5
Segmentierung von Netzwerke - wieviele Vlans sind sinnvoll?
Hallo Leute
Mir ist durchaus klar, dass es hier kein definitiv Richtig oder Falsch gibt, mir ist auch klar, dass vermutlich schon ausreichend diskutiert wurde. Dennoch würde ich mich über eine konstruktive und fundierte Diskussion freuen.
Das DMZ, Gast, Maschinen usw. nichts im Office Netz zu suchen hat ist ja eh klar.
Doch wie granular macht es Sinn die Server bzw. Clients zu splitten?
Man lest von eigenen VLANs für den Exchange, für die DCs, Memberserver, Clients und Drucker.
Aussagen wie "man kann nicht genug VLANs haben". usw.
Gut jeder Admin wird mir bestätigen dass Drucker A....löcher sind und hierfür ein eigenes VLAN Sinn macht.
Doch wie Sinnvoll ist es tatsächlich den Exchange vom DC und beide von den Clients zu separieren? Schließlich muss man ja ohnehin diverse Ports aufmachen und routen damit die Funktionen gegeben sind.
Gehn wir von einer Netzwerkgröße von 100 Clients
aus.
Danke für eure Inputs.
Lg Jonny
Mir ist durchaus klar, dass es hier kein definitiv Richtig oder Falsch gibt, mir ist auch klar, dass vermutlich schon ausreichend diskutiert wurde. Dennoch würde ich mich über eine konstruktive und fundierte Diskussion freuen.
Das DMZ, Gast, Maschinen usw. nichts im Office Netz zu suchen hat ist ja eh klar.
Doch wie granular macht es Sinn die Server bzw. Clients zu splitten?
Man lest von eigenen VLANs für den Exchange, für die DCs, Memberserver, Clients und Drucker.
Aussagen wie "man kann nicht genug VLANs haben". usw.
Gut jeder Admin wird mir bestätigen dass Drucker A....löcher sind und hierfür ein eigenes VLAN Sinn macht.
Doch wie Sinnvoll ist es tatsächlich den Exchange vom DC und beide von den Clients zu separieren? Schließlich muss man ja ohnehin diverse Ports aufmachen und routen damit die Funktionen gegeben sind.
Gehn wir von einer Netzwerkgröße von 100 Clients
aus.
Danke für eure Inputs.
Lg Jonny
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7644131224
Url: https://administrator.de/contentid/7644131224
Ausgedruckt am: 21.11.2024 um 16:11 Uhr
5 Kommentare
Neuester Kommentar
Moin,
So viele wie nötig, so wenig wie möglich - nur so bleibt das beherrschbar.
Ich bin aber ein Freund davon, Clients, Server, Gäste, Drucker, Infrastruktur, VoIP und DMZ zu separieren. Aber das hängt auch immer von der Größe des Netzwerkes ab….
So viele wie nötig, so wenig wie möglich - nur so bleibt das beherrschbar.
Ich bin aber ein Freund davon, Clients, Server, Gäste, Drucker, Infrastruktur, VoIP und DMZ zu separieren. Aber das hängt auch immer von der Größe des Netzwerkes ab….
2
Moin,
Wie immer: "It Depends" sacht der Angelsaxe.
Es ist Aufgabe des Admins, sich Gedanken darüber zu machen und sich ein Konzept zu erarbeiten, daß für seinen betrieb paßt.
Was nützt es dir, wenn ich Dir sage, ich daß ich 17-3/4 VLANS habe, ohne Dir das Konzept dahinter auszubreiten, weil das eine kostenpfllichtige Leistung für einen Kunden war.
Generell kann man sagen, daß für Telefonie, Clients, Gäste, DMZ, Server und Administration eigene VLANs sinnvoll sein können, aber nicht müssen. Ob man auch für drucker ein VLAN aufspannt würde ich von der Anzahl udn Art der Drucke rabhängig machen. Alles was darüber hinausgeht, sollte man sich gut überlegen, weil zusätzliche VLANS auch zusätzliche Arbeit machen. man sollt enatürlich auch im Hinterkopf behalten, daß manchmal auch das trennen von Abteilungen sinnvoll ist.
Fazit: It depends, wie schon am Anfang gesagt. Allgemeingültige Aussagen lassen die für jeden passen halt nicht so einfach treffen.
lks
Wie immer: "It Depends" sacht der Angelsaxe.
Es ist Aufgabe des Admins, sich Gedanken darüber zu machen und sich ein Konzept zu erarbeiten, daß für seinen betrieb paßt.
Was nützt es dir, wenn ich Dir sage, ich daß ich 17-3/4 VLANS habe, ohne Dir das Konzept dahinter auszubreiten, weil das eine kostenpfllichtige Leistung für einen Kunden war.
Generell kann man sagen, daß für Telefonie, Clients, Gäste, DMZ, Server und Administration eigene VLANs sinnvoll sein können, aber nicht müssen. Ob man auch für drucker ein VLAN aufspannt würde ich von der Anzahl udn Art der Drucke rabhängig machen. Alles was darüber hinausgeht, sollte man sich gut überlegen, weil zusätzliche VLANS auch zusätzliche Arbeit machen. man sollt enatürlich auch im Hinterkopf behalten, daß manchmal auch das trennen von Abteilungen sinnvoll ist.
Fazit: It depends, wie schon am Anfang gesagt. Allgemeingültige Aussagen lassen die für jeden passen halt nicht so einfach treffen.
lks
Hi,
die Kollegen haben schon einige wichtige Punkte genannt.
Ich empfehle häufig das hier -> https://learn.microsoft.com/de-de/security/privileged-access-workstation ...
Das Modell beschreibt es aus der Sicht Zugriffen bzw. Active Directory, lässt sich aber auch gut auf ein Netzwerk übertragen.
Außerdem mal abseits der Beherschbarkeit etc. stell dir dein Netzwerk als Bürogebäude vor. Nun überleg wie viel von diesem Gebäude dürfte komplett abbrennen, ohne das ihr als Unternehmen die Handlungsfähigkeit verliert.
Mit der Antwort könntest du nun hingehen und die benötigen Brandabschnitte definieren und umsetzen.
Selbiges Spiel gilt auch gewissermaßen für dein Netzwerk: Wie viel deiner IT-Infrastruktur könntest du (z.B. durch einen Angriff) verlieren, ohne das ihr den K-Fall ausrufen müsst.
Darüber kannst du schon mal festlegen wie groß ein Netz maximal sein darf, und welche Komponenten darin gemeinsam platziert werden können.
Hier könnte im worst-case rauskommen, jeder Server muss in ein VLAN und über die Firewall entsprechend regelmentiert werden. Hier wirst du eine Risikoabschätzung machen müssen, wenn ihr nicht genügend personelle Ressourcen habt, denn solch ein "zero-trust" Setup ist organisatorisch sehr umfassend und zeitfressend.
die Kollegen haben schon einige wichtige Punkte genannt.
Ich empfehle häufig das hier -> https://learn.microsoft.com/de-de/security/privileged-access-workstation ...
Das Modell beschreibt es aus der Sicht Zugriffen bzw. Active Directory, lässt sich aber auch gut auf ein Netzwerk übertragen.
Außerdem mal abseits der Beherschbarkeit etc. stell dir dein Netzwerk als Bürogebäude vor. Nun überleg wie viel von diesem Gebäude dürfte komplett abbrennen, ohne das ihr als Unternehmen die Handlungsfähigkeit verliert.
Mit der Antwort könntest du nun hingehen und die benötigen Brandabschnitte definieren und umsetzen.
Selbiges Spiel gilt auch gewissermaßen für dein Netzwerk: Wie viel deiner IT-Infrastruktur könntest du (z.B. durch einen Angriff) verlieren, ohne das ihr den K-Fall ausrufen müsst.
Darüber kannst du schon mal festlegen wie groß ein Netz maximal sein darf, und welche Komponenten darin gemeinsam platziert werden können.
Hier könnte im worst-case rauskommen, jeder Server muss in ein VLAN und über die Firewall entsprechend regelmentiert werden. Hier wirst du eine Risikoabschätzung machen müssen, wenn ihr nicht genügend personelle Ressourcen habt, denn solch ein "zero-trust" Setup ist organisatorisch sehr umfassend und zeitfressend.
Hallo Jonny,
wenn du ein NAC einsetzt, kann es dir egal sein, ob es viel oder wenig sind.
Das NAC übernimmt dann den Aufwand, wenn mal alles ordentlich eingerichtet ist.
Wir hatten bei mehreren Gebäuden und Stockwerke früher für jeden Stock ein eigenes Client-, AP-, Printer- VLAN.
Server sowieso immer trennen von allem anderen.
Du solltest in deine Überlegung sicherlich das Thema Ransomware mit einbeziehen.
Es gibt z.B. KEINEN Grund, dass sich alle Clients "sehen" und somit auch alle miteinander kommunizieren könnten.
Darüber läuft dann ein Ransomware Angriff ganz rasch über's ganze Haus, weil der Client ja "alle anderen sieht".
Die Aussage "So viele wie nötig, so wenig wie möglich" ist sicherlich sehr gut, wobei meiner Meinung nach eher die Tendenz Richtung eher eines zu viel, wie zu wenig, nicht falsch wäre.
Und ja ich muss auch Cloudrakete recht geben, dass die Tendenz bei den Server schon in die Richtung "worst-Case" geht, dass jeder Server in ein eigens VLAN müsste, oder zumindest div. Servergruppen trennen.
Wir werden in naher Zukunft diesen Weg anstreben.
Grund dafür sicherlich das Thema Ransomware.
Also z.B. Datenbank Server ein VLAN; Applikation1-Server (mehrere) ein VLAN; Applikation2-Server (mehrer) ein VLAN, Fileserver (mehrere) in ein VLAN, Exchange Server (mehrere) in ein VLAN, usw.
Dann wird eine Ost-West Firewall den Traffic Steuern/Überwachen/Filtern oder wie auch immer man dazu sagen möchte.
Klar wir sind 2 3 Nummern grösser wie dein Beispiel 100 Clients, aber Letzt endlich ist dies egal.
Es muss ja auch nicht immer alles auf einmal umgesetzt werden, aber bei jedem neuen Server kann man dies z.B. gleich umsetzten und hat dann irgendwann das Wunschkonzept fertig gebaut.
Viel Glück
wenn du ein NAC einsetzt, kann es dir egal sein, ob es viel oder wenig sind.
Das NAC übernimmt dann den Aufwand, wenn mal alles ordentlich eingerichtet ist.
Wir hatten bei mehreren Gebäuden und Stockwerke früher für jeden Stock ein eigenes Client-, AP-, Printer- VLAN.
Server sowieso immer trennen von allem anderen.
Du solltest in deine Überlegung sicherlich das Thema Ransomware mit einbeziehen.
Es gibt z.B. KEINEN Grund, dass sich alle Clients "sehen" und somit auch alle miteinander kommunizieren könnten.
Darüber läuft dann ein Ransomware Angriff ganz rasch über's ganze Haus, weil der Client ja "alle anderen sieht".
Die Aussage "So viele wie nötig, so wenig wie möglich" ist sicherlich sehr gut, wobei meiner Meinung nach eher die Tendenz Richtung eher eines zu viel, wie zu wenig, nicht falsch wäre.
Und ja ich muss auch Cloudrakete recht geben, dass die Tendenz bei den Server schon in die Richtung "worst-Case" geht, dass jeder Server in ein eigens VLAN müsste, oder zumindest div. Servergruppen trennen.
Wir werden in naher Zukunft diesen Weg anstreben.
Grund dafür sicherlich das Thema Ransomware.
Also z.B. Datenbank Server ein VLAN; Applikation1-Server (mehrere) ein VLAN; Applikation2-Server (mehrer) ein VLAN, Fileserver (mehrere) in ein VLAN, Exchange Server (mehrere) in ein VLAN, usw.
Dann wird eine Ost-West Firewall den Traffic Steuern/Überwachen/Filtern oder wie auch immer man dazu sagen möchte.
Klar wir sind 2 3 Nummern grösser wie dein Beispiel 100 Clients, aber Letzt endlich ist dies egal.
Es muss ja auch nicht immer alles auf einmal umgesetzt werden, aber bei jedem neuen Server kann man dies z.B. gleich umsetzten und hat dann irgendwann das Wunschkonzept fertig gebaut.
Viel Glück
Grüß euch, Danke für eure Antworten.
Es bestätigt grundsätzlich auch meinen eingeschlagenen Weg. Klar bei einigen aktuellen Projekten wo wir Netze auf die grüne Wiese gebaut haben, ist alles sehr stark segmentiert und strikt getrennt. Auch werden hier Zerotrust-Ansätze verfolgt. Viel spannender ist es bestehende Strukturen umzugestalten und zu segmentieren, da tlw. erst die notwendigen Gegebenheiten geschaffen werden müssen.
Zum Thema Ransomware und Segmentierung: Wir "durften" ein Unternehmen nach einem "erfolgreichen" Ransomware Angriff wiederbeleben und den Angriff analysieren / rekonstruieren. (Damals wars noch kein Kunde von uns) das hat mich zu einem Fan von vielen VLANs gemacht. Die Angreifer haben mit Mimikatz dort das Domain-Admin Passwort ausgelesen und sind fröhlich von einem Server via RDP zum nächsten Server gehüpft ... Tatsächlich gibt es kaum einen Grund warum man das nicht unterbinden soll.
Persönlich bin ich auch ein Fan vom VLAN Routing mittels ausreichend dimensioniertem Firewall-Cluster (tlw. UTM Dienste wie AV und IPS).
Bieten eurer Meinung nach L3 Switches hier wesentliche Vorteile gegenüber einer Firewall? Lange war ja ein L3 Switch das Maß der Dinge ;)
LG Jonny
Es bestätigt grundsätzlich auch meinen eingeschlagenen Weg. Klar bei einigen aktuellen Projekten wo wir Netze auf die grüne Wiese gebaut haben, ist alles sehr stark segmentiert und strikt getrennt. Auch werden hier Zerotrust-Ansätze verfolgt. Viel spannender ist es bestehende Strukturen umzugestalten und zu segmentieren, da tlw. erst die notwendigen Gegebenheiten geschaffen werden müssen.
Zum Thema Ransomware und Segmentierung: Wir "durften" ein Unternehmen nach einem "erfolgreichen" Ransomware Angriff wiederbeleben und den Angriff analysieren / rekonstruieren. (Damals wars noch kein Kunde von uns) das hat mich zu einem Fan von vielen VLANs gemacht. Die Angreifer haben mit Mimikatz dort das Domain-Admin Passwort ausgelesen und sind fröhlich von einem Server via RDP zum nächsten Server gehüpft ... Tatsächlich gibt es kaum einen Grund warum man das nicht unterbinden soll.
Persönlich bin ich auch ein Fan vom VLAN Routing mittels ausreichend dimensioniertem Firewall-Cluster (tlw. UTM Dienste wie AV und IPS).
Bieten eurer Meinung nach L3 Switches hier wesentliche Vorteile gegenüber einer Firewall? Lange war ja ein L3 Switch das Maß der Dinge ;)
LG Jonny
