14
Monitoring getrennter Netzwerke über einen Server
Guten Morgen,
unser Plan ist es, momentan physisch getrennte Netzwerke (4) auf einem Server zentral zu überwachen. Lassen sich die Netze weitestgehend voneinander "abschotten", wenn die Netzwerkanschlüsse des Server entsprechend konfiguriert werden und ist in diesem Fall noch eine Monitoring der Netze möglich? Oder benötigt das Ganze einen größeren Aufwand (Hardwarefirewall, etc.) um die Trennung der Netze weiterhin zu gewährleisten?
danke für eure Aufmerksamkeit
unser Plan ist es, momentan physisch getrennte Netzwerke (4) auf einem Server zentral zu überwachen. Lassen sich die Netze weitestgehend voneinander "abschotten", wenn die Netzwerkanschlüsse des Server entsprechend konfiguriert werden und ist in diesem Fall noch eine Monitoring der Netze möglich? Oder benötigt das Ganze einen größeren Aufwand (Hardwarefirewall, etc.) um die Trennung der Netze weiterhin zu gewährleisten?
danke für eure Aufmerksamkeit
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 352973
Url: https://administrator.de/contentid/352973
Printed on: April 20, 2024 at 01:04 o'clock
14 Comments
Latest comment
Hallo,
in der Regel kann man pro Standort eine Art Satellitenserver installieren, der dann an den Hauptserver berichtet.
Im Zweifelsfall weiß das der Hersteller deiner Monitoring-Software.
Gruß,
Jörg
in der Regel kann man pro Standort eine Art Satellitenserver installieren, der dann an den Hauptserver berichtet.
Im Zweifelsfall weiß das der Hersteller deiner Monitoring-Software.
Gruß,
Jörg
Zabbix bietet für so etwas z.b. die Proxies an.
https://www.zabbix.com/documentation/3.4/manual/distributed_monitoring/p ...
Von welche Größenordnung (Anzahl Server bzw. zu überwachende Systeme) sprechen wir?
Befinden sich die Netze an unterschiedlichen Standorten?
https://www.zabbix.com/documentation/3.4/manual/distributed_monitoring/p ...
Von welche Größenordnung (Anzahl Server bzw. zu überwachende Systeme) sprechen wir?
Befinden sich die Netze an unterschiedlichen Standorten?
Hallo Jörg,
die Netze befinden sich an einem Standort und können für das Monitoring problemlos verknüpft werden. Entscheidend ist die Möglichkeit des Monitoring unter Beibehaltung einer Trennung, die den Datenaustausch oder den Zugriff untereinander verhindert.
@Knorkator
ein Netz ist etwas größer, es soll aber nur ein Teil des Netzes überwacht werden (ca 100 Assets) , die anderen Netze sind eher klein und bestehen ebenfalls aus einigen Servern und ca. 100 PC, Switch, Notebook, USV etc.
die Netze befinden sich an einem Standort und können für das Monitoring problemlos verknüpft werden. Entscheidend ist die Möglichkeit des Monitoring unter Beibehaltung einer Trennung, die den Datenaustausch oder den Zugriff untereinander verhindert.
@Knorkator
ein Netz ist etwas größer, es soll aber nur ein Teil des Netzes überwacht werden (ca 100 Assets) , die anderen Netze sind eher klein und bestehen ebenfalls aus einigen Servern und ca. 100 PC, Switch, Notebook, USV etc.
Hallo,
das hängt von mehreren Faktoren ab.
Wie ist dein Netzwerkaufbau?
Welche Netzwerkinfrastruktur (Switche, Router) setzt ihr ein?
Werden VLAN's eingesetzt?
Welches Monitoring Tool setzt ihr ein?
Was genau wollt ihr den monitoren?
brammer
das hängt von mehreren Faktoren ab.
Wie ist dein Netzwerkaufbau?
Welche Netzwerkinfrastruktur (Switche, Router) setzt ihr ein?
Werden VLAN's eingesetzt?
Welches Monitoring Tool setzt ihr ein?
Was genau wollt ihr den monitoren?
brammer
Zitat von @userpc:
die Netze befinden sich an einem Standort und können für das Monitoring problemlos verknüpft werden. Entscheidend ist die Möglichkeit des Monitoring unter Beibehaltung einer Trennung, die den Datenaustausch oder den Zugriff untereinander verhindert.
Die Kommunikation zwischen Zabbix Server und Zabbix Proxy kann per Firewall über Ports gesteuert werden.die Netze befinden sich an einem Standort und können für das Monitoring problemlos verknüpft werden. Entscheidend ist die Möglichkeit des Monitoring unter Beibehaltung einer Trennung, die den Datenaustausch oder den Zugriff untereinander verhindert.
Somit ist eine Trennung kein Problem.
Bei der Größenordung solltet Ihr doch schon eine Firewall haben, oder?
ein Netz ist etwas größer, es soll aber nur ein Teil des Netzes überwacht werden (ca 100 Assets) , die anderen Netze sind eher klein und bestehen ebenfalls aus einigen Servern und ca. 100 PC, Switch, Notebook, USV etc.
Da kann ich Zabbix wärmstens empfehlen.Ich möchte hier keine Werbung machen, aber die Firma Intellitrend kennt sich sehr gut mit Zabbix aus und kann bestimmt unterstützen.
Alternativ dazu kann man Zabbix auch selbst beibringen.
https://www.zabbix.com/documentation/3.4/
http://lab4.org/wiki/Zabbix_Handbuch_Inhaltsverzeichnis
IRC Chat zabbix-de
Viel Erfolg!
Monitoring Software ist schon vorhanden. Es soll lediglich überwacht werden, ob die Geräte in den Netzwerken verfügbar sind (Ping,Traffic) und bei Ausfall wird ein Alarm generiert. HP Procurve Switche größtenteils, derzeit noch keine VLAN, da die Netze eh physisch getrennt sind.
Ich vermute mal, die Antwort liegt irgendwo zwischen den Begriffen Firewall und VPN versteckt.
Kommt halt auf die Anforderungen deiner überwachungssoftware an.
Grüße
lcer
Kommt halt auf die Anforderungen deiner überwachungssoftware an.
Grüße
lcer
Hallo,
nö... wieso?
VPN war nie die Rede von und die Netze sind alle an einem Standort....
Firewall kann sein...
brammer
Ich vermute mal, die Antwort liegt irgendwo zwischen den Begriffen Firewall und VPN versteckt.
nö... wieso?
VPN war nie die Rede von und die Netze sind alle an einem Standort....
Firewall kann sein...
brammer
äh ... doch
lcer
VPN war nie die Rede von und die Netze sind alle an einem Standort....
.. mit VPN kann man eine gesicherte Verbindung zwischen zwei Computern oder Netzwerken herstellen. Das geht auch am gleichen Strandort. Du willst physisch getrennte Netze verbinden und brauchst eine Lösung, die Du kontrollieren kannst, ohne das jemand im jeweiligen Netz eine Überbrückung "hinbekommt". Wenn alle Firewalls ausschließlich unter Deiner Kontrolle sind, sind Firewalls sicher ausreichend. Wenn nicht, dann ein VPN, bei dem Du die Verbindung am "Zentralrechner/Netzwerk" kontrollierst. Kommt halt drauf an.lcer
Hallo ,
Da die Procurve VLAN's können ist VPN hier wohl mit Kanonen auf Spatzen schiessen...
brammer
HP Procurve Switche größtenteils, derzeit noch keine VLAN, da die Netze eh physisch getrennt sind
Da die Procurve VLAN's können ist VPN hier wohl mit Kanonen auf Spatzen schiessen...
brammer
Und wie kommen die Daten in die Vlans?
2. Netzwerkkarte, VLAN auf dem jeweiligen Host oder Router? Kannst Du den absichern?
Er hat nicht geschrieben, ob er die Kontrolle über die gesamte Infrastruktur hast. Server - Switches - Router - Firewall? Wenn alles seins(Administrativ
) dann brauchst er auch kein vlan. Die Switches würden die Daten sowieso nur an den Port senden, an das Paket gehen muss (deshalb Switch ). Überwachungsserver - Switch - router - Switch - überwachtes Gerät.
Wenn die Netze fremdadministriert sind, musst die "Überwachungszentrale" extra abgesichert werden und den getrennten Netzen eine Zugang ermöglichen. Eventuell ist dann ein VPN über die schon vorhandene Internetverbindung die sicherste Variante.
Vielleicht noch mal die Details etwas ausführen.
2. Netzwerkkarte, VLAN auf dem jeweiligen Host oder Router? Kannst Du den absichern?
Er hat nicht geschrieben, ob er die Kontrolle über die gesamte Infrastruktur hast. Server - Switches - Router - Firewall? Wenn alles seins(Administrativ
) dann brauchst er auch kein vlan. Die Switches würden die Daten sowieso nur an den Port senden, an das Paket gehen muss (deshalb Switch ). Überwachungsserver - Switch - router - Switch - überwachtes Gerät.Wenn die Netze fremdadministriert sind, musst die "Überwachungszentrale" extra abgesichert werden und den getrennten Netzen eine Zugang ermöglichen. Eventuell ist dann ein VPN über die schon vorhandene Internetverbindung die sicherste Variante.
Vielleicht noch mal die Details etwas ausführen.
Zuerst einmal die Grundsatzfrage klären: Wie getrennt soll getrennt sein?
vielen Dank für die zahlreichen Kommentare,
die Netze sollen lediglich für das Monitoring auf einem eigens eingerichteten Server zusammengeführt werden. Ausser dem Monitoring sollte nicht mehr möglich sein.
Läuft es auf eine Hardwarefirewall hinaus, die wir vor den Server schalten?
die Netze sollen lediglich für das Monitoring auf einem eigens eingerichteten Server zusammengeführt werden. Ausser dem Monitoring sollte nicht mehr möglich sein.
Läuft es auf eine Hardwarefirewall hinaus, die wir vor den Server schalten?
Hallo,
Nein. Wenn ihr die Switche physikalisch getrennt habt dann reicht es wenn ihr die per VLAN auf einem Switch zusammenbringt und den Monitoring Server in ein eigenes VLAN hängt.... und dann per access liste den traffic zwischen dem Monitoring Server VLAN und den anderen VLAN erlaubt ist. Aber kein Traffic zwischen den VLANs in denen die Netze sind...
Brammer
Nein. Wenn ihr die Switche physikalisch getrennt habt dann reicht es wenn ihr die per VLAN auf einem Switch zusammenbringt und den Monitoring Server in ein eigenes VLAN hängt.... und dann per access liste den traffic zwischen dem Monitoring Server VLAN und den anderen VLAN erlaubt ist. Aber kein Traffic zwischen den VLANs in denen die Netze sind...
Brammer
