Welches Visualisierungs- und Inventarisierungstool für Netzwerksegmentierung verwenden?
Hallo Leute,
wir sind gerade dabei unser Netzwerk zu segmentieren und zu dokumentieren.
Um auch einen Überblick über das Netzwerk, vor allem über die Segmente zu haben, würde ich dies gerne visualisieren.
Bisher, also vor der Segmentierung, hatten wir ein Segment / Netzwerk mir einigen Switchen welches ich in yED nachgebildet hatte und, bei Änderungen, alles anchgepflegt. Somit hatte ich einen Überblick über unsere Switche die miteinander vebunden sind und über welche Ports diese Verbunden sind. Dies war bisher ausreichend.
Nun kommen aber die Segmente hinzu und ich würde gerne diese ebenfalls abbilden mit allen Regeln zwischen den Segmenten. Wenn es auch ein Tool gibt diese Regeln extrahieren zu können so daß diese in Textform oder in einer DB gespeichert werden, wäre das natürlich noch besser.
Ich will also ein Visualisierungstool welches mir meine Segmente (sind ca. 10 Stück) abbildet und in jeder Verbindung (Segment - Segment) den Regelsatz anzeigt (auf- & einklappbar wäre perfekt).
Hier ein Beispiel:
Ich habe ein Segment "IT" und ein Segment "Server".
Jetzt sind diese Segmente verbunden und können über Regeln auf der FW kommunizieren. Ich will nun eine Visualisierung haben die mir alle Regeln aufzeigt:
"IT" -> "Server"
--> Port 445, SMB, TCP
--> Port 443, SSL, TCP
--> Port 3389, RDP, TCP
"Server" -> "IT"
--> Port 445, SMB, TCP
Ich kann natürlich dies alles ebenfalls im yED visualisieren. Aber ich dachte vielleicht gibt es ein Tool welches für genau dies spezialisiert ist und ich die Regeln einfacher in einer Tabelle pflegen kann welche dann automatisch angezeigt wird o.ä.? Ich also nicht in der grafischen Oberfläche mühselig mit Text hantieren muss.
Gibt es so etwas und wenn ja möglicherweise als Freeware?
Was würdet ihr mir empfehlen? Was nutzt ihr so?
Schon einmal vielen Dank für eure Mühe und wenn es nur für das Lesen bis hierhin ist.
wir sind gerade dabei unser Netzwerk zu segmentieren und zu dokumentieren.
Um auch einen Überblick über das Netzwerk, vor allem über die Segmente zu haben, würde ich dies gerne visualisieren.
Bisher, also vor der Segmentierung, hatten wir ein Segment / Netzwerk mir einigen Switchen welches ich in yED nachgebildet hatte und, bei Änderungen, alles anchgepflegt. Somit hatte ich einen Überblick über unsere Switche die miteinander vebunden sind und über welche Ports diese Verbunden sind. Dies war bisher ausreichend.
Nun kommen aber die Segmente hinzu und ich würde gerne diese ebenfalls abbilden mit allen Regeln zwischen den Segmenten. Wenn es auch ein Tool gibt diese Regeln extrahieren zu können so daß diese in Textform oder in einer DB gespeichert werden, wäre das natürlich noch besser.
Ich will also ein Visualisierungstool welches mir meine Segmente (sind ca. 10 Stück) abbildet und in jeder Verbindung (Segment - Segment) den Regelsatz anzeigt (auf- & einklappbar wäre perfekt).
Hier ein Beispiel:
Ich habe ein Segment "IT" und ein Segment "Server".
Jetzt sind diese Segmente verbunden und können über Regeln auf der FW kommunizieren. Ich will nun eine Visualisierung haben die mir alle Regeln aufzeigt:
"IT" -> "Server"
--> Port 445, SMB, TCP
--> Port 443, SSL, TCP
--> Port 3389, RDP, TCP
"Server" -> "IT"
--> Port 445, SMB, TCP
Ich kann natürlich dies alles ebenfalls im yED visualisieren. Aber ich dachte vielleicht gibt es ein Tool welches für genau dies spezialisiert ist und ich die Regeln einfacher in einer Tabelle pflegen kann welche dann automatisch angezeigt wird o.ä.? Ich also nicht in der grafischen Oberfläche mühselig mit Text hantieren muss.
Gibt es so etwas und wenn ja möglicherweise als Freeware?
Was würdet ihr mir empfehlen? Was nutzt ihr so?
Schon einmal vielen Dank für eure Mühe und wenn es nur für das Lesen bis hierhin ist.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6767088556
Url: https://administrator.de/forum/welches-visualisierungs-und-inventarisierungstool-fuer-netzwerksegmentierung-verwenden-6767088556.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
8 Kommentare
Neuester Kommentar
Hallo
Kannst du bitte konkretisieren, was du mit „Segment“ meinst? Als Netzwerker denke ich zuerst an VLANs und damit an Layer 2. Bei „besseren“ Switches kann man via CDP (Cisco Discovery Protocol) oder LLDP (Link Layer Discovery Protocol) automatisiert herausfinden lassen, wie diese miteinander verbunden sind. Viele Programme erstellen dir daraus auch gleich eine Netzwerktopologie. Auch die an den Ports anliegenden VLANs sind auslesbar und entsprechend darstellbar (das macht dann nicht mehr jedes Programm ).
Oder meinst du „Segmente“ im Sinne von IP-Adresskreisen? Dann geht es dir ja ums Routing und die höheren Layer. Mal ketzerisch gefragt: wenn die Regeln alle in der Firewall hinterlegt sind und dort (tabellarisch?) darstellbar sind - wozu dann noch eine zweite Datenhalde erzeugen? Welche ist dann die „Quelle der Wahrheit“, also wer muss sich bei Differenzen wem anpassen? Reicht es nicht zu Dokumentationszwecken einen Export der Regeln zu machen? Wenn du den Export dann bei Bedarf in in Excel reinklöppelst und eine Tabelle darüber legst, kannst du dir die Regeln so sortieren, ein- und ausblenden, wie du es brauchst.
Oder hast du noch andere Routing-Punkte im Netzwerk (z. B. auf Layer3-Switches)? Dann wird es spannend, wie die Datenquellen zusammengeführt werden können.
Unserem Team beispielsweise genügt es Layer 2 und 3 (VLAN-Segmente und die jeweils damit verbundenen IP-Adresskreise) in der CMDB zu dokumentieren - Firewallregeln verbleiben in der FW, damit die Dokumentation nicht zum Selbstzweck verkommt. Ist halt auch eine Akzeptanzfrage wie tief die Doku geführt werden soll bzw. muss.
Schönes Wochenende
TA
Bisher, also vor der Segmentierung, hatten wir ein Segment / Netzwerk mir einigen Switchen welches ich in yED nachgebildet hatte und, bei Änderungen, alles anchgepflegt. Somit hatte ich einen Überblick über unsere Switche die miteinander vebunden sind und über welche Ports diese Verbunden sind. Dies war bisher ausreichend.
Kannst du bitte konkretisieren, was du mit „Segment“ meinst? Als Netzwerker denke ich zuerst an VLANs und damit an Layer 2. Bei „besseren“ Switches kann man via CDP (Cisco Discovery Protocol) oder LLDP (Link Layer Discovery Protocol) automatisiert herausfinden lassen, wie diese miteinander verbunden sind. Viele Programme erstellen dir daraus auch gleich eine Netzwerktopologie. Auch die an den Ports anliegenden VLANs sind auslesbar und entsprechend darstellbar (das macht dann nicht mehr jedes Programm ).
Nun kommen aber die Segmente hinzu und ich würde gerne diese ebenfalls abbilden mit allen Regeln zwischen den Segmenten. Wenn es auch ein Tool gibt diese Regeln extrahieren zu können so daß diese in Textform oder in einer DB gespeichert werden, wäre das natürlich noch besser.
Oder meinst du „Segmente“ im Sinne von IP-Adresskreisen? Dann geht es dir ja ums Routing und die höheren Layer. Mal ketzerisch gefragt: wenn die Regeln alle in der Firewall hinterlegt sind und dort (tabellarisch?) darstellbar sind - wozu dann noch eine zweite Datenhalde erzeugen? Welche ist dann die „Quelle der Wahrheit“, also wer muss sich bei Differenzen wem anpassen? Reicht es nicht zu Dokumentationszwecken einen Export der Regeln zu machen? Wenn du den Export dann bei Bedarf in in Excel reinklöppelst und eine Tabelle darüber legst, kannst du dir die Regeln so sortieren, ein- und ausblenden, wie du es brauchst.
Oder hast du noch andere Routing-Punkte im Netzwerk (z. B. auf Layer3-Switches)? Dann wird es spannend, wie die Datenquellen zusammengeführt werden können.
Unserem Team beispielsweise genügt es Layer 2 und 3 (VLAN-Segmente und die jeweils damit verbundenen IP-Adresskreise) in der CMDB zu dokumentieren - Firewallregeln verbleiben in der FW, damit die Dokumentation nicht zum Selbstzweck verkommt. Ist halt auch eine Akzeptanzfrage wie tief die Doku geführt werden soll bzw. muss.
Schönes Wochenende
TA