cjmatsel 10 Geschrieben 22. September 2015 Melden Teilen Geschrieben 22. September 2015 Hi, ich suche eine Möglichkeit das Scannen im Netzwerk zu verhindern und bin bei einigen älteren HP-Switchen darauf gestoßen dass man mit IP-Wildcards arbeiten kann. Sprich: Ich kann einem angeschlossenen Gerät sagen welche IPs es sehen und nutzen darf. Kennt jemand solch ein Vorgehen? Welche Switche (bei Cisco welche IOS-Komponente) könnte man einsetzen? Bei den alten HP-Switchen kann man sich ziemlich die Finger brechen um das überhaupt einzurichten... Zitieren Link zu diesem Kommentar
Nobbyaushb 1.464 Geschrieben 22. September 2015 Melden Teilen Geschrieben 22. September 2015 Moin, ja, es gibt Hardware die das kann - aber wie so oft die Frage, warum. Definiere die Anforderungen, daraus ergibt sich eine Lösung. ;) Zitieren Link zu diesem Kommentar
cjmatsel 10 Geschrieben 22. September 2015 Autor Melden Teilen Geschrieben 22. September 2015 Hi, lieben Dank für die kurze Antwort. Das hatte ich allerdings oben schon geschrieben: Ich möchte Angreifern im Netz das Scanning und "Abtasten" anderer Geräte erschweren. Da alle meine Geräte nur mit dem Gateway und dem DHCP/DNS-Server kommunizieren ist die Eingrenzung der notwendigen IPs nicht besonders schwer. Zudem findet aufgrund unserer hierarchischen Struktur kein notwendiger Verkehr zwischen den PCs statt... Welche Hardware kann so etwas? Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 22. September 2015 Melden Teilen Geschrieben 22. September 2015 Bei Cisco gibt es sog. pVLAN. Vielleicht Dir das. Ansonsten: Port-Authentifizierung mit Zertifikaten, IPSEC u.ä. Ist alles relativ aufwendig. Dann gibt es noch die personal Firewalls auf den PC. Da kann man Richtlinien nach Deinen Wünschen konfigurieren (z.B, Kommunikation nur zwischen Server und Client). Ansonsten bringt Dein Ansatz im Speziellen aber kaum mehr Sicherheit. Zitieren Link zu diesem Kommentar
XP-Fan 216 Geschrieben 22. September 2015 Melden Teilen Geschrieben 22. September 2015 Hallo, Ich möchte Angreifern im Netz das Scanning und "Abtasten" anderer Geräte erschweren. mir stellt sich hier die Frage: Wie kommen die möglichen Angreifer in das Netzwerk ? Zitieren Link zu diesem Kommentar
cjmatsel 10 Geschrieben 22. September 2015 Autor Melden Teilen Geschrieben 22. September 2015 mir stellt sich hier die Frage: Wie kommen die möglichen Angreifer in das Netzwerk ? Es gibt da so einen großen Konzern von dem wir abhängig sind. Der ist gerade ein bisschen in den Schlagzeilen (ich möchte ungern weitere Details bekannt geben und darum Bitten den Namen nicht zu nennen)... Es gibt normalerweise dadurch genügend Möglichkeiten in das LAN einzubrechen ohne dass man es mit bekommt. IPSec oder Portauthentifizierung habe ich auch auf dem Schirm, wollte ich aber noch vermeiden, da ich eine Menge Komponenten habe welche damit gar nicht klar kommen, wie Drucker und andere Mini-Server... Die Personal-Firewalls auf dem PC wären auch noch ein Ansatz; aber die Spezialgeräte lassen sich damit nicht unter Kontrolle bekommen; auf zentraler Switch-Ebene stelle ich mir das schon sehr elegant vor, weil man eben unabhängig vom angeschlossenen Gerät ist... Die pVLANs schaue ich mir auch mal genauer an... Lieben Dank! Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 22. September 2015 Melden Teilen Geschrieben 22. September 2015 (bearbeitet) Moin, bei welchen älteren HP Switches ist das denn möglich, wie heisst die Option, Funktion? Zahni schrieb es schon, auch mich erinnert das Ansinnen sehr an pVLAN. Aber für jedes Gerät ein pVLAN? Ich kann einem angeschlossenen Gerät sagen welche IPs es sehen und nutzen darf. Was sollte das aber nützen, falls sich der Angreifer nicht daran orientiert? Und IP? Was ist mit dem Layer darunter, mit Ethernet? Nicht in den "Schutz" einbezogen? Ob die im Wunsch beschriebene Möglichkeit ein Schutz ist oder lediglich dem verringern des IP-Broadcast dient? Wenn, denn müsste es doch wohl auf Ebene der MAC stattfinden, oder? Kleine Kritik: Was ist das, dachte ich, ich erkenne keinen Zusammenhang zwischen der Überschrift und dem Inhalt. :) bearbeitet 22. September 2015 von lefg Zitieren Link zu diesem Kommentar
Nobbyaushb 1.464 Geschrieben 22. September 2015 Melden Teilen Geschrieben 22. September 2015 Moin, ich würde erst einmal vorne am Gateway mit einer vernünftigen Firewall arbeiten, die auf Applikation-Level den Datenstrom filtert. Schau mal bei den besseren von Dell oder wie bei mir im Einsatz eine Securepoint als Appliance. Du musst das ganze betrachten, das sprengt meiner Meinung nach den Rahmen / die Möglichkeiten eines Forums. :shock: Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 24. September 2015 Melden Teilen Geschrieben 24. September 2015 Moin, wenn es um den Zugriff über ein VPN geht, ist eine Firewall zwischen VPN Gateway und LAN ein guter Anfang. Also eine separate DMZ, in der die VPN terminiert werden. Je nach Umgebung könnten auch die Ressourcen, auf die externe Zugriffe erfolgen, in ein separates Netzsegment gepackt werden. Für physische Zugriffe gibt es 802.1x. Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 24. September 2015 Melden Teilen Geschrieben 24. September 2015 (bearbeitet) Es gibt da so einen großen Konzern von dem wir abhängig sind. Der ist gerade ein bisschen in den Schlagzeilen (ich möchte ungern weitere Details bekannt geben und darum Bitten den Namen nicht zu nennen)... Volkswagen? Was du möchtest sind VLANs und eine zentrale Datacenter Firewall, Verschlüsselung, Port-Security und etliche andere Dinge. Die Art deiner Fragestellung lässt mich aber glauben das du das Netz nicht abgesichert bekommst. Dazu fehlt dir das notwendige Knowhow. Vertraue dich einem Dienstleister deiner Wahl an und stimme ein Sicherhetiskonzept mit Hilfe eines externen Dienstleisters, deiner Geschäftsführung, deinem Datenschutzbeauftragten und deinem Betriebsrat ab. bearbeitet 24. September 2015 von DocData Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.