ThomasAnderson 0 Geschrieben 22. Mai 2014 Melden Teilen Geschrieben 22. Mai 2014 Hallo, ich kenne aus den Vorlesungen die strikte Trennung: Internet<--->Firewall<--->DMZ<--->Firewall<--->internes Netz rot - orange - grün Beim NW Redesign geht es jetzt darum, die Netze nicht nur redundant auszulegen sondern auch eventuelle Sicherheitsfehler zu beheben. Dass eine physikalische Trennung zw. den Zonen die sauberere ist ist klar. Aber reicht eine logische Trennung (über VLANs) auch aus? (Es gibt ja auch Möglichkeiten wie VLAN Hopping etc.). Also die Firewalls können theoretisch nicht umgangen werden, da die Verbindungen immer über die VLANs zur FW geroutet werden, aber rein physikalisch wäre das möglich. Wir haben Drucker Netzte etc. auch "nur" über VLANs getrennt, wie es ja eigentlich üblich ist. Aber ich denke nicht, dass diese Trennung einem FW Konzept von der Schwere her gleich gilt. Vielen Dank für Eure Tipps. Gruß Zitieren Link zu diesem Kommentar
daabm 1.334 Geschrieben 22. Mai 2014 Melden Teilen Geschrieben 22. Mai 2014 Wenn die Switche/Router keine Sicherheitslücken habe, reicht das sicher :D Haben sie keine? :cool: Zitieren Link zu diesem Kommentar
NilsK 2.918 Geschrieben 23. Mai 2014 Melden Teilen Geschrieben 23. Mai 2014 Moin, VLANs sind keine Sicherheitsfunktion, sondern sollen nur eine Trennung von logischen Segmenten, Broadcast-Domains usw. erlauben, ohne dass man gleich mehrere separate physische Netzwerke aufbauen muss. Eine Firewall arbeitet auf einer anderen Ebene. Gruß, Nils Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 23. Mai 2014 Melden Teilen Geschrieben 23. Mai 2014 Hallo, mein Gedanke eben: Ein am Switch auftretender Fehler setzt alle Anschlüsse auf VLAN 1. Erscheint so etwas möglich? Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 23. Mai 2014 Melden Teilen Geschrieben 23. Mai 2014 Klar, da reicht ja schon wenn jemand unbedarft den Switch zurücksetzt. Ich würde die verschiedenen Elemente immer mit physikalischen Geräten abtrennen. Wenn möglich sogar unmanaged. Zitieren Link zu diesem Kommentar
ThomasAnderson 0 Geschrieben 2. Juni 2014 Autor Melden Teilen Geschrieben 2. Juni 2014 Hat noch jemand so ein Beispiel wie @lefg: das ist echt top! Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 2. Juni 2014 Melden Teilen Geschrieben 2. Juni 2014 (bearbeitet) Dass eine physikalische Trennung zw. den Zonen die sauberere ist ist klar. Aber reicht eine logische Trennung (über VLANs) auch aus? (Es gibt ja auch Möglichkeiten wie VLAN Hopping etc.). Also die Firewalls können theoretisch nicht umgangen werden, da die Verbindungen immer über die VLANs zur FW geroutet werden, aber rein physikalisch wäre das möglich. Hallo, Du schreibst von physikalischer und logischer Trennung, meinst mit logische die per VLAN, die physikalische wohl per Router. Ist der Router aber physisch? Ich sehe einen Router nur als einen Rechner mit dem Dienst Routing drauf, bei einem Internetrouter dazu die Firewall, beides ist Programm. Demnach sehe ich Routing auch nur als eine logische Trennung, sie geschieht aber auf Layer 3, dem Netzwerkprotokolll während das VLAN auf dem Ethernet, Layer 2 geschieht. Ob es wirklich üblich ist, Drucker in VLAN zu haben? Drucker per VLAN getrennt von anderen aktiven Geräten des Netzwerkes? Wie kommen diese aber die Drucker? Wozu, was ist das Ziel? Ich stelle die Frage mal provokativ. bearbeitet 2. Juni 2014 von lefg Zitieren Link zu diesem Kommentar
ThomasAnderson 0 Geschrieben 2. Juni 2014 Autor Melden Teilen Geschrieben 2. Juni 2014 Hi, ich meine mit physikalische Trennung die richtige physikalische Trennung und mit Layer 2 die logische wie Du geschrieben hat. Wenn für mich eine physikalische Verbindung nur von FW -> DMZ -> FW geht dann müssen diese schonmal immer passiert werden. Wenn jedoch -> Router -> FW -> DMZ -> FW -> Router ------------------------------> Router die beiden Verbindungen existieren und das NW so konfiguriert ist, dass die Verbindung rein logisch (also auf Layer 2 über VLANs) nur über die FWs möglich ist, jedoch von der Anbindung trotz Layer 2 Trennung auch anders möglich wäre. Ich dachte immer, mir wurde das so beigebracht, dass die sicherste Lösung auch die sauberste Lösung ist. Oder ist das Paranoid? Wie gestaltet ihr denn die DMZ? Heißt es am Ende doch mein Prof war wahnwitzig und eine VLAN Sicherung reicht locker auf. Bitte kein "es kommt drauf an", sondern einfach wie man hast heutzutage am sinnvollsten löst. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 2. Juni 2014 Melden Teilen Geschrieben 2. Juni 2014 (bearbeitet) Wie auch Nils in #3 schon schrieb, so sehe auch ich es, VLAN ist keine Sicherheitsfunktion, jedenfalls nicht alleine. Man kann natürlich zwei VLAN verbinden mittels Routing, darauf eine Firewall und eine Zugangskontrolle für Computer und Benutzer, VLAN sehe ich daran aber nicht als Element der Sicherheit. Anstelle der verbundenen VLAN kann man in einem kleinen Netz auch zwei kleine Switche einsetzen und diese mittels Router verbinden. VLAN in der Grundform teilt einen Switch z.B. in zwei logische VLAN auf, VLAN1 ist die Voreinstellung, VLAN 2 kommt dazu, In der Erweiterung mit zwei Switches aknn man die beiden VLAN über eine Leitung führen, eines untagged, eines tagged. Sinn ist also bei nötiger, gewünschter Netztrennung auf extra Switche und Leitungen verzichjten zu können. Beispiele dafür sind in Schulen die Trennung zwischen Verwaltungs- und Seminarbereich, in Firmen das Abtrennen des WLAN für Gäste(mehrere APs auf dem Gelände, auf mehreren Etagen).Punkt ist dabei das Nutzen einer Infrastruktur an Leitung und Switches. Natürlich bietet VLAN auch die Möglichkeit, Ports mehreren VLAN zuzuordnen. Darf man VLAN als eine Art sichere Box betrachten, in der sich Geräte befinden und die einen Anschluss nach draussen hat? Ob solch eine Betrachtung nicht manchmal in die Irre führt? Durch das Loch in der Box, dem Anschluss, ist die Sicherheit nicht mehr gewährleistet. Nun, es kommt drauf an, was für Switche stehen zur Verfügung oder sind beschaffbar? Layer 2? Layer 3? Was gibts noch? bearbeitet 2. Juni 2014 von lefg Zitieren Link zu diesem Kommentar
ThomasAnderson 0 Geschrieben 2. Juni 2014 Autor Melden Teilen Geschrieben 2. Juni 2014 Also habe ich ja eigentlich mit meiner Aussage recht, denn Du bestätigst das ja noch einmal. Alles ist beschaffbar. Am sinnvollsten wäre eine strikte Trennung durch 2 redundante Firewalls und eine (nicht virtualisierte) DMZ. Alle VLANs sollten spätestens an der internen FW zusammentreffen und es sollte keine Möglichkeiten geben diese zu umgehen. Bei den Firewallpreisen kann ich mir jedoch nicht vorstellen, dass jedes Unternehmen eine redundante Firewall besitzt? Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 2. Juni 2014 Melden Teilen Geschrieben 2. Juni 2014 (bearbeitet) Vielleicht stellst Du die Frage einmal andersherum: Warum verwendet man VLANs? Mir fällt da spontan die Einrichtung von Broadcast Domains in großen Netzwerken ein. Dann natürlich Quality of Service - das lässt sich leichter sicherstellen, wenn man z.B. VoIP, Video Conferencing und Daten in separate VLANs trennt. Das IP-Adressmanagement läßt sich dadurch vereinfachen (separate Netze für Clients, Server, Stockwerke, Gebäude, etc.). Netzwerkresourcen lassen sich konsolidieren, wenn man auf einem Switch mehrere Netze über VLANs getrennt verwalten kann. Schließlich auch der Sicherheitsaspekt: Ob es wirklich üblich ist, Drucker in VLAN zu haben? Drucker per VLAN getrennt von anderen aktiven Geräten des Netzwerkes? Wie kommen diese aber die Drucker? Wozu, was ist das Ziel? Ich stelle die Frage mal provokativ. Wenn es multifunktionale Drucker sind, steckt da meist ein eigener kleiner Computer drin. Die würde ich auf jeden Fall in ein eigenes VLAN packen und nur die Printserver darauf eingehend zugreifen lassen. Das gleiche gilt für Telefone. Bei einer DMZ geht es mehr um die sichere Netzwerktrennung. Die würde ich immer physikalisch auslegen, nicht (nur) durch VLANs. Ich würde eine DMZ auch nicht auf einem Virtualisierungshost mischem mit internen Netzwerkresourcen. Es gab schon genug Beispiele für Ausbrüche aus dem Gast in das Hostsystem und Kompromittierung der anderen Gäste. Oder Kompromittierung beim Wiederverwenden von virtuellen Festplatten. Oder falschen Netzwerkkonfigurationen. Have fun! Daniel bearbeitet 2. Juni 2014 von Daniel -MSFT- Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 2. Juni 2014 Melden Teilen Geschrieben 2. Juni 2014 (bearbeitet) ...... jedes Unternehmen eine redundante Firewall besitzt? Nein, natürlich nicht. Jedenfalls habe ich so etwas noch nicht erlebt. Viele besitzen auch keine redundante Netzwerkinfrastrukur, haben keine Vermaschung. Die Mehrzahl sind doch kleine Firmen mit kleinen Netzen und eher kleinen Budget. Viele benötigen keine Redundanz, so jedenfalls die Meinung der GF und Controller, ein wirklicher Ausfall komme ja nur sehr selten vor. Nun, der Bedarfsträger muss die Anforderungen definieren und im Ernstfall damit leben. Ein Admin im Hause wird sich ein oder ein paar Ersatzgeräte ins Regal legen, so es ihm möglich. Wenn es multifunktionale Drucker sind, steckt da meist ein eigener kleiner Computer drin. Die würde ich auf jeden Fall in ein eigenes VLAN packen und nur die Printserver darauf eingehend zugreifen lassen. Das gleiche gilt für Telefone. Als ich es schrieb, provokativ, hab mich natürlich an deinen Beitrag neulich erinnert, konnte den aber nicht finden und hatte die Einzelheiten nicht mehr parat. Ich wusste aber, Du bist nicht weit. :) bearbeitet 2. Juni 2014 von lefg Zitieren Link zu diesem Kommentar
ThomasAnderson 0 Geschrieben 3. Juni 2014 Autor Melden Teilen Geschrieben 3. Juni 2014 Vielleicht stellst Du die Frage einmal andersherum: Warum verwendet man VLANs? Mir fällt da spontan die Einrichtung von Broadcast Domains in großen Netzwerken ein. Dann natürlich Quality of Service - das lässt sich leichter sicherstellen, wenn man z.B. VoIP, Video Conferencing und Daten in separate VLANs trennt. Das IP-Adressmanagement läßt sich dadurch vereinfachen (separate Netze für Clients, Server, Stockwerke, Gebäude, etc.). Netzwerkresourcen lassen sich konsolidieren, wenn man auf einem Switch mehrere Netze über VLANs getrennt verwalten kann. Schließlich auch der Sicherheitsaspekt: Wenn es multifunktionale Drucker sind, steckt da meist ein eigener kleiner Computer drin. Die würde ich auf jeden Fall in ein eigenes VLAN packen und nur die Printserver darauf eingehend zugreifen lassen. Das gleiche gilt für Telefone. Bei einer DMZ geht es mehr um die sichere Netzwerktrennung. Die würde ich immer physikalisch auslegen, nicht (nur) durch VLANs. Ich würde eine DMZ auch nicht auf einem Virtualisierungshost mischem mit internen Netzwerkresourcen. Es gab schon genug Beispiele für Ausbrüche aus dem Gast in das Hostsystem und Kompromittierung der anderen Gäste. Oder Kompromittierung beim Wiederverwenden von virtuellen Festplatten. Oder falschen Netzwerkkonfigurationen. Have fun! Daniel Genau so hab ich das auch in Erinnerung, vielen Dank. Was VLANs sind und in welchen Fällen sie durchaus sinnvoll sind ist mir bekannt. Vielen Dank für Eure Erfahrungswerte. Zitieren Link zu diesem Kommentar
ThomasAnderson 0 Geschrieben 23. Juni 2014 Autor Melden Teilen Geschrieben 23. Juni 2014 Hallo Leute, Update von meinem Wissenstand. Nach etwas längerer Recherche kam dabei raus:Kaum ein Unternehmen bei dem ich mich informiert habe, hat noch ein mehrstufiges Firewall Konzept. Gründe:- Fehlkonfigurationen - Wartung umständlich - Kostenfaktor (4 Firewalls) etc. Dafür setzen die meisten viel mehr auf ein redundantes Konzept mit aktuell gehaltenen Systemen von Herstellern, die auch zeitnah ihre Lücken schließen. Was jedoch keiner gerne macht, ist das nutzen einer virtualisierten Firewall. Dafür werden DMZs immer öfter virtualisiert. Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 23. Juni 2014 Melden Teilen Geschrieben 23. Juni 2014 Aha? Was für unternehmen sind das den? ;) Ich kann dir spontan 10 Firmen nennen die ein mehrstufiges FW Konzept fahren. Wie du siehst hat jeder andere Anforderungen und die sollte man definieren. Wir virtualisieren in unserer DMZ seit VMWare Infrastructure 3.5, da wir statt 10 Blechen einen eigenen ESXi vorne hinstellen konnten und weniger Aufwand hatten. Das galt aber für die Dienste die in der DMZ angeboten wurden. Eine Firewall auf dem selben Host die evtl. noch als FrontEnd FW arbeitet würden bei uns nicht durchgewunken werden. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.