12
Netzwerkplanung (Two Tier)
Hallo zusammen,
ich bin derzeit dran, unser aktuelles LAN-Netzwerk aufzufrischen, indem ich es vollständig erneuere.
Wir nutzen bisher ausschließlich Access Points und Switche von Cisco und für unser WLAN nutzen wir das Cisco Mobility Express Modell. Wir sichern über Tape und zusätzlich über AWS. Unsere Server bestehen hauptsächlich aus Windows Server 2019 Systemen. Wir sind außer über AWS nicht Cloud-gebunden.
Meine Frage ist, ob das Collapsed Core Design in dieser Form so aktuell und sicher ist. Es ist natürlich vorwiegend davon abhängig, wie es praktisch konfiguriert wird, aber so vom Aufbau ist es gut? Meine Forderungen sind, dass das Netzwerk skalierbar, flexibel und sicher ist.
Grüße
FUHSSrfe
ich bin derzeit dran, unser aktuelles LAN-Netzwerk aufzufrischen, indem ich es vollständig erneuere.
Wir nutzen bisher ausschließlich Access Points und Switche von Cisco und für unser WLAN nutzen wir das Cisco Mobility Express Modell. Wir sichern über Tape und zusätzlich über AWS. Unsere Server bestehen hauptsächlich aus Windows Server 2019 Systemen. Wir sind außer über AWS nicht Cloud-gebunden.
Meine Frage ist, ob das Collapsed Core Design in dieser Form so aktuell und sicher ist. Es ist natürlich vorwiegend davon abhängig, wie es praktisch konfiguriert wird, aber so vom Aufbau ist es gut? Meine Forderungen sind, dass das Netzwerk skalierbar, flexibel und sicher ist.
Grüße
FUHSSrfe
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6237822388
Url: https://administrator.de/contentid/6237822388
Ausgedruckt am: 24.11.2024 um 04:11 Uhr
12 Kommentare
Neuester Kommentar
Was ist genau die Frage?
Das klassische Design gibt es immer noch zu hauf, aber es gibt auch andere Konzepte.
Die Details sind nicht zu sehen, die mir persönlich wichtig wären.
Das klassische Design gibt es immer noch zu hauf, aber es gibt auch andere Konzepte.
Die Details sind nicht zu sehen, die mir persönlich wichtig wären.
Zitat von @2423392070:
Was ist genau die Frage?
Was ist genau die Frage?
Zitat von @FUHSSrfe
Meine Frage ist, ob das Collapsed Core Design in dieser Form so aktuell und sicher ist.
Meine Frage ist, ob das Collapsed Core Design in dieser Form so aktuell und sicher ist.
Die Frage richtet an dem Two-Tier Aufbau, welches ich als Grundbasis nehmen kann. Alles andere ist erst mal zweitrangig
Moin,
ohne weitere Angeben zur Umgebung lässt sich deine Frage nicht beantworten. Da spielen Ding wie
- Anzahl Hosts
- Phys. Ausdehnung
- gewünschter Durchsatz im Access und Core Bereich
- Anforderung an die Sicherheit
- usw
eine nicht unerhebliche Rolle.
Wenn die Zeichnung dein aktuelles Netzwerk (2x Core, 4x Access, 2x AP) abbildet, das lautet die Antwort auf deine Frage "Ja"
lg,
Slainte
ohne weitere Angeben zur Umgebung lässt sich deine Frage nicht beantworten. Da spielen Ding wie
- Anzahl Hosts
- Phys. Ausdehnung
- gewünschter Durchsatz im Access und Core Bereich
- Anforderung an die Sicherheit
- usw
eine nicht unerhebliche Rolle.
Wenn die Zeichnung dein aktuelles Netzwerk (2x Core, 4x Access, 2x AP) abbildet, das lautet die Antwort auf deine Frage "Ja"
lg,
Slainte
Danke
Ich würde mich für STP und dessen Alternativen interessieren.
Hallo,
hm. Zum Thema Sicherheit - wie sicherst Du die Server gegen die Clients ab? Angriffe auf Firmen-IT starten heute oft vom Arbeitsplatz eines Angestellten (email, Link etc.), nicht unbedingt von ausserhalb der Firewall.
Grüße
lcer
hm. Zum Thema Sicherheit - wie sicherst Du die Server gegen die Clients ab? Angriffe auf Firmen-IT starten heute oft vom Arbeitsplatz eines Angestellten (email, Link etc.), nicht unbedingt von ausserhalb der Firewall.
Grüße
lcer
Zitat von @lcer00:
hm. Zum Thema Sicherheit - wie sicherst Du die Server gegen die Clients ab? Angriffe auf Firmen-IT starten heute oft vom Arbeitsplatz eines Angestellten (email, Link etc.), nicht unbedingt von ausserhalb der Firewall.
hm. Zum Thema Sicherheit - wie sicherst Du die Server gegen die Clients ab? Angriffe auf Firmen-IT starten heute oft vom Arbeitsplatz eines Angestellten (email, Link etc.), nicht unbedingt von ausserhalb der Firewall.
Es kommt auf den Angriffsvektor an. Je nachdem, welche Schwachstelle der Angreifer ausnutzt, ziehe ich entsprechende Vorkehrungen. Ich bin mir im Klaren, dass dieser Prozess einige Zeit in Anspruch nehmen wird. Zudem werde ich zwischen Sicherheit und Bequemlichkeit abwägen müssen.
Grundlegend sind die Server vor den Clients durch ein eigenes VLANs gesichert. Darauf aufbauend werden Access-List (Core Layer) und Access Control (Port-Security, Access Layer) angewendet. Wenn es dann ins Detail geht, dann muss zuerst geklärt werden, welche potenziellen Attacken existieren (Malware, MiTM, Spoofing, Replay- und Golden Ticket Attacken etc.) und daran anknüpfend müssen die Vorkehrungen (AV, DHCP Snooping, Kerberos Armoring, DAI etc.) eingeleitet und umgesetzt werden.
Wenn du mehr ins Detail gehen willst, gerne.
Hallo,
Leerbuchkonzepte sind immer wieder toll. Aber eben auch Jahre hinterher. Ich würde die Server hinter eine Firewall packen.
Aber ich bin auch nicht gelernter ITler.
Grüße
lcer
Zitat von @FUHSSrfe:
Grundlegend sind die Server vor den Clients durch ein eigenes VLANs gesichert. Darauf aufbauend werden Access-List (Core Layer) und Access Control (Port-Security, Access Layer) angewendet.
Da haben wir es wieder. VLANs erzeugen Sicherheit…. Und der Core-Switch arbeitet dann als NG-Firewall oder wie?Grundlegend sind die Server vor den Clients durch ein eigenes VLANs gesichert. Darauf aufbauend werden Access-List (Core Layer) und Access Control (Port-Security, Access Layer) angewendet.
Leerbuchkonzepte sind immer wieder toll. Aber eben auch Jahre hinterher. Ich würde die Server hinter eine Firewall packen.
Aber ich bin auch nicht gelernter ITler.
Grüße
lcer
VLANs erzeugen Sicherheit….
Wenn man sie auf dem Core mit entsprechenden Security ACLs konfiguriert schon. Mit den Ciscos ist das ja kein Thema. Du hängst vermutlich etwas mit der Hardware hinterher... 
Der TO fragt ja nur nach dem grundsätzliche Design und das ist absolut korrekt so. Was und wie er die Infrastruktur später konfiguriert ist ja ne ganz andere Nummer und das es letztlich auf diesen Punkt ankommt hat er ja selber schon auf dem Radar.
Quote from @lcer00:
Da haben wir es wieder. VLANs erzeugen Sicherheit…. Und der Core-Switch arbeitet dann als NG-Firewall oder wie?
Leerbuchkonzepte sind immer wieder toll. Aber eben auch Jahre hinterher. Ich würde die Server hinter eine Firewall packen.
Da haben wir es wieder. VLANs erzeugen Sicherheit…. Und der Core-Switch arbeitet dann als NG-Firewall oder wie?
Leerbuchkonzepte sind immer wieder toll. Aber eben auch Jahre hinterher. Ich würde die Server hinter eine Firewall packen.
Danke für den hilfreichen Tipp. Ich werde schauen, wie sich das umbauen lässt. Eine Route von Client1 zu Server1 über die Firewall wäre möglich, aber auch sinnvoll? D. h. Client1 → Access1 → Core1 → Firewall → Core2 → Server1
VLANs erzeugen zu einem gewissen Maß Sicherheit. Wenn ein VLAN keine Sicherheit bietet, was tun es dann, abgesehen davon, dass damit Broadcasts nicht weitergereicht werden.
Danke. Mehr wollte ich eigentlich nicht. Für Tipps und Erfahrungsberichte bin ich immer bereit
Wenn ein VLAN keine Sicherheit bietet, was tun es dann
So pauschal kann man das nicht sagen. Es hängt ja schlicht und einfach davon ab WIE diese VLANs kommunizieren und ob sie es überhaupt tun.VLANs sind ja per se physisch völlig getrennte Layer 2 Domains. Von der Definition her sind sie also sehr sicher weil so gesehen keinerlei Kommunikation möglich ist. Mehr Sicherheit geht dann nicht, da hast du Recht mit der Aussage.
Alles andere ist dann Aufgabe eines Routers, Firewall oder IPS Systems.
VLANs sind keine physisch getrennte LANs, sondern virtuell getrennte LANs.
VLAN nicht PLAN.
Oder anders ausgedrückt, du hast alle Fische weiterhin im Laden, nur in verschiedenen Becken.
VLAN nicht PLAN.
Oder anders ausgedrückt, du hast alle Fische weiterhin im Laden, nur in verschiedenen Becken.
