Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Sichere Netzwerkinfrastrukturplanung

Mitglied: Randompepe

Randompepe (Level 1) - Jetzt verbinden

06.04.2020 um 16:42 Uhr, 636 Aufrufe, 13 Kommentare, 8 Danke

Moin Moin an Alle,
ich mache mir derzeit ein wenig Gedanken über eine sinnvolle neue Netzwerkstrukturplanung. Diese soll ein uralt-Netzwerk ersetzen und nichts daraus soll übernommen werden. Ich bin also von den Gedanken frei in der Gestaltung und würde gerne ein paar weitere Meinungen einholen. Budget ist ebenfalls eine zweitrangige Betrachtung. In erster Linie soll ein hohes Maß an Sicherheit gewährleistet sein.

Grundsätzlich soll das interne Netzwerk natürlich anhand verschiedener VLAN's abgegrenzt sein und über einen / mehrere Layer3-Switches gemanaged werden. Alle weitere interne Infrastruktur ist recht rudimentär und überschaubar. Interessant ist für mich ist allerdings der Step in Richtung externe Kommunkation was u.a. klassisches Surfen angeht. Hier liegt für mich der Schwerpunkt und es soll maximale Sicherheit erreicht werden (auch wenn es keine 100% gibt). Die aufgebaute DMZ soll klassisch das LAN vom WAN trennen. Mein Gedanke ist zum Einen: Unterschiedliche Hersteller bei aktiven Netzwerkkomponenten im LAN / DMZ / WAN und zum Anderen: Unterschiedliche Hersteller im Bereich der Next-Generation-Firewall's.
Bei der Trennung der aktiven Netzwerkkomponenten sehe ich wenig Schwierigkeiten. Jetzt allerdings der Punkt der Firewall-Security-Lösungen: Hersteller DMZ to extern und erste Firewall DMZ to intern soll von Hersteller X sein (Bspw. Fortinet). Jetzt würde ich allerdings gerne hinter die erste Firewall Richtung intern (von der DMZ aus gesehen), noch eine weitere Firewall-Security-Lösung eines weiteren Hersteller Y (Bspw. PaloAlto) setzen. Sinn und Zweck wäre bei einer Zero-Day-Lücke o.ä. in Fortinet kommt der Angreifer bis zum DMZ to intern der Fortinet-Lösung, doch die PaloAlto steht noch. Zudem hätten wir noch unterschiedliche Hersteller auf den aktiven Netzwerkkomponenten zwischen DMZ und LAN.
Ich hoffe das Ganze ist vom Lösungsansatz verständlich und mit Hilfe des beigefügten Bildes nachzuvollziehen.

Denkt ihr das funktioniert vom Grundsatz, gibt es Ansätze und Vorschläge bzgl. einer besseren Umsetzung? Dies ist erst einmal das erste "Brainstorming" meinerseits.


Gruß und vielen Dank

Randompepe
first_though - Klicke auf das Bild, um es zu vergrößern
Mitglied: aqui
LÖSUNG 06.04.2020, aktualisiert 08.04.2020
Ja, das funktioniert so und ist mehr oder minder ein klassisches Design mit dem du nichts falsch machst. So sähe sowas in einer Campus Hierarchie aus:

stackdesign - Klicke auf das Bild, um es zu vergrößern

Dein Fokus oben lag da mehr auf der WAN Anbindung was dann hier dem Komplex "VPN/Router/Firewall" entspricht.
Dort würde man dann natürlich mit einem Fokus auf höhere Sicherheit immer 2 WAN Router oder Firewalls planen die in einem VRRP oder HA Cluster redundant arbeiten und auch mindestens 2 redundante Provider bedienen. Sich nur auf LTE Provider zu verlassen wäre dann wieder fahrlässig. Zumal man da auch von der Bandbreite durch die in der Regel bis zu 700facher Überbuchung der Zellen niemals sicher gehen kann.
Ist aber im Ganzen schon alles richtig so.
Bitte warten ..
Mitglied: ChriBo
06.04.2020 um 20:35 Uhr
Hi,
Gegenfragen:
Ist das ernst gemeint ?
für wieviele Anwender in den Netzen soll das geplant werden ?
Wieviele sehr gute Netzwerkadmins hast du zur Verfügung ?
-
Sorry, aber für mich sieht das nur nach einer Zusammenfassung von Buzzwords aus:
DMZ, VLAN, Layer 3 Switch, Next Generation Firewall.
-
Konkrete Fehler bzw. Mängel die ich sehe:
- inkl. LTE Router(?) hast du Netzwerkkomponenten von 3-5 verschiedenen Herstellern verbaut, hierfür benötigst du Leute die diese Geräte vernünftig einrichten und mangen können.
- von LAN zu WAN hast du 4 Router hintereinander geschaltet, mit Layer 3 Switchen hast du sogar 7 routende Komponenten hintereinander: Respekt.
etc.

CH
Bitte warten ..
Mitglied: Xaero1982
06.04.2020 um 23:02 Uhr
@ChriBo, wo siehst du denn da bitte 4 Router hintereinander geschaltet? Geschweige denn 7?
Ich sehe auch keine Herstellerangaben. Die unterstellst du.

Ist dein Betrag ernst gemeint?

Grüße
Bitte warten ..
Mitglied: IT-Prof
06.04.2020 um 23:25 Uhr
Dein Design wird am Ende des Tages keine zusätzliche Sicherheit herstellen.

Das Hochnehmen einer Firewall ist eine im echten Leben sehr selten stattfindende Angriffstechnik.

Der Angriff, der in deinem Fall höchstwahrscheinlich kein gezielter Angriff ist, wird auf eine Software und dessen Speicherverhalten abzielen oder eine Interaktion eines Menschen benutzen.
Sollte jemand eine Perimeterfirewall erfolgreich kompromittieren,dann wird eine weitere Firewall keinen Nutzen mehr bringen.

Ich glaube Du bist gut beraten, wenn die dein Wissensstand über tatsächliche Gefahren auf den neusten Stand bringst und die Märchen von irgendwelchen Hollywoodfilmen nicht glaubst.

Der Angriffsvektor ist mit annähernd 100%-tiger Wahrscheinlichkeit schon vorhanden und es ist kein Netzwerkgerät.
Bitte warten ..
Mitglied: ChriBo
07.04.2020 um 07:33 Uhr
Hi,
Clients - <Layer 3 Switch>-[FW1]-[FW2]-<Layer 3 Switch> - [FW3] - <Layer 3 Switch> - [LTE Router]
3x FW + LTE Router ergibt für mich 4 hintereinander geschaltete Router.
3x Layer 3 (!) Switche sind auch routende Komponenten.
-
Ob die Komponenten dann routen, bridgen, natten oder die Switche dann nur auf Layer 2 arbeiten ist erstmal egal.
Wg. den unterschiedlichen Herstellern: Dies kam vom OT.

CH
Bitte warten ..
Mitglied: Xaero1982
07.04.2020 um 08:11 Uhr
Und seit wann ist eine Firewall ein Router?

Und wen juckt es ob da l3 Switche zwischen hängen?
Bitte warten ..
Mitglied: aqui
07.04.2020, aktualisiert um 09:44 Uhr
Firewalls werden aber in der Majorität im Routing Modus verwendet. Klar können sie aber auch als transparente Layer 2 Firewalls arbeiten was aber nicht ganz so häufig ist wie L3.
Firewall kann aber beides, das ist richtig.
Bitte warten ..
Mitglied: Xaero1982
07.04.2020 um 13:04 Uhr
Das ist ja richtig, aber eine reine Firewall an sich ist ja erstmal kein Router... deswegen finde ich die Aussage gewagt, dass es ja x Router wären
Bitte warten ..
Mitglied: IT-Prof
07.04.2020 um 13:07 Uhr
Eine Firewall ist schon ein Router. Vermutlich nicht der Core-Router aber sie routet in den meisten Fällen.
Bitte warten ..
Mitglied: Randompepe
08.04.2020 um 12:08 Uhr
Hallo an alle Antwortenden,
vielen Dank erstmal für euer Feedback. Zuerst den kritisch gestimmten, ich glaube ob die Frage ernst gemeint ist stellt sich nicht. Ich hätte sie sonst nicht gestellt. Buzzwords, ja im groben Konzept besteht dieses natürlich auch aus diesen, finde ich nicht verwerflich.

Grundsätzlich ist das Eine oder Andere bewusst gewählt. So z.B. ist eine Anbindung von verschiedenen Mobilfunktanbietern und entsprechend der LTE-Anbindung zwingend notwendig.
Die Thematik der Administration und notwendigen Fachkräfte zwecks verschiedener Hersteller ist bereits erkannt, bedacht und abgedeckt. Hier zieht genau der Aspekt Sicherheit vor Geld / Personal.

Danke @aqui für die erste Antwort. Hat mir geholfen.

@IT-Prof (wenn man sich schon so nennen muss...) Danke auch für dein Feedback. Wenn du mal mehr über zielgerichtete professionelle, teils staatlich gesteuerte Angriffe und aktuelle Angriffsvektoren fernab deiner Filterblase hören willst, darfst mich gerne PM. Bis dahin unterstelle mir vielleicht nicht ohne Vorwissen, ich würde mein Angreiferclientel sowohl intern- wie auch extern nicht kennen.

Gruß

Randompepe
Bitte warten ..
Mitglied: IT-Prof
08.04.2020 um 12:46 Uhr
Pepe, willst du allen Ernstes erklären, dass deine Konstruktion, die du in einem Forum wie diesen ausbreitest, einen Schutz vor staatlicher oder sonstiger professioneller Angriffe bieten soll?

Wenn du über solches Geheimwissen verfügst und so den totalen Überblick hast, warum dann der Post hier?

Allein die Wahrscheinlichkeit der Firewall-Kompromitirung ist so gering, dass du eher beim Abholen deines Lottogewinns vom Blitz getroffen wirst. Dass zusätzlich, dieses Hochsicherheits"Konzept" von dir designt oder bedient wird, der das hier ausbreitet, ist auch völliger Mumpitz. Der Menschenverstand und die Lebenserfahrung sagt hier eigentlich gleich: Obacht, jetzt wird es lustig.

Und die drei LTE Anschlüsse noch dazu... 🤦

Nur Mal so am Rande, ich habe auch mit außerordentlich kritischen Themen zu tun, Stichwort Industriespionage oder Rüstungsaufträge. Ich dürfte aber kein einziges Wort dazu sagen oder andeuten, selbst dieser Satz hier ist grenzwertig. Außerdem muss ich damit rechnen, dass mein Arbeitgeber oder Bundesbehörden wiederkehrend meine Zuverlässigkeit prüft. Eine Veröffentlichung eines Konzeptes, sei es nur theoretischer Art und ein Zaunpfahlwink mit Höchstschutzbedürfnissen vor staatlichen Angriffen, ist mindestens unseriös.
Bitte warten ..
Mitglied: Randompepe
08.04.2020 um 14:00 Uhr
*gähn* deswegen hast du bisher auch nicht mehr als Geschwätz hervorgebracht. Vielleicht widmest du dich wichtigeren Dingen.
Bitte warten ..
Mitglied: IT-Prof
08.04.2020 um 18:14 Uhr
Es lachen nicht nur die Hühner.
Wenn dir die Sache selber nicht seltsam vorkommt...;)
Bitte warten ..
Ähnliche Inhalte
Windows 10
Druckerwarteschlange beendet sich
gelöst Frage von HanutaWindows 1018 Kommentare

Hallo Zusammen, bei einigen Windows10 Rechner beendet sich der Dienst Druckerwarteschlange automatisch. Folgende versuche wurden schon unternommen: -Windows Updates ...

Router & Routing
Cisco Uhrzeit verstellt sich
Frage von Windows10GegnerRouter & Routing3 Kommentare

Hallo, ich habe gerade festgestellt, dass die Uhrzeit bei meinem Cisco immer einen Tag voraus ist (Heute am Samstag ...

Windows Server
Netzlaufwerke verbinden sich nicht
Frage von DuuuhhWindows Server6 Kommentare

Hallo, wie der Titel schon sagt, habe ich aktuell Probleme mit dem automatischen Verbinden von Netzlaufwerken. Der Kunde arbeitet ...

Windows Server
Remotedesktop verbindet sich nicht
Frage von specialuserWindows Server11 Kommentare

Servus, seit gestern haben wir Probleme mit der Remotedesktopverbindung komischerweise aber nur bei 2 Usern. Auf dem Terminalserver passen ...

Neue Wissensbeiträge
Linux Tools
Rsync datenvolumen reduzieren mit -fuzzy
Anleitung von NetzwerkDude vor 2 TagenLinux Tools

Moin, aus der Kategorie "Häufig übersehene Parameter": Meistens benutzt kaum jemand den fuzzy Parameter von rsync, und er taucht ...

Sicherheit

Citrix ADC, Gateway u. SD-Wan: Schwachstellen patchen

Information von kgborn vor 4 TagenSicherheit

Keine Ahnung, wie viele Admins von Citrix-Applicances hier unterwegs sind und ob die Versorgung mit Advisories klappt. Aber im ...

Off Topic

Im Tel Raum von Hamburg (040) sind mal wieder viele Indische Microsoft Anrufer unterwegs

Information von TomTomBon vor 5 TagenOff Topic16 Kommentare

Moin Moin, Die sind so schlecht das sogar meine Frau sofort die erkannt hat was die sind. Und Ihr ...

Router & Routing

FritzOS 7.20 kommt auch auf Deine Fritze (wahrscheinlich)

Information von Visucius vor 5 TagenRouter & Routing21 Kommentare

Nachdem ich hier die Hassliebe zu den kleinen Kistchen kenne, sollten wir das nicht zu breit ausdehnen. Ein paar ...

Heiß diskutierte Inhalte
Windows 10
OneDrive: GUI lädt, move nicht
Frage von holliknolliWindows 1024 Kommentare

Hallo liebe alle, befindet sich jemand aus dem Kreise der MS-Developer, speziell Onedrive unter den Teilnehmern hier? Frage: warum ...

Router & Routing
Fritzbox Feste IP-Adresse Zugang
gelöst Frage von TobiTobiRouter & Routing19 Kommentare

Guten Tag liebes Forum, Ich habe ein Problem wo ich nicht weiterkomme! Situation: Netzwerk: DSL-Modem(daytrec)-OPNSense-Netzwerk Habe aktuell mein Anschluss ...

Netzwerke
Wake on Lan funktioniert nicht durch VLANs
gelöst Frage von NetworkersvennyNetzwerke11 Kommentare

Hi Leute, Ich versuche derzeit Wake on Lan in unserem Betrieb zu etablieren. Bios Einstellung sind an Rechnern durch ...

Router & Routing
Traffic von VPS ins Heimnetz routen oder tunneln ?!
Frage von MrFeedRouter & Routing11 Kommentare

Hallo zusammen, ich stehe (erneut) vor dem Problem mit dem Dual Stack Lite Zugang. Ich betreibe mehrere Game Server ...