3
DMZ - alle Server in die DMZ? Welche IP-Adressen evtl. eigenes Netz?
Hallo alle zusammen.
Ich hab ein paar Verständnis-fragen wo wahrscheinlich die meisten gähnen werden aber ich will ja auch nicht dumm sterben
Spricht was dagegen alle Server in einer Netzwerkinfrastruktur in die DMZ zu packen oder sollte man gerade das auch tun (evtl. nur die Server die mit dem Internet kommunizieren wie z.B. Exchange)? Was sind Best-Practices?
Sollte man den Servern in der DMZ, IP-Adressen aus einem anderen Netzt geben als die IP-Adressen der Clients? (Um dadurch zusätzlichen Schutz der Server vor den Clients zu erzielen, was aber wiederum quatsch ist, weil die DMZ in einem eigenen VLAN kommen sollte und ansonsten der Client ja nur seine IP-Adresse ändern müsste um Zugriff auf die Server in der DMZ zu bekommen)
Ich hoffe ich bekomme nicht einen auf den Deckel, dass ich googeln soll oder im Forum suchen soll. Das habe ich nämlich schon getan und keine genaue Antwort auf meine Fragen gefunden.
Danke schon mal für die Antworten.
Ich hab ein paar Verständnis-fragen wo wahrscheinlich die meisten gähnen werden aber ich will ja auch nicht dumm sterben
Spricht was dagegen alle Server in einer Netzwerkinfrastruktur in die DMZ zu packen oder sollte man gerade das auch tun (evtl. nur die Server die mit dem Internet kommunizieren wie z.B. Exchange)? Was sind Best-Practices?
Sollte man den Servern in der DMZ, IP-Adressen aus einem anderen Netzt geben als die IP-Adressen der Clients? (Um dadurch zusätzlichen Schutz der Server vor den Clients zu erzielen, was aber wiederum quatsch ist, weil die DMZ in einem eigenen VLAN kommen sollte und ansonsten der Client ja nur seine IP-Adresse ändern müsste um Zugriff auf die Server in der DMZ zu bekommen)
Ich hoffe ich bekomme nicht einen auf den Deckel, dass ich googeln soll oder im Forum suchen soll. Das habe ich nämlich schon getan und keine genaue Antwort auf meine Fragen gefunden.
Danke schon mal für die Antworten.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 155879
Url: https://administrator.de/contentid/155879
Ausgedruckt am: 05.11.2024 um 20:11 Uhr
3 Kommentare
Neuester Kommentar
Hallo,
In die DMZ gehören nur die Server, die Verbindung ins lokale Netz und (!) ins Internet benötigen!
Alles andere wurde die Server die nur lokal benötigt werden nur unnötig gefährden!
Eine Trennung in verschiedene IP Bereiche ist sinnvoll um eine Struktur und Dokumentation zu vereinfachen.
Natürlich muss dir klar sein das du zwischen den Netzen im Zweifelsfall Routen musst.
Brammer
In die DMZ gehören nur die Server, die Verbindung ins lokale Netz und (!) ins Internet benötigen!
Alles andere wurde die Server die nur lokal benötigt werden nur unnötig gefährden!
Eine Trennung in verschiedene IP Bereiche ist sinnvoll um eine Struktur und Dokumentation zu vereinfachen.
Natürlich muss dir klar sein das du zwischen den Netzen im Zweifelsfall Routen musst.
Brammer
Hallo Du
In die DMZ gehören solche Dienste
Webserver.
e-mail Spam und Antivirus Filter z.B.: Edge-Transport bei Exchange 2010
Ftp Server
Voip-Gateway
Solche Sachen wie ein Exchange gehören nicht dazu.
Ebenso alle Sachen die Wichtig sind und nicht gehackt werden sollten.
Und Ja eine Richtige DMZ hat eine Private Adresse, Ausser man hat genug externe IP Adressen.
gruass affabanana
In die DMZ gehören solche Dienste
Webserver.
e-mail Spam und Antivirus Filter z.B.: Edge-Transport bei Exchange 2010
Ftp Server
Voip-Gateway
Solche Sachen wie ein Exchange gehören nicht dazu.
Ebenso alle Sachen die Wichtig sind und nicht gehackt werden sollten.
Und Ja eine Richtige DMZ hat eine Private Adresse, Ausser man hat genug externe IP Adressen.
gruass affabanana
Eine Trennung in verschiedene IP Bereiche ist sinnvoll um eine Struktur und Dokumentation zu vereinfachen.
Eine Trennung ist nicht sinnvoll, sie ist ein muss. Ansonsten wäre es keine DMZ sondern Exposed Hosts und damit wäre das ganze wieder eine unsichere sinnlose Angelegenheit.Private oder öffentliche IP-Adressen hängt davon ab, was man vom ISP/Carrier bekommt. Selbst wenn man genug öffentliche IP-Adressen bekommt, kann es nötig sein, intern private zu nutzen, weil man bei der Bestellung eine kleine Besonderheit, das sogenannte Koppelnetz, vergessen hat. Damit ist dann ein 1:1-NAT nötig, welches ebenfalls intern private IP-Adressen benötigt.
