kaineanung
Goto Top

Welches Visualisierungs- und Inventarisierungstool für Netzwerksegmentierung verwenden?

Hallo Leute,

wir sind gerade dabei unser Netzwerk zu segmentieren und zu dokumentieren.

Um auch einen Überblick über das Netzwerk, vor allem über die Segmente zu haben, würde ich dies gerne visualisieren.

Bisher, also vor der Segmentierung, hatten wir ein Segment / Netzwerk mir einigen Switchen welches ich in yED nachgebildet hatte und, bei Änderungen, alles anchgepflegt. Somit hatte ich einen Überblick über unsere Switche die miteinander vebunden sind und über welche Ports diese Verbunden sind. Dies war bisher ausreichend.
Nun kommen aber die Segmente hinzu und ich würde gerne diese ebenfalls abbilden mit allen Regeln zwischen den Segmenten. Wenn es auch ein Tool gibt diese Regeln extrahieren zu können so daß diese in Textform oder in einer DB gespeichert werden, wäre das natürlich noch besser.

Ich will also ein Visualisierungstool welches mir meine Segmente (sind ca. 10 Stück) abbildet und in jeder Verbindung (Segment - Segment) den Regelsatz anzeigt (auf- & einklappbar wäre perfekt).

Hier ein Beispiel:
Ich habe ein Segment "IT" und ein Segment "Server".
Jetzt sind diese Segmente verbunden und können über Regeln auf der FW kommunizieren. Ich will nun eine Visualisierung haben die mir alle Regeln aufzeigt:

"IT" -> "Server"
--> Port 445, SMB, TCP
--> Port 443, SSL, TCP
--> Port 3389, RDP, TCP

"Server" -> "IT"
--> Port 445, SMB, TCP

Ich kann natürlich dies alles ebenfalls im yED visualisieren. Aber ich dachte vielleicht gibt es ein Tool welches für genau dies spezialisiert ist und ich die Regeln einfacher in einer Tabelle pflegen kann welche dann automatisch angezeigt wird o.ä.? Ich also nicht in der grafischen Oberfläche mühselig mit Text hantieren muss.

Gibt es so etwas und wenn ja möglicherweise als Freeware?
Was würdet ihr mir empfehlen? Was nutzt ihr so?

Schon einmal vielen Dank für eure Mühe und wenn es nur für das Lesen bis hierhin ist.

Content-ID: 6767088556

Url: https://administrator.de/forum/welches-visualisierungs-und-inventarisierungstool-fuer-netzwerksegmentierung-verwenden-6767088556.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

TwistedAir
TwistedAir 14.04.2023 um 18:26:12 Uhr
Goto Top
Hallo face-smile

Bisher, also vor der Segmentierung, hatten wir ein Segment / Netzwerk mir einigen Switchen welches ich in yED nachgebildet hatte und, bei Änderungen, alles anchgepflegt. Somit hatte ich einen Überblick über unsere Switche die miteinander vebunden sind und über welche Ports diese Verbunden sind. Dies war bisher ausreichend.

Kannst du bitte konkretisieren, was du mit „Segment“ meinst? Als Netzwerker denke ich zuerst an VLANs und damit an Layer 2. Bei „besseren“ Switches kann man via CDP (Cisco Discovery Protocol) oder LLDP (Link Layer Discovery Protocol) automatisiert herausfinden lassen, wie diese miteinander verbunden sind. Viele Programme erstellen dir daraus auch gleich eine Netzwerktopologie. Auch die an den Ports anliegenden VLANs sind auslesbar und entsprechend darstellbar (das macht dann nicht mehr jedes Programm face-wink).

Nun kommen aber die Segmente hinzu und ich würde gerne diese ebenfalls abbilden mit allen Regeln zwischen den Segmenten. Wenn es auch ein Tool gibt diese Regeln extrahieren zu können so daß diese in Textform oder in einer DB gespeichert werden, wäre das natürlich noch besser.

Oder meinst du „Segmente“ im Sinne von IP-Adresskreisen? Dann geht es dir ja ums Routing und die höheren Layer. Mal ketzerisch gefragt: wenn die Regeln alle in der Firewall hinterlegt sind und dort (tabellarisch?) darstellbar sind - wozu dann noch eine zweite Datenhalde erzeugen? Welche ist dann die „Quelle der Wahrheit“, also wer muss sich bei Differenzen wem anpassen? Reicht es nicht zu Dokumentationszwecken einen Export der Regeln zu machen? Wenn du den Export dann bei Bedarf in in Excel reinklöppelst und eine Tabelle darüber legst, kannst du dir die Regeln so sortieren, ein- und ausblenden, wie du es brauchst.
Oder hast du noch andere Routing-Punkte im Netzwerk (z. B. auf Layer3-Switches)? Dann wird es spannend, wie die Datenquellen zusammengeführt werden können.

Unserem Team beispielsweise genügt es Layer 2 und 3 (VLAN-Segmente und die jeweils damit verbundenen IP-Adresskreise) in der CMDB zu dokumentieren - Firewallregeln verbleiben in der FW, damit die Dokumentation nicht zum Selbstzweck verkommt. Ist halt auch eine Akzeptanzfrage wie tief die Doku geführt werden soll bzw. muss.

Schönes Wochenende
TA
Dani
Dani 15.04.2023 um 11:30:41 Uhr
Goto Top
Moin,
ManageIQ, Netbox, iDoIt.

Gruß,
Dani
Milord
Milord 17.04.2023 um 22:41:08 Uhr
Goto Top
Klinke mich hier mal mit ein.
kaineanung
kaineanung 18.04.2023 um 10:01:26 Uhr
Goto Top
Zitat von @TwistedAir:

Hallo face-smile

Bisher, also vor der Segmentierung, hatten wir ein Segment / Netzwerk mir einigen Switchen welches ich in yED nachgebildet hatte und, bei Änderungen, alles anchgepflegt. Somit hatte ich einen Überblick über unsere Switche die miteinander vebunden sind und über welche Ports diese Verbunden sind. Dies war bisher ausreichend.

Kannst du bitte konkretisieren, was du mit „Segment“ meinst? Als Netzwerker denke ich zuerst an VLANs und damit an Layer 2. Bei „besseren“ Switches kann man via CDP (Cisco Discovery Protocol) oder LLDP (Link Layer Discovery Protocol) automatisiert herausfinden lassen, wie diese miteinander verbunden sind. Viele Programme erstellen dir daraus auch gleich eine Netzwerktopologie. Auch die an den Ports anliegenden VLANs sind auslesbar und entsprechend darstellbar (das macht dann nicht mehr jedes Programm face-wink).

Ja, mit Netzwerksegmentierung wird in allgemeinen das VLAN gemeint. Wir hatten bisher das DEFAULT-LAN und die DMZ und nun kommen viele Netzwerksegmente / VLANs hinzu. Wir teilen das Netzwerk auf und regeln den Verkehr dazwischen um die Sicherheit damit zu erhöhen.

Nun kommen aber die Segmente hinzu und ich würde gerne diese ebenfalls abbilden mit allen Regeln zwischen den Segmenten. Wenn es auch ein Tool gibt diese Regeln extrahieren zu können so daß diese in Textform oder in einer DB gespeichert werden, wäre das natürlich noch besser.

Oder meinst du „Segmente“ im Sinne von IP-Adresskreisen? Dann geht es dir ja ums Routing und die höheren Layer. Mal ketzerisch gefragt: wenn die Regeln alle in der Firewall hinterlegt sind und dort (tabellarisch?) darstellbar sind - wozu dann noch eine zweite Datenhalde erzeugen? Welche ist dann die „Quelle der Wahrheit“, also wer muss sich bei Differenzen wem anpassen? Reicht es nicht zu Dokumentationszwecken einen Export der Regeln zu machen? Wenn du den Export dann bei Bedarf in in Excel reinklöppelst und eine Tabelle darüber legst, kannst du dir die Regeln so sortieren, ein- und ausblenden, wie du es brauchst.
Oder hast du noch andere Routing-Punkte im Netzwerk (z. B. auf Layer3-Switches)? Dann wird es spannend, wie die Datenquellen zusammengeführt werden können.

Ja, wir werden auch Routing-Punkte an diversen Switchen haben. Druckdateien muss ich ja nicht unbedingt über das ganze Netzwerk zur FW routen und zurückrouten da Druckdaten als nicht kritisch eingestuft wurden bei uns und somit über ACLs auf den Switchen 'auf den kurzen Wegen' routen. Eventuell kommen noch andere Segmente hinzu die an den SW geroutet werden statt über die FW. Diese nutzen wir dennoch nahezu immer da wir auch Layer-7-Sicherheit der FW nutzen wollen. Aber eben nur 'nahezu' immer.


Unserem Team beispielsweise genügt es Layer 2 und 3 (VLAN-Segmente und die jeweils damit verbundenen IP-Adresskreise) in der CMDB zu dokumentieren - Firewallregeln verbleiben in der FW, damit die Dokumentation nicht zum Selbstzweck verkommt. Ist halt auch eine Akzeptanzfrage wie tief die Doku geführt werden soll bzw. muss.

Schönes Wochenende
TA

Wir haben das relativ mächtige LibreNMS im Einsatz welches mir das ganze Netzwerk relativ zuverlässig 'dokumentiert' und auch Auslastungen mit Weathermap anzeigt und der Gleichen.

Was ich mir jedoch vorstelle ist:
Ich möchte ein einfaches Tool wie yED (nutze ich bereits) welches jedoch auch die Segmentierung abbilden kann, die Regeln an den Verbindungen mit einer Dropdown-Liste anzeigen kann und wenn möglich diese auch exportiert und importiert werden kann.
Also ungefähr so wie ich es oben bereits abgebildet habe:
"IT" -> "Server"
--> Port 445, SMB, TCP
--> Port 443, SSL, TCP
--> Port 3389, RDP, TCP

"Server" -> "IT"
--> Port 445, SMB, TCP

Verbindung "IT" -> "Server" einzeichnen können mit einem Pfeil von "IT" nach "Server" und diesen Pfeil dann austatten mit einer Dropdown-Liste die alle Regeln enthält. Diese am besten exportieren und importieren können. Das ist es was ich mir wünsche wenn es sowas überhaupt gibt.
kaineanung
kaineanung 18.04.2023 aktualisiert um 10:09:20 Uhr
Goto Top
Zitat von @Dani:

Moin,
ManageIQ, Netbox, iDoIt.

Gruß,
Dani

Ok, ich habe mir das kurz im vorbeifliegen angeschaut und das Letzte ist keine Freeware und ich brauche es definitiv nicht professionell sondern nur für mich als Überblick und dafür werde ich kein Geld vom Arbeitgeber bekommen.
Netbox und das ManageIQ würde ich gerne anschauen und testen, ist aber kein 'Windows-Tool' zum herunterladen und schnell mal zusammenklicken. Das ist ein Apachewebserver der dann auch gepflegt werden will mit Updates & Co. gibt es das nicht auch eine Nummer kleiner als Windows-Softwaretool zum herunterladen, bissl was eintragen und klicki-bunti-mäßig? Eben wie yED nur mit Netzwerk-Segmentierung?


Aber bevor ich es vergesse: vielen Dank für die Tipps. Jeder Tip bringt mich vorwärts, egal ob es derjenige ist der mein Problem löst oder nicht. Danke vielmals ;)
kaineanung
kaineanung 25.04.2023 um 10:08:37 Uhr
Goto Top
Was nutzt den Ihr alle in kleineren Netzwerken für ein Visualisierungstool welches manuell gepflegt wird?
Ich suche nämlich immer noch händeringend nach so einem Tool..
Milord
Milord 25.04.2023 um 22:27:33 Uhr
Goto Top
Bisher noch nix. Bin auch noch auf der Suche.
kaineanung
kaineanung 03.05.2023 um 10:08:05 Uhr
Goto Top
Ich habe mich nun doch für yED entschieden da es wohl keine Alternative dafür im Moment gibt.

Wenn vielleicht irgendwer weiß wie man in yED eine (Linien-) Beschriftung als Liste erstellen kann welche man auf- und zuklappen kann, wäre mir schon geholfen.