the only Linux forum

Posts 1-10 of 21

Back
Next

Christian Klein Group moderator
The company name is only visible to registered members.

geht das mit Virtualisierung?
Hallo liebe Linux-Spezialisten,

ich habe folgendes Problem und wüsste gerne, ob dies mit Virtualisierung zu lösen ist:

https://www.xing.com/app/forum?op=showarticles;id=14756852;a...

Danke für Tipps, Links und Meinungen

mfg
Christian Klein
- 24 Oct 2008, 11:33 am
Christian Klein wrote: > Hallo liebe Linux-Spezialisten, > > ich habe folgendes Problem und wüsste gerne, ob dies mit > Virtualisierung zu lösen ist: > > https://www.xing.com/app/forum?op=showarticles;id=14756852;articleid=14756852 > > Danke für Tipps, Links und Meinungen > > mfg > Christian Klein
Post visible to registered members
Holger Gläß Premium Member
The company name is only visible to registered members.

Re^2: geht das mit Virtualisierung?
hi

das sollte sich so durchaus mit z.b .xen umsetzen lassen.
vorraussetzung sind natuerlich genug netzwerk interfaces, genug arbeitsspeicher und cpuleistung fuer den zentralen rechner.

um diesen abzusichern sollte das interface worueber dieser gewartet bzw administriert wird
a: seperat sein ( eigenes )
b: im lan "leben"

die interaces die von den jeweiligen guests benutzt werden sollten per bridge'ing einfach
an die guests druchgereicht werden.

ergo brauch das system 4-6 schnitsttellen.

wan->dmz firewall
dmz
lan
soewie den management anschluss.( dieses endet dann im lan )

mfg

holger glaess
This post was modified on 24 Oct 2008 at 02:12 pm.
- 24 Oct 2008, 2:11 pm
Holger Gläß wrote: > hi > > das sollte sich so durchaus mit z.b .xen umsetzen lassen. > vorraussetzung sind natuerlich genug netzwerk interfaces, genug > arbeitsspeicher und cpuleistung fuer den zentralen rechner. > > um diesen abzusichern sollte das interface worueber dieser gewartet > bzw administriert wird > a: seperat sein ( eigenes ) > b: im lan "leben" > > die interaces die von den jeweiligen guests benutzt werden sollten > per bridge'ing einfach > an die guests druchgereicht werden. > > ergo brauch das system 4-6 schnitsttellen. > > wan->dmz firewall > dmz > lan > soewie den management anschluss.( dieses endet dann im lan ) > > > mfg > > holger glaess
Christian Klein Group moderator
The company name is only visible to registered members.

Re^3: geht das mit Virtualisierung?
Ups, ich dachte an zwei Netzwerkkarten, a) in der DMZ - für den virtuellen Server 1 (sollte für den realen Server nach Möglichkeit gesperrt sein) und b) im LAN - für den virtuellen Server 2 - hierüber wird auch der Hardwareserver erreicht.

ergo brauch das system 4-6 schnitsttellen.

wan->dmz firewall dmz
lan
soewie den management anschluss.( dieses endet dann im lan )
Die Abschottung sollten die einzelnen Router übernehmen
oder drücke ich mich missverständlich aus?

mfg
Christian Klein
- 24 Oct 2008, 3:38 pm
Christian Klein wrote: > Ups, ich dachte an zwei Netzwerkkarten, a) in der DMZ - für den > virtuellen Server 1 (sollte für den realen Server nach Möglichkeit > gesperrt sein) und b) im LAN - für den virtuellen Server 2 - hierüber > wird auch der Hardwareserver erreicht. > > > > > > ergo brauch das system 4-6 schnitsttellen. > > > > wan->dmz firewall dmz > > lan > > soewie den management anschluss.( dieses endet dann im lan ) > > Die Abschottung sollten die einzelnen Router übernehmen > oder drücke ich mich missverständlich aus? > > mfg > Christian Klein
Holger Gläß Premium Member
The company name is only visible to registered members.

Re^4: geht das mit Virtualisierung?
moin

ok wenn 2 router dazwischen sind sollten 2 interfaces reichen,
*virtueller server 1 dmz
*virtueller server 2 lan

jedoch wuerde ich trotzdem das management interface seperat
ausfuehren und dies ins lan fuehren.

somit 3 interfaces.

mfg
holger glaess
- 25 Oct 2008, 10:19 am
Holger Gläß wrote: > moin > > ok wenn 2 router dazwischen sind sollten 2 interfaces reichen, > *virtueller server 1 dmz > *virtueller server 2 lan > > jedoch wuerde ich trotzdem das management interface seperat > ausfuehren und dies ins lan fuehren. > > somit 3 interfaces. > > mfg > holger glaess
Johannes Hubertz Premium Member Group moderator
The company name is only visible to registered members.

Re^5: geht das mit Virtualisierung?
Hallo zusammen,

Holger Gläß schrieb:

jedoch wuerde ich trotzdem das management interface seperat ausfuehren und dies ins lan fuehren.

somit 3 interfaces.
Ein solches Mgmt-If macht nur dann wirklich Sinn, wenn es physikalisch separiert auf einem _anderen_ LAN betrieben wird. Layer 2 bietet ebenso schöne Angriffszenarien wie Layer 3, alledings sind diese auf ein physikalisches LAN beschränkt. Exakt deshalb nimmt man für die Administation von Rechnern ein separiertes LAN. Das sollte sich denn aber auch in Konfiguration des Rechners wiederspiegeln, z.B. ssh nur auf dieser mgmt-IP lauschen, und so fort.

Virtualisierung ist stets gut, um Kosten zu sparen, sie kostet allerdings immer auch Sicherheit. Spätestens bei Verfügbarkeitsaspekten ist man mit vielen Funktionen auf einer Hardware schlechter bedient. Pro Funktion eine eigene Harware und die Ausfallwahrscheinlichkeit bzgl. der gesammten Funktionalität sieht besser aus. Hardware kostet doch fast nichts mehr. Allerdings muß sie auch unter Kostengesichtspunkten angemessen ausgewählt werden. Ein einfacher Router braucht keine 4 Gb RAM und mehrere 3 Ghz Multicore-CPUs. Augenmaß ist gefragt.

Frohes Schaffen
Johannes
PS: Frühjahrsfachgespräch der GUUG: Call for Papers ist online zu finden unter http://www.guug.de/veranstaltungen/ffg2009/cfp.html
- 25 Oct 2008, 10:44 am
Johannes Hubertz wrote: > Hallo zusammen, > > Holger Gläß schrieb: > > > jedoch wuerde ich trotzdem das management interface seperat > > ausfuehren und dies ins lan fuehren. > > > > somit 3 interfaces. > > Ein solches Mgmt-If macht nur dann wirklich Sinn, wenn es > physikalisch separiert auf einem _anderen_ LAN betrieben wird. Layer > 2 bietet ebenso schöne Angriffszenarien wie Layer 3, alledings sind > diese auf ein physikalisches LAN beschränkt. Exakt deshalb nimmt man > für die Administation von Rechnern ein separiertes LAN. Das sollte > sich denn aber auch in Konfiguration des Rechners wiederspiegeln, > z.B. ssh nur auf dieser mgmt-IP lauschen, und so fort. > > Virtualisierung ist stets gut, um Kosten zu sparen, sie kostet > allerdings immer auch Sicherheit. Spätestens bei > Verfügbarkeitsaspekten ist man mit vielen Funktionen auf einer > Hardware schlechter bedient. Pro Funktion eine eigene Harware und die > Ausfallwahrscheinlichkeit bzgl. der gesammten Funktionalität sieht > besser aus. Hardware kostet doch fast nichts mehr. Allerdings muß sie > auch unter Kostengesichtspunkten angemessen ausgewählt werden. Ein > einfacher Router braucht keine 4 Gb RAM und mehrere 3 Ghz > Multicore-CPUs. Augenmaß ist gefragt. > > Frohes Schaffen > Johannes > PS: Frühjahrsfachgespräch der GUUG: Call for Papers ist online zu > finden unter http://www.guug.de/veranstaltungen/ffg2009/cfp.html
Herbert Fuchs
(not a XING member)

Re^6: geht das mit Virtualisierung?
Hallo Christian,

wovor willst Du Dich denn genau schützen (also welche Angriffsszenarien) ?
"DMZ" ist ja erstmal ein schönes Lehrbuchkonzept, aber nicht immer das richtige
für die Praxis ;-P

Mal überlegen ...

Die Fritzbox würd ich erstmal nur als "dummen" Router nehmen, evtl. noch ein
bissl IPSec (es sei denn Du lötest noch 'nen weiteren NIC an ;-)).

Virtuelle Maschinen sind ja dazu da, daß man alles schön einsperren kann. Wenn
Du zB. openvz nimmst, brauchst Du noch nichtmal unbedingt 'nen eigenen NIC -
iptables reicht vielleicht schon voll aus: die einzelnen VZ's bekommen ihre eigenen
IP-Addrs und die Filterregeln werden so gesetzt, daß nur das wirklich nötige
durchkommt. Den zweiten NIC würd ich dann fürs LAN nehmen.

Genaueres kann man aber erst sagen, wenn man Deine Topologie/Anforderungen
im Detail kenn ;-P

(kannst mich ja gern mal via skype anbimmeln: nekrad666)

cu
- 25 Oct 2008, 9:47 pm
Herbert Fuchs wrote: > Hallo Christian, > > wovor willst Du Dich denn genau schützen (also welche > Angriffsszenarien) ? > "DMZ" ist ja erstmal ein schönes Lehrbuchkonzept, aber nicht immer > das richtige > für die Praxis ;-P > > Mal überlegen ... > > Die Fritzbox würd ich erstmal nur als "dummen" Router nehmen, evtl. > noch ein > bissl IPSec (es sei denn Du lötest noch 'nen weiteren NIC an ;-)). > > Virtuelle Maschinen sind ja dazu da, daß man alles schön einsperren > kann. Wenn > Du zB. openvz nimmst, brauchst Du noch nichtmal unbedingt 'nen > eigenen NIC - > iptables reicht vielleicht schon voll aus: die einzelnen VZ's > bekommen ihre eigenen > IP-Addrs und die Filterregeln werden so gesetzt, daß nur das wirklich > nötige > durchkommt. Den zweiten NIC würd ich dann fürs LAN nehmen. > > Genaueres kann man aber erst sagen, wenn man Deine > Topologie/Anforderungen > im Detail kenn ;-P > > (kannst mich ja gern mal via skype anbimmeln: nekrad666) > > > cu
Christian Klein Group moderator
The company name is only visible to registered members.

Re^7: geht das mit Virtualisierung?
Herbert Fuchs schrieb:
Hallo Christian,

wovor willst Du Dich denn genau schützen (also welche Angriffsszenarien) ?
Ich möchte einen eigenen Web-Server, einen E-Mail-Server und einen File-Server betreiben. Dafür habe ich EINEN Pentium 4 als Hardwareserver, zwei Router, einen Switch und zur Zeit zwei Client-PC's 1x Dualboot, 1x Ubuntu-Linux.

Mal überlegen ...

Die Fritzbox würd ich erstmal nur als "dummen" Router nehmen, evtl. noch ein bissl IPSec (es sei denn Du lötest noch 'nen weiteren NIC an ;-)).
Löten gehört nicht zu meinen Stärken :-(

Virtuelle Maschinen sind ja dazu da, daß man alles schön einsperren kann. Wenn
Du zB. openvz nimmst, brauchst Du noch nichtmal unbedingt 'nen eigenen NIC - iptables reicht vielleicht schon voll aus: die einzelnen VZ's bekommen ihre eigenen
IP-Addrs und die Filterregeln werden so gesetzt, daß nur das wirklich nötige durchkommt. Den zweiten NIC würd ich dann fürs LAN nehmen.
PN ist unterwegs.

Freue mich auf Antwort

mfg
Christian Klein
- 27 Oct 2008, 09:46 am
Christian Klein wrote: > Herbert Fuchs schrieb: > > Hallo Christian, > > > > wovor willst Du Dich denn genau schützen (also welche > > Angriffsszenarien) ? > > Ich möchte einen eigenen Web-Server, einen E-Mail-Server und einen > File-Server betreiben. Dafür habe ich EINEN Pentium 4 als > Hardwareserver, zwei Router, einen Switch und zur Zeit zwei > Client-PC's 1x Dualboot, 1x Ubuntu-Linux. > > > Mal überlegen ... > > > > Die Fritzbox würd ich erstmal nur als "dummen" Router nehmen, evtl. > > noch ein bissl IPSec (es sei denn Du lötest noch 'nen weiteren NIC an > > ;-)). > > Löten gehört nicht zu meinen Stärken :-( > > > Virtuelle Maschinen sind ja dazu da, daß man alles schön einsperren > > kann. Wenn > > Du zB. openvz nimmst, brauchst Du noch nichtmal unbedingt 'nen > > eigenen NIC - iptables reicht vielleicht schon voll aus: die > > einzelnen VZ's bekommen ihre eigenen > > IP-Addrs und die Filterregeln werden so gesetzt, daß nur das wirklich > > nötige durchkommt. Den zweiten NIC würd ich dann fürs LAN nehmen. > > PN ist unterwegs. > > Freue mich auf Antwort > > mfg > Christian Klein
Maik Schöpe Premium Member
The company name is only visible to registered members.

Re^8: geht das mit Virtualisierung?
Hallo erstmal,

die Anfrage lässt auf eine kostengünstige Variante schließen die leicht zu administrieren ist.
daher empfehle ich: http://www.heise.de/ct/projekte/machmit/ctserver/wiki/WikiSt...
Der c't Debian Server ist für genau die Anforderung gemacht und durch sein Grundsystem Debian leicht erweiterbar.
Allerdings ist bei dieser Hardware immer mit Kompromissen zu rechnen.
This post was modified on 28 Oct 2008 at 01:14 pm.
- 27 Oct 2008, 11:29 am
Maik Schöpe wrote: > Hallo erstmal, > > die Anfrage lässt auf eine kostengünstige Variante schließen die > leicht zu administrieren ist. > daher empfehle ich: > http://www.heise.de/ct/projekte/machmit/ctserver/wiki/WikiStart2 > Der c't Debian Server ist für genau die Anforderung gemacht und durch > sein Grundsystem Debian leicht erweiterbar. > Allerdings ist bei dieser Hardware immer mit Kompromissen zu rechnen.
Christian Klein Group moderator
The company name is only visible to registered members.

Re^9: geht das mit Virtualisierung?
Maik Schöpe schrieb:

daher empfehle ich: http://www.heise.de/ct/projekte/machmit/ctserver/wiki/WikiSt...
Hallo Herr Schöpe,

als "Windows-Kind" bevorzuge ich graphische Oberflächen, daher nutze ich Ubuntu (was ja auf Debian beruht).

Was mir fehlt, ist das Konzept, wo ich welche Funktionen aufsetzen muss, damit ich ein relativ sicheres System erhalte, in dem ich meine Anforderungen umsetzen kann.

mfg
Christian Klein
- 27 Oct 2008, 12:32 pm
Christian Klein wrote: > Maik Schöpe schrieb: > > > daher empfehle ich: > > http://www.heise.de/ct/projekte/machmit/ctserver/wiki/WikiStart2 > > Hallo Herr Schöpe, > > als "Windows-Kind" bevorzuge ich graphische Oberflächen, daher nutze > ich Ubuntu (was ja auf Debian beruht). > > Was mir fehlt, ist das Konzept, wo ich welche Funktionen aufsetzen > muss, damit ich ein relativ sicheres System erhalte, in dem ich meine > Anforderungen umsetzen kann. > > mfg > Christian Klein

Back
1
2
3
Next