Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Servus, ich habe eine Frage.

Und zwar, ist es vorteilhaft für jede DMZ (z.B. /30 Subnetze) ein eigenes Vlan zu errichten, oder macht das mehr oder weniger keinen Unterschied einfach nur ein Vlan "DMZ" einzurichten und darüber alle DMZ Subnetze laufen zu lassen?

Gibt es dadurch einen massiven Security boost oder ist das eher über ambitioniert? 

 

LG

Geschrieben
vor 9 Stunden schrieb Maniska:

Ähm, wie willst du Subnetze ohne zugehörige VLANs einrichten?

Soweit ich verstanden habe könnte ein Vlan mehrerer Subnetze beherbergen? 

Oder bin ich auf einen ganz falschen Dampfer? 

Gast Interrupt
Geschrieben (bearbeitet)
vor einer Stunde schrieb Anonyme Ente:

Soweit ich verstanden habe könnte ein Vlan mehrerer Subnetze beherbergen? 

Ja und Nein. Innerhalb einer Broadcast Domäne könntest du natürlich verschiedene Subnetze haben aber das macht in der Praxis kaum Sinn. Ein Vlan soll ja schließlich den Zugriff zwischen den verschiedenen Subnetzen isolieren.

Angenommen du hast folgende Netze:

  • 192.168.178.0 /24 (Mitarbeiter)
  • 172.30.0.0 /24 (Geschäftsführung)

Ohne Vlan könnte nun ein Mitarbeiter auf den Gedanken kommen, einfach bei seinem Rechner die IP-Adresse auf eine IP-Adresse im Netz der Geschäftsführung zu ändern und könnte dann mit den Systemen von der Geschäftsführung kommunizieren (vorausgesetzt natürlich die hängen am selben Switch ohne Router / Firewall dazwischen). 

Das ist natürlich unschön und möchte man verhindern. Mit Vlans werden separate Broadcast Domänen erzeugt, womit man die einzelnen Subnetze voneinander isolieren kann.

Bearbeitet von Interrupt
Geschrieben
Am 27.6.2022 um 18:57 schrieb Interrupt:

[...]Ohne Vlan könnte nun ein Mitarbeiter auf den Gedanken kommen, einfach bei seinem Rechner die IP-Adresse auf eine IP-Adresse im Netz der Geschäftsführung zu ändern und könnte dann mit den Systemen von der Geschäftsführung kommunizieren[...]

Bei /30er Netzen zwar nur schwer möglich, aber es macht auch keinen Sinn, mehrere Netze in ein vlan zu packen. Das bringt nur Probleme mit sich und lässt es unübersichtlich wirken. Wobei ich mich frage, ob das alles so Mini Netze (quasi nur 1 Server) sind, oder ob das nur ein Beispiel war.

Standard nimmt man pro Netz ein vlan und lässt es dann entweder auf einem L3-Switch / Router oder auf einer Firewall terminieren - je nach Konzept. Es gibt zonenbasierte Konzepte, es gibt auf IP Adresse basierte und es gibt interface basierte Konzepte., sowie Mischkonzepte für Firewalls. So könnte z.B. alles innerhalb einer Zone auf dem Switch geroutet werden, da auf der Firewall jeglicher Traffic zwischen ihnen erlaubt ist.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...