fuhssrfe
Goto Top

Netzwerkplanung (Two Tier)

Hallo zusammen,

ich bin derzeit dran, unser aktuelles LAN-Netzwerk aufzufrischen, indem ich es vollständig erneuere.
Wir nutzen bisher ausschließlich Access Points und Switche von Cisco und für unser WLAN nutzen wir das Cisco Mobility Express Modell. Wir sichern über Tape und zusätzlich über AWS. Unsere Server bestehen hauptsächlich aus Windows Server 2019 Systemen. Wir sind außer über AWS nicht Cloud-gebunden.

Meine Frage ist, ob das Collapsed Core Design in dieser Form so aktuell und sicher ist. Es ist natürlich vorwiegend davon abhängig, wie es praktisch konfiguriert wird, aber so vom Aufbau ist es gut? Meine Forderungen sind, dass das Netzwerk skalierbar, flexibel und sicher ist.

collapsed tier design

Grüße
FUHSSrfe

Content-ID: 6237822388

Url: https://administrator.de/forum/netzwerkplanung-two-tier-6237822388.html

Ausgedruckt am: 27.12.2024 um 03:12 Uhr

2423392070
2423392070 06.03.2023 um 09:38:36 Uhr
Goto Top
Was ist genau die Frage?
Das klassische Design gibt es immer noch zu hauf, aber es gibt auch andere Konzepte.
Die Details sind nicht zu sehen, die mir persönlich wichtig wären.
FUHSSrfe
FUHSSrfe 06.03.2023 um 09:48:35 Uhr
Goto Top
Zitat von @2423392070:

Was ist genau die Frage?

Zitat von @FUHSSrfe
Meine Frage ist, ob das Collapsed Core Design in dieser Form so aktuell und sicher ist.

Die Frage richtet an dem Two-Tier Aufbau, welches ich als Grundbasis nehmen kann. Alles andere ist erst mal zweitrangig
SlainteMhath
Lösung SlainteMhath 06.03.2023 um 09:59:44 Uhr
Goto Top
Moin,

ohne weitere Angeben zur Umgebung lässt sich deine Frage nicht beantworten. Da spielen Ding wie
- Anzahl Hosts
- Phys. Ausdehnung
- gewünschter Durchsatz im Access und Core Bereich
- Anforderung an die Sicherheit
- usw
eine nicht unerhebliche Rolle.

Wenn die Zeichnung dein aktuelles Netzwerk (2x Core, 4x Access, 2x AP) abbildet, das lautet die Antwort auf deine Frage "Ja"

lg,
Slainte
FUHSSrfe
FUHSSrfe 06.03.2023 um 10:01:14 Uhr
Goto Top
Danke
2423392070
2423392070 06.03.2023 um 10:38:04 Uhr
Goto Top
Ich würde mich für STP und dessen Alternativen interessieren.
lcer00
lcer00 06.03.2023 um 11:37:54 Uhr
Goto Top
Hallo,
Zitat von @FUHSSrfe:

Meine Forderungen sind, dass das Netzwerk skalierbar, flexibel und sicher ist.
hm. Zum Thema Sicherheit - wie sicherst Du die Server gegen die Clients ab? Angriffe auf Firmen-IT starten heute oft vom Arbeitsplatz eines Angestellten (email, Link etc.), nicht unbedingt von ausserhalb der Firewall.

Grüße

lcer
FUHSSrfe
FUHSSrfe 06.03.2023 um 13:24:30 Uhr
Goto Top
Zitat von @lcer00:
hm. Zum Thema Sicherheit - wie sicherst Du die Server gegen die Clients ab? Angriffe auf Firmen-IT starten heute oft vom Arbeitsplatz eines Angestellten (email, Link etc.), nicht unbedingt von ausserhalb der Firewall.

Es kommt auf den Angriffsvektor an. Je nachdem, welche Schwachstelle der Angreifer ausnutzt, ziehe ich entsprechende Vorkehrungen. Ich bin mir im Klaren, dass dieser Prozess einige Zeit in Anspruch nehmen wird. Zudem werde ich zwischen Sicherheit und Bequemlichkeit abwägen müssen.

Grundlegend sind die Server vor den Clients durch ein eigenes VLANs gesichert. Darauf aufbauend werden Access-List (Core Layer) und Access Control (Port-Security, Access Layer) angewendet. Wenn es dann ins Detail geht, dann muss zuerst geklärt werden, welche potenziellen Attacken existieren (Malware, MiTM, Spoofing, Replay- und Golden Ticket Attacken etc.) und daran anknüpfend müssen die Vorkehrungen (AV, DHCP Snooping, Kerberos Armoring, DAI etc.) eingeleitet und umgesetzt werden.

Wenn du mehr ins Detail gehen willst, gerne.
lcer00
lcer00 06.03.2023 um 14:39:40 Uhr
Goto Top
Hallo,
Zitat von @FUHSSrfe:

Grundlegend sind die Server vor den Clients durch ein eigenes VLANs gesichert. Darauf aufbauend werden Access-List (Core Layer) und Access Control (Port-Security, Access Layer) angewendet.
Da haben wir es wieder. VLANs erzeugen Sicherheit…. Und der Core-Switch arbeitet dann als NG-Firewall oder wie?

Leerbuchkonzepte sind immer wieder toll. Aber eben auch Jahre hinterher. Ich würde die Server hinter eine Firewall packen.

Aber ich bin auch nicht gelernter ITler.

Grüße

lcer
aqui
aqui 06.03.2023 um 16:05:12 Uhr
Goto Top
VLANs erzeugen Sicherheit….
Wenn man sie auf dem Core mit entsprechenden Security ACLs konfiguriert schon. Mit den Ciscos ist das ja kein Thema. Du hängst vermutlich etwas mit der Hardware hinterher... face-wink
Der TO fragt ja nur nach dem grundsätzliche Design und das ist absolut korrekt so. Was und wie er die Infrastruktur später konfiguriert ist ja ne ganz andere Nummer und das es letztlich auf diesen Punkt ankommt hat er ja selber schon auf dem Radar.
FUHSSrfe
FUHSSrfe 10.03.2023 um 17:25:11 Uhr
Goto Top
Quote from @lcer00:
Da haben wir es wieder. VLANs erzeugen Sicherheit…. Und der Core-Switch arbeitet dann als NG-Firewall oder wie?

Leerbuchkonzepte sind immer wieder toll. Aber eben auch Jahre hinterher. Ich würde die Server hinter eine Firewall packen.

Danke für den hilfreichen Tipp. Ich werde schauen, wie sich das umbauen lässt. Eine Route von Client1 zu Server1 über die Firewall wäre möglich, aber auch sinnvoll? D. h. Client1 → Access1 → Core1 → Firewall → Core2 → Server1

VLANs erzeugen zu einem gewissen Maß Sicherheit. Wenn ein VLAN keine Sicherheit bietet, was tun es dann, abgesehen davon, dass damit Broadcasts nicht weitergereicht werden.

Quote from @aqui:
Der TO fragt ja nur nach dem grundsätzliche Design und das ist absolut korrekt so.
Danke. Mehr wollte ich eigentlich nicht. Für Tipps und Erfahrungsberichte bin ich immer bereit
aqui
aqui 10.03.2023 aktualisiert um 18:01:56 Uhr
Goto Top
Wenn ein VLAN keine Sicherheit bietet, was tun es dann
So pauschal kann man das nicht sagen. Es hängt ja schlicht und einfach davon ab WIE diese VLANs kommunizieren und ob sie es überhaupt tun.
VLANs sind ja per se physisch völlig getrennte Layer 2 Domains. Von der Definition her sind sie also sehr sicher weil so gesehen keinerlei Kommunikation möglich ist. Mehr Sicherheit geht dann nicht, da hast du Recht mit der Aussage.
Alles andere ist dann Aufgabe eines Routers, Firewall oder IPS Systems.
2423392070
2423392070 10.03.2023 um 18:19:52 Uhr
Goto Top
VLANs sind keine physisch getrennte LANs, sondern virtuell getrennte LANs.
VLAN nicht PLAN.

Oder anders ausgedrückt, du hast alle Fische weiterhin im Laden, nur in verschiedenen Becken.