wurstkanone
Goto Top

Netzwerksicherheit vs. Arbeitsaufwand im Bezug auf die Konfiguration der Switche (VLAN) im Firmenumfeld

Hallo Zusammen,

diese folgende Frage ist recht speziell und richtet sich an die Netzwerkprofis unter euch.
Seit ca. einem halben Jahr arbeite ich bei meinem aktuellen Arbeitgeber und bin gerade dabei das Netzwerk auf einen sauberen Stand zu bringen.

Leider wurde hier das Thema Strukturierung im Netzwerk bislang nicht so ernst genommen, wie ich mir das gewünscht hätte.
Jedenfalls muss ich nun eine Entscheidung treffen, wie ich die Konfiguration der Switche im Bezug auf die VLANs hier im Netzwerk vornehme.
Leider zerbreche ich mir dabei etwas den Kopf.


Hintergrund:
Wir setzen hier ca. 30 Switche und knapp 10 Subnetze ein.
Diese Subnezte verteilen sich auf alle Switche.
Einzelne Netze werden auf allen Switches verwendet und andere Subnetze nur auf wenigen Switches.


Aktuelle Konfiguration
Auf allen Switchen stehen alle VLANS zur Verfügung.
Somit werden dem Tagged Port auf allen Switchen alle VLANS zugewiesen.
Wenn also einem Netzwerkport ein anderes Subnetz zugewiesen werden soll, muss nur eine einzige Anpassung vorgenommen werden.

Vorteil
Jeder meiner Kollegen, kann diese Anpassung vornehmen, auch wenn ich mal nicht im Haus bin.
Die gewünschten Anpassungen sind ohne Aufwand sehr kurzfristig umsetzbar.


Nachteil
Ich empfinde dies für etwas unsicher, kann aber auch nicht genau erklären warum.


Mein Plan
Ich bin ein großer Freund davon, jedem Switch nur die vLANS zuzuweisen, die dieser auch wirklich braucht.

Soll einem Netzwerkport nun ein VLAN zugeordnet werden, das der Switch noch nicht kennt, dann müssen Anpassungen an mindestens 4 Stellen vorgenommen werden.
1. Hinzufügen des VLANs zum Switch
2. Static VLAN am direkten Switch-Port
3. Tagged-Port (Uplink Port) am Switch
4. Tagged-Port (Uplink Port) am übergestellten Switch


Vorteil:
- Die Konfiguration der einzelnen Switche bleibt strukturiert und übersichtlich.
- Niemand kann aus Versehen ein Subnetz auf dem Netzwerk-Port konfigurieren, dass auf dem Switch gar nicht genutzt werden soll.


Nachteil:
- Meine Kollegen haben nicht das notwendige Know How, bzw. die notwendige Zeit um Netzwerkanpassungen in diesem Umfang durchzuführen.
- Auch ich kann eine Anpassung im Fall, dass der Switch das VLAN noch nicht kennt, nicht Mal so eben nebenbei machen.


Fazit:
Ich tendiere zu meiner Lösung, sehe aber auch ein, dass diese um ein mehrfaches aufwändiger ist.
Einmal zur jetzigen Anpassung und dann bei zukünftigen Anpassungen.


Eure Meinungen
Wie seht Ihr das?
Liege ich mit einer Annahme völlig falsch?

Habt Ihr noch eine Idee, wie man das Ganze am Besten umsetzen kann.

MfG
Marcel

Content-Key: 591186

Url: https://administrator.de/contentid/591186

Ausgedruckt am: 28.03.2024 um 20:03 Uhr

Mitglied: falscher-sperrstatus
Lösung falscher-sperrstatus 27.07.2020 um 16:07:02 Uhr
Goto Top
Hallo Marcel,

grundsätzlich ist sicherer natürlich aufwendiger, ob es sinnvoll ist kommt auf die Struktur an. Wenn die Switche mit nacktem Arsch im Raum stehen, naja, dann kannst es gleich sein lassen. Wenn die Safe sind sieht es anders aus.

Andererseits, wer sind die Kollegen, wenn die ohne Plan rumpfuschen (sowieso!), dann kannst es auch gleich sein lassen, weil die dir das im Zweifel, wenn du weg bist zusammenstauchen bis du da sein musst.

Aber wie gesagt, das ist nicht hier zu diskutieren. Die Frage ist eher: Warum müssen die Ports so oft umkonfiguriert werden?

Grüße,

Christian
certifiedit.net
Mitglied: BernhardMeierrose
Lösung BernhardMeierrose 27.07.2020 um 16:30:16 Uhr
Goto Top
Moin,

Du wirst hoffentlich den Zutritt und Zugriff auf die Switche mit geeigneten Maßnahmen auf das für den Betrieb notwendige eingeschränkt haben.
Damit hast Du das Risiko einer Manipulation an der Hardware deutlich reduziert und musst nur noch überlegen, ob der Mehraufwand Deiner Lösung im Verhältnis zu den Bedürfnissen Deines Unternehmens steht.
Wenn kein außergewöhnlich hoher Schutzbedarf besteht, wird man die aktuelle Lösung vermutlich als angemessen ansehen können. Aber die finale Einschätzung musst Du in Deinem Unternehmenskontext entweder selber fällen wenn Du dafür befugt bist, oder halt von der nächst höheren Instanz durch eine Risikobewertung. (wenn Ihr sowas wie ein IT-Risikomanagement habt...)

Gruß
Bernhard
Mitglied: aqui
Lösung aqui 27.07.2020 aktualisiert um 16:51:34 Uhr
Goto Top
Ich empfinde dies für etwas unsicher, kann aber auch nicht genau erklären warum.
Es ist nicht nur unsicher sondern auch schlecht aus Performance Sicht. Der gesamte Broad- und Multicast Traffic aller ungenutzen VLANs an so einem Uplink beeinträchtigt das Backbone in der Bandbreite. Allein schon aus diesem Grund ist so eine Lösung zwar für Laien oberflächlich praktisch aber nicht wirklich gut und sinnvol.
Ich bin ein großer Freund davon, jedem Switch nur die vLANS zuzuweisen, die dieser auch wirklich braucht.
Aus Netzwerker Sicht ist das auch vernünftig und die richtige Herangehensweise.

Deine Lösung hat aber einen Fehler.
Du kannst ja ohne weiteres und problemlos alle VLANs auf den Switches einrichten musst ihnen aber keine Ports zuteilen.
Alternativ nutzt du dafür ein dynamisches VLAN Distributions Protokoll wie GVRP.
Damit hast du dann alle verfügbaren VLANs lediglich erstmal bekannt gemacht und müsstest nur noch bei einer Verwendung ggf. den Uplink Port und den Endgeräte Port klicken oder im CLI definieren.
Das kann immer vollkommen problemlos im laufenden Betrieb geschehen und ist so einfach das der Hausmeister das hinbekommt. Wenn das die Kollegen auch mit einer kurzen mündlichen Einweisung oder schriftlichen Handlungsanweisung nicht hinbekommen sind sie mit Verlaub gesagt fehl am Platze in der IT.
Die andere DAU sichere Option wäre ein Management was fast alle Infrastruktur Hersteller haben. Dort reicht ein Mausklick aufs VLAN und die beteiligten Switches und Endgeräte Port und das wars. Auch das schafft ein nicht IT affiner Laie ebenso problemlos.
In sofern kann man dich also nur dringenst ermuntern dein durchaus richtiges Konzept entsprechend umzusetzen !
Das die Switches ein vom Produktiv Traffic getrenntes und Zugriff limitiertes Management VLAN haben sollten, sollte auch klar sein. Ist aber vermutlich bei dir auch schon der Fall.
Mitglied: Wurstkanone
Wurstkanone 27.07.2020 aktualisiert um 17:18:32 Uhr
Goto Top
Wow, das ging schneller als ich dachte. face-smile

Ja alle Switche befinden sich in abgeschlossenen Serverschränken, auf dem ganzen Firmengelände verteilt.
Somit sollte ein physischer Angriff direkt am Switch ausgeschlossen sein.
Netzwerkdosen die nicht gebraucht werden, sind auch nicht gepatcht.


Wenn ich ganz genau drüber nachdenke, werden die Kollegen ohnehin selber keine Anpassungen am Netzwerk vornehmen.
Nicht weil sie es nicht könnten, sondern weil hier jeder sein Verantwortlichkeiten hat, in die von den Kollegen nicht einfach eingedrungen wird.
Außer es ist zwingend notwendig, weil ich z.B. vorn Baum gefahren bin oder so.
Somit brauche ich es nicht großartig bedenken.


Sicherheitstechnisch spielt es auch sehr sehr großen Einfluss.
Mir fällt kein besonderer Grund ein, warum ein Angreifer, durch die bestehende oder meine Lösung, mehr Angriffsfläche bekommen sollte.
Außer der Angreifer schnappt schafft es sich auf den getaggten Upling Port aufzuschalten.

Das sollte aber durch die abgeschlossenen Schränke nicht möglich sein und wird uns dann direkt auffallen, da dann ja die Verbindung zu den Switchen an einer Stelle gestört ist.
Das meldet dann das Monitoring oder auch der Mitarbeiter, der plötzlich kein Netz mehr hat.


Zitat von @aqui:

Ich empfinde dies für etwas unsicher, kann aber auch nicht genau erklären warum.
Es ist nicht nur unsicher sondern auch schlecht aus Performance Sicht. Der gesamte Broad- und Multicast Traffic aller ungenutzen VLANs an so einem Uplink beeinträchtigt das Backbone in der Bandbreite. Allein schon aus diesem Grund ist so eine Lösung zwar für Laien oberflächlich praktisch aber nicht wirklich gut und sinnvol.

Aus dem Aspekt habe ich es noch gar nicht betrachtet.
Das stimmt.


Zitat von @aqui:
Das die Switches ein vom Produktiv Traffic getrenntes und Zugriff limitiertes Management VLAN haben sollten, sollte auch klar sein. Ist aber vermutlich bei dir auch schon der Fall.

Ja das ist bereits der Fall.