Jump to content

Nur Gateway im Netz sichtbar machen?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

ich suche eine Möglichkeit das Scannen im Netzwerk zu verhindern und bin bei einigen älteren HP-Switchen darauf gestoßen dass man mit IP-Wildcards arbeiten kann. Sprich: Ich kann einem angeschlossenen Gerät sagen welche IPs es sehen und nutzen darf. Kennt jemand solch ein Vorgehen? Welche Switche (bei Cisco welche IOS-Komponente) könnte man einsetzen? Bei den alten HP-Switchen kann man sich ziemlich die Finger brechen um das überhaupt einzurichten...

Link zu diesem Kommentar

Hi,

lieben Dank für die kurze Antwort. Das hatte ich allerdings oben schon geschrieben: Ich möchte Angreifern im Netz das Scanning und "Abtasten" anderer Geräte erschweren. Da alle meine Geräte nur mit dem Gateway und dem DHCP/DNS-Server kommunizieren ist die Eingrenzung der notwendigen IPs nicht besonders schwer. Zudem findet aufgrund unserer hierarchischen Struktur kein notwendiger Verkehr zwischen den PCs statt... Welche Hardware kann so etwas?

Link zu diesem Kommentar

Bei Cisco gibt es sog. pVLAN. Vielleicht Dir das.

Ansonsten: Port-Authentifizierung mit Zertifikaten, IPSEC u.ä.

Ist alles relativ aufwendig.

Dann gibt es noch die personal Firewalls auf den PC. Da kann man Richtlinien nach Deinen Wünschen konfigurieren (z.B, Kommunikation nur zwischen Server und Client).

 

Ansonsten bringt Dein Ansatz im Speziellen aber kaum mehr Sicherheit.

Link zu diesem Kommentar

 

mir stellt sich hier die Frage: Wie kommen die möglichen Angreifer in das Netzwerk ?

Es gibt da so einen großen Konzern von dem wir abhängig sind. Der ist gerade ein bisschen in den Schlagzeilen (ich möchte ungern weitere Details bekannt geben und darum Bitten den Namen nicht zu nennen)...

Es gibt normalerweise dadurch genügend Möglichkeiten in das LAN einzubrechen ohne dass man es mit bekommt. IPSec oder Portauthentifizierung habe ich auch auf dem Schirm, wollte ich aber noch vermeiden, da ich eine Menge Komponenten habe welche damit gar nicht klar kommen, wie Drucker und andere Mini-Server...

Die Personal-Firewalls auf dem PC wären auch noch ein Ansatz; aber die Spezialgeräte lassen sich damit nicht unter Kontrolle bekommen; auf zentraler Switch-Ebene stelle ich mir das schon sehr elegant vor, weil man eben unabhängig vom angeschlossenen Gerät ist...

Die pVLANs schaue ich mir auch mal genauer an...

 

Lieben Dank!

Link zu diesem Kommentar

Moin,

 

bei welchen älteren HP Switches ist das denn möglich, wie heisst die Option, Funktion?

 

Zahni schrieb es schon, auch mich erinnert das Ansinnen sehr an pVLAN. Aber für jedes Gerät ein pVLAN?

 

 

Ich kann einem angeschlossenen Gerät sagen welche IPs es sehen und nutzen darf.

 

Was sollte das aber nützen, falls sich der Angreifer nicht daran orientiert? Und IP? Was ist mit dem Layer darunter, mit Ethernet? Nicht in den "Schutz" einbezogen? Ob die im Wunsch beschriebene Möglichkeit ein Schutz ist oder lediglich dem verringern des IP-Broadcast dient? Wenn, denn müsste es doch wohl auf Ebene der MAC stattfinden, oder?

 

Kleine Kritik: Was ist das, dachte ich, ich erkenne keinen Zusammenhang zwischen der Überschrift und dem Inhalt. :)

bearbeitet von lefg
Link zu diesem Kommentar

Moin,

 

ich würde erst einmal vorne am Gateway mit einer vernünftigen Firewall arbeiten, die auf Applikation-Level den Datenstrom filtert.

 

Schau mal bei den besseren von Dell oder wie bei mir im Einsatz eine Securepoint als Appliance.

 

Du musst das ganze betrachten, das sprengt meiner Meinung nach den Rahmen / die Möglichkeiten eines Forums.

 

:shock:

Link zu diesem Kommentar

Moin,

 

wenn es um den Zugriff über ein VPN geht, ist eine Firewall zwischen VPN Gateway und LAN ein guter Anfang.

Also eine separate DMZ, in der die VPN terminiert werden. Je nach Umgebung könnten auch die Ressourcen, auf die externe Zugriffe erfolgen, in ein separates Netzsegment gepackt werden.

 

Für physische Zugriffe gibt es 802.1x.

Link zu diesem Kommentar

Es gibt da so einen großen Konzern von dem wir abhängig sind. Der ist gerade ein bisschen in den Schlagzeilen (ich möchte ungern weitere Details bekannt geben und darum Bitten den Namen nicht zu nennen)...

Volkswagen?

 

Was du möchtest sind VLANs und eine zentrale Datacenter Firewall, Verschlüsselung, Port-Security und etliche andere Dinge. Die Art deiner Fragestellung lässt mich aber glauben das du das Netz nicht abgesichert bekommst. Dazu fehlt dir das notwendige Knowhow. Vertraue dich einem Dienstleister deiner Wahl an und stimme ein Sicherhetiskonzept mit Hilfe eines externen Dienstleisters, deiner Geschäftsführung, deinem Datenschutzbeauftragten und deinem Betriebsrat ab.

bearbeitet von DocData
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...