port5000
Goto Top

Switch hinter Provider-Router

Hallo Community,

wir haben einen neuen Business-Internetanschluss mit einem eigenen öffentlichen Netzbereich bestellt (/29). Am Providerrouter wird es nur einen aktiven Port für uns geben, wir wollen aber mehrere Geräte anschließen, unter anderem unsere neue HA-Firewalls. Wir benötigen also einen Switch zwischen dem Providerrouter und unseren Geräten. Da der Switch an dieser Stelle aber frei im Internet hängt, ohne eine vorgeschaltete Firewall, bin ich mir unsicher, was zu beachten ist.

Sollten wir hier einen einfachen unmanaged Switch (z.b. von Netgear) verbauen, da dieser mangels Administrationsoberfläche nicht angreifbar ist?

Oder sollte ein Managed Switch verbaut werden (z.b. Cisco CBS350-Series), da nur solche Switche zusätzliche Funktionen besitzen, die an dieser Stelle benötigt werden? Was für Funktionen wären dies? Und wie müsste der Switch abgesichert werden, damit er nicht selbst ein Risiko darstellt?

Gruß
Port5000

Content-ID: 51410549663

Url: https://administrator.de/contentid/51410549663

Ausgedruckt am: 23.11.2024 um 10:11 Uhr

Lochkartenstanzer
Lochkartenstanzer 07.08.2024 aktualisiert um 08:14:25 Uhr
Goto Top
Moin,

I.d.R. reicht da ein unmanaged switch vollkommen, außer ihr möchtet da noch Monitoring machen oder zusätzliche debuggig-funktionen nutzen.

Ich nehme da zwar managebare switche, konfiguriere die aber auf ein RFC1918-Netz, so daß sie nicht ohne weiteres aus dem Internet erreichbar sind. Dann kann man die ggf. Aus dem LAN heraus über eine Firewall erreichen und administrieren.

lks

PS: VLANs sind in solchen Fällen sehr nützlich. face-smile
nachgefragt
nachgefragt 07.08.2024 um 08:33:34 Uhr
Goto Top
Zitat von @Port5000:
da dieser mangels Administrationsoberfläche nicht angreifbar ist?
Nur weil ein Switch keine GUI hat bedeutet das nicht, dass er nicht angreifbar ist, vielleicht nur nicht über Port 80 oder 443.

Evtl. interessant für dich: https://forum.opnsense.org/index.php?topic=39556.0
killtec
killtec 07.08.2024 um 10:47:34 Uhr
Goto Top
Hi,
wir haben eine Ähnliche Konstellation. Ich habe hier einen alten HP 1820 Switch zwischen gepackt ohne config. Hinter dem ist eh unsere Firewall und ein Gerät vom Energieversorger was die selbst konfigurieren.

Gruß
Lochkartenstanzer
Lochkartenstanzer 07.08.2024 um 11:35:38 Uhr
Goto Top
Moin,

ich nochmal:

Wenn Du keinerlei Anforderungen hast, außer daß Du genügend Ports zur Verfügung hast, bei /29 sind das üblicherweise maximal 6 notwendige Ports, nimm einen einfachen dummen switch.

Ansonsten nimm einen managebagren switch, den Du übewr ein RFC1918-Netz erreichbar machst, z.B. 172.17.137.0/24. Dazu konfigurierst Du entweder einen weiteren Port auf der Firewall, der Euer Management-LAN mit diesem Netz verbindet oder machst zwei VLANs zwischen Firewall und switch. Dazu passende Firewall-Regeln, daß nur Verbindunen von innen auf diesen swicth zugelassen werden und keine vom switch zum LAN. Manche switche kann man sogar so konfigurieren, daß sie nur Verbindungen von bestimmen Systemen erlauben. Dann kan man sowohl Monnitoren als auch managen, ohn die Sicherheit allzuarg einzuschränken.

lks
aqui
aqui 07.08.2024 aktualisiert um 12:57:01 Uhr
Goto Top
Je nachdem ob man ein Netzwerk sinnvoll segmentieren will oder es als dummes, flaches Layer 2 Netzwerk betreiben will entscheidet mehr oder minder über die Art des Switches.

So oder so ist die Frage aber letztlich sinnfrei, denn das Switch Management legt man bekanntlich immer in ein gesichertes und nur lokal erreichbares Management VLAN in einem Firmennetz.
Genau wegen der deutlich erweiterten Troubleshooting Möglichkeiten und vor allem den erweiterten Security Einstellungen wie Spanning Tree, 802.1x, SSH und andere Funktionen wie LACP LAGs usw. usw. stellt sich in einem Firmennetzwerk niemals mehr die Frage ob ungemanagter Dödelswitch oder einer mit Management. Zeigt eigentlich eher das der Netzwerk Admin seinen Job nicht richtig gemacht hat!
ukulele-7
ukulele-7 07.08.2024 um 13:34:44 Uhr
Goto Top
Mal rein aus Neugierde: Welche anderen Geräte werden denn neben der Firewall (und nicht hinter der Firewall) betrieben? Wäre es nicht sinnvoller, die Firewall (oder eine dedizierte) noch dazwischen zu hängen?
Port5000
Port5000 07.08.2024 aktualisiert um 14:54:47 Uhr
Goto Top
Zitat von @ukulele-7:

Welche anderen Geräte werden denn neben der Firewall (und nicht hinter der Firewall) betrieben?

- Mehrere Firewalls eines High Availibitily Firewall Clusters.
- Eine andere Firewall, die einen völlig anderen Bereich abdeckt und daher absichtlich von der normalen Firewall so weit wie möglich physikalisch getrennt ist.
- Von Drittanbietern verwaltete Systeme (Gebäudetechnik)
Port5000
Port5000 07.08.2024 aktualisiert um 14:53:52 Uhr
Goto Top
Zitat von @aqui:

Genau wegen der deutlich erweiterten Troubleshooting Möglichkeiten und vor allem den erweiterten Security Einstellungen wie Spanning Tree, 802.1x, SSH und andere Funktionen wie LACP LAGs usw. usw. stellt sich in einem Firmennetzwerk niemals mehr die Frage ob ungemanagter Dödelswitch oder einer mit Management.


Aqui, ich schätze deine Antworten üblicherweise sehr. Aber ich glaube hier hast du hast meine Frage nicht vollständig gelesen, bevor du geantwortet hast. Es geht mir nicht um das interne Netzwerk HINTER der Firewall. Das ist natürlich mit VLANs, LACP LAG, RSTP etc. ausgestattet. Mir geht es nur um den einen Switch VOR der Firewall, nämlich zwischen Providerrouter und den Firewalls.

Und meine Frage ist weiterhin: Benötige ich an diesem, prinzipiell aus dem Internet frei zugänglichen Switch (damit meine ich nicht das Admininterface), irgendwelche besonderen Switch-Security-Features, oder reicht genauso gut ein Unmanaged Switch?

Spanning Tree (wie soll das bei dieser Konstellation relevant sein), 802.1X (Switch und alle angeschlossenen Geräte sind im selben abgeschlossenen Rack im RZ) und LACP LAG (Internetleitung hat derzeit unter 1 gbit) werden meines Erachtens an dieser Stelle nicht benötigt.
Lochkartenstanzer
Lösung Lochkartenstanzer 07.08.2024 aktualisiert um 17:36:29 Uhr
Goto Top
Zitat von @Port5000:

Und meine Frage ist weiterhin: Benötige ich an diesem, prinzipiell aus dem Internet frei zugänglichen Switch (damit meine ich nicht das Admininterface), irgendwelche besonderen Switch-Security-Features, oder reicht genauso gut ein Unmanaged Switch?

Es reicht vollkommen, da einen dummen switch hinzuhängen, wie ich auch wiederholt gesagt habe. Nur wenn Du selbst weitere Anforderungen hast, muß da mehr hin.

lks
TwistedAir
Lösung TwistedAir 07.08.2024 um 18:27:14 Uhr
Goto Top
Moin face-smile

Zitat von @Port5000:

Zitat von @aqui:

Genau wegen der deutlich erweiterten Troubleshooting Möglichkeiten und vor allem den erweiterten Security Einstellungen wie Spanning Tree, 802.1x, SSH und andere Funktionen wie LACP LAGs usw. usw. stellt sich in einem Firmennetzwerk niemals mehr die Frage ob ungemanagter Dödelswitch oder einer mit Management.


Aqui, ich schätze deine Antworten üblicherweise sehr. Aber ich glaube hier hast du hast meine Frage nicht vollständig gelesen, bevor du geantwortet hast. Es geht mir nicht um das interne Netzwerk HINTER der Firewall. Das ist natürlich mit VLANs, LACP LAG, RSTP etc. ausgestattet. Mir geht es nur um den einen Switch VOR der Firewall, nämlich zwischen Providerrouter und den Firewalls.

Und meine Frage ist weiterhin: Benötige ich an diesem, prinzipiell aus dem Internet frei zugänglichen Switch (damit meine ich nicht das Admininterface), irgendwelche besonderen Switch-Security-Features, oder reicht genauso gut ein Unmanaged Switch?

Spanning Tree (wie soll das bei dieser Konstellation relevant sein), 802.1X (Switch und alle angeschlossenen Geräte sind im selben abgeschlossenen Rack im RZ) und LACP LAG (Internetleitung hat derzeit unter 1 gbit) werden meines Erachtens an dieser Stelle nicht benötigt.

Mein bescheidene Meinung dazu: wenn du rein auf die Funktion der Verbindung von Provider-Anschluss mit der Firewall abzielst, dann tut es ein dummer Switch. Ein managed Switch wird sinnvoll sein, wenn Redundanzen, Ausfallsicherheit und Vorgaben bestehen, wie z: B.
  • es soll vermieden werden, dass ein unbeabsichtigt erzeugter Loop das Netzwerk lahm legt -> STP
  • Firewall und Switch sollen mit zwei oder mehr Leitungen verbunden werden (Redundanz) -> LACP (oder zweite Wahl STP)
  • die Verfügbarkeit des Switches soll überwacht werden (Monitoring) -> Switch braucht IP -> managed
  • der Switch fällt in den Scope einer ISO/BSI-Zertifizierung -> unmanaged wird schwierig zu begründen bei den Anforderungen
  • Switch soll zweites Netzteil haben (Redundanz) -> gibt es sowas bei (billigen) unmanaged Switches?
  • VLANs sehe ich ad hoc nicht aber pVLAN (private VLAN) könnte ein Feature sein, dass die Abgrenzung der Firewalls und des Dienstleisterbereichs verstärken könnte

Unterm Strich ein klares "es kommt drauf an" - was man halt umsetzen möchte. face-wink

Gruß
TA
Port5000
Port5000 07.08.2024 um 22:02:41 Uhr
Goto Top
Danke für die Antworten!

Ich schlussfolgere, dass es kein zwingendes technisches Argument gegen unmanaged Switches zwischen Providerrouter und Firewalls gibt.

Man verliert durch den unmanaged Switch Überwachungsmöglichkeiten und Ausfallsicherheit (nur ein Netzteil). Kann aber im Störungsfall auch jeden Azubi kurzerhand den Switxh tauschen lassen.

Gruß
Port5000