Guten Morgen zusammen,

Wir setzen in naher Zukunft eine DMZ auf, die wir auf zwei verschiedene Wege realisieren können:

a) wir kaufen für sehr viel Geld eigene DMZ-Switche und benutzen für die DMZ eine eigene Verkabelung
b) wir machen ein VLAN und nutzen unsere bisherige Infrastruktur

Das eine ist sehr teuer und nur schwer der Geschäftsführung zu verkaufen und das andere ist zwar billiger, aber der Gedanke, dass öffentliche Datenpakete durch unser internes Netz fließen gefällt mir nicht so gut.

Es hängt alles an folgender Frage: Wie sicher sind VLANs? Kann man sie knacken? Sind die Switche in der Firma der Knackpunkt? Oder ist es relativ sicher (nichts ist absolut sicher) und wir sollten VLANs einsetzen?

In die DMZ soll ein FTP-Server und eine Fernwartung für eine Maschine (die hat ihre eigene Firewall).

Für Antworten auf meine Fragen wäre ich sehr dankbar!

Wenn die Switche richtig konfiguriert sind (nur die notwendigen VLANs auf den jeweiligen Trunk-Ports) sollte da nichts passieren.
Wenn man es jedoch schafft, irgend einen Fehler in der Firmware auszunutzen, könnte man theoretisch ins interne netz kommen.
Ich würde mal sagen, so lange der Switch fehlerfrei arbeitet, ist das ganze unkritisch.

Ich hatte letzte Woche ein Problem auf einem Switch, der hat dann die Pakete ins falsche VLAN geschickt, deshalb kommen die DMZs auf einen eigenen Switch.

So teuer ist die DMZ, die du bauen willst doch garnicht :confused:

Als Switch reichen 8-Ports und 100MBit.
Wenn große Datenmengen auf den FTP-Server gehen mtw. auch GBit.
An Verkabelung kommt eigentlich garnichts dazu.

Gruß

Ich rede hier von Firmenhardware, die von unserem Partner geplante DMZ würde uns 10.000 EUR kosten ;-) Wir haben 2 Rechenzentren... hier gehts also nur um die Frage, wie sicher VLAN ist, nicht wie teuer oder günstig eine DMZ im Hochverfügbarkeitsmodus ist.

Der Hintergrund ist der, dass unser Partner zuerst eine Lösung mit VLAN geplant hat und plötzlich am Ende damit ankam, dass wir für 10.000 EUR mehr richtige DMZ-Switche im HA-Modus bekommen könnten. Für die Geschäftsführung sind das natürlich unerwünschte nicht geplante Zusatzkosten.

Anhand der vorliegenden sparsamen Informationen kann man sich die 10.000€ sparen, die bringen keinen echten Sicherheitsgewinn.
Das "interne" Netz hat nun ganz offensichtlich auch einen uplink ins Internet, sonst würde man ja auch nicht am selben switch hängen, die Firewall hängt dann hinter diesem - sonst macht das Design nicht so recht Sinn. Aber es klingt alles etwas unausgegoren.
Wird die Firmware des switches geknackt, bleibt das "interne" Netz trotzdem gesichert aber quasi ohne Verbindung nach aussen, kann auch passieren, wenn man 2 Switches einsetzt, statt den Vlans. Der switch müsste für einen Hack auch aus dem Netz erreichbar sein, üblich ist das aber keinesfalls. Meistens hat man einen Managmentrechner und kann nur darüber eine Verbindung zum Switch in einem privaten Netz herstellen.

Was theoretisch möglich wäre, daß man die öffentlich erreichbaren Server in dem einen vlan hacked und dann via arp-spoofing, -poisoning, -manipulation usw. ins andere Vlan eindringt. Ist aber auch nicht wirklich praktikabel, da der Angreifer auch seine eigene Konnektivität gefährdet und das ganze ggf. mit auffälligen Massnahmen absichern müsste. Der Angriff funktioniert am Ende nichtmal und ausserdem muss nach dem Vlan auch noch die dahinterliegende Firewall überwunden werden.

Das ganze ist sogar noch viel komplizierter ;) Die Firewall läuft ja auch im HA-Modus, es sind also zwei parallel, die sich untereinander die DMZ teilen, in der mehrere Geräte stehen können. Ein Gerät steht aber mitten in der Firma und bis dahin teilt sich die DMZ genau 2 Switche und ein Glasfaserkabel mit dem internen Netz, mehr nicht. Aber ist jetzt auch egal, weil das alles zu komplex ist und ich gerade etwas schreibfaul bin ;) Wenn ich Glück habe, hat der der Zugang zur Maschine braucht eine feste IP, dann brauche ich nur ihn in die DMZ zu lassen...

Die größte Gefahr geht wohl von einer Fehlkonfig aus. Es könnte jemand "versehentlich" Routing zwischen den falschen VLANs anschalten oder die Zuordnung der Ports zu den VLANs ändern.

Selbst für zwei gute Ciscos sind 10 kEUR eine Menge Geld. Der Aufwand für Planung, Implementierung und Doku ist ja bei beiden Lösungen sehr ähnlich.

Mirko

Zur Sicherheit: http://www.cisco.com/en/US/products/hw/switches/ps708/products_white_paper09186a008013159f.shtml

Zur Konfiguration: Jemanden machen lassen, der weiß was er tut. Gerade bei VLANs kann man einiges falsch konfigurieren.

Aus den vorliegenden Informationen schätze ich, daß 10.000€ für zusätzliche DMZ Switche viel zu viel sind, zumal ja wohl nur zwei Rechner da drin stehen. Oder sind da auch noch Kosten für Patchfelder, Schränke, Verkabelung etc. enthalten?

Vlans sind aus meiner persönlichen Erfahrungen sicher genug, um damit auch auf einem Switch eine DMZ aufzubauen. Man muß auf einem Switch schon ziemlich viel falsch konfigurieren, um die trennende Firewall zu umgehen. Wer z.B. generell kein Multihoming ( mehr als eine Netzwerkkarte im Rechner ) nutzt ( was meiner Meinung in 99,9% der Fälle sowieso ein Fehldesign ist ), ist eigentlich auf der sicheren Seite.

Falls ihr das nicht sowieso schon macht, würde ich mir bei hohen Ansprüchen mal Gedanken über Change Management und regelmäßige externe Penetrationstest machen. Die bringen unterm Strich deutlich mehr Sicherheit als zwei zusätzliche DMZ Switche.