Cloud company virtuele machines afschermen - Netwerken

maandag 19 juli 2010 22:29

Acties:

Verwijderd

Topicstarter

Geachte leden,

Ik zat met een vraag en hoopte dat iemand mij in de buurt van wat antwoorden kon brengen of juiste zoektermen kon geven. Ik zal de vraag zo simpel mogelijk uitleggen.

Ik heb een Windows 2008 R2 hyper v server (in een cluster) die verschillende servers online hosten voor bedrijven om op in te loggen. Deze machine's zitten allemaal op het zelfde netwerk.

Is er software ( iets de trand van softwarematige vlan of dergelijke ) dat ik ze van elkaar kan afschermen en dat alle virtuele servers alleen communicatie kunnen leggen met de fisieke windows 2008 r2 server en dus niet met elkaar ?

ik wil graag voorkomen dat bedrijven op elkaars server kunnen benaderen.

dank je wel voor je moeite,

groetjen.

maandag 19 juli 2010 23:41

Acties:

Ethirty

Who...me?

In VMware maak je simpel VLAN's aan om zaken te scheiden van elkaar. Zit dat niet in HyperV dan?

Dit is overigens wel "professional". Mag wel hopen dat je hier over na heb gedacht voordat je live ging?

[ Voor 36% gewijzigd door Ethirty op 19-07-2010 23:42 ]

An investment in knowledge always pays the best interest - Benjamin Franklin

dinsdag 20 juli 2010 07:34

Acties:

jvanhambelgium

Verwijderd schreef op maandag 19 juli 2010 @ 22:29:
Geachte leden,

Ik zat met een vraag en hoopte dat iemand mij in de buurt van wat antwoorden kon brengen of juiste zoektermen kon geven. Ik zal de vraag zo simpel mogelijk uitleggen.

Ik heb een Windows 2008 R2 hyper v server (in een cluster) die verschillende servers online hosten voor bedrijven om op in te loggen. Deze machine's zitten allemaal op het zelfde netwerk.

ik wil graag voorkomen dat bedrijven op elkaars server kunnen benaderen.

groetjen.

Tja, wij geven die sowieso een andere VLAN. Je zou ook met PVLAN's kunnen werken, zodat je tussen server op het zelfde VLAN / netwer-range geen directe communicatie kan hebben zonder zonder over een layer-3 device te gaan (firewall/router)

Lijkt me héél onverstandig om ze je klanten "elkaar te laten zien" ;-)

host-based firewalls zijn allemaal niet schaalbaar. Als je klanten admin-rechten hebben op de VM's die je hebt draaien op je Hyper-V tja...
Als het een toegetimmerde managed omgeving is tot daartoe, maar toch geeft zoiets teveel admin overhead...

dinsdag 20 juli 2010 08:00

Acties:

lordgandalf

Vlans zijn van zichzelf secure genoeg om je netwerken van elkaar te scheiden imho

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

dinsdag 20 juli 2010 08:11

Acties:

Rolfie

Is er software ( iets de trand van softwarematige vlan of dergelijke ) dat ik ze van elkaar kan afschermen en dat alle virtuele servers alleen communicatie kunnen leggen met de fisieke windows 2008 r2 server en dus niet met elkaar ?

Dat is meestal een firewall.....

ik wil graag voorkomen dat bedrijven op elkaars server kunnen benaderen.

Dit is echt NOT DONE.

Waarom komen jullie nu pas hiermee? Hierover had je moeten nadenken voordat je live gaat met je omgeving. Ik weet niet wat jullie hierop precies hosten, maar ik zou dit als klant niet accepteren. Het zou bij ons niet eens mogen vanuit security.

dinsdag 20 juli 2010 09:50

Acties:

Verwijderd

Topicstarter

Dankjewel lezers voor snelle antwoorden,

ik heb zelf nog eens goed rondgeken en je kunt onder Hyper-v ( op een machine klikken en dan settings ) op netwerk instellingen klikken en deze apparaten een VLAN identity geven. en klaar.

echter. stoot de virtual zich dan ook af tegen fisieke computers.

dinsdag 20 juli 2010 10:09

Acties:

Ethirty

Who...me?

Verwijderd schreef op dinsdag 20 juli 2010 @ 09:50:
echter. stoot de virtual zich dan ook af tegen fisieke computers.

Dat is logisch he, die fysieke computer(s) moeten in dezelfde VLAN anders kunnen ze niet met elkaar praten.

Ik zou met toch eens gaan inlezen in zaken als netwerk en security als ik jou was.

An investment in knowledge always pays the best interest - Benjamin Franklin

dinsdag 20 juli 2010 14:06

Acties:

Rolfie

Verwijderd schreef op dinsdag 20 juli 2010 @ 09:50:
Dankjewel lezers voor snelle antwoorden,

ik heb zelf nog eens goed rondgeken en je kunt onder Hyper-v ( op een machine klikken en dan settings ) op netwerk instellingen klikken en deze apparaten een VLAN identity geven. en klaar.

echter. stoot de virtual zich dan ook af tegen fisieke computers.

Dit klopt inderdaad. Dit werkt zo......

Waarom zou je eigenlijk ook willen dat je guest naar server kunnen connecten?
maar oke....

Zoals al eerder door andere is vermeld, verdiep je eerste even in de materie. Want dit is basic stuff.

dinsdag 20 juli 2010 14:41

Acties:

Verwijderd

Topicstarter

we zijn nog niet live voor de gene die dat dachten.

en als ut zo basic is. dan klop het maar eens zo samenvattend uit je mouw.

dinsdag 20 juli 2010 14:49

Acties:

Verwijderd

Verwijderd schreef op dinsdag 20 juli 2010 @ 14:41:
we zijn nog niet live voor de gene die dat dachten.

en als ut zo basic is. dan klop het maar eens zo samenvattend uit je mouw.

Dus jij zet iets commercieels op, en de mensen hier mogen het moeilijke werk voor je opknappen?
Als je dit soort zaken niet beheerst, doe er dan niets professioneels mee.

dinsdag 20 juli 2010 15:06

Acties:

Equator

Crew Council

#whisky #barista

Verwijderd schreef op dinsdag 20 juli 2010 @ 14:41:
we zijn nog niet live voor de gene die dat dachten.

Mooi want er mist nog heel wat aan je ontwerp/architectuur

en als ut zo basic is. dan klop het maar eens zo samenvattend uit je mouw.

Kom kom, wij gaan het werk niet voor je opknappen.

Welkom op GOT,

Helaas gaat het meteen mis. We missen nogal wat inzet, iets wat we van de gebruikers verwachten. Dat had je kunnen lezen in de Het algemeen beleid.

Maak voor jezelf nou eens een plaatje, waarin je duidelijk hebt staan met welke systemen de virtuele servers moeten kunnen communiceren.

Probeer dat dan eens te clusteren, zodat verkeer naar en van buiten in 1 VLAN zit, maar niet in het VLAN van de andere server.

Verder zal je nog aan wat firewall's moeten denken die alleen het verkeer toestaan dat echt nodig is.

Hoe dan ook: Dit is vrij basic en dus geen Professional Networking & Servers materiaal.

Maak een plaatje, en post het in dit topic over hoe jij denkt dat het eruit zou moeten zien. (zorg ervoor dat het geanonimiseerd is) dan zet ik het topic in Netwerken

[ Voor 18% gewijzigd door Equator op 20-07-2010 15:09 ]

woensdag 21 juli 2010 19:56

Acties:

Verwijderd

Topicstarter

Geachte leden,

het is opgelost.. na 2 dagen onderzoek. Ik zal een snelle korte samenvatting geven mochten mensen er in de toekomst wat aan hebben.

( van boven naar onder )
------------------------------------------------------------------
Router 192.168.x.1
------------------------------------------------------------------
Switch 192.168.x.2
------------------------------------------------------------------
Cluster 1 + Cluster 2 ( Hyper-v clustering ) x.5 en x.6
------------------------------------------------------------------
Virtuele dozen voor bedrijven 1 , 2, 3 etc. + ( per cluster een virtual router , hosted by server 2008 ofzo)

- Maak per bedrijf een vritueel netwerk aan op een verschillend Vlan ID ( ook instellen op de switch uiteraard ).
- Zorg dat je virtuele dooz op een ander subnet werken bijv. 10.0.10.x , 10.0.11.x , 10.0.12.x
- Richt 2 virtuele dozen in als Router en Remote acces hosts en laat ze al het 10.0.10.x verkeer in hetzelfde subnet routeren
- geef aan in de routing tabellen dat verkeer alleen mag worden gestuurd in subnet 255.255.0.0. en
whalla

zo kan het verkeer van een virtuele machine (van bedrijf ) nooit bij virtuele machines (van andere bedrijven )komen en ben je verzekerd dat virtuele machines alleen de hosts kunnen bereiken en niet elkaar.

( bij clustering zorg je natuurlijk voor 2 virtuele routers in elke node een anders lig je nog uren te kloten dat het niet werkt onder verschillende clusters )

beetje samenvattend uitgelegd je snapt natuurlijk wel dat het wat uitzoekwerk vergt. het kan een beetje ontbrekende info zijn ma in mijn geval werkt het als een trein, ik wil niet alles voorkouwen ma dan weet je in welke richting je moet zoeken.

Met software matige firewalls werken is niet failsafe en idd niet pro, wel een leuke oplossing voor amateurs.

groetjes

[ Voor 3% gewijzigd door Verwijderd op 21-07-2010 19:59 ]

woensdag 21 juli 2010 20:04

Acties:

xelnaha

euh, een virtuele router om verkeer in hetzelfde subnet te routeren???? Dat lijkt me niet, alles wat in een subnet / vlan zit hoeft juist niet gerouteerd te worden. En maak je nou voor ieder vlan opnieuw een switch aan? da's ook wat overdreven, al helemaal omdat het lijkt dat je een /24 masker wil gebruiken...

woensdag 21 juli 2010 20:22

Acties:

Rolfie

servers online hosten voor bedrijven om op in te loggen.

Met software matige firewalls werken is niet failsafe en idd niet pro, wel een leuke oplossing voor amateurs.

Iets zegt me dat het boven staan niet helemaal samen gaat.

Ik heb ook nog niet helemaal door waarom je 2 software matige routers moet hebben?
Er kan er maar 1 actief zijn?

Ik heb geen idee hoeveel data tussen je virtuele hosts en de fysieke host gaat, maar ik zou hier niet zosnel voor kiezen. Al je netwerk verkeer gaat nu heel wat interrupts genereren op je NICs en alles het netwerk verkeer moet door je CPU nog eens extra verwerkt worden. Ik heb geen idee hoeveel load dit gaat genereren, maar volgens mij is hier ook niet helemaal over nagedacht.
En je RAS rules snap ik ook nog niet helemaal.

woensdag 21 juli 2010 20:24

Acties:

new_guy

Weet je zeker dat je dit wel wilt gaan doen...?

woensdag 21 juli 2010 23:32

Acties:

Verwijderd

Topicstarter

lol alles werkt. Discussi afgesloten.

Je maak inderdaad wel voor elk een nieuw bedrijf virtueel netwerk aan maar zo bied je wel de beveiliging waar ik naar vroeg. Bovendien is het een fluitje van 10 sec en zorg voor een beetje goede documentatie.

Als je alles zou idd kunnen regelen met firewalls of client side apps is het hackbaar door eindgebruikers. Uiteraard is alles hackbaar maar nu kunnen eindgebruikers niet bij elkaar in het netwerk.

Wellicht dat mijn vorige post niet excact alle details omschrijven maar ik heb er ook een hoop moeite voor gedaan. Mocht er in de toekomst hulp nodig zijn dan pm me ma.

Mzls

donderdag 22 juli 2010 13:53

Acties:

Ethirty

Who...me?

Niet om lullig over te komen, maar ik krijg toch de indruk dat je het nu misschien wel werkend heb, maar een aantal belangrijke zaken aangaande netwerkbeveiliging nog niet helemaal door hebt en ik ben bang dat de klant daar uiteindelijk de dupe van wordt.

Ik vond dit wel een mooi document dat diverse virtuele netwerksegmentatie scenarios toelicht. Het is weliswaar van VMware, maar het is prima toepasbaar op elke virtuele infrastructuur.
http://www.vmware.com/resources/techresources/1052

In VMware zou ik een situatie als die van jou inrichten met behulp van 1 vSwitch, voor elke klant een eigen VLAN en een fysieke of virtuele router/firewall die al het verkeer routeert en beveiligd.

An investment in knowledge always pays the best interest - Benjamin Franklin

donderdag 22 juli 2010 13:58

Acties:

r0b

Ethirty schreef op donderdag 22 juli 2010 @ 13:53:
In VMware zou ik een situatie als die van jou inrichten met behulp van 1 vSwitch, voor elke klant een eigen VLAN en een fysieke of virtuele router/firewall die al het verkeer routeert en beveiligd.

Eigenlijk zoals je in normale situaties ook een switch/vlan's zou gebruiken..

@TS: "It compiles. Ship it!", of "It works, run it!" is niet goed genoeg. Niet voor nu, niet voor de toekomst, én niet voor je klanten.
Lees je inderdaad even in in de materie zoals hierboven gelinkt, en probeer het - wellicht met hulp van ons - even opnieuw, logisch in te zetten.

donderdag 22 juli 2010 21:31

Acties:

Liegebeest

- geef aan in de routing tabellen dat verkeer alleen mag worden gestuurd in subnet 255.255.0.0. en
whalla

Ik snap niet eens wat je hier mee bedoelt

* 255.255.0.0 is geen subnet, maar een subnet masker
* Ik dacht dat je met /24 werkte en niet met /16?
* En wat bedoel je toch met "dat verkeer alleen mag worden gestuurd in het subnet"?

Whalla!

Liege, liege, liegebeest!

donderdag 22 juli 2010 21:45

Acties:

Verwijderd

Modbreak:Dit soort trollen laat je maar achterwege..

[ Voor 90% gewijzigd door Equator op 23-07-2010 09:46 ]

donderdag 22 juli 2010 21:50

Acties:

Pogostokje

* twiet *

Jammer dat er geen bedrijfsnaam boven water is komen drijven, daar zou de community wat aan hebben.
De "alles werkt niks meer aan doen" mentaliteit is zoooooo gevaarlijk.

... ook ik heb soms per ongeluk gelijk.

vrijdag 23 juli 2010 09:06

Acties:

CrankyGamerOG

Assumption is the mother.....

ik heb hier maar een reactie op.

KPN - Vodafone Ziggo Partner

vrijdag 23 juli 2010 09:49

Acties:

Equator

Crew Council

#whisky #barista

Mja, we stoppen ermee.. Ik heb duidelijk verteld dat er van alles aan je ontwerp mist, en dat je het voor jezelf in een plaatje moet stoppen.
Maar goed, ik adviseer je nog steeds om er eens goed naar te kijken.

Voordat dit topic uit de klauwen loopt, gaat het slot erop. Chapeau voor de gebruikers die wel opbouwend zijn in dit topic.. De rest zou beter moeten weten