvoll DMZ VMs.

Bei allen anderen wird die Trennung ueber VLAN gemacht, weil spaetestest bei den Switch Uplinks von Gebauede zu Gebaeude bzw. TOR->CORE->FW braucht sollte man sie ja haben . Somit machen wir VLAN Taggin auf Portgruppenebene von Anfang an und gut ist. Bei dem ein oder anderen gibts dedi. pNICs/pSwitche und somit Kabel... .aber bei vielen ist es der gleiche Draht/Switch.

Gruss
Joerg

[Titanstaub]

Danke.

Würde folgendes VLAN Konstrukt funktionieren? Natürlich alles ohne Gewähr. Der ESXi Server hat 4 NICs:

Portgruppe VM Network:
VLAN-ID 0
vswitch0
physische NICs 1,2,3

Portgruppe DMZ:
VLAN-ID 5
vswitch1
physische NIC 4

HP SWITCH 1
Port1 -> NIC_1 -> VLAN1
Port2 -> NIC_2 -> VLAN1
Port3 -> NIC_3 -> VLAN1
Port4 -> NIC_4 -> VLAN5
Port48 -> LWL-Uplink Switch2 -> VLAN1, VLAN5

HP SWITCH 2
Port47 -> Firewall-Uplink -> VLAN1, VLAN5
Port48 -> LWL-Uplink Switch1 -> VLAN1, VLAN5

Firewall
Port1 -> Switch2-Uplink -> VLAN1, VLAN5

Danke!

Nico

[irix]

Yupp genau so wuerde man das machen.

Bei der Gelegenheit gucken das man von VLAN0/1 weg kommt.

Gruss
Joerg