11
Switch hinter Provider-Router
Hallo Community,
wir haben einen neuen Business-Internetanschluss mit einem eigenen öffentlichen Netzbereich bestellt (/29). Am Providerrouter wird es nur einen aktiven Port für uns geben, wir wollen aber mehrere Geräte anschließen, unter anderem unsere neue HA-Firewalls. Wir benötigen also einen Switch zwischen dem Providerrouter und unseren Geräten. Da der Switch an dieser Stelle aber frei im Internet hängt, ohne eine vorgeschaltete Firewall, bin ich mir unsicher, was zu beachten ist.
Sollten wir hier einen einfachen unmanaged Switch (z.b. von Netgear) verbauen, da dieser mangels Administrationsoberfläche nicht angreifbar ist?
Oder sollte ein Managed Switch verbaut werden (z.b. Cisco CBS350-Series), da nur solche Switche zusätzliche Funktionen besitzen, die an dieser Stelle benötigt werden? Was für Funktionen wären dies? Und wie müsste der Switch abgesichert werden, damit er nicht selbst ein Risiko darstellt?
Gruß
Port5000
wir haben einen neuen Business-Internetanschluss mit einem eigenen öffentlichen Netzbereich bestellt (/29). Am Providerrouter wird es nur einen aktiven Port für uns geben, wir wollen aber mehrere Geräte anschließen, unter anderem unsere neue HA-Firewalls. Wir benötigen also einen Switch zwischen dem Providerrouter und unseren Geräten. Da der Switch an dieser Stelle aber frei im Internet hängt, ohne eine vorgeschaltete Firewall, bin ich mir unsicher, was zu beachten ist.
Sollten wir hier einen einfachen unmanaged Switch (z.b. von Netgear) verbauen, da dieser mangels Administrationsoberfläche nicht angreifbar ist?
Oder sollte ein Managed Switch verbaut werden (z.b. Cisco CBS350-Series), da nur solche Switche zusätzliche Funktionen besitzen, die an dieser Stelle benötigt werden? Was für Funktionen wären dies? Und wie müsste der Switch abgesichert werden, damit er nicht selbst ein Risiko darstellt?
Gruß
Port5000
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-ID: 51410549663
Url: https://administrator.de/contentid/51410549663
Printed on: September 1, 2024 at 08:09 o'clock
11 Comments
Latest comment
Moin,
I.d.R. reicht da ein unmanaged switch vollkommen, außer ihr möchtet da noch Monitoring machen oder zusätzliche debuggig-funktionen nutzen.
Ich nehme da zwar managebare switche, konfiguriere die aber auf ein RFC1918-Netz, so daß sie nicht ohne weiteres aus dem Internet erreichbar sind. Dann kann man die ggf. Aus dem LAN heraus über eine Firewall erreichen und administrieren.
lks
PS: VLANs sind in solchen Fällen sehr nützlich.
I.d.R. reicht da ein unmanaged switch vollkommen, außer ihr möchtet da noch Monitoring machen oder zusätzliche debuggig-funktionen nutzen.
Ich nehme da zwar managebare switche, konfiguriere die aber auf ein RFC1918-Netz, so daß sie nicht ohne weiteres aus dem Internet erreichbar sind. Dann kann man die ggf. Aus dem LAN heraus über eine Firewall erreichen und administrieren.
lks
PS: VLANs sind in solchen Fällen sehr nützlich.
Nur weil ein Switch keine GUI hat bedeutet das nicht, dass er nicht angreifbar ist, vielleicht nur nicht über Port 80 oder 443.
Evtl. interessant für dich: https://forum.opnsense.org/index.php?topic=39556.0
Evtl. interessant für dich: https://forum.opnsense.org/index.php?topic=39556.0
Hi,
wir haben eine Ähnliche Konstellation. Ich habe hier einen alten HP 1820 Switch zwischen gepackt ohne config. Hinter dem ist eh unsere Firewall und ein Gerät vom Energieversorger was die selbst konfigurieren.
Gruß
wir haben eine Ähnliche Konstellation. Ich habe hier einen alten HP 1820 Switch zwischen gepackt ohne config. Hinter dem ist eh unsere Firewall und ein Gerät vom Energieversorger was die selbst konfigurieren.
Gruß
Moin,
ich nochmal:
Wenn Du keinerlei Anforderungen hast, außer daß Du genügend Ports zur Verfügung hast, bei /29 sind das üblicherweise maximal 6 notwendige Ports, nimm einen einfachen dummen switch.
Ansonsten nimm einen managebagren switch, den Du übewr ein RFC1918-Netz erreichbar machst, z.B. 172.17.137.0/24. Dazu konfigurierst Du entweder einen weiteren Port auf der Firewall, der Euer Management-LAN mit diesem Netz verbindet oder machst zwei VLANs zwischen Firewall und switch. Dazu passende Firewall-Regeln, daß nur Verbindunen von innen auf diesen swicth zugelassen werden und keine vom switch zum LAN. Manche switche kann man sogar so konfigurieren, daß sie nur Verbindungen von bestimmen Systemen erlauben. Dann kan man sowohl Monnitoren als auch managen, ohn die Sicherheit allzuarg einzuschränken.
lks
ich nochmal:
Wenn Du keinerlei Anforderungen hast, außer daß Du genügend Ports zur Verfügung hast, bei /29 sind das üblicherweise maximal 6 notwendige Ports, nimm einen einfachen dummen switch.
Ansonsten nimm einen managebagren switch, den Du übewr ein RFC1918-Netz erreichbar machst, z.B. 172.17.137.0/24. Dazu konfigurierst Du entweder einen weiteren Port auf der Firewall, der Euer Management-LAN mit diesem Netz verbindet oder machst zwei VLANs zwischen Firewall und switch. Dazu passende Firewall-Regeln, daß nur Verbindunen von innen auf diesen swicth zugelassen werden und keine vom switch zum LAN. Manche switche kann man sogar so konfigurieren, daß sie nur Verbindungen von bestimmen Systemen erlauben. Dann kan man sowohl Monnitoren als auch managen, ohn die Sicherheit allzuarg einzuschränken.
lks
Je nachdem ob man ein Netzwerk sinnvoll segmentieren will oder es als dummes, flaches Layer 2 Netzwerk betreiben will entscheidet mehr oder minder über die Art des Switches.
So oder so ist die Frage aber letztlich sinnfrei, denn das Switch Management legt man bekanntlich immer in ein gesichertes und nur lokal erreichbares Management VLAN in einem Firmennetz.
Genau wegen der deutlich erweiterten Troubleshooting Möglichkeiten und vor allem den erweiterten Security Einstellungen wie Spanning Tree, 802.1x, SSH und andere Funktionen wie LACP LAGs usw. usw. stellt sich in einem Firmennetzwerk niemals mehr die Frage ob ungemanagter Dödelswitch oder einer mit Management. Zeigt eigentlich eher das der Netzwerk Admin seinen Job nicht richtig gemacht hat!
So oder so ist die Frage aber letztlich sinnfrei, denn das Switch Management legt man bekanntlich immer in ein gesichertes und nur lokal erreichbares Management VLAN in einem Firmennetz.
Genau wegen der deutlich erweiterten Troubleshooting Möglichkeiten und vor allem den erweiterten Security Einstellungen wie Spanning Tree, 802.1x, SSH und andere Funktionen wie LACP LAGs usw. usw. stellt sich in einem Firmennetzwerk niemals mehr die Frage ob ungemanagter Dödelswitch oder einer mit Management. Zeigt eigentlich eher das der Netzwerk Admin seinen Job nicht richtig gemacht hat!
Mal rein aus Neugierde: Welche anderen Geräte werden denn neben der Firewall (und nicht hinter der Firewall) betrieben? Wäre es nicht sinnvoller, die Firewall (oder eine dedizierte) noch dazwischen zu hängen?
1
Zitat von @ukulele-7:
Welche anderen Geräte werden denn neben der Firewall (und nicht hinter der Firewall) betrieben?
Welche anderen Geräte werden denn neben der Firewall (und nicht hinter der Firewall) betrieben?
- Mehrere Firewalls eines High Availibitily Firewall Clusters.
- Eine andere Firewall, die einen völlig anderen Bereich abdeckt und daher absichtlich von der normalen Firewall so weit wie möglich physikalisch getrennt ist.
- Von Drittanbietern verwaltete Systeme (Gebäudetechnik)
Zitat von @aqui:
Genau wegen der deutlich erweiterten Troubleshooting Möglichkeiten und vor allem den erweiterten Security Einstellungen wie Spanning Tree, 802.1x, SSH und andere Funktionen wie LACP LAGs usw. usw. stellt sich in einem Firmennetzwerk niemals mehr die Frage ob ungemanagter Dödelswitch oder einer mit Management.
Genau wegen der deutlich erweiterten Troubleshooting Möglichkeiten und vor allem den erweiterten Security Einstellungen wie Spanning Tree, 802.1x, SSH und andere Funktionen wie LACP LAGs usw. usw. stellt sich in einem Firmennetzwerk niemals mehr die Frage ob ungemanagter Dödelswitch oder einer mit Management.
Aqui, ich schätze deine Antworten üblicherweise sehr. Aber ich glaube hier hast du hast meine Frage nicht vollständig gelesen, bevor du geantwortet hast. Es geht mir nicht um das interne Netzwerk HINTER der Firewall. Das ist natürlich mit VLANs, LACP LAG, RSTP etc. ausgestattet. Mir geht es nur um den einen Switch VOR der Firewall, nämlich zwischen Providerrouter und den Firewalls.
Und meine Frage ist weiterhin: Benötige ich an diesem, prinzipiell aus dem Internet frei zugänglichen Switch (damit meine ich nicht das Admininterface), irgendwelche besonderen Switch-Security-Features, oder reicht genauso gut ein Unmanaged Switch?
Spanning Tree (wie soll das bei dieser Konstellation relevant sein), 802.1X (Switch und alle angeschlossenen Geräte sind im selben abgeschlossenen Rack im RZ) und LACP LAG (Internetleitung hat derzeit unter 1 gbit) werden meines Erachtens an dieser Stelle nicht benötigt.
Zitat von @Port5000:
Und meine Frage ist weiterhin: Benötige ich an diesem, prinzipiell aus dem Internet frei zugänglichen Switch (damit meine ich nicht das Admininterface), irgendwelche besonderen Switch-Security-Features, oder reicht genauso gut ein Unmanaged Switch?
Und meine Frage ist weiterhin: Benötige ich an diesem, prinzipiell aus dem Internet frei zugänglichen Switch (damit meine ich nicht das Admininterface), irgendwelche besonderen Switch-Security-Features, oder reicht genauso gut ein Unmanaged Switch?
Es reicht vollkommen, da einen dummen switch hinzuhängen, wie ich auch wiederholt gesagt habe. Nur wenn Du selbst weitere Anforderungen hast, muß da mehr hin.
lks
1
Moin
Mein bescheidene Meinung dazu: wenn du rein auf die Funktion der Verbindung von Provider-Anschluss mit der Firewall abzielst, dann tut es ein dummer Switch. Ein managed Switch wird sinnvoll sein, wenn Redundanzen, Ausfallsicherheit und Vorgaben bestehen, wie z: B.
Unterm Strich ein klares "es kommt drauf an" - was man halt umsetzen möchte.
Gruß
TA
Zitat von @Port5000:
Aqui, ich schätze deine Antworten üblicherweise sehr. Aber ich glaube hier hast du hast meine Frage nicht vollständig gelesen, bevor du geantwortet hast. Es geht mir nicht um das interne Netzwerk HINTER der Firewall. Das ist natürlich mit VLANs, LACP LAG, RSTP etc. ausgestattet. Mir geht es nur um den einen Switch VOR der Firewall, nämlich zwischen Providerrouter und den Firewalls.
Und meine Frage ist weiterhin: Benötige ich an diesem, prinzipiell aus dem Internet frei zugänglichen Switch (damit meine ich nicht das Admininterface), irgendwelche besonderen Switch-Security-Features, oder reicht genauso gut ein Unmanaged Switch?
Spanning Tree (wie soll das bei dieser Konstellation relevant sein), 802.1X (Switch und alle angeschlossenen Geräte sind im selben abgeschlossenen Rack im RZ) und LACP LAG (Internetleitung hat derzeit unter 1 gbit) werden meines Erachtens an dieser Stelle nicht benötigt.
Zitat von @aqui:
Genau wegen der deutlich erweiterten Troubleshooting Möglichkeiten und vor allem den erweiterten Security Einstellungen wie Spanning Tree, 802.1x, SSH und andere Funktionen wie LACP LAGs usw. usw. stellt sich in einem Firmennetzwerk niemals mehr die Frage ob ungemanagter Dödelswitch oder einer mit Management.
Genau wegen der deutlich erweiterten Troubleshooting Möglichkeiten und vor allem den erweiterten Security Einstellungen wie Spanning Tree, 802.1x, SSH und andere Funktionen wie LACP LAGs usw. usw. stellt sich in einem Firmennetzwerk niemals mehr die Frage ob ungemanagter Dödelswitch oder einer mit Management.
Aqui, ich schätze deine Antworten üblicherweise sehr. Aber ich glaube hier hast du hast meine Frage nicht vollständig gelesen, bevor du geantwortet hast. Es geht mir nicht um das interne Netzwerk HINTER der Firewall. Das ist natürlich mit VLANs, LACP LAG, RSTP etc. ausgestattet. Mir geht es nur um den einen Switch VOR der Firewall, nämlich zwischen Providerrouter und den Firewalls.
Und meine Frage ist weiterhin: Benötige ich an diesem, prinzipiell aus dem Internet frei zugänglichen Switch (damit meine ich nicht das Admininterface), irgendwelche besonderen Switch-Security-Features, oder reicht genauso gut ein Unmanaged Switch?
Spanning Tree (wie soll das bei dieser Konstellation relevant sein), 802.1X (Switch und alle angeschlossenen Geräte sind im selben abgeschlossenen Rack im RZ) und LACP LAG (Internetleitung hat derzeit unter 1 gbit) werden meines Erachtens an dieser Stelle nicht benötigt.
Mein bescheidene Meinung dazu: wenn du rein auf die Funktion der Verbindung von Provider-Anschluss mit der Firewall abzielst, dann tut es ein dummer Switch. Ein managed Switch wird sinnvoll sein, wenn Redundanzen, Ausfallsicherheit und Vorgaben bestehen, wie z: B.
- es soll vermieden werden, dass ein unbeabsichtigt erzeugter Loop das Netzwerk lahm legt -> STP
- Firewall und Switch sollen mit zwei oder mehr Leitungen verbunden werden (Redundanz) -> LACP (oder zweite Wahl STP)
- die Verfügbarkeit des Switches soll überwacht werden (Monitoring) -> Switch braucht IP -> managed
- der Switch fällt in den Scope einer ISO/BSI-Zertifizierung -> unmanaged wird schwierig zu begründen bei den Anforderungen
- Switch soll zweites Netzteil haben (Redundanz) -> gibt es sowas bei (billigen) unmanaged Switches?
- VLANs sehe ich ad hoc nicht aber pVLAN (private VLAN) könnte ein Feature sein, dass die Abgrenzung der Firewalls und des Dienstleisterbereichs verstärken könnte
Unterm Strich ein klares "es kommt drauf an" - was man halt umsetzen möchte.
Gruß
TA
Danke für die Antworten!
Ich schlussfolgere, dass es kein zwingendes technisches Argument gegen unmanaged Switches zwischen Providerrouter und Firewalls gibt.
Man verliert durch den unmanaged Switch Überwachungsmöglichkeiten und Ausfallsicherheit (nur ein Netzteil). Kann aber im Störungsfall auch jeden Azubi kurzerhand den Switxh tauschen lassen.
Gruß
Port5000
Ich schlussfolgere, dass es kein zwingendes technisches Argument gegen unmanaged Switches zwischen Providerrouter und Firewalls gibt.
Man verliert durch den unmanaged Switch Überwachungsmöglichkeiten und Ausfallsicherheit (nur ein Netzteil). Kann aber im Störungsfall auch jeden Azubi kurzerhand den Switxh tauschen lassen.
Gruß
Port5000
