LAN Verschlüsselung (kabelgebundenes Netzwerk)

Hi,
ggf. kannst du auch IPSEC im LAN anwenden, dann hast du die Pakete verschlüsselt.

Gruß

Warum???
Das kann Veeam super, nennt sich Backup-Copy und kopiert auch nur die Änderungen.
Wir sichern damit 3-5 Server über eine 10MBit Leitung jede Nacht.

Wen und was meinst du damit? Veem oder ipsec?

Wie oben steht

2 Switche mit MacSec schaffen die 1 GBit, mit Routern und ISPEC geht das auch, wird aber nicht billig, das dies nur die größeren Router können.
(Oder ich habe noch keinen günstigen (<5.000€) gefunden).

Ach ja, klicke bitte mal auf Zitieren (unter den 3 ... rechts) dann sieht man auch auf was sich den Kommentar bezog.

VG,
Deepsys

Ja, einmal vor ca. 5 Jahren in einer Testumgebung... Ich kann mich daran erinnern, dass wir das mit einem Preshared Key gemacht haben. Ich glaube sogar auch per GPO. Das war noch ein Win2k3 Szenario.
Bekomme die Details aber nicht mehr zusammen.

Gruß

https://en.wikipedia.org/wiki/IEEE_802.1AE

Moin,

die Frage hatten wir vor einiger Zeit schonmal so ähnlich:
Verschlüsselung über LWL-Strecke

2 Switche mit MacSec sollte hier die richtige Wahl sein.
Ein VPN AES Verschlüsselung und mindestens 1Gbit Durchsatz braucht auch ordentliche Rechenleistung und macht hier nur bedingt Sinn.

VG
Val

Leider ist die Infrastruktur Beschreibung wieder mal recht laienhaft:
Was genau meinst du damit ??
Ein Server und ein Storage wird ja nun auch oft mit Glasfaser angeschlossen gerade wenn dies mit den heute im Netzwerk Bereich üblichen 10G geschieht.
Letztlich ist es ja auch egal ob die Bits über Kupfer oder Klas transportiert werden. Die Kardinalsfrage die sich stellt ist warum du das "Glasfaser" so herausstellst ??
Beid e Switches sind ja Switches von deiner Kommune also unter deiner Hoheit und vermutlich in gesichterten Bereichen ? Wo ist also das Problem hier ??
Oder ist es so das die Glasfaser über öffentlichen Grund geführt wird auf das nocht Dritte bzw. Unauthorisierte Zugang haben ??
Das hast du ja nur oberflächlich bis gar nicht definiert Nicht besonders dolle also bei einer Arbeit....

Bei ersterem hast du ja kein Problem...2 Switches am besten mit 10G um den Durchsatz zu schaffen und gut iss.
Bei letzterem ist es aber auch nicht weiter schwer: ...2 Switches die das Feature MacSec (IEEE 802.1ae) supporten und fertig ist der Lack !!
https://en.wikipedia.org/wiki/IEEE_802.1AE
Auf dem Glasfaserlink der beide Standorte verbindet aktivierst du dann MacSec in der Switchkonfig und das wars. Ist eine Zeile bzw. Mausklick. Damit laufen dann die Storage Daten auf diesem Link AES verschlüsselt im Layer 2 über die Verbindung.
Weiss eigentlich heute auch jeder Netzwerk Anfänger ohne Thread.

Wenn du noch sicherere Encryption haben willst (derzeit macht kein Hersteller bei MacSec mehr als 128Bit AES !) dann nimmst du einfach einen Switch mit einem IPsec Crypto Modul und machst einen IPsec Tunnel zw. beiden Standorten.
Auch das ist mit entsprechender Hardware ein Kinderspiel.
Wo war jetzt noch grad dein Problem...?? Ach so ja...das war ja nur die Absicherung auf der Strecke:
Was genau meinst du nun wieder damit ???
Port Absicherung mit 802.1x ?? Vermutlich ja. Dann guckst du mal hier:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Das erklärt das ganze Procedere und mit einem kleinen Raspberry Pi und einem billigen 802.1x Switch lässt sich da eine vortreffliche Arbeit draus machen in der alles enthalten ist...
Netzwerk Management Server mit Raspberry Pi
Haben wir noch was vergessen....?? Nööö, alle deine Vorgaben und Angriffsszenarien deckt das problemlos ab.
Es gäbe noch was zu sagen zu DCB Switches in einer Ethernet Fabric mit TRILL die man intelligent z.B. mit einem Vcenter kombiniert um dort Security Port Profile vollautomatisch im Netzwerk zu verteilen um das Management möglichst klein zu halten.
Ist aber die Frage ob deine Prüfer schon solch einen erweiterten Horizont haben und dann verstehen worüber du da schreibst...
Besser also MacSec und 802.1x die Klassiker !

Hallo aqui,

da du es ja wohl nicht persönlich nehmen wirst, frage ich jetzt mal (ich habe mich das schon öfter gefragt):
Warum oft so negativ?

Der TO hat oben geschrieben, er ist noch Azubi und kennt damit noch nicht alles. Auch wenn man in einer kleiner Bude mit nem billigen Switch ist, kennt man MacSec oft nicht. Und viele von uns sind Quereinsteiger und nicht studiert.
Du schreibst dann oft sowas wie:

Nein, er weiß es nicht sonst hätte er ja nicht gefragt ...

Deine Antworten sind technisch immer top, kein Zweifel; aber warum oft so negativ?

Ja, ich weiß ein Admin sollte das abkönnen, aber gerade dafür ist ein Forum wie dieses hier, meiner Meinung nach, da.
Wenn wir alles immer wüssten, wäre es hier recht leer

Also, nichts für ungut, wollte nur mal fragen

VG,
Deepsys

Ooops...war das "negativ" ? Sollte etwas fröhlich provokant den TO animieren mal vorher zu recherchieren
Als Azubi hat man einen Kollegen oder Ausbilder der solche Banalitäten eigentlich wissen sollte...eigentlich. Gerade in einer Kommune ist Datensicherheit oberste Priorität. Dafür gibt es in jeder öffentlichen Behörde einen Beauftragten der solche Dinge abfragt und prüft und rechtlich bewertet.
Das mindeste wäre doch als Azubi das man so einen auch mal befragt und ins Boot holt. Gerade bei Behörden werden solche Datensicherungs Dinge sehr hoch bewertet. Man sehe sich mal deren Ausschreibungen an wenn es um IT HW Beschaffung geht.
Auch als Quereinsteiger sollte man solche grundlegenden Dinge wenigstens ansatzweise mal gehört haben zumal sie auch im Server und Storage Umfeld eine identische Rolle spielen.
Da es um eine Abschlussarbeit geht ist der TO ja nun wahrlich auch kein Greenhorn mehr in IT Fragen insofern würde ich das nicht "negativ" beurteilen wollen zumal es de facto natürlich nicht so gemeint ist.
Aber du hast recht: Feedback zählt und das ist auch absolut ok von dir und ich gelobe dann mal weniger "provokant" zu antworten in 2016
@St4t1c Du musst dich jetzt nicht ängstlich verkrümeln...die Diskussion ist weiter offen.

Na dann, frohes Neues