9
Sicherheit bei einem Netzwerk mit Cisco Switche
Hallo zusammen,
habe mal eine Frage zu einem Netzwerk was aus Cisco Switches bestellt. Wir wollen in ein Gebäude einziehen, in dem im Keller eien 2MB DSL Leitung ankommt. Unsere Vermieter verteilt nun diese 2 MB Leitung in jede Etage, in der Etage werden die über GruppenSwitches an die unterschiedlichen Mieter weitergeleitet. Es werden also mehre Mieter über einen Switch versorgt. Jeder Mieter erhält eine IP etc., als Sicherheit werden nun die jeweiligen Mieter IP von den anderen Mietern versteckt.
Nun meine Frage: was haltet ihr davon? Ich halte das für extrem unsicher?
Danke im voraus
Grüß
Reiner
P.S.: Ach kennt jemand eine Vernünftige Lösung für so eine Aufgabe?
habe mal eine Frage zu einem Netzwerk was aus Cisco Switches bestellt. Wir wollen in ein Gebäude einziehen, in dem im Keller eien 2MB DSL Leitung ankommt. Unsere Vermieter verteilt nun diese 2 MB Leitung in jede Etage, in der Etage werden die über GruppenSwitches an die unterschiedlichen Mieter weitergeleitet. Es werden also mehre Mieter über einen Switch versorgt. Jeder Mieter erhält eine IP etc., als Sicherheit werden nun die jeweiligen Mieter IP von den anderen Mietern versteckt.
Nun meine Frage: was haltet ihr davon? Ich halte das für extrem unsicher?
Danke im voraus
Grüß
Reiner
P.S.: Ach kennt jemand eine Vernünftige Lösung für so eine Aufgabe?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 24491
Url: https://administrator.de/contentid/24491
Printed on: April 16, 2024 at 18:04 o'clock
9 Comments
Latest comment
Das halte ich auch für sehr unsicher.
Trennt doch einfach euer Netz von den anderen mit einer Firewall ab.
Trennt doch einfach euer Netz von den anderen mit einer Firewall ab.
Hallo,
kontrolliert der Vermieter die Switche ?
Echt scharf.Logt er dann auch den Traffic mit ?
Gruß
Appel
kontrolliert der Vermieter die Switche ?
Echt scharf.Logt er dann auch den Traffic mit ?
Gruß
Appel
Hallo Reiner,
Bei Cisco ist es üblich in einem solchen Szenario eine Firewall z.B. PIX 515E mit VLANs zu verbinden. Dabei bekommt jeder Kunde ein eigenes VLAN (virtuelles lokales Netzwerk). Jeder Port an den Switchen in den Etagen wird dann entsprechend der Vermietung der Räume in das jeweilige VLAN konfiguriert.
Beispiel: Mieter "Frisör kurz und ab" hat im EG den Laden, mit der Kasse und im 2. OG nur zwei Büroräume, 7 und 12, angemietet. Das ergibt in der Cisco Sprache: Kunde Frisör = VLAN Nr. 4. Zugang zur Firewall (Internet) und auf dem Switch im EG Port 3,4 und 8 in VLAN 4. Auf dem Switch im 2.OG Port 14,15,16,21,22 in VLAN 4. Summe 8 Ports macht pro Monat EUR 80 + Datenmenge im Internet.
Andere Kunden sind in einem anderen VLAN und können nicht in dein Netzwerk sehen.
Aber nur ein Netzwerk das vollständig unter deiner Kontrolle steht kannst du sicher machen. Wenn der Vermieter das Netzwerk (Cisco switch) konfiguriert dann darfst du davon ausgehen das es früher oder später zu Fehlern kommt. Faktor Mensch multipliziert mit dem "ist nicht meins Gedanken".
Deshalb rate ich dir das Netzwerk von deinem Vermieter wie das Internet zu behandeln. Verbinde am besten deine Computer in einem eigenen Netzwerk. Zwischen dein Netzwerk und dem einen Anschluss von deinem Vermieter, den du dann nur noch benutzt, gehört eine Firewall.
Wenn dein Netzwerk sich über mehrere Etagen erstreckt musst du entweder eine eigene Firewall in jeder Etage haben und diese mit VPN verbinden oder eigene Kabel zwischen den Etagen verlegen.
Wenn dir das zu teuer und zu aufwendig ist und der Vermieter deinem Chef erzählt dass alles sicher ist (VLAN und Subnet sind hier die Schlagworte) dann hast du tatsächlich ein scheinbar eigenes Netzwerk, das aber nicht unter deiner Kontrolle steht. Diese Diskussion ob man Sicherheit auslagern (outsourcing) kann hängt stark von den Bedürfnissen von deinem Betrieb ab. Für Ärzte, Forschung & Entwicklung und Anwälte ist die Vertraulichkeit der eigenen Daten höchstes Gebot. Wenn du allerdings ein Handwerker oder Frisör bist dann dürfte die Kostenersparnis wichtiger sein als die höhere Sicherheit für die paar Emails die dann im Internet doch wieder ungeschützt unterwegs sind.
Gruß Volker
Bei Cisco ist es üblich in einem solchen Szenario eine Firewall z.B. PIX 515E mit VLANs zu verbinden. Dabei bekommt jeder Kunde ein eigenes VLAN (virtuelles lokales Netzwerk). Jeder Port an den Switchen in den Etagen wird dann entsprechend der Vermietung der Räume in das jeweilige VLAN konfiguriert.
Beispiel: Mieter "Frisör kurz und ab" hat im EG den Laden, mit der Kasse und im 2. OG nur zwei Büroräume, 7 und 12, angemietet. Das ergibt in der Cisco Sprache: Kunde Frisör = VLAN Nr. 4. Zugang zur Firewall (Internet) und auf dem Switch im EG Port 3,4 und 8 in VLAN 4. Auf dem Switch im 2.OG Port 14,15,16,21,22 in VLAN 4. Summe 8 Ports macht pro Monat EUR 80 + Datenmenge im Internet.
Andere Kunden sind in einem anderen VLAN und können nicht in dein Netzwerk sehen.
Aber nur ein Netzwerk das vollständig unter deiner Kontrolle steht kannst du sicher machen. Wenn der Vermieter das Netzwerk (Cisco switch) konfiguriert dann darfst du davon ausgehen das es früher oder später zu Fehlern kommt. Faktor Mensch multipliziert mit dem "ist nicht meins Gedanken".
Deshalb rate ich dir das Netzwerk von deinem Vermieter wie das Internet zu behandeln. Verbinde am besten deine Computer in einem eigenen Netzwerk. Zwischen dein Netzwerk und dem einen Anschluss von deinem Vermieter, den du dann nur noch benutzt, gehört eine Firewall.
Wenn dein Netzwerk sich über mehrere Etagen erstreckt musst du entweder eine eigene Firewall in jeder Etage haben und diese mit VPN verbinden oder eigene Kabel zwischen den Etagen verlegen.
Wenn dir das zu teuer und zu aufwendig ist und der Vermieter deinem Chef erzählt dass alles sicher ist (VLAN und Subnet sind hier die Schlagworte) dann hast du tatsächlich ein scheinbar eigenes Netzwerk, das aber nicht unter deiner Kontrolle steht. Diese Diskussion ob man Sicherheit auslagern (outsourcing) kann hängt stark von den Bedürfnissen von deinem Betrieb ab. Für Ärzte, Forschung & Entwicklung und Anwälte ist die Vertraulichkeit der eigenen Daten höchstes Gebot. Wenn du allerdings ein Handwerker oder Frisör bist dann dürfte die Kostenersparnis wichtiger sein als die höhere Sicherheit für die paar Emails die dann im Internet doch wieder ungeschützt unterwegs sind.
Gruß Volker
Hallo Appel,
Hallo Volker,
Danke für die schnell Antwort.
Appel ja der Vermieter kontrolliert das Netzwerk, bzw eine Sub von Ihm, bzw wohl eine Sub vom Sub.
Danke Volker für die ausführliche Erklärung, bei unserem Netzwerk handelt es sich um eine kleines Netz. Eine Firewall wollten wir uns jetzt ehe anschaffen (hast du einen Tipp?).
Ich Ärgere mich nur das der Vermieter uns sein Netzwerk als absolut sicher verkaufen will und natürlich teilt er unsere Bedenken nicht, und weigert sich auch die anderen Mieter wenigstens auf die Gefahr hinzuweisen.
Gruß Reiner
Hallo Volker,
Danke für die schnell Antwort.
Appel ja der Vermieter kontrolliert das Netzwerk, bzw eine Sub von Ihm, bzw wohl eine Sub vom Sub.
Danke Volker für die ausführliche Erklärung, bei unserem Netzwerk handelt es sich um eine kleines Netz. Eine Firewall wollten wir uns jetzt ehe anschaffen (hast du einen Tipp?).
Ich Ärgere mich nur das der Vermieter uns sein Netzwerk als absolut sicher verkaufen will und natürlich teilt er unsere Bedenken nicht, und weigert sich auch die anderen Mieter wenigstens auf die Gefahr hinzuweisen.
Gruß Reiner
Hallo,
schade das Du nur Volker fragst.O.K. bei meinem Eintrag
Kommt so ein bisschen auf das Budget an.Software oder Hardware Firewall ?
Ich hatte früher eine selbstgebaute Linux Firewall (Software).Ein alter Rechner 386 und ein komplett abgespecktes Linux mit Ipchains Regeln. War o.k.
Etwas teurer aber auch gut.Eine Cisco PIX.
Beides geht, aber Bücher kaufen nicht vergessen.Die sollte schon vernünftig eingerichtet sein.
Gruß
Appel
p.s Berlin steht für die Hauptstadt ?
schade das Du nur Volker fragst.O.K. bei meinem Eintrag
Kommt so ein bisschen auf das Budget an.Software oder Hardware Firewall ?
Ich hatte früher eine selbstgebaute Linux Firewall (Software).Ein alter Rechner 386 und ein komplett abgespecktes Linux mit Ipchains Regeln. War o.k.
Etwas teurer aber auch gut.Eine Cisco PIX.
Beides geht, aber Bücher kaufen nicht vergessen.Die sollte schon vernünftig eingerichtet sein.
Gruß
Appel
p.s Berlin steht für die Hauptstadt ?
Hallo Appel,
sei bitte nicht beleidigt das ich schon wieder soooo viel schreibe. Aber ich passe hier gerade auf das nichts passiert. Gäähhn.
Gruß Volker
sei bitte nicht beleidigt das ich schon wieder soooo viel schreibe. Aber ich passe hier gerade auf das nichts passiert. Gäähhn.
Gruß Volker
Hallo Reiner.
Welche Firewall eignet sich für ein kleines Netzwerk?
Sorry, aber da gibt es keine einfache Antwort. Überlege dir welche Anforderungen du hast und welches Budget möglich ist.
Diese Diskussion wurde schon oft geführt bei http://router-forum.de/
Preisklasse EUR 50 bis 100. Einfacher DSL Router mit NAT Funktion.
Passt für 5 Computer wenn euer Server nicht aus dem Internet erreichbar sein soll.
Preisklasse EUR 3500 + Wartungsvertrag + 5 Tage Schulung (EUR 2400)
Cisco PIX Firewall mit 6 * 100 MBIT, geeignet für 100 ? 1000 PCs und 10 ? 100 mobile Benutzer die VPN nutzen. Eine Nummer zu groß?
Viel wichtiger wäre die Frage wer konfiguriert die neue Firewall und welche Erfahrungen bringt der jenige mit? Was hast du selber schon konfiguriert?
Ist der Chef ein Microsoft jünger, dann vergiss Linux. Gilt auch umgedreht.
Es gibt auch eine Firewall von Microsoft, aber die macht nur in bestimmten Fällen, in großen Netzen mit Active Directory, Sinn. Microsoft ISA Server.
Wollt ihr eine Ersatzleitung in Internet wenn primäre mal ausfällt?
Beispiel Vigor Router von Draytek bietet ISDN Backup. www.daytek.de
Muss die Firewall doppelt vorhanden sein falls mal eine kaputt geht?
TIPP: Habe immer einen einfachen Router vorkonfiguriert im Schrank liegen. Kostet nur wenig und macht dir das leben leichter wenn du mal die Konfiguration zerbastelt hast. Schnell den Router anstecken und die Kollegen können wieder im Internet surfen. Wenn die User surfen können hat der Admin seine Ruhe.
Wollt ihr ein WLAN in euren Büroräumen nutzen? Gute Sendeleistung hat z.B. Netgear WPN824. Einfach zu konfigurieren und deshalb für Anfänger geeignet.
Muss eine genaue Logdatei erstellt werden? (Beweissicherung gegen Datenschutz)
Beispiel Astaro Firewall basiert auf Linux, nette Konfigurationsoberfläche. Gute Proxy (Zwischenspeicher + Filter) Funktion und Virusscanner in der Firewall (kostet extra).
Astaro kann man als Software auf einem normalen PC installieren, ähnlich wie Linux oder als fertigen Kasten (Appliance) kaufen. www.astaro.de
Musst du gesetzlichen Anforderungen genügen oder andere Vorschriften beachten?
Dann ist die Webseite vom BSI ist Pflicht. www.bsi.de
Siehe dort Grundschutzhandbuch (trocken aber vollständig und umfangreich)
und Thema ?Sichheitsgateway? - Amtsdeutsch für Firewall.
http://www.bsi.de/fachthem/sinet/sicherheitsgw/index.htm
Müssen Jugendgefährdende Inhalte ausgefiltert werden? Nachhilfe / Unterricht mit Jugendlichen. Dann brauchst du eine Firewall mit Content filter.
Ich hoffe alle Klarheiten sind beseitigt.
Gruß Volker
Welche Firewall eignet sich für ein kleines Netzwerk?
Sorry, aber da gibt es keine einfache Antwort. Überlege dir welche Anforderungen du hast und welches Budget möglich ist.
Diese Diskussion wurde schon oft geführt bei http://router-forum.de/
Preisklasse EUR 50 bis 100. Einfacher DSL Router mit NAT Funktion.
Passt für 5 Computer wenn euer Server nicht aus dem Internet erreichbar sein soll.
Preisklasse EUR 3500 + Wartungsvertrag + 5 Tage Schulung (EUR 2400)
Cisco PIX Firewall mit 6 * 100 MBIT, geeignet für 100 ? 1000 PCs und 10 ? 100 mobile Benutzer die VPN nutzen. Eine Nummer zu groß?
Viel wichtiger wäre die Frage wer konfiguriert die neue Firewall und welche Erfahrungen bringt der jenige mit? Was hast du selber schon konfiguriert?
Ist der Chef ein Microsoft jünger, dann vergiss Linux. Gilt auch umgedreht.
Es gibt auch eine Firewall von Microsoft, aber die macht nur in bestimmten Fällen, in großen Netzen mit Active Directory, Sinn. Microsoft ISA Server.
Wollt ihr eine Ersatzleitung in Internet wenn primäre mal ausfällt?
Beispiel Vigor Router von Draytek bietet ISDN Backup. www.daytek.de
Muss die Firewall doppelt vorhanden sein falls mal eine kaputt geht?
TIPP: Habe immer einen einfachen Router vorkonfiguriert im Schrank liegen. Kostet nur wenig und macht dir das leben leichter wenn du mal die Konfiguration zerbastelt hast. Schnell den Router anstecken und die Kollegen können wieder im Internet surfen. Wenn die User surfen können hat der Admin seine Ruhe.
Wollt ihr ein WLAN in euren Büroräumen nutzen? Gute Sendeleistung hat z.B. Netgear WPN824. Einfach zu konfigurieren und deshalb für Anfänger geeignet.
Muss eine genaue Logdatei erstellt werden? (Beweissicherung gegen Datenschutz)
Beispiel Astaro Firewall basiert auf Linux, nette Konfigurationsoberfläche. Gute Proxy (Zwischenspeicher + Filter) Funktion und Virusscanner in der Firewall (kostet extra).
Astaro kann man als Software auf einem normalen PC installieren, ähnlich wie Linux oder als fertigen Kasten (Appliance) kaufen. www.astaro.de
Musst du gesetzlichen Anforderungen genügen oder andere Vorschriften beachten?
Dann ist die Webseite vom BSI ist Pflicht. www.bsi.de
Siehe dort Grundschutzhandbuch (trocken aber vollständig und umfangreich)
und Thema ?Sichheitsgateway? - Amtsdeutsch für Firewall.
http://www.bsi.de/fachthem/sinet/sicherheitsgw/index.htm
Müssen Jugendgefährdende Inhalte ausgefiltert werden? Nachhilfe / Unterricht mit Jugendlichen. Dann brauchst du eine Firewall mit Content filter.
Ich hoffe alle Klarheiten sind beseitigt.
Gruß Volker
Hi Volker
cooler Job.Dann noch viel Spass beim gääääähn
Appel
cooler Job.Dann noch viel Spass beim gääääähn
Appel
Hallo,
Appel ich hab natürlich auch dich gemeint, das ganze Forum und überhaupt jeden.
Bisher haben wir unsere Netz hinter einem Ken! Proxy Versteckt. Meinem Chef reicht das eigentlich auch, aber ich hab da so meine Bedenken wegen unseren Vermeiter bzw seinem Sub.
Ich hätte schon gerne eine gute Absicherung gegen unsere Nachbar, mann weiß ja nie wer so da noch alles mit auf der Etage sitz. Wichtig finde ich eine Logdatei.
Meine Firewall kenntniss sind so mittelmässig, würde mcih nciht als spezialliest bezeichnen.
ich mach mich jetzt mal an lesen eurer tipps
Gruß Reiner
Appel ich hab natürlich auch dich gemeint, das ganze Forum und überhaupt jeden.
Bisher haben wir unsere Netz hinter einem Ken! Proxy Versteckt. Meinem Chef reicht das eigentlich auch, aber ich hab da so meine Bedenken wegen unseren Vermeiter bzw seinem Sub.
Ich hätte schon gerne eine gute Absicherung gegen unsere Nachbar, mann weiß ja nie wer so da noch alles mit auf der Etage sitz. Wichtig finde ich eine Logdatei.
Meine Firewall kenntniss sind so mittelmässig, würde mcih nciht als spezialliest bezeichnen.
ich mach mich jetzt mal an lesen eurer tipps
Gruß Reiner
