Sicherheit Netzwerksegmentierung

Mitglied: Morpheus112

Morpheus112 (Level 1) - Jetzt verbinden

25.07.2017 um 09:48 Uhr, 2243 Aufrufe, 11 Kommentare

Hallo Leute,
ich habe mal eine kurze Frage, wie sicher ist Netzwerksegmentierung wirklich? Ich meine wenn man annimmt, man hätte Schadcode die die Routingtabelle umschreiben könnte (vorausgesetzt die Netzwerke wären durch Spyware etc. bekannt), dann bringt doch selbst die Segmentierung nicht allzu viel oder?
Wie hoch ist diese Szenario mit dem Umschreiben der Routingtabelle überhaupt?
Mit freundlichen Grüßen
Mitglied: SlainteMhath
25.07.2017 um 09:58 Uhr
Moin,

Segmentierung ohne ACLs ist kein Sicherheitsfeature. Werden ACLs eingesetzt, kann der Client die Routingtabelle umschreiben wir er will

lg,
Slainte
Bitte warten ..
Mitglied: Morpheus112
25.07.2017, aktualisiert um 10:14 Uhr
Alles klar, die ACLs müssten direkt auf dem Router gesetzt werden oder auf dem Server ?
Bitte warten ..
Mitglied: chgorges
25.07.2017 um 10:17 Uhr
Zitat von Morpheus112:

Alles klar, die ACLs müssten direkt auf dem Router gesetzt werden oder auf dem Server ?

Routet der Router oder der Server? ;)
Bitte warten ..
Mitglied: Morpheus112
25.07.2017 um 10:22 Uhr
Der Router natürlich.^^
Kann jeder Router ACLs setzen?
Bitte warten ..
Mitglied: chgorges
25.07.2017, aktualisiert um 10:35 Uhr
Billigheimer/MediaMarkt-Mistgeräte nicht

Zumindest Router, die zwei oder mehr Netze aufspannen können (Gastnetz ausgenommen) können in der Regel auch ACLs.

Zyxel USG20W oder Cisco RV-Serie z.B. als günstiger Einstieg.

Oder OpenSource pfSense, IPFire etc.
Bitte warten ..
Mitglied: SlainteMhath
25.07.2017 um 10:49 Uhr
Wenn wir hier von Netzwerksegmentierung (in LAN) sprechen, dann geht's ja nicht um klassische Router sondern eher um Layer-3 Switches - das ganze soll ja in Wirespeed auf allen Ports passieren.
Bitte warten ..
Mitglied: Morpheus112
25.07.2017 um 11:12 Uhr
Sprich ACL nicht zwingend auf Router, sondern eher Layer-3 Switches
Bitte warten ..
Mitglied: Cyberurmel
26.07.2017 um 12:25 Uhr
Hi,

kannst du mir bitte erklären warum die so schnell "routen" können und ein Router nicht so schnell?
Liegt das an der verbauten Hardware? Und wenn ja warum sind dann die regulären Router soviel teurer ?

Vielen Dank

greets
Cyb
Bitte warten ..
Mitglied: SlainteMhath
26.07.2017 um 12:35 Uhr
Grob:

Router: Wenig Ports, erweiterte L3/L4 Funktionilität, (extrem) große Routingtabelle
Switch: Viele Ports, nur grundlegende L3 Funktionen, kleine Routingtabelle

Mittlerweile vermischt sich das allerdings mehr und mehr., auch weil die Hardware (ASICs) immer schneller und billiger werden.
Bitte warten ..
Mitglied: Cyberurmel
26.07.2017 um 14:35 Uhr
Danke...
ich fragte mich das halt weil ISR Router meist das nachsehen haben im Beug Routing selbst wenn fast nichts in den Routingtabellen drin ist.
Also scheinen die Asics bei L3 Switches "besser" zu sein , wenn es sich um wenig Routing Aufgaben handelt?
Kann man das so verstehen?
greets
Bitte warten ..
Mitglied: maretz
26.07.2017 um 21:49 Uhr
Moin,

naja, ein Grund ist ganz einfach: Dein Router hat sagen wir mal 1 Interface. Auf dem Interface laufen 2000 VLANs. Und jedesmal wenn ein VLAN mit einem anderem sprechen will muss das also rein ins Kabel, durch den Router und wieder raus. Somit geht das halt nur mit max. der Portgeschwindigkeit... Nehmen wir an ich habe nen Stack-Switch mit 2000 Ports. Auf jedem Port läuft genau 1 VLAN. Jetzt kann der switch also bereits exklusiv schalten - Port 1 (vlan1) spricht mit port 2 (vlan2) -> ok, "brücke" gebaut und vergessen, lass die machen... port 3 (vlan3) spricht mit port 4(vlan4) -> brücke gebaut und vergessen... Es gibt keinen Grund warum jetzt die 1/2 und 3/4 nicht gleichzeitig arbeiten sollten.

Beim Switch hast du heute ohne Probleme 24, 48 oder ähnliche Portzahlen (pro switch!). beim Router hast du oft nur 2-3 Interfaces wovon eben eines typischerweise Internet/Externes Netz ist. Wenn du also selbst Netzintern routen willst/musst hast du hier schon das Problem das du dein internes Interface zumüllst. Egal wie schnell die Router-CPU jetzt ist - hier hast du schon mal halbiert. Voll-Duplex geht da natürlich nicht da du ja die Daten von der Station an den Server schicken willst - d.h. Client sendet (am router rx), das wandert durch die Routing-Tabelle, router sendet (tx) an den server. Der Switch muss also hier wieder rumschalten...

Da hast du schon ganz einfache Hardware-Gründe warum man bei Routern immer langsamer ist - und warum der Hersteller eben da auch bei den Bausteinen ggf. ne Liga tiefer einsteigt...
Bitte warten ..
Heiß diskutierte Inhalte
Ubuntu
HAProxy-Wi: Installation des Pakets geht nicht - ich hätte keine enabled Repos
itnirvanaFrageUbuntu32 Kommentare

Hallo, von der Seite möchte ich gerne HAProxy-Wi installieren ich führe das hier aus Dann kommt -> There ar ...

Multimedia
Fernseher im Empfang GEMA-pflichtig?
CaptainDuskyFrageMultimedia27 Kommentare

Guten Tag, wenn ich in einer Firma einen Fernseher im Empfang betreibe, dort aber nur Nachrichten laufen lasse, ist ...

Windows 10
Windows 7 zu Windows 10 weiterhin kostenlos möglich?
gelöst CubeHDFrageWindows 1025 Kommentare

Guten Abend, ist es möglich einen vorhandenen Windows 7 Key für Windows 10 zu verwenden? Kennt ihr vielleicht andere ...

LAN, WAN, Wireless
Wlan Messgerät
gelöst fizlibuzliFrageLAN, WAN, Wireless23 Kommentare

Hallo, gibt es erschwingliche Messgeräte um vorhanden W-Lan ausleuchtungen in ihrer Signalstärke und Bandbreite zu messen. Es sollen einfache ...

Windows Server
PowerShell Script für MailVersand mit Anhang
gelöst klausk94FrageWindows Server20 Kommentare

Hallo Zusammen, ich bin aktuell etwas am verzweifeln an einem PS Script für den Emailversand Das Script funktioniert, jedoch ...

Router & Routing
Kaufempfehlung WLAN Router mit VLAN Unterstützung
ccreccFrageRouter & Routing18 Kommentare

Hallo zusammen, ich wollte mal nach einer Kaufempfehlung für einen WLAN Access Point mit halbwegs vernünftiger VLAN Unterstützung fragen. ...

Ähnliche Inhalte
Netzwerkmanagement

Netzwerksegmentierung eines 16bit Kundennetzes

gelöst Locke2016FrageNetzwerkmanagement29 Kommentare

Hallo lieber IT Mitstreiter, ich habe folgendes Problem bei einem Kunden, der ein grosses /16 Netz hat und bei ...

LAN, WAN, Wireless

Kaufberatung LAN, WLAN (Netzwerksegmentierung)

gelöst elmausiFrageLAN, WAN, Wireless2 Kommentare

Hallo zusammen, ich stehe zurzeit vor der Aufgabe, ein Netzwerk aus Gründen des Datenschutzes in zwei Segmente aufteilen zu ...

LAN, WAN, Wireless

PFSense + Cisco SG350 + AP AC Pro: Netzwerksegmentierung

JensanoFrageLAN, WAN, Wireless19 Kommentare

Hallo, ich habe nun den letzten Teil meiner Hardware den Cisco SG350-28 Switch bekommen und wollte mich mal an ...

Windows Netzwerk

Sicherheit Administrationskonten

gelöst Philipp711FrageWindows Netzwerk5 Kommentare

Hallo Leute, seit einigen Tagen schaue ich über unsere Infrastruktur und versuche mögliche Konfigurationsfehler im Bezug auf möglich Sicherheitslücken ...

Tipps & Tricks

IT-Sicherheit

gelöst RaucherbeinFrageTipps & Tricks13 Kommentare

Hi Leute. Ich bin seit geraumer Zeit im Netz auf der Suche nach brauchbaren Inhalten zum Thema IT-Sicherheit. Ich ...

Cloud-Dienste

Sicherheit von Clouds

fisch56FrageCloud-Dienste16 Kommentare

Hallo, habe jetzt tausend Artikel durchgelesen bin aber nicht schlauer. wenn ich z.B. google drive oder google photos nutze, ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT