Netzwerktrennung

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Eikel.edv
Beiträge: 40
Registriert: Sa 03.04.2021, 10:22

Netzwerktrennung

Beitrag von Eikel.edv »

Guten Morgen Zusammen,
ich befasse mich im Moment intensiv mit den Schulungen. Mehrfach wurde empfohlen die Netzwerke zu trennen. Nun wollte ich das testweise umsetzen und einfach mal meinen Drucker in ein anderes Netzwerk packen. Also einfach mal machen.
Gibt es dazu irgendwo eine konkrete Anleitung? Ich habe ich Wiki geschaut und auch im Forum nach "Netzwerktrennung" Netzwerke trennen" etc. erfolglos gesucht.

Wenn ich es richtig verstanden habe müsste ich doch anhand der Mac ein Netzwerkobjekt anlegen und dann jeweils dasselbe für die PCs. Dann eine Regel mit Quele PC1, Ziel Drucker Dienst:xy
Oder bin ich auf dem Holzweg?
mfG
Oliver EIkel

carsteng
Beiträge: 17
Registriert: Fr 31.01.2020, 12:53

Beitrag von carsteng »

Hallo,

was genau möchten Sie denn mit der Netzwerktrennung erreichen? Wenn man die Netze wirklich trennt, haben diese ja gar keine Verbindung mehr untereinander. Sie sind... naja... getrennt.

Was ich aber hier rauslesen, möchten Sie wohl das Netzwerk in VLANs aufteilen und dann über die Firewall die Kommunikation steuern? Hierzu gibt es im wiki nämlich eine Anleitung wie das in etwa geht. Ich sage "in etwa", weil nicht jeder Switch gleich ist bzw. jede Hardware gleich programmiert ist.

Eikel.edv
Beiträge: 40
Registriert: Sa 03.04.2021, 10:22

Beitrag von Eikel.edv »

Guten Morgen,
nein es geht nicht um VLANS. In mehreren Schulungen wurde nun als Sicherheitsmaßnahme eine Trennung der Netzwerke empfohlen. Also ein Netz für Drucker, ein Netz für die Server, ein Netz für die Clients, die Maschinen usw. Damit im Angriffsfall zb nur die Clients oder nur die Drucker betroffen sind.
Wenn ich es richtig verstanden habe, soll dies über die UTM laufen, so dass von Netz A in Netz B geroutet wird.
Beispiel: Drucker haben die 192.168.178.0 Server die 192.168.179.0 und die Clients die 192.168.180.0 Das bedeutet doch, dass jeweils ein Netzwerkobjekt für jeden Server anlegen muss und dasselbe für jeden Drucker. Dann eine Regel zB Server 1(192.168.179.1) auf Drucker 1 (192.168.178.1) Dienst ???

Selbiges habe ich mt WHatsApp probiert. Das war nämlich nach Abschaltung von Any nicht mehr funktionsfähig. Ports rausgesucht, Dienstgruppe angelegt und die Ports hinzugefügt, Smartphone angelegt und dann Internet -> Smartphone -> Diensgruppe WA. Scheint so halb zu funktionieren..

mfG
Oliver Eikel

kennethj
Beiträge: 335
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Moin,

diese Netzwerktrennung wird mithilfe von VLANs durchgeführt.
Es wird dann für Drucker, Server und Clients ein eigenes VLAN erstellt.

Diese VLANs werden auf der UTM terminiert und mithilfe des Portfilters können dann die Zugriffsregeln eingerichtet werden.

Gruß

Eikel.edv
Beiträge: 40
Registriert: Sa 03.04.2021, 10:22

Beitrag von Eikel.edv »

Hm,
habe ich das so falsch verstanden...
Ok, VLANS.
Muss ich denn dann mein gesamtes Netzwerk neu aufbauen? Im Assistenten habe ich die Option VLAN hinzufügen. Wenn ich zB definieren möchte:
IP 1-5 VLAN 1 (zb Drucker), 6-9 VLAN 2 (Server), 10-20 VLAN 3 (Clients) und 21-24 VLAN 4 (WLAN-Geräte).
Das sind ja wohl die Adressen welche ich im Assistenzen hinzufügen müsste, meckert er "Diese Adresse wird schon benutzt oder liegt in einem bereits konfigurierten Subnetz!
Wollen Sie diese Adresse wirklich benutzen?"
Das liegt doch daran, dass ich bereits eine Bridge aus WLAN und LAN installiert habe. Wenn ich nicht auf dem Holzweg bin, bleiben die Adressen doch gleich, oder liege ich falsch?
Die Geräte habe ich einfach nach Range verteilt. 192.168.4.1-192.168.4.80 Clients, 192.168.4.81 - 192.168.4.89 Drucker usw. Wenn ich nun aus dem Bereich 192.168.4.81 - 192.168.4.89 ein VLAN machen möchte, müsste ich ja den Assistenten aufrufen, die 10 Adressen da eintragen und die Warnung ignorieren, richtig?

Wie etabliere ich dann die Kommunikation zwischen den VLANS? Macht das der Switch?
Dann noch einige grundsätzliche Fragen. In dem Netz habe ich einen Server in der Terra Cloud mit der 143.x.x.0.
Das ist ja kein VLAN, sondern einfach ein Routing von dem 192er Netz ins 143er Netz. Was ist der Vorteil oder der Nachteil, wenn ich diese Methode wähle oder die Server in ein VLAN hänge?
Also wenn ich statt 192.168.4.81 - 192.168.4.89 für VLAN1 und 192.168.4.1-192.168.4.80 Clients für VLAN2 einfach verschiedene Netz mache? Also 193.168.4.1-193.168.4.80 Clients, 194.168.4.81 - 194.168.4.89 Drucker usw.? Bislang war das kein Thema, da die meisten Kunden zu klein sind. Bei 50 Geräten lohnt der Aufwand nicht.
Vielen Dank für die Mühe.
Oliver Eikel

Benutzeravatar
Mario
Securepoint
Beiträge: 486
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Die Netzwerktrennung basiert auch darauf, dass die Geraete nicht im gleichen Netz liegen.

VLANS sind eigene Interfaces. Identische Subnetze ueber mehrere Interface werden nicht unterstuetzt.
Rise from your grave!

Eikel.edv
Beiträge: 40
Registriert: Sa 03.04.2021, 10:22

Beitrag von Eikel.edv »

[font=system-ui, -apple-system, BlinkMacSystemFont, Ubuntu, "Segoe UI", Roboto, "Helvetica Neue", sans-serif]Guten Tag,[/font]
[font=system-ui, -apple-system, BlinkMacSystemFont, Ubuntu, "Segoe UI", Roboto, "Helvetica Neue", sans-serif]Auf der Seite http://www.schulnetz.info/ habe ich mich intensiv eingelesen. Es wird dort als Beispiel ein Netz mit 5 VLANS genommen.[/font]
[font=system-ui, -apple-system, BlinkMacSystemFont, Ubuntu, "Segoe UI", Roboto, "Helvetica Neue", sans-serif]1x die Switche, dann 3 Abteilungen, dann Server, Drucker und Firewall als 3. VLAN.
1, bzw. 2 Ports werden jeweils quasi als Gateway ins andere VLAn definiert. Über ACL definiere ich Regeln à la permit und deny.
Also deny VLAN Abteilung 1 nach VLAN Abteilung 2... Permit Alles was nicht vorher verboten ist. Soweit klar. Ein Auszug aus der Seite:
[/font]

Code: Alles auswählen

ACL für das VLAN 102

Code: Alles auswählen

rule 1 deny ip source any destination 172.16.3.0 0.0.0.255

Code: Alles auswählen

rule 2 deny ip source any destination 172.16.4.0 0.0.0.255

Code: Alles auswählen

[rule 3 permit ip source any destination any
[font=system-ui, -apple-system, BlinkMacSystemFont, Ubuntu, "Segoe UI", Roboto, "Helvetica Neue", sans-serif]
Das bedeutet doch verbiete Ziele 172.16.3.0 und 172.16.4.0. Erlaube alle Ziele die bislang nicht verboten sind. Also Datenpaket von zB 172.16.2.1 an 172.16.3.1 ablehnen, Datenpaket von 172.16.2.1 an 172.16.4.1 ablehnen, Datenpaket von 172.16.2.1 an 172.16.100.1 zulassen First hit und Abbruch der Abarbeitung der ACL.. Dann habe ich das Datenpaket von 172.16.100.1 an 172.16.4.1. Das ist erlaubt und das ungewollte Datenpaket ist von 172.16.2.0 doch da wo es nicht hin soll, 172.16,4.0 weil zB der Server natürlich Datenpakete an den Client schicken können soll. Halt mit Umweg.

Natürlich müssen die Clients aus den Abteilungen Zugriff auf den Drucker, Server und Internet haben?
Das bedeutet doch, dass ein evtl. Wurm nicht direkt von den Clients in Abteilung 1 auf die Clients in Abteilung 2 zugreifen kann, aber dann geht er doch den Umweg über das Server/Drucker/Switch VLAN, da dort doch die Regel ANY definiert ist.
Ich stelle mir das gerade wie einen Knast vor. Abteilung 1 (Einbrecher), Abteilung 2 (Räuber).
Die Einbrecher dürfen nicht zu den Räubern. Aber alle müssen zum Speisesaal, den Duschen und den Toiletten.
Das bedeutet doch, dass der Einbrecher, welche zum Räuber will, dann einfach in den Speisesaal geht und von da aus zu den Räubern?
Dann müsste doch in den Switchen eine Art Paketfilterung stattfinden, welches Paket von VLAN Server an VLAN Abteilung 1 geht. Analog müsste man sicherstellen, das vom Speisesaal nur die Einbrecher zurück in den Block Einbrecher gehen und nicht doch ein Räuber in den Block Einbrecher. Oder geht das über den Token? So dass ich genau weiß, woher das Paket kommt, was für ein Paket es ist und auch dahin zurück darf? Aber das geht auch nicht, weil das Paket ja zB durchaus in andere Segmente können muss. ZB RDP durch den Admin oder eine Simple Email. VLAN Abteilung 1 nach VLAN Server nach VLAN Switch nach VLAN Firewall Internet

Der Broadcast wird weniger. Aber wo jetzt die Sicherheit erhöht wird, verstehe ich nicht[/font]

Andreas
Securepoint
Beiträge: 127
Registriert: Di 18.03.2008, 15:56
Wohnort: Wrestedt
Kontaktdaten:

Beitrag von Andreas »

Würmer und Netzwerkdienste (vor allem in Windows-Netzwerken) haben eine Sache gemeinsam: Sie arbeiten oft mit UDP-Broadcasts. Durch die Netztrennung werden so Geräte in anderen Segmenten gar nicht erst gefunden. Auf der anderen Seite arbeiten viele Netzwerkdienste (Netbios, DLNA) und auch viele Applikationen und Fachanwendungen nicht mehr. Gerade in letzerem Fall können wir uns dann die Netztrennung von der Backe kratzen...

Auf dem Switch kommt übrigens keinerlei Paketfilterung zum Einsatz. Alles was VLANs machen ist, den Switch virtuell in mehrere kleinere Switche einzuteilen. Deswegen sollte man sich VLANs als eigene Netzwerke mit eigenen Kabeln und separaten Switchen vorstellen, die dann jeweils an ein separates Interface der Firewall angeschlossen sind. Sollten nun Verbindungen in ein anderes VLAN stattfinden, ist das nur über die Firewall mit einer entsprechenden Firewall-Regel möglich, auch wenn die Netzwerkkabel beider Geräte direkt nebeneinander im gleichen Switch stecken, die jeweiligen Ports aber unterschiedlichen VLANs zugeordnet sind.

Eikel.edv
Beiträge: 40
Registriert: Sa 03.04.2021, 10:22

Beitrag von Eikel.edv »

@Andreas,
ah jetzt fällt der Groschen so langsam. Bei einer BlackDwarf geht das also nicht ohne weiteres, weil die nur 3 Ports hat. Davon einer für WAN. Bleiben theoretisch 2 für VLAN, bzw. WVLAN. Den Rest müsste ich dann über Switche regeln oder tatsächlich eine andere UTM mit mehr ports.
In der UTM dann eine ganz normale Regel:
QUelle: VLAN_Clients_Fibu Ziel: VLAN_Server Dienst: Drucken
QUelle: VLAN_Clients_Lohn Ziel: VLAN_Switche Dienst: Email
Der normale Weg:
VLAN_clients_Fibu -> Internet -> https geht nicht mehr?
Es müssten dann ja mehr kleinere Schritte werden. Also zB VLAN1 -> VLAN_Switche -> https,
VLAN_Switche -> Internet -> https

Und ja, das befürchte ich , ist das Problem. Der Kunde wechselt ja nicht den Fachanbieter, womit er arbeitet, was er kennt und er jeden Monat einen Haufen Geld bezahlt. Habe auch so eine Problematik für eine Kanzlei. Die Anwendung speichert die Passwörter (kurz und plumb: serv1123) im Klartext auf dem Server in einer Txt Datei! Beim nächsten Handwerker läuft die Software nur mit Adminrechten.

Andreas
Securepoint
Beiträge: 127
Registriert: Di 18.03.2008, 15:56
Wohnort: Wrestedt
Kontaktdaten:

Beitrag von Andreas »

wenn nicht genug Schnittstellen vorhanden sind, gehen halt VLANs. Bei 12 bit VLAN-Tag-Länge sind theoretisch 4096 VLANS auf dem Interface möglich. Wie gesagt, jedes VLAN muss man sich wie ein separates Interface vorstellen, und es wird dann auch so von der Firewall behandelt!

Was das Regelwerk angeht: im IP-Paket steht nichts von VLANs. Da steht auch nichts über die Schritte, die das Paket macht. Da nur steht eine Quell- und eine Ziel-IP drin, und die sind entscheidend für die Firewall-Regel. Die Regel "Vlan-Clients-Fibu -> Internet -> http" z.B. wäre dann noch genauso zu formulieren.

Eikel.edv
Beiträge: 40
Registriert: Sa 03.04.2021, 10:22

Beitrag von Eikel.edv »

Bei 12 bit VLAN-Tag-Länge, wer oder wo definiere ich das?
Bedeutet ich kann tatsächlich 6 VLANS auf den ETH1 legen. Beispiel BlakDwarf.
Und zu den Regeln. Ich vergebe doch eine Haupt-IP-Adresse für die Devices, oder?
Wenn ich zB 172.168.3.0 als Management VLAN nehme für die Switche, vergebe ich dem Switch die 172.168.3.1. Der Drucker im Drucker VLAn hat die 172.168.4.1. Die Clients 172.168.2.0.
Dann habe ich doch meine Ips. Oder geht das nicht von 172.168.2.0 in 172.168.3.0? Dienst Drucken?

Antworten