Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Sichere Netzwerkinfrastrukturplanung

Mitglied: Randompepe

Randompepe (Level 1) - Jetzt verbinden

06.04.2020 um 16:42 Uhr, 587 Aufrufe, 13 Kommentare, 8 Danke

Moin Moin an Alle,
ich mache mir derzeit ein wenig Gedanken über eine sinnvolle neue Netzwerkstrukturplanung. Diese soll ein uralt-Netzwerk ersetzen und nichts daraus soll übernommen werden. Ich bin also von den Gedanken frei in der Gestaltung und würde gerne ein paar weitere Meinungen einholen. Budget ist ebenfalls eine zweitrangige Betrachtung. In erster Linie soll ein hohes Maß an Sicherheit gewährleistet sein.

Grundsätzlich soll das interne Netzwerk natürlich anhand verschiedener VLAN's abgegrenzt sein und über einen / mehrere Layer3-Switches gemanaged werden. Alle weitere interne Infrastruktur ist recht rudimentär und überschaubar. Interessant ist für mich ist allerdings der Step in Richtung externe Kommunkation was u.a. klassisches Surfen angeht. Hier liegt für mich der Schwerpunkt und es soll maximale Sicherheit erreicht werden (auch wenn es keine 100% gibt). Die aufgebaute DMZ soll klassisch das LAN vom WAN trennen. Mein Gedanke ist zum Einen: Unterschiedliche Hersteller bei aktiven Netzwerkkomponenten im LAN / DMZ / WAN und zum Anderen: Unterschiedliche Hersteller im Bereich der Next-Generation-Firewall's.
Bei der Trennung der aktiven Netzwerkkomponenten sehe ich wenig Schwierigkeiten. Jetzt allerdings der Punkt der Firewall-Security-Lösungen: Hersteller DMZ to extern und erste Firewall DMZ to intern soll von Hersteller X sein (Bspw. Fortinet). Jetzt würde ich allerdings gerne hinter die erste Firewall Richtung intern (von der DMZ aus gesehen), noch eine weitere Firewall-Security-Lösung eines weiteren Hersteller Y (Bspw. PaloAlto) setzen. Sinn und Zweck wäre bei einer Zero-Day-Lücke o.ä. in Fortinet kommt der Angreifer bis zum DMZ to intern der Fortinet-Lösung, doch die PaloAlto steht noch. Zudem hätten wir noch unterschiedliche Hersteller auf den aktiven Netzwerkkomponenten zwischen DMZ und LAN.
Ich hoffe das Ganze ist vom Lösungsansatz verständlich und mit Hilfe des beigefügten Bildes nachzuvollziehen.

Denkt ihr das funktioniert vom Grundsatz, gibt es Ansätze und Vorschläge bzgl. einer besseren Umsetzung? Dies ist erst einmal das erste "Brainstorming" meinerseits.


Gruß und vielen Dank

Randompepe
first_though - Klicke auf das Bild, um es zu vergrößern
Mitglied: aqui
LÖSUNG 06.04.2020, aktualisiert 08.04.2020
Ja, das funktioniert so und ist mehr oder minder ein klassisches Design mit dem du nichts falsch machst. So sähe sowas in einer Campus Hierarchie aus:

stackdesign - Klicke auf das Bild, um es zu vergrößern

Dein Fokus oben lag da mehr auf der WAN Anbindung was dann hier dem Komplex "VPN/Router/Firewall" entspricht.
Dort würde man dann natürlich mit einem Fokus auf höhere Sicherheit immer 2 WAN Router oder Firewalls planen die in einem VRRP oder HA Cluster redundant arbeiten und auch mindestens 2 redundante Provider bedienen. Sich nur auf LTE Provider zu verlassen wäre dann wieder fahrlässig. Zumal man da auch von der Bandbreite durch die in der Regel bis zu 700facher Überbuchung der Zellen niemals sicher gehen kann.
Ist aber im Ganzen schon alles richtig so.
Bitte warten ..
Mitglied: ChriBo
06.04.2020 um 20:35 Uhr
Hi,
Gegenfragen:
Ist das ernst gemeint ?
für wieviele Anwender in den Netzen soll das geplant werden ?
Wieviele sehr gute Netzwerkadmins hast du zur Verfügung ?
-
Sorry, aber für mich sieht das nur nach einer Zusammenfassung von Buzzwords aus:
DMZ, VLAN, Layer 3 Switch, Next Generation Firewall.
-
Konkrete Fehler bzw. Mängel die ich sehe:
- inkl. LTE Router(?) hast du Netzwerkkomponenten von 3-5 verschiedenen Herstellern verbaut, hierfür benötigst du Leute die diese Geräte vernünftig einrichten und mangen können.
- von LAN zu WAN hast du 4 Router hintereinander geschaltet, mit Layer 3 Switchen hast du sogar 7 routende Komponenten hintereinander: Respekt.
etc.

CH
Bitte warten ..
Mitglied: Xaero1982
06.04.2020 um 23:02 Uhr
@ChriBo, wo siehst du denn da bitte 4 Router hintereinander geschaltet? Geschweige denn 7?
Ich sehe auch keine Herstellerangaben. Die unterstellst du.

Ist dein Betrag ernst gemeint?

Grüße
Bitte warten ..
Mitglied: IT-Prof
06.04.2020 um 23:25 Uhr
Dein Design wird am Ende des Tages keine zusätzliche Sicherheit herstellen.

Das Hochnehmen einer Firewall ist eine im echten Leben sehr selten stattfindende Angriffstechnik.

Der Angriff, der in deinem Fall höchstwahrscheinlich kein gezielter Angriff ist, wird auf eine Software und dessen Speicherverhalten abzielen oder eine Interaktion eines Menschen benutzen.
Sollte jemand eine Perimeterfirewall erfolgreich kompromittieren,dann wird eine weitere Firewall keinen Nutzen mehr bringen.

Ich glaube Du bist gut beraten, wenn die dein Wissensstand über tatsächliche Gefahren auf den neusten Stand bringst und die Märchen von irgendwelchen Hollywoodfilmen nicht glaubst.

Der Angriffsvektor ist mit annähernd 100%-tiger Wahrscheinlichkeit schon vorhanden und es ist kein Netzwerkgerät.
Bitte warten ..
Mitglied: ChriBo
07.04.2020 um 07:33 Uhr
Hi,
Clients - <Layer 3 Switch>-[FW1]-[FW2]-<Layer 3 Switch> - [FW3] - <Layer 3 Switch> - [LTE Router]
3x FW + LTE Router ergibt für mich 4 hintereinander geschaltete Router.
3x Layer 3 (!) Switche sind auch routende Komponenten.
-
Ob die Komponenten dann routen, bridgen, natten oder die Switche dann nur auf Layer 2 arbeiten ist erstmal egal.
Wg. den unterschiedlichen Herstellern: Dies kam vom OT.

CH
Bitte warten ..
Mitglied: Xaero1982
07.04.2020 um 08:11 Uhr
Und seit wann ist eine Firewall ein Router?

Und wen juckt es ob da l3 Switche zwischen hängen?
Bitte warten ..
Mitglied: aqui
07.04.2020, aktualisiert um 09:44 Uhr
Firewalls werden aber in der Majorität im Routing Modus verwendet. Klar können sie aber auch als transparente Layer 2 Firewalls arbeiten was aber nicht ganz so häufig ist wie L3.
Firewall kann aber beides, das ist richtig.
Bitte warten ..
Mitglied: Xaero1982
07.04.2020 um 13:04 Uhr
Das ist ja richtig, aber eine reine Firewall an sich ist ja erstmal kein Router... deswegen finde ich die Aussage gewagt, dass es ja x Router wären
Bitte warten ..
Mitglied: IT-Prof
07.04.2020 um 13:07 Uhr
Eine Firewall ist schon ein Router. Vermutlich nicht der Core-Router aber sie routet in den meisten Fällen.
Bitte warten ..
Mitglied: Randompepe
08.04.2020 um 12:08 Uhr
Hallo an alle Antwortenden,
vielen Dank erstmal für euer Feedback. Zuerst den kritisch gestimmten, ich glaube ob die Frage ernst gemeint ist stellt sich nicht. Ich hätte sie sonst nicht gestellt. Buzzwords, ja im groben Konzept besteht dieses natürlich auch aus diesen, finde ich nicht verwerflich.

Grundsätzlich ist das Eine oder Andere bewusst gewählt. So z.B. ist eine Anbindung von verschiedenen Mobilfunktanbietern und entsprechend der LTE-Anbindung zwingend notwendig.
Die Thematik der Administration und notwendigen Fachkräfte zwecks verschiedener Hersteller ist bereits erkannt, bedacht und abgedeckt. Hier zieht genau der Aspekt Sicherheit vor Geld / Personal.

Danke @aqui für die erste Antwort. Hat mir geholfen.

@IT-Prof (wenn man sich schon so nennen muss...) Danke auch für dein Feedback. Wenn du mal mehr über zielgerichtete professionelle, teils staatlich gesteuerte Angriffe und aktuelle Angriffsvektoren fernab deiner Filterblase hören willst, darfst mich gerne PM. Bis dahin unterstelle mir vielleicht nicht ohne Vorwissen, ich würde mein Angreiferclientel sowohl intern- wie auch extern nicht kennen.

Gruß

Randompepe
Bitte warten ..
Mitglied: IT-Prof
08.04.2020 um 12:46 Uhr
Pepe, willst du allen Ernstes erklären, dass deine Konstruktion, die du in einem Forum wie diesen ausbreitest, einen Schutz vor staatlicher oder sonstiger professioneller Angriffe bieten soll?

Wenn du über solches Geheimwissen verfügst und so den totalen Überblick hast, warum dann der Post hier?

Allein die Wahrscheinlichkeit der Firewall-Kompromitirung ist so gering, dass du eher beim Abholen deines Lottogewinns vom Blitz getroffen wirst. Dass zusätzlich, dieses Hochsicherheits"Konzept" von dir designt oder bedient wird, der das hier ausbreitet, ist auch völliger Mumpitz. Der Menschenverstand und die Lebenserfahrung sagt hier eigentlich gleich: Obacht, jetzt wird es lustig.

Und die drei LTE Anschlüsse noch dazu... 🤦

Nur Mal so am Rande, ich habe auch mit außerordentlich kritischen Themen zu tun, Stichwort Industriespionage oder Rüstungsaufträge. Ich dürfte aber kein einziges Wort dazu sagen oder andeuten, selbst dieser Satz hier ist grenzwertig. Außerdem muss ich damit rechnen, dass mein Arbeitgeber oder Bundesbehörden wiederkehrend meine Zuverlässigkeit prüft. Eine Veröffentlichung eines Konzeptes, sei es nur theoretischer Art und ein Zaunpfahlwink mit Höchstschutzbedürfnissen vor staatlichen Angriffen, ist mindestens unseriös.
Bitte warten ..
Mitglied: Randompepe
08.04.2020 um 14:00 Uhr
*gähn* deswegen hast du bisher auch nicht mehr als Geschwätz hervorgebracht. Vielleicht widmest du dich wichtigeren Dingen.
Bitte warten ..
Mitglied: IT-Prof
08.04.2020 um 18:14 Uhr
Es lachen nicht nur die Hühner.
Wenn dir die Sache selber nicht seltsam vorkommt...;)
Bitte warten ..
Ähnliche Inhalte
Windows 10
Druckerwarteschlange beendet sich
gelöst Frage von HanutaWindows 1018 Kommentare

Hallo Zusammen, bei einigen Windows10 Rechner beendet sich der Dienst Druckerwarteschlange automatisch. Folgende versuche wurden schon unternommen: -Windows Updates ...

Router & Routing
Cisco Uhrzeit verstellt sich
Frage von Windows10GegnerRouter & Routing3 Kommentare

Hallo, ich habe gerade festgestellt, dass die Uhrzeit bei meinem Cisco immer einen Tag voraus ist (Heute am Samstag ...

Windows Server
Netzlaufwerke verbinden sich nicht
Frage von DuuuhhWindows Server6 Kommentare

Hallo, wie der Titel schon sagt, habe ich aktuell Probleme mit dem automatischen Verbinden von Netzlaufwerken. Der Kunde arbeitet ...

Windows Server
Remotedesktop verbindet sich nicht
Frage von specialuserWindows Server11 Kommentare

Servus, seit gestern haben wir Probleme mit der Remotedesktopverbindung komischerweise aber nur bei 2 Usern. Auf dem Terminalserver passen ...

Neue Wissensbeiträge
iOS
IOS iPadOS 13.5.1 erschienen
Information von sabines vor 4 StundeniOS

Recht kurz nach iOS 13.5.0 ist gestern iOS/iPadOS in der Version 13.5.1 für IPhone und IPad erschienen. Es schließt ...

Windows Update

Nach Windows 10 Update auf 2004 ist kein RDP-Zugriff mehr möglich - möglicher Fix

Anleitung von VincentGdG vor 5 StundenWindows Update2 Kommentare

Moin. Ich habe gestern unsere PC per RDP auf 2004 upgedatet. Danach hatte ich auf einige PC keinen Zugriff ...

Weiterbildung
2. IT Pro Night Thema Sicherheit
Information von 1Werner1 vor 20 StundenWeiterbildung

Moin, nach dem im letzten Jahr die IT ProNight ein voller Erfolg war, haben wir diese dies Jahr ins ...

Informationsdienste

Die Zerstörung der Presse - Youtuber Rezo möchte Missstände in unserer Mediengesellschaft aufzeigen, um sie zu lösen

Information von Frank vor 1 TagInformationsdienste32 Kommentare

Youtuber Rezo greift in seinem neuen Video den Boulevard an, warnt vor allem vor Verschwörungen und richtet einen Appell ...

Heiß diskutierte Inhalte
Microsoft
100 Prozent CPU Last gleich Volllast, Pustekuchen, nicht bei Microsoft!!! VOL 2
Frage von MysticFoxDEMicrosoft60 Kommentare

Liebe Freunde der Präzision und der Norm, ich möchte in diesem Beitrag konstruktiv an den folgenden Vorgängerbeitrag anschliessen, der ...

Microsoft
Zugriffsprobleme Festplatte
gelöst Frage von MiMa89Microsoft58 Kommentare

Hallo Zusammen, ich hoffe Ihr könnt mir bei folgendem Problem helfen. Ich habe eine externe Festplatte die nicht mehr ...

SAN, NAS, DAS
Entscheidungshilfe Storage für Netzwerkupgrade
Frage von m-jelinskiSAN, NAS, DAS34 Kommentare

Hallo zusammen, unsere Server und Storage-Systeme sind nun 6 Jahre alt und überfällig ausgetauscht zu werden. Daher haben wir ...

Informationsdienste
Die Zerstörung der Presse - Youtuber Rezo möchte Missstände in unserer Mediengesellschaft aufzeigen, um sie zu lösen
Information von FrankInformationsdienste32 Kommentare

Youtuber Rezo greift in seinem neuen Video den Boulevard an, warnt vor allem vor Verschwörungen und richtet einen Appell ...