phatair 39 Geschrieben 16. Juli 2020 Melden Teilen Geschrieben 16. Juli 2020 Hallo zusammen, wir sind gerade dabei unser LAN umzustrukturieren. Wir haben zwar jetzt schon mehrere VLANs für DMZ, Management, Fertigung usw. aber das Hauptproblem ist, dass Drucker, Server, Clients in einem VLAN sind. Da wir auch eine neue Firewall implementieren, wollen wir jetzt eigene VLANs für Server, Drucker, Clients usw. einführen. Einen Teil haben wir schon umgestellt und es läuft soweit gut. Nun stellt sich die Frage wie wir die Server am Bestem umziehen. Hier würde ich gerne die momentanen Zugriffe Monitoren um zu sehen welche IPs/Geräte auf die entsprechenden Server zugreifen. Über die letzten 20 Jahre wurde hier nicht alles sauber dokumentiert. Zum Beispiel DNS. Diese sind oft per IP in irgendwelchen Konfigs eingetragen worden und hier würde ich nun gerne sehen welche IPs innerhalb 1 Woche auf den DNS Server zugreifen. Da im Moment alles in einem Subnetz abläuft, sehe ich das in unser alten Firewall aber nicht. Mir fällt im Moment nur ein, Wireshark auf dem DNS Server laufen zu lassen und dort zu prüfen was für Anfragen kommen. Das müsste ich dann auf jedem Server machen, den wir umziehen. Gibt es noch eine andere Methode oder hättet ihr noch einen Tipp, wie man die IP Umstellung der Server gut vorbereiten kann (also vorher abklärt, welche Systeme zugreifen um diese dann nach der Umstellung anzupassen bzw. zu prüfen)? Vielen Dank und Gruß Zitieren Link zu diesem Kommentar
testperson 1.675 Geschrieben 16. Juli 2020 Melden Teilen Geschrieben 16. Juli 2020 Hi, wäre es evtl. ein einfacherer Ansatz, die Server im derzeitigen IP-Netz zu belassen und "alles andere" in eigene VLANs / IP-Netze umzuziehen? Alternativ würde ich direkt alle Geräte durchgehen und prüfen, wie diese konfiguriert sind. Dann kannst du direkt die saubere Dokumentation "nachziehen". Gruß Jan Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 16. Juli 2020 Melden Teilen Geschrieben 16. Juli 2020 (bearbeitet) vor 45 Minuten schrieb phatair: aber das Hauptproblem ist, dass Drucker, Server, Clients in einem VLAN sind. Moin Warum ist das ein Problem? Was ist das Problem? Du bist dir darüber im Klaren, die VLANs müssen verbunden werden, weil z.B. die Clients aus ihrem VLAN in das VLAN der Drucker kommen müssen? Also Routing oder Bridging. Du bist mit den Grundlagen von VLAN vertraut? Ansonsten, zum Monitoren, ich würde es wohl mit PRTG machen. bearbeitet 16. Juli 2020 von lefg Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 16. Juli 2020 Autor Melden Teilen Geschrieben 16. Juli 2020 vor 8 Minuten schrieb testperson: Hi, wäre es evtl. ein einfacherer Ansatz, die Server im derzeitigen IP-Netz zu belassen und "alles andere" in eigene VLANs / IP-Netze umzuziehen? Alternativ würde ich direkt alle Geräte durchgehen und prüfen, wie diese konfiguriert sind. Dann kannst du direkt die saubere Dokumentation "nachziehen". Gruß Jan Leider nein, dass hatten wir auch schon überlegt. Es handelt sich um ein /22 Netz und in diesem sind auch jetzt schon Geräte aus der Haustechnik (Strommesser, Klimaschränke, Rollos, usw). Diese sind zwar in einem eigenen IP Bereich (141.x) und die Server im (143.x), aber ich bkeomme die Haustechnik so schnell nicht angepasst. Ich müsste dort dann ja überall die Subnetzmaske anpassen, und das ist bei diesen Geräten oft nicht machbar bzw. nur durch den Techniker. vor 1 Minute schrieb lefg: Moin Warum ist das ein Problem? Was ist das Problem? Ansonsten, zum Monitoren, ich würde es wohl mit PRTG machen. Das Problem ist, dass wir hier gar keine Trennung haben. Die Geräte können alle miteinander kommunizieren und für mich ist das aus Sicht der Sicherheit keine gute Lösung. Wir wollen die Segmente sauber durch die FW trennen und keine direkte Kommunikation erlauben. Schon gar keine Haustechnik. Aber es sollen auch Abteilungen wie die Entwicklung eigene VLANs bekommen, dass man Zugriffe über die FW steuern kann. Durch die Trennung von Server und Clients können wir dann auch noch mal genauer die Zugriffe steuern. Bis jetzt ist das ja nur über die Windows FW möglich, und das ist unschön zu managen. PRTG haben wir im Einsatz, ich wüsste im Moment nur nicht wie ich hier die einzelnen Zugriffe auf die Server protokollieren kann. Ich habe jetzt mal zum Test Wireshark auf dem DNS Server laufen und sehe hier ganz gut welche Zugriffe passieren. Wahrscheinlich komme ich um diesen Aufwand nicht herum :/ Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 16. Juli 2020 Melden Teilen Geschrieben 16. Juli 2020 (bearbeitet) vor 54 Minuten schrieb phatair: Gibt es noch eine andere Methode oder hättet ihr noch einen Tipp, Mache einen Plan, eine Skizze auf Papier, die an einer Wand, auf einer Tafel. vor 4 Minuten schrieb phatair: PRTG haben wir im Einsatz, ich wüsste im Moment nur nicht wie ich hier die einzelnen Zugriffe auf die Server protokollieren kann. Ich habe jetzt mal zum Test Wireshark auf dem DNS Server laufen und sehe hier ganz gut welche Zugriffe Wenn auf dem DNS PRTG installiert ist, dann ginge das wohl auch. Wenn Wireshark genügt, dann ist es ja gut. Zum Server: Ich habe des Öfteren Geräten wie Rechner, Server, Drucker mehr als ein IP verpasst, zeitweilig oder auch dauernd. bearbeitet 16. Juli 2020 von lefg Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 16. Juli 2020 Melden Teilen Geschrieben 16. Juli 2020 Wo soll denn zukünftig das Routing der Netze stattfinden? Auf den Switches oder der Firewall? Bei letzterem würde ich mir Gedanken über die Performance machen. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 16. Juli 2020 Melden Teilen Geschrieben 16. Juli 2020 (bearbeitet) Eine Anregung: Überschrift: Ein VLAN für ein Netzwerk mit Server, Clients, Drucker und ..... Erstelle ein VLAN und schubse Ports der Server, Clients, Drucker und ..... hinein. Damit sind diese getrennt von der Haustechnik .... . Und falls man will kann man weitermacchen mit einem VLAN für die Drucker, ..... bearbeitet 16. Juli 2020 von lefg Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 16. Juli 2020 Melden Teilen Geschrieben 16. Juli 2020 Der TO hat schon recht - Server gehören in das eine VLAN, Clients und Drucker in ein anderes. Wenn man genug Luft hat, auch Drucker und Clients getrennt... Stichwort "Tier Trennung"... Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 16. Juli 2020 Melden Teilen Geschrieben 16. Juli 2020 Ja Martin, das kann man alles machen heute. Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 17. Juli 2020 Melden Teilen Geschrieben 17. Juli 2020 Moin, vor 19 Stunden schrieb djmaker: Wo soll denn zukünftig das Routing der Netze stattfinden? Auf den Switches oder der Firewall? Bei letzterem würde ich mir Gedanken über die Performance machen. diese Frage möchte ich noch mal hervorheben, weil sie mir eine Kernfrage zu sein scheint. Da der TO sagt, es gehe ihm um Sicherheit, kann die Antwort nur lauten: Das Routing macht die/eine Firewall. Da wir hier von LAN-Verbindungen reden, muss das also ein echter Brummer sein. Ich werfe an der Stelle mal "lokale Firewalls" ins Spiel. Damit kann man evtl. Engpässe vermeiden und Kosten sparen. (Man mache sich aber nichts vor, in dem hier diskutierten Stil wird das Management dadurch nicht einfacher. Das wäre bei einer dedizierten Firewall allerdings auch komplex.) Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.