17
Physikalische und virtuelle Netzwerksegmentierung von EOL Geräten
Hallo Administrator/inn/en,
nachdem es sich beim Thema Umgang mit EOL PCs schon angedeutet hatte freue ich mich hier auf dein Feedback zum Thema physikalische und virtuelle Netzwerksegmentierung von EOL Geräten. EOL Geräte laufen sicherlich in einigen Unternehmen (aus Kostengründen,...) "einfach" weiter, IT-Sicherheit wird ignoriert.
Damit die Diskussion nicht den roten Faden verliert hier ein paar Themen welche ich nicht thematisieren möchte:
Ich bemühe mich dazu (hoffentlich nachvollziehbare) praktische Beispiele aus verschiedene Bereichen zu schildern, evtl. muss ich hier nacheditieren.
Welches Beispiel kennst du und wie schätzt du das Risiko in der Praxis ein?
Wie ist deine Vorgehensweise in der Praxis?
Vielen Dank für zielführende Kommentare.
#greenIT
#nachhaltigkeit
nachdem es sich beim Thema Umgang mit EOL PCs schon angedeutet hatte freue ich mich hier auf dein Feedback zum Thema physikalische und virtuelle Netzwerksegmentierung von EOL Geräten. EOL Geräte laufen sicherlich in einigen Unternehmen (aus Kostengründen,...) "einfach" weiter, IT-Sicherheit wird ignoriert.
Damit die Diskussion nicht den roten Faden verliert hier ein paar Themen welche ich nicht thematisieren möchte:
- Austausch bzw. Neuanschaffung der eingesetzten Hardware
- Ersatzteilversorgung von EOL Geräten
- Finanzierung von Hardware (Budgetplanung, Leasing, ...)
- ...
Problem: EOL Firmware, EOL Betriebssystem und EOL Softwareapplikationen
Ich bemühe mich dazu (hoffentlich nachvollziehbare) praktische Beispiele aus verschiedene Bereichen zu schildern, evtl. muss ich hier nacheditieren.Industriemaschinen im Handwerksbetrieb
- Maschinen-PCs sind komplett eol, Updates, Upgrades oder Patches gibt es nicht mehr.
- Wo auch immer möglich wurden diese PCs komplett aus dem Netzwerk entfernt, die Nutzung auf ein Minimum reduziert, Datenübertragung nur noch offline per USB möglich.
- Der problematische Teil muss weiterhin aktiv mit bestimmten PCs im Netzwerk kommunizieren, diese wiederrum mit dem Rest vom Netzwerk.
Problem: EOL Firmware
Druckersegment
- Drucker bekommen keine Firmwareupdates mehr, müssen aber mit dem gesamten Office Bereich kommunizieren.
Notebooks im Innen- und Außendienst
- Die eingesetzte Hardware (aktuell mit Windows 11) erhält vom Hersteller keine Firmware-Updates mehr.
- Die Notebooks müssen sich im Großteil des Netzwerkes bewegen können, intern und extern per VPN.
Frage(n) zur Risikoeinschätzung
Welches Beispiel kennst du und wie schätzt du das Risiko in der Praxis ein?Wie ist deine Vorgehensweise in der Praxis?
Vielen Dank für zielführende Kommentare.
#greenIT
#nachhaltigkeit
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4313602310
Url: https://administrator.de/contentid/4313602310
Printed on: April 20, 2024 at 01:04 o'clock
17 Comments
Latest comment
Moin nachgefragt,
als erstes möchte ich dir dazu den folgenden etwas älteren aber dennoch guten Schinken empfehlen.
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/i ...
So ab Seite 153 kommen dann die unterschiedlichen Segmentierungsbeispiele.
Ich bin gerade im Stress, kann dir aber später ein für dich passenderes Schaubild zeichnen und ein paar Takte mehr dazu schreiben.
Gruss Alex
P.S. Habe gerade übrigens ein ähnliches Problem am Bein, nur etwas Grösser. ๐ญ
Ich sage nur Kommunalverwaltung ... haben am WE deren bisherige FireWall (ASA ๐ฌ) ausgetauscht.
Nun haben die endlich was anständiges um die ganzen unanständigen Geräte dahinter zu schützen. ๐คช
als erstes möchte ich dir dazu den folgenden etwas älteren aber dennoch guten Schinken empfehlen.
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/i ...
So ab Seite 153 kommen dann die unterschiedlichen Segmentierungsbeispiele.
Ich bin gerade im Stress, kann dir aber später ein für dich passenderes Schaubild zeichnen und ein paar Takte mehr dazu schreiben.
Gruss Alex
P.S. Habe gerade übrigens ein ähnliches Problem am Bein, nur etwas Grösser. ๐ญ
Ich sage nur Kommunalverwaltung ... haben am WE deren bisherige FireWall (ASA ๐ฌ) ausgetauscht.
Nun haben die endlich was anständiges um die ganzen unanständigen Geräte dahinter zu schützen. ๐คช
Zitat von @MysticFoxDE:
Ich bin gerade im Stress, kann dir aber später ein für dich passenderes Schaubild zeichnen und ein paar Takte mehr dazu schreiben.
Moin MysticFoxDE,Ich bin gerade im Stress, kann dir aber später ein für dich passenderes Schaubild zeichnen und ein paar Takte mehr dazu schreiben.
die Grundlagen der Segmentierung kenne ich, muss aber feststellen das die Herangehensweise sehr unterschiedlich ist, daher meine Fragen dazu.
Interessant wäre ein von dir angesprochener Security Gateway für die virtuelle Netzwerksegmentierung, damit ich mir mal eine Demo anschauen kann.
Vielleicht muss ich aber erst eine einfach These aufstellen, damit die Kolleg/inn/en diese kritisieren können:
- Netzwerkgeräte werden in verschiedene Segmente (z.B. Drucker, PC,...) nach Geräten unterteilt
- weitere Segmente können verschiedene Abteilungen sein (Einkauf, Lager,...) nach Organisation unterteilt
- Segmente werden über den Core Switch verwaltet (VLAN) bzw. (nicht) verbunden
Was dann aber fehlt ist die weitere Skalierbarkeit.
Moin nachgefragt,
wir verwenden als SGW's die Sophos XGS Gerätle, kannst aber auch andere ähnlichen Leistungsumfangs z.B. von Firtinet, Palo Alto & Co benutzen.
Es sollte halt ein Geräte sein, was nicht nur auf Paketebene regelt, sondern auch IPS, ATP, Webproxy & Co beherrscht.
Nach Abteilungen trennen wir nicht, das ist meiner Ansicht nach für die meisten Mittelständler und darunter, zu oversized.
Wir trennen intern grob nach ...
- SERVER
- SICHERE CLIENTS
- UNSICHERE CLIENTS
- FERTIGUNG (MASCHINEN)
- DRUCKER
- MGMT (IT)
- DMZ
...
ja, VLAN's werden (auch) auf den Switchen verwaltet und können auch über diese verbunden (geroutet) werden,
das Letztere (Routing über (Core) Switche) ist im Sinne einer Netzsegmentierung, meiner Ansicht nach ein absoluter Murks, da man hierbei nicht wirklich zwischen den Segmenten effektiv regeln kann.
Wie meist du das jetzt?
Je nach Switch kannst du > 65k VLAN's verwenden.
Und die SGW's gibts in allen möglichen Grössen.
Beste Grüsse aus BaWü
Alex
Interessant wäre ein von dir angesprochener Security Gateway für die virtuelle Netzwerksegmentierung, damit ich mir mal eine Demo anschauen kann.
wir verwenden als SGW's die Sophos XGS Gerätle, kannst aber auch andere ähnlichen Leistungsumfangs z.B. von Firtinet, Palo Alto & Co benutzen.
Es sollte halt ein Geräte sein, was nicht nur auf Paketebene regelt, sondern auch IPS, ATP, Webproxy & Co beherrscht.
Vielleicht muss ich aber erst eine einfach These aufstellen, damit die Kolleg/inn/en diese kritisieren können:
- Netzwerkgeräte werden in verschiedene Segmente (z.B. Drucker, PC,...) nach Geräten unterteilt
- weitere Segmente können verschiedene Abteilungen sein (Einkauf, Lager,...) nach Organisation unterteilt
Nach Abteilungen trennen wir nicht, das ist meiner Ansicht nach für die meisten Mittelständler und darunter, zu oversized.
Wir trennen intern grob nach ...
- SERVER
- SICHERE CLIENTS
- UNSICHERE CLIENTS
- FERTIGUNG (MASCHINEN)
- DRUCKER
- MGMT (IT)
- DMZ
...
* Segmente werden über den Core Switch verwaltet (VLAN) bzw. (nicht) verbunden
ja, VLAN's werden (auch) auf den Switchen verwaltet und können auch über diese verbunden (geroutet) werden,
das Letztere (Routing über (Core) Switche) ist im Sinne einer Netzsegmentierung, meiner Ansicht nach ein absoluter Murks, da man hierbei nicht wirklich zwischen den Segmenten effektiv regeln kann.
Was dann aber fehlt ist die weitere Skalierbarkeit.
Wie meist du das jetzt?
Je nach Switch kannst du > 65k VLAN's verwenden.
Und die SGW's gibts in allen möglichen Grössen.
Beste Grüsse aus BaWü
Alex
1Zitat von @MysticFoxDE:
das Letztere (Routing über (Core) Switche) ist im Sinne einer Netzsegmentierung, meiner Ansicht nach ein absoluter Murks, da man hierbei nicht wirklich zwischen den Segmenten effektiv regeln kann.
Dankeschön,das Letztere (Routing über (Core) Switche) ist im Sinne einer Netzsegmentierung, meiner Ansicht nach ein absoluter Murks, da man hierbei nicht wirklich zwischen den Segmenten effektiv regeln kann.
überraschend für mich war, wie viele angefragte "Netzwerkexperten" dies vorgeschlagen und als ausreichend empfunden hatten. Mir fehlt das eben die Skalierbarkeit.
Wie meist du das jetzt?
So wie du beschrieben hast, dass man etwas "zwischen den Segmenten effektiv regeln kann".Anforderung kann sein, dass z.B. nur PC1-PC3 auf Maschine1 zugreifen darf,... sonst darf Maschine1 keine sonstige Kommunikation aufbauen,... . Oder es soll nur TCP zwischen bestimmten IPs erlaubt sein, oder ... .
Sophos passt mir, ich schau mal in die Distributed Edge Serie rein.
https://www.sophos.com/de-de/products/next-gen-firewall/tech-specs#XGS1U
Online Demo vorhanden.
Vielen Dank.
Moin nachgefragt,
๐ฎ, Sicherheit bei routen über den Core ... ๐๐คฃ๐๐คฃ ... wenn man überhaupt keinen Internetanschluss besitzt, vielleicht dann, ansonsten hat das überhaupt nichts mit Sicherheit zu tun, höchstens mit einem vermurksten Glauben daran.
Anforderung kann sein, dass z.B. nur PC1-PC3 auf Maschine1 zugreifen darf,... sonst darf Maschine1 keine sonstige Kommunikation aufbauen,... . Oder es soll nur TCP zwischen bestimmten IPs erlaubt sein, oder ... .
Jup, so sollte +- auch eine anständige Netzsegmentierung aussehen, mit einem feinen Firewall-Regelwerk und IPS, ATP, Applikation Control & Co. ๐
Ja, genau die meine ich.
Gruss Alex
überraschend für mich war, wie viele angefragte "Netzwerkexperten" dies vorgeschlagen und als ausreichend empfunden hatten. Mir fehlt das eben die Skalierbarkeit.
๐ฎ, Sicherheit bei routen über den Core ... ๐๐คฃ๐๐คฃ ... wenn man überhaupt keinen Internetanschluss besitzt, vielleicht dann, ansonsten hat das überhaupt nichts mit Sicherheit zu tun, höchstens mit einem vermurksten Glauben daran.
Wie meist du das jetzt?
So wie du beschrieben hast, dass man etwas "zwischen den Segmenten effektiv regeln kann".Anforderung kann sein, dass z.B. nur PC1-PC3 auf Maschine1 zugreifen darf,... sonst darf Maschine1 keine sonstige Kommunikation aufbauen,... . Oder es soll nur TCP zwischen bestimmten IPs erlaubt sein, oder ... .
Jup, so sollte +- auch eine anständige Netzsegmentierung aussehen, mit einem feinen Firewall-Regelwerk und IPS, ATP, Applikation Control & Co. ๐
Sophos passt mir, ich schau mal in die Distributed Edge Serie rein.
https://www.sophos.com/de-de/products/next-gen-firewall/tech-specs#XGS1U
https://www.sophos.com/de-de/products/next-gen-firewall/tech-specs#XGS1U
Ja, genau die meine ich.
Gruss Alex
@MysticFoxDE
@nachgefragt
Gruß,
Dani
Ich sage nur Kommunalverwaltung ... haben am WE deren bisherige FireWall (ASA ๐ฌ) ausgetauscht.
Hoffentlich hat das Gerät eine EAL4+ Zertifizierung. Sonst geht die Bauststelle schneller wieder auf wie du gucken kannst.@nachgefragt
Welches Beispiel kennst du und wie schätzt du das Risiko in der Praxis ein?
Das hängt immer davon ab, wenn du fragst (CISO, Datenschutzbeauftragter, IT). Wie ist deine Vorgehensweise in der Praxis?
Wir setzen auf eine Kombination von SDN inkl. SDN-WAN, Zero Trust und (Cloud) Web Security. Somit können wir problemlos dynamische Netzwerke je nach Anfoderung der obengenannten Instanzen und Tochterunternehmen umsetzen. Ohne dass wir überall große dicke (redunanten) Firewalls und Internetleitungen benötigen. Des Weiteren kann so auch besser die vorhandenen Bandbereiten im LAN/MAN/WAN nutzen werden. Schlussendlich ist es abhängig von der Größe des Unternehmens (Anzahl Geräte & Benutzer, Tochterunternehmen in Europa/um die ganze Welt, Entwicklungsbereiche, etc..Gruß,
Dani
Moin Dani,
sagen wir es mal so, das Projekt erfüllt sämtliche hier gelistete Kriterien ...
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmit ...
und auch die für den erhöhten Schutzbedarf.
Ferner habe ich vom BSI ein schriftliche Bestätigung, dass das Konzept "über Stand der Technik" ist. ๐
Gruss Alex
@MysticFoxDE
Ich sage nur Kommunalverwaltung ... haben am WE deren bisherige FireWall (ASA ๐ฌ) ausgetauscht.
Hoffentlich hat das Gerät eine EAL4+ Zertifizierung. Sonst geht die Bauststelle schneller wieder auf wie du gucken kannst.sagen wir es mal so, das Projekt erfüllt sämtliche hier gelistete Kriterien ...
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmit ...
und auch die für den erhöhten Schutzbedarf.
Ferner habe ich vom BSI ein schriftliche Bestätigung, dass das Konzept "über Stand der Technik" ist. ๐
Gruss Alex
Wie kommst Du auf diese Zahl?
802.1Q verwendet 12 Bit für die VLAN-ID. Ergibt maximal 4096 VLANs (eigentlich 4094, weil die die VLAN-IDs 0 und 4095 reserviert sind; meist sind je nach Hersteller sogar noch weitere VLAN-IDs für interne Zwecke reserviert).
Ok. Man kann das nochmal "umverpacken". Aber auch dann komme ich nicht auf Deine Zahl:
- IEEE 802.1ad ("QinQ", "Double-Tagging"): 4096 x 4096 = rund 16,7 Mio VLANs
- VXLAN: maximal 16.777.215 Layer-2-Umgebungen mit jeweils bis zu 4096 VLANs = rund 68,7 Mrd. VLANs
Hab ich was übersehen?
Zitat von @MysticFoxDE:
ja, VLAN's werden (auch) auf den Switchen verwaltet und können auch über diese verbunden (geroutet) werden,
das Letztere (Routing über (Core) Switche) ist im Sinne einer Netzsegmentierung, meiner Ansicht nach ein
absoluter Murks, da man hierbei nicht wirklich zwischen den Segmenten effektiv regeln kann.
ja, VLAN's werden (auch) auf den Switchen verwaltet und können auch über diese verbunden (geroutet) werden,
das Letztere (Routing über (Core) Switche) ist im Sinne einer Netzsegmentierung, meiner Ansicht nach ein
absoluter Murks, da man hierbei nicht wirklich zwischen den Segmenten effektiv regeln kann.
Zum Einen ist eine Netzsegmentierung (bei Weitem) nicht immer in dem Erfordernis begründet, den Traffic zwischen den Segmenten reglementieren zu können und zum Anderen ist es nicht zwingend, dass sich sämtliche am Core-Switch anliegenden IP-Netze auch gegenseitig erreichen bzw. "sehen" können. Und damit meine ich nicht den Einsatz von (stateless) ACLs, sondern von mehreren Routingsinstanzen. Siehe ACLs und verschiedene Sicherheitzonen
Gruß
sk
Moin sk,
Wie kommst Du auf diese Zahl?
๐ค ... ich tippe auf einen kurzzeitige Hirnwirrung. ๐คช
Damit hast du natürlich vollkommen recht.
Gruss Alex
Wie kommst Du auf diese Zahl?
๐ค ... ich tippe auf einen kurzzeitige Hirnwirrung. ๐คช
802.1Q verwendet 12 Bit für die VLAN-ID. Ergibt maximal 4096 VLANs (eigentlich 4094, weil die die VLAN-IDs 0 und 4095 reserviert sind; meist sind je nach Hersteller sogar noch weitere VLAN-IDs für interne Zwecke reserviert).
Damit hast du natürlich vollkommen recht.
Gruss Alex
Zitat von @sk:
Zum Einen ist eine Netzsegmentierung (bei Weitem) nicht immer in dem Erfordernis begründet, den Traffic zwischen den Segmenten reglementieren zu können
Vielen Dank, damit der rote Faden nicht verloren geht:Zum Einen ist eine Netzsegmentierung (bei Weitem) nicht immer in dem Erfordernis begründet, den Traffic zwischen den Segmenten reglementieren zu können
In meinem Thema (siehe Überschrift und Ausgangslage #1) geht es genau darum etwas mehr Skalierung zu haben. Ich werde es ggf. nochmal editieren.
Zitat von @nachgefragt:
In meinem Thema (siehe Überschrift und Ausgangslage #1) geht es genau darum etwas mehr Skalierung zu haben. Ich werde es ggf. nochmal editieren.
Zitat von @sk:
Zum Einen ist eine Netzsegmentierung (bei Weitem) nicht immer in dem Erfordernis begründet, den Traffic zwischen den Segmenten reglementieren zu können
Vielen Dank, damit der rote Faden nicht verloren geht:Zum Einen ist eine Netzsegmentierung (bei Weitem) nicht immer in dem Erfordernis begründet, den Traffic zwischen den Segmenten reglementieren zu können
In meinem Thema (siehe Überschrift und Ausgangslage #1) geht es genau darum etwas mehr Skalierung zu haben. Ich werde es ggf. nochmal editieren.
Was Du möchtest ist die Möglichkeit, Datenverkehr zu reglementieren - also ein Mehr an Kontrolle.
"Skalierung" bzw. "Skalierbarkeit" meint etwas anderes...
Gruß
sk
Moin sk,
wenn man den Verkehr nicht regeln möchte, dann kann man sich die Segmentierung auch gleich sparen.
Ja, OK, ab einer bestimmten Betriebsgrösse und oder mehreren Standorten, ist eine Segmentierung aus betriebstechnischen Gründen notwendig, hat in dem Fall aber nichts mit Sicherheit zu tun und genau das Letztere,
die Sicherheit, ist dem TO bei diesem Beitrag aber sehr wichtig.
Ich kenne Policy Based Routing, jedoch geht das bei weitem nicht mit jedem Switch und ist mit einer FW oder gar einem SGW, sicherheitstechnisch nicht mal ansatzweise zu vergleichen.
Beste Grüsse aus BaWü
Alex
Zum Einen ist eine Netzsegmentierung (bei Weitem) nicht immer in dem Erfordernis begründet, den Traffic zwischen den Segmenten reglementieren zu können
wenn man den Verkehr nicht regeln möchte, dann kann man sich die Segmentierung auch gleich sparen.
Ja, OK, ab einer bestimmten Betriebsgrösse und oder mehreren Standorten, ist eine Segmentierung aus betriebstechnischen Gründen notwendig, hat in dem Fall aber nichts mit Sicherheit zu tun und genau das Letztere,
die Sicherheit, ist dem TO bei diesem Beitrag aber sehr wichtig.
und zum Anderen ist es nicht zwingend, dass sich sämtliche am Core-Switch anliegenden IP-Netze auch gegenseitig erreichen bzw. "sehen" können. Und damit meine ich nicht den Einsatz von (statischen) ACLs, sondern von mehreren Routingsinstanzen. Siehe ACLs und verschiedene Sicherheitzonen
Ich kenne Policy Based Routing, jedoch geht das bei weitem nicht mit jedem Switch und ist mit einer FW oder gar einem SGW, sicherheitstechnisch nicht mal ansatzweise zu vergleichen.
Beste Grüsse aus BaWü
Alex
1Guten Morgen und Hallo aus dem Rheinland (sorry für die Unhöflichkeit oben!)
Zitat von @MysticFoxDE:
Ich kenne Policy Based Routing, jedoch geht das bei weitem nicht mit jedem Switch und ist mit einer FW oder
gar einem SGW, sicherheitstechnisch nicht mal ansatzweise zu vergleichen.
Ich kenne Policy Based Routing, jedoch geht das bei weitem nicht mit jedem Switch und ist mit einer FW oder
gar einem SGW, sicherheitstechnisch nicht mal ansatzweise zu vergleichen.
PBR war nicht mein Vorschlag. Ich glaube, Du hast den verlinkten Beitrag nicht ganz erfasst oder den falschen Beitrag gelesen. Ich bin mit Dir durchaus einer Meinung: auch ich plädiere dafür, soweit erforderlich auch Traffic zwischen internen Netzsegmenten nicht mittels Switch-ACLs, sondern mittels einer dedizierten Segmentierungsfirewall zu beregeln. Ob man diesen Traffic nun wirklich mit einer NGF bis auf Layer7 inspizieren muss oder ob nicht eine SPI-Firewall genügt, hängt von den konkreten Umständen und Anforderungen ab.
Der verlinkte Beitrag zeigt nur eine Option auf, die Segmentierungsfirewall zu entlasten, indem Traffic, der nicht beregelt werden muss, am Coreswitch mittels unterschiedlicher Routinginstanzen verarbeitet wird. Natürlich kann das nicht jeder Switch. Ein Coreswitch, der seinen Namen verdient, im Regelfall aber schon.
Gruß
sk
2
Moin sk,
๐ฎ ... wo, ich habe keine gesehen. ๐
PBR war nicht mein Vorschlag. Ich glaube, Du hast den verlinkten Beitrag nicht ganz erfasst oder den falschen Beitrag gelesen.
Ich habe den Post vorhin aus Zeitmangel nur schnell überflogen und habe das mit VRF gar nicht so richtig gesehen.
๐๐๐ so sehe ich das auch ๐
Ich möchte auch nicht grundsätzlich sagen, dass es für das Routen über einen Switch, PBR oder VRF keine Einsatzszenarien gibt, die gibt es durchaus.
Für den Fall vom TO, kommt meiner Ansicht nach jedoch weder PBR noch VRF so wirklich in Frage, weil ihm die feine Filterung (auf Port und evtl. sogar Applikationsebene) zwischen den Segmenten, so wie ich das verstanden habe, auch sehr wichtig ist.
Gruss Alex
(sorry für die Unhöflichkeit oben!)
๐ฎ ... wo, ich habe keine gesehen. ๐
Zitat von @MysticFoxDE:
Ich kenne Policy Based Routing, jedoch geht das bei weitem nicht mit jedem Switch und ist mit einer FW oder
gar einem SGW, sicherheitstechnisch nicht mal ansatzweise zu vergleichen.
Ich kenne Policy Based Routing, jedoch geht das bei weitem nicht mit jedem Switch und ist mit einer FW oder
gar einem SGW, sicherheitstechnisch nicht mal ansatzweise zu vergleichen.
PBR war nicht mein Vorschlag. Ich glaube, Du hast den verlinkten Beitrag nicht ganz erfasst oder den falschen Beitrag gelesen.
Ich habe den Post vorhin aus Zeitmangel nur schnell überflogen und habe das mit VRF gar nicht so richtig gesehen.
Ich bin mit Dir durchaus einer Meinung: auch ich plädiere dafür, soweit erforderlich auch Traffic zwischen internen Netzsegmenten nicht mittels Switch-ACLs, sondern mittels einer dedizierten Segmentierungsfirewall zu beregeln. Ob man diesen Traffic nun wirklich mit einer NGF bis auf Layer7 inspizieren muss oder ob nicht eine SPI-Firewall genügt, hängt von den konkreten Umständen und Anforderungen ab.
๐๐๐ so sehe ich das auch ๐
Der verlinkte Beitrag zeigt nur eine Option auf, die Segmentierungsfirewall zu entlasten, indem Traffic, der nicht beregelt werden muss, am Coreswitch mittels unterschiedlicher Routinginstanzen verarbeitet wird. Natürlich kann das nicht jeder Switch. Ein Coreswitch, der seinen Namen verdient, im Regelfall aber schon.
Ich möchte auch nicht grundsätzlich sagen, dass es für das Routen über einen Switch, PBR oder VRF keine Einsatzszenarien gibt, die gibt es durchaus.
Für den Fall vom TO, kommt meiner Ansicht nach jedoch weder PBR noch VRF so wirklich in Frage, weil ihm die feine Filterung (auf Port und evtl. sogar Applikationsebene) zwischen den Segmenten, so wie ich das verstanden habe, auch sehr wichtig ist.
Gruss Alex
2
@MysticFoxDE
@sk
Vielen Dank für euren Austausch!
Ich möchte keine Segmentierung machen damit eine Segmentierung vorhanden ist, um die Segmente dann doch am Ende wieder "ungeregelt" zusammenzuführen. Also im Beispiel, wo möglich nehme ich die EOL Clients komplett aus dem Netzwerk; es ist nun leider nicht immer möglich.
@sk
Vielen Dank für euren Austausch!
Zitat von @MysticFoxDE:
Für den Fall vom TO, kommt meiner Ansicht nach jedoch weder PBR noch VRF so wirklich in Frage, weil ihm die feine Filterung (auf Port und evtl. sogar Applikationsebene) zwischen den Segmenten, so wie ich das verstanden habe, auch sehr wichtig ist.
Ja, in meinem Beispiel: Wenn ich schon ein EOL Gerät im Netzwerk haben muss, dann möchte ich wenigstens den Traffic auf ein Minimum reduzieren, überwachen und erlauben. 100% Sicherheit gibt es nicht, zumindest das wäre eine Risikominimierung.Für den Fall vom TO, kommt meiner Ansicht nach jedoch weder PBR noch VRF so wirklich in Frage, weil ihm die feine Filterung (auf Port und evtl. sogar Applikationsebene) zwischen den Segmenten, so wie ich das verstanden habe, auch sehr wichtig ist.
Ich möchte keine Segmentierung machen damit eine Segmentierung vorhanden ist, um die Segmente dann doch am Ende wieder "ungeregelt" zusammenzuführen. Also im Beispiel, wo möglich nehme ich die EOL Clients komplett aus dem Netzwerk; es ist nun leider nicht immer möglich.
1
Moin nachgefragt,
Sehr gute und sichere Einstellung. ๐๐๐
Der Vollständigkeit halber und auch den Enterprise-Switch-Freunden zur Freude möchte ich jedoch noch
das Thema PRIVATE-VLAN erwähnen. Damit kannst du im "ISOLATED MODE" recht einfach jeden Client in einem Netzsegment komplett voneinander abschotten.
Sprich, wenn sich in einem ISOLATED P-VLAN ein Client anstecken sollte, dann kann er auf jeden Fall die Clients im selben Netzsegment nicht mehr "mitanstecken". ๐
Das "recht einfach" jetzt aber bitte nicht unterschätzen. Damit meine ich nur, dass es im Vergleich zu anderen Massnahmen, die eine ähnliche Schutzwirkung mit sich bringen, relativ einfach umzusetzen ist.
Wer schon beim "normalen" VLAN zu schwitzen anfängt, sollte um PRIVATE-VLAN jedoch erst einmal einen Bogen machen.
Beste Grüsse aus BaWü
Alex
Ja, in meinem Beispiel: Wenn ich schon ein EOL Gerät im Netzwerk haben muss, dann möchte ich wenigstens den Traffic auf ein Minimum reduzieren, überwachen und erlauben. 100% Sicherheit gibt es nicht, zumindest das wäre eine Risikominimierung.
Ich möchte keine Segmentierung machen damit eine Segmentierung vorhanden ist, um die Segmente dann doch am Ende wieder "ungeregelt" zusammenzuführen. Also im Beispiel, wo möglich nehme ich die EOL Clients komplett aus dem Netzwerk; es ist nun leider nicht immer möglich.
Ich möchte keine Segmentierung machen damit eine Segmentierung vorhanden ist, um die Segmente dann doch am Ende wieder "ungeregelt" zusammenzuführen. Also im Beispiel, wo möglich nehme ich die EOL Clients komplett aus dem Netzwerk; es ist nun leider nicht immer möglich.
Sehr gute und sichere Einstellung. ๐๐๐
Der Vollständigkeit halber und auch den Enterprise-Switch-Freunden zur Freude möchte ich jedoch noch
das Thema PRIVATE-VLAN erwähnen. Damit kannst du im "ISOLATED MODE" recht einfach jeden Client in einem Netzsegment komplett voneinander abschotten.
Sprich, wenn sich in einem ISOLATED P-VLAN ein Client anstecken sollte, dann kann er auf jeden Fall die Clients im selben Netzsegment nicht mehr "mitanstecken". ๐
Das "recht einfach" jetzt aber bitte nicht unterschätzen. Damit meine ich nur, dass es im Vergleich zu anderen Massnahmen, die eine ähnliche Schutzwirkung mit sich bringen, relativ einfach umzusetzen ist.
Wer schon beim "normalen" VLAN zu schwitzen anfängt, sollte um PRIVATE-VLAN jedoch erst einmal einen Bogen machen.
Beste Grüsse aus BaWü
Alex
1Zitat von @MysticFoxDE:
Der Vollständigkeit halber und auch den Enterprise-Switch-Freunden zur Freude möchte ich jedoch noch
das Thema PRIVATE-VLAN erwähnen.
Der Vollständigkeit halber und auch den Enterprise-Switch-Freunden zur Freude möchte ich jedoch noch
das Thema PRIVATE-VLAN erwähnen.
+1 von mir
1
