wie realisiert man hostbasiertes Routing (/32 Netzmaske)

[Poison Nuke 10]

Hallo,

 

ich bin gerade am überlegen, wie man in einem Netzwerk dafür sorgen könnte, dass kein Host einen anderen über Layer 2 sehen kann sondern ausschließlich über Layer 3, um somit sämtlichen Broadcast absolut zu verhindern und um "Man in the middle" Attacken usw zu verhindern.

 

Wenn ich auf meinen Internetanschluss schaue oder bei einer VPN Verbindung auf die IP Konfig, dann sehe ich da immer eine IP Adresse mit einer /32 Netzmaske und der Gateway ist das gleiche.

 

Mich würde jetzt interessieren, wie kann man sowas realisieren?

"Spielgeräte" wäre zum rumtesten erstmal ein 2811 mit IOS 12.3 und dann halt alles andere noch, 2960 Switches und beliebige Server.

 

 

primär interessiert mich jetzt vorallem, was ich auf dem Router einstellen muss, dass es funktioniert?

Gibt es da vllt gute Tutorials? Weil ich konnte beim besten willen nix brauchbares bisher finden...aber vllt fehlt mir auch einfach der entscheidende Suchbegriff.

 

 

Vielen dank schonmal :)

[Wordo 11]

Das macht man mit private VLANs ... such mal bei Cisco.com danach.

[Poison Nuke 10]

Hio,

 

naja, private VLANs sind schonmal eine feine Sache, leider können die 2960er Switch das nicht :(

zudem das ja auch nicht dieses direkte Routing ist...irgendwie müssen doch die Internetprovider auch das machen, dass sie mir überhaupt erstmal eine IP/32 zuweisen und diese IP müssen sie dann ja auch routen, bzw zu dieser IP müssen sie auch was hinrouten. Die PVLANs wären dann zwar die perfekte Möglichkeit, um auch das broadcasten innerhalb eines Switches komplett zu verhindern, aber das ist ja nur auf Layer 2. Oder hab ich da gerade komplett was übersehen?

[Wordo 11]

Du hast was komplett uebersehen, schau dir mal die Logik nochmal an ... Provider machen das mit private VLANs ...

[Poison Nuke 10]

aber das ist ja trotzdem erstmal die logische Netzstruktur, aber so wie das da steht, bleibt die IP Konfiguration an sich gleich. Also ein Client hat trotzdem seine 192.168.0.5 /24 und die .1 als Gateway meinetwegen...er kann aber halt auch nur mit dem Gateway kommunizieren, weil über die PVLANs jede andere Kommunikation verhindert wird, oder?

[Wordo 11]

Genau, am Community Port haengt dann das Gateway und dort kannste auf L3 alles machen ..

[Poison Nuke 10]

muss ich dann nix weiter am Router einstellen, wenn ich 32er Subnetze verwende? Weil theoretisch müsste man dann jede IP auf dem Router ebenfalls einstellen nur dass der dann ja rummeckert, wenn man einer 32er Netzmaske vergeben will. Also muss ich ja am Router irgendwas anders einstellen...nur was?

[Otaku19 33]

bei einer Providereinwahl besteht ja eine PPP Verbindung, über die wird einem via IPCP die /32 Adresse zugewiesen (framed IP + netmask, und ggf wird auf diese dann ein weiteres netz geroutet). Und da ist man dann quasi selbst das default gateway.

[Poison Nuke 10]

also müsste man theoretisch zu jedem Rechner eine PPP Verbindung vom Router aufbauen lassen? Dann könnte man sich PVLAN auch "sparen" ?

 

Weil Problem ist, das IOS auf den 2960 kann kein PVLAN und ich finde gerade nichtmal, ob das überhaupt möglich wäre mit einer anderen IOS Version...obwohl es sehr sinnbefreit wäre, wenn es nur die 4500 aufwärts könnten, die haben im Access-Bereich, wo PVLANs gebraucht werden, ja nix zu suchen.

[blackbox 10]

auf den 2960er geht es nicht - weil es ja "ein bischen" im L3 abhäuft - und die 2960 sind ja reine L2 Kisten. Dann susst du zu den 3560 oder 3750 gehen.

 

Link

[Poison Nuke 10]

wie sieht es aus mit dem PPP, wäre es möglich über die 2960 von einem 4500 oder 6500 aus solche PPP Verbindungen zu jedem einzelnen CLient herzustellen? In der Hinsicht kenn ich mich auf Cisco Geräten leider gar nicht aus.

[Otaku19 33]

öhm...das willst du ganz bestimmt NICHT tun. In dieser Hinsicht kennst du dich nicht aus was man im LAN und was im WAN tut

[blackbox 10]

Oh oh - PPPoE im LAN - das Abenteuer starts here :-) - Ne lass mal lieber - alle versuchen für fixe Netze davon wegzukommen. Was hast du eigentlich da so genaues vor - das du dein Internes Netz so von irgendwas abschotten willst ?

[Poison Nuke 10]

genau das, was die Provider auch vorhaben...Schutz der einzelnen Kunden. Das hat jeder Rechner seine dedizierte Pipe mehr oder weniger hat und es keine Möglichkeit gibt, dass Broadcasts andere beeinflussen oder Spoofingattacken erfolgreich sind, oder das jemand den Netzwerkverkehr mithört, der nicht unicast ist, oder das DDoS Attacken halt auch nur den Host betreffen, den sie angreifen usw.

[Otaku19 33]

angenommen die hängen alle an einem müden 2960...wenn der mal ordentlich bombardiert wird, dann hilft dir das alles nix. Ich glaube du fixierst dich da auf einen völlig falschen Lösungsansatz.

mit den richtigen Miteln ist weder ein sniffen,man in the middle oder spoofen möglich, allerdings muss man evtl. für den ein oder anderen Ansatz dem Kunden auf die Nerven gehen