Switch Port sichern

Mitglied: UnbekannterNR1

UnbekannterNR1 (Level 1) - Jetzt verbinden

22.03.2019 um 08:59 Uhr, 1567 Aufrufe, 2 Kommentare

Zur Situartion:
2x Pfsense jeweils mit eigenem WAN direkt an Firewall angebunden (Kein HA) dann DMZ Bereich und danach eine weitere Firewall die Interne.

Jetzt steht ein Providerwechsel ins Haus, und bei der Gelegenheit sollen auch gleich die Firewalls auf HA umgestellt werden, also ein klassisches HA Setup mit Multi-WAN.

Jetzt muss ich natürlich für dieses Setup die Internet Anbindung auf die Switche bringen, leider muss ich an der stelle über die DMZ Switche gehen aufgrund von Räumlicher Trennung und Budget.
Dazu die Zeichnung:


fireall wan - Klicke auf das Bild, um es zu vergrößern


Meine Frage wäre was muss ich an den Switchen beachten, da ich auf den Geräten die beiden Netze ja möglichst gut trennen will, und der Provider Router soll möglichst wenig über unsere Struktur erfahren. Hauptziel ist natürlich das niemand ungefiltert in die DMZ oder gar noch weiter kommt.

Mein Plan bisher.
- VLAN 101 + 101 auf allen anderen Ports der Switche auf Forbid stellen
- Auf den vier Ports mit den VLANs 101+102 alle Anderen VLANs auf Forbid stellen
- Auf den vier Ports mit den VLANs 101+102 BPDU Pakete komplett Filtern.
- Wenn möglich auch LLDP deaktivieren.
- Switche haben in den Netzwerken keine IP Adresse bzw. kein vlan interface.
- 802.1x sehe ich hier noch nicht wirklich weil mir dort die Infrastruktur für fehlt, die Räume abgeschlossen sind. Und an den Port sowieso das "böse" Internet hängt.

Habe ich vielleicht noch vergessen? Hat noch jemand Tips um das Thema besser anzugehen, außer nimm getrennte Geräte.

Bei den DMZ Geräten handelt es sich um Aruba 2930F Und ja ich weiß HP(Aruba) ist hier unbeliebt aber dafür muss es eben reichen ;)
Mitglied: ashnod
22.03.2019 um 09:13 Uhr
Moin ....

Also mal kurz ... dein Plan ist irgendwie so abstrus da hat man nicht mal Lust drauf zu sehen.

Vielleicht solltest du dir die Tutorials von @aqui hier ansehen und deinen Plan nochmal sinnvoll überdenken.

VG
Bitte warten ..
Mitglied: aqui
LÖSUNG 22.03.2019 um 12:21 Uhr
Du könntest noch eine Mac Port Security einrichten und nur die Macs der pfSense zulassen auf dem L2, dann kann man dort nichts anderes anstecken.
Andere Alternative wäre mit einem Privat VLAN (PVLAN) zu arbeiten und die pfSense Ports nur als Uplinks definieren.
Generell birgt so ein Design immer die Gefahr das jemand mal was in den falschen Port steckt und damit dein ganzens Konzept dann kompromitiert.
Aber damit musst du dann halt leben wenn du keine dedizierten Drähte hast und so mit VLANs über einen Trunk Port arbeitest.
Generell ist das aber so natürlich machbar.
Bitte warten ..
Heiß diskutierte Inhalte
Datenschutz
DSGVO-konforme Löschsoftware für Festplatten
alwayshungryVor 1 TagFrageDatenschutz38 Kommentare

Hallo zusammen, welche Software gibt es, damit man DSGVO-konform Festplatten löschen kann? Ich kenne zwar Blancco, aber gibt es denn da keine gesetzeskonforme Alternativen? ...

Windows Netzwerk
Wie VPN in Zeiten von HomeOffice einfach gestalten
VizKyneticVor 1 TagFrageWindows Netzwerk15 Kommentare

Moin! Vermehrt kommen die Anfragen zu HomeOffice Arbeitsplätzen und der Möglichkeit Remote zu arbeiten. Wir haben verschiedene Lösungen im Einsatz, da diese Struktur über ...

TK-Netze & Geräte
Panasonic NS700 an S0 von Fritzbox
jensgebkenVor 1 TagFrageTK-Netze & Geräte43 Kommentare

Hallo Gemeinschaft, gibt es eine Möglichkeit meine gebrauchte NS700 mit einer Fritzbox zu verbinden, so dass ich auch raustelefonieren kann - hinter der NS ...

Rechtliche Fragen
Adobe Flash erneut aktivieren, IT-Sicherheit + Datenschutz
anteNopeVor 1 TagFrageRechtliche Fragen14 Kommentare

Hallo zusammen, ich weiß es ist noch nicht Freitag aber mir ist hier gerade die Kinnlade bis in den Keller gefallen. Opel (ja der ...

Flatrates
Mobilfunktarife für die Firma (günstig)
gelöst ingo1988Vor 1 TagFrageFlatrates13 Kommentare

Hallo, kann mir jemand weiterhelfen im Bezug auf Mobilfunktarife für Unternehmen? Ich suche nämlich günstige Angebote im Telekom oder Vodafone Netz, ähnlich wie Lidl ...

Windows 10
Wie kann ich mehrere PCs gleich aufsetzten (mit User)
dressaVor 1 TagFrageWindows 109 Kommentare

Hallo miteinander. Wie kann ich mehrere PCs (über 200) gleich aufsetzten. Ich habe etwa 4 Modele die sich nur von der Baugeneration unterscheiden. Also ...

Microsoft
Wie verteilt Ihr Software im AD auf die Clients? GPO?
Der-PhilVor 1 TagFrageMicrosoft14 Kommentare

Hallo! Die Kernfrage steht eigentlich schon im Titel: Wie verteilt ihr Software und haltet sie aktuell auf den Clients? Bislang mache ich das alles ...

Wünsch Dir was
Das ist ja nicht auszuhalten, dass ich für jeden googlen soll
NordicMikeVor 4 StundenIMHOWünsch Dir was17 Kommentare

Ich beantrage, dass bei jeder Beitragserstellung eine Checkbox angeklickt werden muss, mit dem Text: Ja, ich habe bereits danach gegoogelt. Ansonsten soll der "Senden" ...