MAC Filterung und Port Security

Es gibt 10 Antworten in diesem Thema. Der letzte Beitrag () ist von hal2000.

    MAC Filterung und Port Security

    Hi Leute,

    hier sind die Netzwerkexperten gefragt, ich habe leider keine ausreichenden Detailkenntnisse.

    Derzeit bearbeite ich ein Leistungsverzeichnis (Angebotserstellung) in dem unter anderem die oben genannte MAC Filterung und Port Security gefordert wird.

    Das Objekt/Gebäude erhält später drei verschiedene Anforderungsbereiche fürs LAN:
    • VOIP TK ANLAGE (nicht von uns)
    • Gebäudetechniksteuerung in der die Feldgeräte mit den Controllern über IP vernetzt sind (von uns) inkl. einer Webvisualisierung
    • LAN für User der Firmen

    Soweit so gut. Ich nehme an, dass die drei Bereiche in verschiedene Sub Netze geteilt werden sollen?!
    Nun gehe ich davon aus, dass gewünscht wird das die NUtzer im LAN nur auf die Visu aus dem Subnetz der Gebäudetechnik zugreifen können.
    Ähnliches könnte mit der VOIP Anlage passieren, die Anlage und die Telefone sind im eigenen SUB-Netz, die UC / CTI soll jedoch vom LAN aus erreichbar sein.

    Würdet Ihr das ähnlich interpretieren?

    Wie kann ich mir das vorstellen? Muss ich dann jeweils vom einen auf das andere Subnetz ein Routing anlegen? Ist das Vergleichbar mit einer Portweiterleitung im Router (externer Port geht auf interne IP Adresse)?
    Physikalisch läuft alles über den gleichen Switch, die Pakete sind dann trotzdem voreinander isoliert? Sehe ich das richtig?

    Bin über Feedback dankar.
    Ausgeschrieben ist dieser Switch: shop.allnet.de/detail/index/sArticle/259759

    *Topic verschoben*
    Gruß Hannes

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „Marcus Gräfe“ ()

    Mir fallen da spontan VLAN und RADIUS ein.
    Die Kommunikation zwischen den VLANs wird von einem Layer-3 Gerät (zb. Router) erledigt - aber nagel mich darauf nicht fest, gemacht habe ich das selbst noch nie.
    Naja du brauchst ein Layer 3 Gerät das die Verbindungen zwischen den einzelnen VLANs regelt (Routing und Firewall).
    Ein VLAN trennt die sog. Broadcast domains voneinander (d.h. auf Layer 2). Das bedeutet, dass zwei Rechner, die physikalisch am gleichen Switch hängen, sich nur dann sehen können, wenn sie im selben VLAN sind. VLANs gibt es tag-based und port-based - beide werden auf dem Switch konfiguriert (tag-based zusätzlich auf den Rechnern selbst). Um diese Variante sicher hinzubekommen, muss sichergestellt sein, dass niemand die Zuordnung von Tags zu den Rechnern ändern kann (also keine Adminrechte für User). Außerdem darf niemand Kabel am Switch umstecken dürfen (physische Sicherheit).

    Subnetze trennen Netzwerke auf Layer 3 voneinander. Dazwischen liegt die altbekannte Firewall. Darin sind Regeln definiert, auf deren Basis entschieden wird, welche Layer3-Kommunikation zulässig ist. Für eine sichere Umsetzung muss die Firewall die gültigen Paare von IP- zu MAC-Adressen kennen, und diese dürfen sich nicht ändern (also wieder keine Administratorrechte für User).

    Für die Auswahl Subnetz/VLAN ist insbesondere wichtig, welche Layer3-Protokolle auf dem Netzwerk später laufen. Sollen 2 Rechner absolut niemals miteinander kommunizieren dürfen, obwohl sie infrastrukturbedingt am gleichen Switch hängen, genügt keine Trennung auf Layer 3, weil die Rechner einfach auf ein anderes Protokoll ausweichen können, das nicht IP heißt.

    Oft wird eine Kombination aus beiden Techniken verwendet. Zusammengefasst heißt das:
    - Transparente VLANs auf den Strecken zwischen Core-Switch und Verteilungsswitches. Das sorgt dafür, dass Firma X und Firma Y im gleichen Gebäude in unterschiedlichen (virtuell) "physikalischen" Netzwerken hängen und niemand den anderen sieht.
    - Jede Firma erhält ihr eigenes Layer3-Subnetz.
    - Es gibt einen Core-Router, der alle Subnetze kennt und zwischen diesen vermittelt. Natürlich ist er gleichzeitig in allen VLANs, indem dessen Switch-Port entsprechend konfiguriert wird. Darauf läuft auch die Firewall, die den Zugang der Firmen untereinander regelt.
    - TK-Anlage in eigenem VLAN, aber für alle zugänglich. Die Authetifizierung läuft hier über SIP / RADIUS / whatever.
    - Gebäudeautomation in eigenem VLAN, ebenfalls für alle zugänglich. Die Firewall beschränkt den Zugang auf den Admin / eine Firma / ...
    Gruß
    hal2000
    vielen dank für diese ausführliche antwort. die werde ich wohl noch ein paar mal lesen!

    falls du mir eine hardware empfehlung ausprechen kannst/willst die halbswegs konfigurierbar ist (ohne informatik studium) gerne noch angeben.

    vielen dank! :thumbsup:
    Gruß Hannes

    hans im glück schrieb:

    konfigurierbar ist (ohne informatik studium)

    Ohne das persönlich zu meinen: Diese Aussage disqualifiziert dich als Erbauer und Administrator dieser Lösung. Sicher muss man dafür nicht studiert haben, aber eine entsprechende Ausbildung (z.B. IT-Systemintegration) ist unbedingt erforderlich, um solche Anlagen professionell für Kunden aufbauen und betreiben zu können.

    Bedenke immer die Haftungsfrage: Du / dein Arbeitgeber (b)ist für eventuelle Schäden (Datenverlust, Sicherheitsvorfälle durch Fehlkonfiguration) verantwortlich!

    Cisco macht ganz gute Produkte, die von so ziemlich jedem eingesetzt werden und den de-facto-Standard definieren. Letztlich entscheiden aber die individuellen Anforderungen, denn Cisco ist teuer. Wird weniger Funktionalität benötigt, reichen auch günstige Produkte von anderen Herstellern. Mit diversen Komponenten von Allied Telesis hatte ich z.B. auch noch nie Probleme. Finger weg von Consumer-Geräten jeder Art. Die erkennst du daran, dass es "Treiber-CDs" und dubiose "Anleitungen" gibt. Außerdem haben diese Geräte schöne bunte Verpackungen. Professionelle Geräte kommen in braunen Pappkartons, weil Experten die inneren Werte selber kennen. Einfache Konfiguration dieser Geräte? Vergiss es.
    Gruß
    hal2000

    hans im glück schrieb:

    trotzallem werde ich mich damit beschäftigen

    Literaturempfehlung: A. S. Tanenbaum: Computernetzwerke (ISBN 978-3-8689-4137-1).
    Für allgemeine Begriffe (falls nötig) auch: openbook.rheinwerk-verlag.de/it_handbuch/, Kapitel 4.
    Gruß
    hal2000

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „hal2000“ ()