11
Sicherheit Netzwerksegmentierung
Hallo Leute,
ich habe mal eine kurze Frage, wie sicher ist Netzwerksegmentierung wirklich? Ich meine wenn man annimmt, man hätte Schadcode die die Routingtabelle umschreiben könnte (vorausgesetzt die Netzwerke wären durch Spyware etc. bekannt), dann bringt doch selbst die Segmentierung nicht allzu viel oder?
Wie hoch ist diese Szenario mit dem Umschreiben der Routingtabelle überhaupt?
Mit freundlichen Grüßen
ich habe mal eine kurze Frage, wie sicher ist Netzwerksegmentierung wirklich? Ich meine wenn man annimmt, man hätte Schadcode die die Routingtabelle umschreiben könnte (vorausgesetzt die Netzwerke wären durch Spyware etc. bekannt), dann bringt doch selbst die Segmentierung nicht allzu viel oder?
Wie hoch ist diese Szenario mit dem Umschreiben der Routingtabelle überhaupt?
Mit freundlichen Grüßen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 344406
Url: https://administrator.de/forum/sicherheit-netzwerksegmentierung-344406.html
Ausgedruckt am: 20.04.2025 um 17:04 Uhr
11 Kommentare
Neuester Kommentar
Moin,
Segmentierung ohne ACLs ist kein Sicherheitsfeature. Werden ACLs eingesetzt, kann der Client die Routingtabelle umschreiben wir er will
lg,
Slainte
Segmentierung ohne ACLs ist kein Sicherheitsfeature. Werden ACLs eingesetzt, kann der Client die Routingtabelle umschreiben wir er will
lg,
Slainte
Alles klar, die ACLs müssten direkt auf dem Router gesetzt werden oder auf dem Server ?
Zitat von @Morpheus112:
Alles klar, die ACLs müssten direkt auf dem Router gesetzt werden oder auf dem Server ?
Alles klar, die ACLs müssten direkt auf dem Router gesetzt werden oder auf dem Server ?
Routet der Router oder der Server? ;)
Der Router natürlich.^^
Kann jeder Router ACLs setzen?
Kann jeder Router ACLs setzen?
Billigheimer/MediaMarkt-Mistgeräte nicht
Zumindest Router, die zwei oder mehr Netze aufspannen können (Gastnetz ausgenommen) können in der Regel auch ACLs.
Zyxel USG20W oder Cisco RV-Serie z.B. als günstiger Einstieg.
Oder OpenSource pfSense, IPFire etc.
Zumindest Router, die zwei oder mehr Netze aufspannen können (Gastnetz ausgenommen) können in der Regel auch ACLs.
Zyxel USG20W oder Cisco RV-Serie z.B. als günstiger Einstieg.
Oder OpenSource pfSense, IPFire etc.
Wenn wir hier von Netzwerksegmentierung (in LAN) sprechen, dann geht's ja nicht um klassische Router sondern eher um Layer-3 Switches - das ganze soll ja in Wirespeed auf allen Ports passieren.
Sprich ACL nicht zwingend auf Router, sondern eher Layer-3 Switches
Hi,
kannst du mir bitte erklären warum die so schnell "routen" können und ein Router nicht so schnell?
Liegt das an der verbauten Hardware? Und wenn ja warum sind dann die regulären Router soviel teurer ?
Vielen Dank
greets
Cyb
kannst du mir bitte erklären warum die so schnell "routen" können und ein Router nicht so schnell?
Liegt das an der verbauten Hardware? Und wenn ja warum sind dann die regulären Router soviel teurer ?
Vielen Dank
greets
Cyb
Grob:
Router: Wenig Ports, erweiterte L3/L4 Funktionilität, (extrem) große Routingtabelle
Switch: Viele Ports, nur grundlegende L3 Funktionen, kleine Routingtabelle
Mittlerweile vermischt sich das allerdings mehr und mehr., auch weil die Hardware (ASICs) immer schneller und billiger werden.
Router: Wenig Ports, erweiterte L3/L4 Funktionilität, (extrem) große Routingtabelle
Switch: Viele Ports, nur grundlegende L3 Funktionen, kleine Routingtabelle
Mittlerweile vermischt sich das allerdings mehr und mehr., auch weil die Hardware (ASICs) immer schneller und billiger werden.
Danke...
ich fragte mich das halt weil ISR Router meist das nachsehen haben im Beug Routing selbst wenn fast nichts in den Routingtabellen drin ist.
Also scheinen die Asics bei L3 Switches "besser" zu sein , wenn es sich um wenig Routing Aufgaben handelt?
Kann man das so verstehen?
greets
ich fragte mich das halt weil ISR Router meist das nachsehen haben im Beug Routing selbst wenn fast nichts in den Routingtabellen drin ist.
Also scheinen die Asics bei L3 Switches "besser" zu sein , wenn es sich um wenig Routing Aufgaben handelt?
Kann man das so verstehen?
greets
Moin,
naja, ein Grund ist ganz einfach: Dein Router hat sagen wir mal 1 Interface. Auf dem Interface laufen 2000 VLANs. Und jedesmal wenn ein VLAN mit einem anderem sprechen will muss das also rein ins Kabel, durch den Router und wieder raus. Somit geht das halt nur mit max. der Portgeschwindigkeit... Nehmen wir an ich habe nen Stack-Switch mit 2000 Ports. Auf jedem Port läuft genau 1 VLAN. Jetzt kann der switch also bereits exklusiv schalten - Port 1 (vlan1) spricht mit port 2 (vlan2) -> ok, "brücke" gebaut und vergessen, lass die machen... port 3 (vlan3) spricht mit port 4(vlan4) -> brücke gebaut und vergessen... Es gibt keinen Grund warum jetzt die 1/2 und 3/4 nicht gleichzeitig arbeiten sollten.
Beim Switch hast du heute ohne Probleme 24, 48 oder ähnliche Portzahlen (pro switch!). beim Router hast du oft nur 2-3 Interfaces wovon eben eines typischerweise Internet/Externes Netz ist. Wenn du also selbst Netzintern routen willst/musst hast du hier schon das Problem das du dein internes Interface zumüllst. Egal wie schnell die Router-CPU jetzt ist - hier hast du schon mal halbiert. Voll-Duplex geht da natürlich nicht da du ja die Daten von der Station an den Server schicken willst - d.h. Client sendet (am router rx), das wandert durch die Routing-Tabelle, router sendet (tx) an den server. Der Switch muss also hier wieder rumschalten...
Da hast du schon ganz einfache Hardware-Gründe warum man bei Routern immer langsamer ist - und warum der Hersteller eben da auch bei den Bausteinen ggf. ne Liga tiefer einsteigt...
naja, ein Grund ist ganz einfach: Dein Router hat sagen wir mal 1 Interface. Auf dem Interface laufen 2000 VLANs. Und jedesmal wenn ein VLAN mit einem anderem sprechen will muss das also rein ins Kabel, durch den Router und wieder raus. Somit geht das halt nur mit max. der Portgeschwindigkeit... Nehmen wir an ich habe nen Stack-Switch mit 2000 Ports. Auf jedem Port läuft genau 1 VLAN. Jetzt kann der switch also bereits exklusiv schalten - Port 1 (vlan1) spricht mit port 2 (vlan2) -> ok, "brücke" gebaut und vergessen, lass die machen... port 3 (vlan3) spricht mit port 4(vlan4) -> brücke gebaut und vergessen... Es gibt keinen Grund warum jetzt die 1/2 und 3/4 nicht gleichzeitig arbeiten sollten.
Beim Switch hast du heute ohne Probleme 24, 48 oder ähnliche Portzahlen (pro switch!). beim Router hast du oft nur 2-3 Interfaces wovon eben eines typischerweise Internet/Externes Netz ist. Wenn du also selbst Netzintern routen willst/musst hast du hier schon das Problem das du dein internes Interface zumüllst. Egal wie schnell die Router-CPU jetzt ist - hier hast du schon mal halbiert. Voll-Duplex geht da natürlich nicht da du ja die Daten von der Station an den Server schicken willst - d.h. Client sendet (am router rx), das wandert durch die Routing-Tabelle, router sendet (tx) an den server. Der Switch muss also hier wieder rumschalten...
Da hast du schon ganz einfache Hardware-Gründe warum man bei Routern immer langsamer ist - und warum der Hersteller eben da auch bei den Bausteinen ggf. ne Liga tiefer einsteigt...
