Jump to content
phatair

Neue IP Segmentierung im LAN - Monitoring der Zugriffe

Recommended Posts

Hallo zusammen,

 

wir sind gerade dabei unser LAN umzustrukturieren. 

Wir haben zwar jetzt schon mehrere VLANs für DMZ, Management, Fertigung usw. aber das Hauptproblem ist, dass Drucker, Server, Clients in einem VLAN sind.

 

Da wir auch eine neue Firewall implementieren, wollen wir jetzt eigene VLANs für Server, Drucker, Clients usw. einführen. Einen Teil haben wir schon umgestellt und es läuft soweit gut.

Nun stellt sich die Frage wie wir die Server am Bestem umziehen. Hier würde ich gerne die momentanen Zugriffe Monitoren um zu sehen welche IPs/Geräte auf die entsprechenden Server zugreifen.

Über die letzten 20 Jahre wurde hier nicht alles sauber dokumentiert.

 

Zum Beispiel DNS. Diese sind oft per IP in irgendwelchen Konfigs eingetragen worden und hier würde ich nun gerne sehen welche IPs innerhalb 1 Woche auf den DNS Server zugreifen.

Da im Moment alles in einem Subnetz abläuft, sehe ich das in unser alten Firewall aber nicht.

 

Mir fällt im Moment nur ein, Wireshark auf dem DNS Server laufen zu lassen und dort zu prüfen was für Anfragen kommen.

Das müsste ich dann auf jedem Server machen, den wir umziehen. 

 

Gibt es noch eine andere Methode oder hättet ihr noch einen Tipp, wie man die IP Umstellung der Server gut vorbereiten kann (also vorher abklärt, welche Systeme zugreifen um diese dann nach der Umstellung anzupassen bzw. zu prüfen)?

Vielen Dank und Gruß

 

Share this post


Link to post

Hi,

 

wäre es evtl. ein einfacherer Ansatz, die Server im derzeitigen IP-Netz zu belassen und "alles andere" in eigene VLANs / IP-Netze umzuziehen? Alternativ würde ich direkt alle Geräte durchgehen und prüfen, wie diese konfiguriert sind. Dann kannst du direkt die saubere Dokumentation "nachziehen".

 

Gruß

Jan

Share this post


Link to post
vor 45 Minuten schrieb phatair:

aber das Hauptproblem ist, dass Drucker, Server, Clients in einem VLAN sind.

 

Moin

 

Warum ist das ein Problem? Was ist das Problem?

Du bist dir darüber im Klaren, die VLANs müssen verbunden werden, weil z.B. die Clients aus ihrem VLAN in das VLAN der Drucker kommen müssen? Also Routing oder Bridging.

Du bist mit den Grundlagen von VLAN vertraut?

 

Ansonsten, zum Monitoren, ich würde es wohl mit PRTG machen.

 

 

Edited by lefg

Share this post


Link to post
vor 8 Minuten schrieb testperson:

Hi,

 

wäre es evtl. ein einfacherer Ansatz, die Server im derzeitigen IP-Netz zu belassen und "alles andere" in eigene VLANs / IP-Netze umzuziehen? Alternativ würde ich direkt alle Geräte durchgehen und prüfen, wie diese konfiguriert sind. Dann kannst du direkt die saubere Dokumentation "nachziehen".

 

Gruß

Jan

Leider nein, dass hatten wir auch schon überlegt. Es handelt sich um ein /22 Netz und in diesem sind auch jetzt schon Geräte aus der Haustechnik (Strommesser, Klimaschränke, Rollos, usw). Diese sind zwar in einem eigenen IP Bereich (141.x) und die Server im (143.x), aber ich bkeomme die Haustechnik so schnell nicht angepasst. Ich müsste dort dann ja überall die Subnetzmaske anpassen, und das ist bei diesen Geräten oft nicht machbar bzw. nur durch den Techniker.

 

vor 1 Minute schrieb lefg:

 

Moin

 

Warum ist das ein Problem? Was ist das Problem?

 

Ansonsten, zum Monitoren, ich würde es wohl mit PRTG machen.

 

 

Das Problem ist, dass wir hier gar keine Trennung haben. Die Geräte können alle miteinander kommunizieren und für mich ist das aus Sicht der Sicherheit keine gute Lösung. 

Wir wollen die Segmente sauber durch die FW trennen und keine direkte Kommunikation erlauben. Schon gar keine Haustechnik. Aber es sollen auch Abteilungen wie die Entwicklung eigene VLANs bekommen, dass man Zugriffe über die FW steuern kann. Durch die Trennung von Server und Clients können wir dann auch noch mal genauer die Zugriffe steuern. Bis jetzt ist das ja nur über die Windows FW möglich, und das ist unschön zu managen.

 

PRTG haben wir im Einsatz, ich wüsste im Moment nur nicht wie ich hier die einzelnen Zugriffe auf die Server protokollieren kann.

Ich habe jetzt mal zum Test Wireshark auf dem DNS Server laufen und sehe hier ganz gut welche Zugriffe passieren. Wahrscheinlich komme ich um diesen Aufwand nicht herum :/

Share this post


Link to post
vor 54 Minuten schrieb phatair:

Gibt es noch eine andere Methode oder hättet ihr noch einen Tipp,

 

Mache einen Plan, eine Skizze auf Papier, die an einer Wand, auf einer Tafel.

vor 4 Minuten schrieb phatair:

PRTG haben wir im Einsatz, ich wüsste im Moment nur nicht wie ich hier die einzelnen Zugriffe auf die Server protokollieren kann.

Ich habe jetzt mal zum Test Wireshark auf dem DNS Server laufen und sehe hier ganz gut welche Zugriffe

 

Wenn auf dem DNS PRTG installiert ist, dann ginge das wohl auch. Wenn Wireshark genügt, dann ist es ja gut.

Zum Server: Ich habe des Öfteren Geräten wie Rechner, Server, Drucker mehr als ein IP verpasst, zeitweilig oder auch dauernd.

Edited by lefg

Share this post


Link to post

Wo soll denn zukünftig das Routing der Netze stattfinden? Auf den Switches oder der Firewall? Bei letzterem würde ich mir Gedanken über die Performance machen.

Share this post


Link to post

Eine Anregung:

 

Überschrift: Ein VLAN für ein Netzwerk mit Server, Clients, Drucker und .....

 

Erstelle ein VLAN und schubse Ports der Server, Clients, Drucker und ..... hinein. Damit sind diese getrennt von der Haustechnik .... . Und falls man will kann man weitermacchen mit einem VLAN für die Drucker, .....

Edited by lefg

Share this post


Link to post

Der TO hat schon recht - Server gehören in das eine VLAN, Clients und Drucker in ein anderes. Wenn man genug Luft hat, auch Drucker und Clients getrennt... Stichwort "Tier Trennung"...

Share this post


Link to post

Moin,

 

vor 19 Stunden schrieb djmaker:

Wo soll denn zukünftig das Routing der Netze stattfinden? Auf den Switches oder der Firewall? Bei letzterem würde ich mir Gedanken über die Performance machen.

diese Frage möchte ich noch mal hervorheben, weil sie mir eine Kernfrage zu sein scheint. Da der TO sagt, es gehe ihm um Sicherheit, kann die Antwort nur lauten: Das Routing macht die/eine Firewall. Da wir hier von LAN-Verbindungen reden, muss das also ein echter Brummer sein.

 

Ich werfe an der Stelle mal "lokale Firewalls" ins Spiel. Damit kann man evtl. Engpässe vermeiden und Kosten sparen. (Man mache sich aber nichts vor, in dem hier diskutierten Stil wird das Management dadurch nicht einfacher. Das wäre bei einer dedizierten Firewall allerdings auch komplex.)

 

Gruß, Nils

 

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...