Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Servus, ich habe eine Frage.

Und zwar, ist es vorteilhaft für jede DMZ (z.B. /30 Subnetze) ein eigenes Vlan zu errichten, oder macht das mehr oder weniger keinen Unterschied einfach nur ein Vlan "DMZ" einzurichten und darüber alle DMZ Subnetze laufen zu lassen?

Gibt es dadurch einen massiven Security boost oder ist das eher über ambitioniert? 

 

LG

Geschrieben
vor 9 Stunden schrieb Maniska:

Ähm, wie willst du Subnetze ohne zugehörige VLANs einrichten?

Soweit ich verstanden habe könnte ein Vlan mehrerer Subnetze beherbergen? 

Oder bin ich auf einen ganz falschen Dampfer? 

Gast Interrupt
Geschrieben (bearbeitet)
vor einer Stunde schrieb Anonyme Ente:

Soweit ich verstanden habe könnte ein Vlan mehrerer Subnetze beherbergen? 

Ja und Nein. Innerhalb einer Broadcast Domäne könntest du natürlich verschiedene Subnetze haben aber das macht in der Praxis kaum Sinn. Ein Vlan soll ja schließlich den Zugriff zwischen den verschiedenen Subnetzen isolieren.

Angenommen du hast folgende Netze:

  • 192.168.178.0 /24 (Mitarbeiter)
  • 172.30.0.0 /24 (Geschäftsführung)

Ohne Vlan könnte nun ein Mitarbeiter auf den Gedanken kommen, einfach bei seinem Rechner die IP-Adresse auf eine IP-Adresse im Netz der Geschäftsführung zu ändern und könnte dann mit den Systemen von der Geschäftsführung kommunizieren (vorausgesetzt natürlich die hängen am selben Switch ohne Router / Firewall dazwischen). 

Das ist natürlich unschön und möchte man verhindern. Mit Vlans werden separate Broadcast Domänen erzeugt, womit man die einzelnen Subnetze voneinander isolieren kann.

Bearbeitet von Interrupt
Geschrieben
Am 27.6.2022 um 18:57 schrieb Interrupt:

[...]Ohne Vlan könnte nun ein Mitarbeiter auf den Gedanken kommen, einfach bei seinem Rechner die IP-Adresse auf eine IP-Adresse im Netz der Geschäftsführung zu ändern und könnte dann mit den Systemen von der Geschäftsführung kommunizieren[...]

Bei /30er Netzen zwar nur schwer möglich, aber es macht auch keinen Sinn, mehrere Netze in ein vlan zu packen. Das bringt nur Probleme mit sich und lässt es unübersichtlich wirken. Wobei ich mich frage, ob das alles so Mini Netze (quasi nur 1 Server) sind, oder ob das nur ein Beispiel war.

Standard nimmt man pro Netz ein vlan und lässt es dann entweder auf einem L3-Switch / Router oder auf einer Firewall terminieren - je nach Konzept. Es gibt zonenbasierte Konzepte, es gibt auf IP Adresse basierte und es gibt interface basierte Konzepte., sowie Mischkonzepte für Firewalls. So könnte z.B. alles innerhalb einer Zone auf dem Switch geroutet werden, da auf der Firewall jeglicher Traffic zwischen ihnen erlaubt ist.

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...