gelöst MDM-Lösung als VM auf HyperV-Host

Mitglied: NixVerstehen

NixVerstehen (Level 2) - Jetzt verbinden

19.11.2020 um 16:20 Uhr, 415 Aufrufe, 13 Kommentare

Hallo zusammen,

ich bräuchte mal wieder fachlichen Rat. Aktuell teste ich diverse MDM-Lösungen für unsere ca. 30 unternehmenseigenen Smartphones (alle Samsung), da von Vodafone deren VSDM (Airwatch mit Vodafone-branding) abgekündigt wurde.

Ich hab schon verschiedene Anbieter durch und zwei sind in der engeren Wahl. Nun würde ich gerne noch Apptec360 testen. Der Anbieter stellt hierzu eine Vorlage für VMWare (ova-format) und für Microsoft HyperV eine vhdx-Datei zur Verfügung.

Mein Gedanke war, auf meinem HyperV-Host diese Testmaschine zu installieren. Der Host läuft in meiner Domäne und auf dem Host laufen zwei Server 2019 VMs als Member-Server (kein DC). Mein DC läuft auf Blech auf einer separaten Maschine.

Die MDM-Testmaschine soll ja eine öffentliche IP erhalten. Meine öffentlichen IPs, die ich vom Provider erhalten habe, liegen in einer DMZ und die FW-Regeln passen soweit, also aus dem LAN streng begrenzter Zugriff auf die DMZ, aber aus der DMZ keinerlei Zugriff ins LAN.

Der MDM-Testmaschine wollte ich einen separaten vSwitch erstellen und daran eine separate NIC des Hosts binden, die weder vom Host noch von anderen VMs benutzt wird. Ist das dann ausreichend sicher oder sollte man das nicht tun? Hier fehlt mir etwas die Erfahrung bzw. das KnowHow. Ich möchte mir auf keinen Fall sicherheitstechnische Löcher aufreißen.

Vorab vielen Dank
Gruß NV
Mitglied: theoberlin
19.11.2020 um 17:14 Uhr
Hallo,

das kannst du grundsätzlich so machen. Alternativ kannst du es über ein VLAN lösen was du in den HyperV Einstellungen in der MDM VM angibst.
Das würde ich der Lösung mit einem separaten NIC vorziehen.

LG
Theo
Bitte warten ..
Mitglied: farddwalling
19.11.2020 um 19:56 Uhr
Öh warum willst du die VM denn direkt an eine öffentliche IP hängen? Wir haben da lieber noch die Firewall zwischen und geben nur die paar Ports frei, die das MDM benötigt. Apptec kam mir im Test damals etwas altbacken rüber.
Da wir für die Softwareverwaltung auch noch was gesucht haben, haben wir das mit DesktopCentral von ManageEngine kombiniert.
Ist auch für 25 Geräte kostenlos und geht natürlich auch nur das reine MDM. Basiert aber auf Windows und passt daher einfach besser bei uns rein.
Bitte warten ..
Mitglied: theoberlin
19.11.2020 um 20:00 Uhr
Ähm ich hoffe jetzt einfach mal bzw. habe vorrausgesetzt, dass da ne NAT Firewall dazwischenhängt?

@TO?

Sonst geht die VLAN Geschichte natürlich nicht aber das würde ich tunlichst vermeiden.
Bitte warten ..
Mitglied: NixVerstehen
20.11.2020 um 07:08 Uhr
Guten Morgen,

vielen Dank für die Tipps.

@farddwalling: Ich dachte das macht man so? Ich habe vom Provider feste IP's erhalten, die ich in eine DMZ gepackt habe. Aus dem Internet in die DMZ hab ich an Ports auf der FW nur freigegeben, was die MDM Lösung braucht. Aus der DMZ ins LAN ist alles zu und aus dem LAN in die DMZ ist nur 443 offen, um die MDM-Lösung zu verwalten.

Das Netz mit den öffentlichen IPs greife ich direkt am Router auf einer separaten Schnittstelle ab, die nur von diesem Netz genutzt wird und daran hängt ein separater Switch. Von diesem Switch wollte ich auf den HyperV-Host und der MDM-Testmaschine eine eigene NIC geben, die weder vom Host noch den anderen VMs genutzt wird.

DesktopCentral von ManageEngine schaue ich mir mal an.

@theoberlin: Firewall ja, wie oben beschrieben.

Mir ging es darum, ob im Worstcase ein Angreifer aus der MDM-VM ausbrechen und ggf. auf dem HyperV-Host oder ins LAN eindringen kann.
Oder kann man sich darauf verlassen, das die MDM-VM völlig isoliert läuft, wenn diese keine vSwitches oder NICs des Hosts oder der anderen VMs nutzt?

Gruß Arno
Bitte warten ..
Mitglied: theoberlin
20.11.2020 um 07:44 Uhr
Irgendwie steige ich bei deinem Firewallkonstrukt noch nicht durch.

Arbeitest du mit den öffentlichen IP‘s in der DMZ oder hast du ein NAT dazwischen und hast 10./172./192. als interne Adressen?

Wenn das Netzwerk Konstrukt in Ordnung ist, kann ein Angreifer grundsätzlich erstmal nicht aus einer VM ausbrechen außer mit sehr viel Aufwand. Bspw. Über den RAM bei CPU Fehlern aber das ist extrem theoretisch und betrifft dich nur wenn jemand viel Geld in die Hand nimmt und speziell dich ärgern will und nach Schwachstellen sucht.
Bitte warten ..
Mitglied: NixVerstehen
20.11.2020 um 08:27 Uhr
Moin Theo,

hier mal ein Beispiel-Bild. Die IP-Adresse stimmen aber nicht. Bin kein gelernter ITler, deshalb meine laienhafte Erklärung.

dmz - Klicke auf das Bild, um es zu vergrößern

Als Router setze ich einen Lancom 1781VA (Router mit FW) ein. Internet liegt an ETH1 (=LAN1) an, DMZ an ETH2(=LAN2), und das LAN an ETH3 (=LAN3). Jeglicher Verkehr zwischen Internet, DMZ und LAN muss am Router durch die FW mit den entsprechenden beschränkenden Regeln.
Das habe ich auch mit einer physischen Testmaschine in der DMZ geprüft und die FW-Rules passen.

Ich wollte das nun so machen, wie im nachfolgenden Bild skizziert. Da nun am HyperV auf getrennten NICs einmal die DMZ und einmal das LAN per Kabel anliegen, darf nichts die gelbe Linie "überschreiten", sprich es dürfen keine Daten zwischen MDM-VM und dem HyperV-Host bzw. den anderen VMs durchkommen.

dmz-hyperv - Klicke auf das Bild, um es zu vergrößern

Ich hoffe, ich hab es jetzt besser erklärt.

Gruß NV
Bitte warten ..
Mitglied: theoberlin
LÖSUNG 20.11.2020 um 08:51 Uhr
hmmm also die öffentliche IP würde ich nicht in der DMZ benutzen.

Gibt es einen Grund, warum du hier nicht auch NAT benutzt um der DMZ bspw. 192.168.20.0/24 zu geben?

Um nochmal auf meinen VLAN Vorschlag zurückzukommen: Du könntest im LANCOM dann ein VLAN Interface auf dem DMZ Port anlegen. Dann hast du:

192.168.10.0/24 LAN
192.168.20.0/24 DMZ
192.168.30.0/24 MDM VLAN

Dann definierst du in den EInstellungen des Hypervisors in der MDM VM, dass das VLAN 30 durchgereicht werden soll. Damit hast du dann einen sauberen "Tunnel" zu deiner MDM.

Was deine "gelbe Linie" angeht. Wie gesagt, die VM wird nicht dein Risiko sein. Sonst hätten die ganzen Anbieter von Cloudservern nen ziemliches Problem. Das sind ja auch nur VMs auf großen hypervisoren.

Theo
Bitte warten ..
Mitglied: NixVerstehen
20.11.2020 um 10:09 Uhr
Hi Theo,

vielen Dank für deine Mühe. Die Lösung klingt sehr interessant. Die öffentliche IP hatte ich genommen, weil beim Provider der
DNS-Eintrag "mdm.firma.de" auf die öffentliche IP zeigt. Machte für mich Sinn. Wie gesagt, bin kein gelernter ITler und manche Sachen muss ich mir einfach aneignen. Aber lieber frage ich nach, bevor ich sicherheitstechnisch aus Unwissenheit Fehler mache.

Also lege ich für die DMZ ein privates Netz an, packe dieses Netz in ein eigenes VLAN, mappe mit N:N-Mapping die öffentlichen IP's auf die erforderlichen privaten IPs in diesem Netz. Dann könnte ich auf dem HyperV-Host einen separaten vSwitch erstellen, der nur in diesem VLAN steht.
Somit könnte ich ggf. auch mehrere VMs betreiben, die über öffentliche IPs erreichbar sind.

Ich hoffe, ich hab es richtig verstanden?

nn-mapping - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: theoberlin
LÖSUNG 20.11.2020, aktualisiert um 10:28 Uhr
Das mit dem DNS Eintrag ist auch völlig korrekt so. Private IP's sind ja aus gutem Grund extern gar nicht routbar.

Die externe "endet" quasi an deinem Router und wird intern auf eine andere übersetzt. Allerdings ist 1:1 NAT auch nicht unbedingt das richtige. Was du bräuchtest ist Port Forwarding. Wundert mich, dass ich das auf deinem Screenshot nicht sehe.

Dort legst du quasi für jeden benötigten Port fest "Kommt von öffentlicher IP X an Port X" und wird umgesetzt auf "Private IP Port X". Das kann der LANCOM garantiert. Jede Fritzbox kriegt das hin.

1:1 Nat kann man auch machen. Bildet aber wieder die gesamte IP ab und keine einzelnen Ports.

EDIT
das ist beim Lancom unter Maskierung - Port Forwarding Tabelle....

Wegen VLAN lies dir mal ein paar Tutorials durch. Paar Keywords: VLAN Tagged auf DMZ port. Ich weiß nicht wie LANCOM das löst.

Und keinen separaten vSwitch erstellen. Du nimmst den ganz normalen. Der "Empängt" ja quasi dein separates tagged VLAN zusammen mti dem normalen DMZ Traffic. In der VM weist du das VLAN dann zu. Dann erhält nur diese VM den Traffic des VLANs.
Bitte warten ..
Mitglied: NixVerstehen
20.11.2020 um 10:35 Uhr
Ah...du hattest Portforwarding im Sinn. Klar, findest du in Lanconfig hier:

portforward - Klicke auf das Bild, um es zu vergrößern

Aber bei einem 29er-Netz hab ich ja eh nur 8 Adressen. Netz, Gateway und Broadcast weg bleiben noch 5. Das kann ich doch auch mit
1:1 NAT abkaspern, oder? Je öffentliche Adresse eine private Adresse. Dann brauche ich vermutlich kein Portforwarding, weil alles einfach per NAT gemappt wird. Und was nicht durch darf, blockt die FW.
Bitte warten ..
Mitglied: theoberlin
LÖSUNG 20.11.2020, aktualisiert um 10:46 Uhr
Ja kannst du im Prinzip auch mit 1:1 NAT machen. Ich löse es immer über Port Forwarding, weil ich meistens verschiedene Ports bzw. Protokolle zu unterschiedlichen Servern leite. Und es werden nicht pauschal alle nur durch die Firewall aufgehalten.
Bitte warten ..
Mitglied: NixVerstehen
20.11.2020 um 11:04 Uhr
@theoberlin: Vielen Dank für deine Unterstützung. ich hab ja nun 2 Möglichkeiten, wie man es lösen kann. Wichtig war mir nur,
das von der MDM-VM auf den HyperV-Host die Wahrscheinlichkeit eines "Ausbruchs" aus der MDM-VM sehr gering bis nicht gegeben ist.
Bitte warten ..
Mitglied: theoberlin
20.11.2020, aktualisiert um 11:14 Uhr
Genau...Viel Erfolg.
Bitte warten ..
Heiß diskutierte Inhalte
Peripheriegeräte
Suchen Outdoor Wandler von LWL auf Cat 7 Kabel
pavelruFragePeripheriegeräte13 Kommentare

Hallo Zusammen, wir suchen einen Outdoor Konverter welcher von einem kommenden LWL Kabel auf CAT 7 Lan Kabel weiter ...

Netzwerkgrundlagen
Verständnisfrage zu Switchen in einem Netzwerk
kaloschkeFrageNetzwerkgrundlagen13 Kommentare

Hallo, nur interessehalber: Ich habe in meinem Heimnetzwerk einen Smarthomecontroller (Innogy) an einem Switch und einen Raspberry Pi mit ...

Festplatten, SSD, Raid
Synology NAS SHR auflösen
chkdskFrageFestplatten, SSD, Raid12 Kommentare

Mahlzeit zusammen, ich hab schon ein bisschen recherchiert, allerdings keine "aktuelle" Information gefunden. Kurz zu meinem Problem: Ich habe ...

Benchmarks
M.2 SSD und RAM zu langsam
MarkowitschFrageBenchmarks11 Kommentare

Hallo zusammen, ich habe mir folgenden PC zusammengestellt : MB: ASUS - ROG Strix Z490-E Gaming Mainboard (90MB12P0-M0EAY0) CPU: ...

Batch & Shell
Script zum festellen welche datein noch ganz sind
ricardobohnerFrageBatch & Shell10 Kommentare

Hallo Leute, Ich hab da ne frage: Kann man per script feststellen ob eine Datein noch 100% ist? Zum ...

Batch & Shell
Prozess beenden welcher eine bestimmte Datei verwendet
gelöst Ralus67FrageBatch & Shell10 Kommentare

Hallo Community Ich bin auf der Suche nach einer Lösung um einen bestimmten Prozess zu löschen, welcher von einer ...

Ähnliche Inhalte
Windows Server
Netzwerkfehler bei HyperV - Host
gelöst ScrisesFrageWindows Server9 Kommentare

Hallo Admins, ich habe folgendes Problem, welches mir so langsam graue Haare bereitet. Folgendes Szenario: Vorher: Hostserver: ESXi 5.1 ...

Windows Server
HyperV Host CPU Kaufempfehlung
gelöst adrian138FrageWindows Server4 Kommentare

Hallo zusammen, Ich habe ein Projekt mit 4 VM's (alle Win2012r2) - 1 DC - 1 Fileserver - 1 ...

Hyper-V
HyperV 2008 VM Umzug auf HyperV 2016
gelöst iceboxyzFrageHyper-V1 Kommentar

Hallo zusammen, ich darf bei einem Kunden den Hyper V migrieren, bzw die VMs darauf. von Hyper-V 2008 auf ...

Windows Server

HyperV VM - WireShark - "vHub" Mode?

gelöst RolfTH2019FrageWindows Server7 Kommentare

Hallo, hat jemand von euch bitte einen Tip, wie folgendes realisiert werden kann: Cisco Switch mirror Port phys. NIC ...

Vmware

VM Ware Host Hardware

novregenFrageVmware4 Kommentare

Hallo, ich würde auf einem VM Ware Host 6.x gerne 3 Maschinen laufen lassen, die Bestandteil einer Monitoringsoftware sind ...

Windows Server

Anzahl VMs auf einem HyperV-Host

gelöst DaemmerungFrageWindows Server3 Kommentare

Hallo zusammen, ich möchte gerne wissen, wieviele VMs ich auf einen HyperV-Host erstellen kann. Gefunden habe ich diverse Einschränkungen ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud