Aufruf zum Netzwerkdesign - kenn mich da eigentlich null aus...

[Tschokko]

Huhu,

heute hab ich mal ein ganz anderes Thema auf dem Herzen. Es beschäftigt mich schon geraume Zeit. Mangels Know-How und Mittel ist bisher nie was daraus geworden. Die nächsten Monate werde ich die Mittel sicherlich auch nicht auftreiben, aber es interessiert mich generell. Und man kann ja dann mal nach entsprechenden Netzwerkkomponenten Ausschau halten.

Im private Bereich ist es ja übliche Praxis alle Maschinen/Ports an SoHo Hubs und Switcht zu klemmen. Hauptsache funzt und man kommt überall drauf. Prinzipiell ist da ja auch nix dagegen einzuwenden. Aber wie sieht eine Umgebung wie meine zuhause in professionell aus?

Also holen wir aus... Ich habe auf jeden Fall ein LAN wo meine Workstation(s)/PC(s) stehen. Dazu kommt eine WLAN Zone, als auch eine DMZ wo ich einen Server bzw. eine virtuelle Maschine als Web System o.ä. bereitstellen möchte. Meine Server verfügen mindestens über 2 Netzwerkschnittstellen. Einmal eine worüber die Clients auf die Maschine zugreifen, als auch eine Schnittstelle für ein seperates Server LAN, um z.B. große Datenmengen von einem Server zum anderen zu kopieren. Desweiteren verfügen fast alle Server als auch spezialisierte Systeme z.B. der Fibre Channel Switch über eine Management Schnittstellen (ILO, ALOM, usw.), diese sollen natürlich nicht im "öffentlichen" LAN zugänglich sein. Schlußendlich kommen da noch der Internet Anschluß, als auch die Not Remote Zugänge bspw. ISDN Einwahlleitungen, wie auch z.B. ein Terminal Server für die ganzen seriellen Management Schnittstellen, oder so Sachen wie Web Access auf Management Tools, z.B. mein NAS Server, mein FC-Switch, oder der Secure Web Zugang zu meinen HP Servern, und und und.

Tja, wie sieht so ein Netzwerk professionell aus? Hat jemand Ideen wie man sowas hübsch gestalten könnte. Gerne mit VLANs, paar Routern, usw.

Danke und Gruß
Tschokko

[Ebbi]

Tja, wie sieht so ein Netzwerk professionell aus? Hat jemand Ideen wie man sowas hübsch gestalten könnte. Gerne mit VLANs, paar Routern, usw.

Naja, damit verdienen wir im Jahr eine stattliche Summe.
Aber leider nicht meine Baustelle.
Denn wie du schon schreibst, reicht es mir wenn es funktioniert.
Ich möchte nicht in meiner Freizeit das machen, womit meine Kollegen eine 60-Stunden-Woche füllen.

[Tschokko]

Tja, wie sieht so ein Netzwerk professionell aus? Hat jemand Ideen wie man sowas hübsch gestalten könnte. Gerne mit VLANs, paar Routern, usw.

Naja, damit verdienen wir im Jahr eine stattliche Summe.

Ja, nun, das geht ja auch schon einige Stufe zu sehr in die Tiefe. Ich will hier nicht eine fein ausgearbeitete Lösung präsentiert bekommen, sonderm lediglich in die richtige Richtung gewiesen werden. Sprich ein einfaches Grob Konzept... den Rest kann ich mir selber dazu denken, und beim Doing muss ich halt meine 4-Buchtstaben aufn Stuhl quetschen und mich durchbeisen.

Gruß Tschokko

[Tschokko]

Ich will mal vorgreifen... aus rein konzeptioneller Sicht sieht meine Idee wie folgt aus:



Bis auf "OPER", was dem operativem Netzwerk entspricht - d.h. die seperate Serveranbindung um Daten von Server zu Server zu schieben oder eben um so Endgeräte wie einen FC-SAN-Switch anzubinden - dürfte der Rest selbst erklärend sein, oder?

Entspricht das in etwa gänigen Netzwerk Installationen? Mal abgesehen davon, dass die Client LANs deutlich größer ausfallen und hier durchaus mehrere COREs pro Standort erfordern.

Gruß Tschokko

[truerasp]

Ich will mal vorgreifen... aus rein konzeptioneller Sicht sieht meine Idee wie folgt aus:



Bis auf "OPER", was dem operativem Netzwerk entspricht - d.h. die seperate Serveranbindung um Daten von Server zu Server zu schieben oder eben um so Endgeräte wie einen FC-SAN-Switch anzubinden - dürfte der Rest selbst erklärend sein, oder?

Entspricht das in etwa gänigen Netzwerk Installationen? Mal abgesehen davon, dass die Client LANs deutlich größer ausfallen und hier durchaus mehrere COREs pro Standort erfordern.

Gruß Tschokko

nunja, also wenn ich mal eins bin von allem was hier so zur diskussionstand, dann einer von den typen die der ebbi eben meinte.

was du da beschreibst ist von der funktionalen seite ganz schoen. allerdings fehlen noch so feinheiten wie backup und administration fuer die dmz.

auf der anderen seite entwerfen wir unsere netze eigentlich grundsaetzlich nach kriterien wie verfuegbarkeit, bandbreite, QoS, VoIP usw. Das was du aufgezeichnet hast waere dann eine implementierung von verschiedenen VLANs auf der vorher definierten Hardware, immer vorrausgesetzt man wuerde gegebenenfalls private links fuer bestimmte dienste oder auch mal nen privaten switch zum beispiel fuer ne dmz oder ein admin LAN vorsehen.

dann gibts noch die idee servicelevel nach netzwerkschicht zu trennen. also hochverfuegbarkeit auf layer 2 mach ich auf anderen boxen als hochverfuegbarkeit auf layer 3 ...

wenn ich mal ne ruhige minute habe male ich das mal auf.

grusz frank

p.s. mit iSCSI oder FC over IP kommen noch andere Kriterien hinzu die vielleicht nicht mit nem VLAN abgedeckt sind. da fragt sich noch einer wo die 10 Gigabit Ethernets hin wandern

p.p.s. und dann gibts ganz verschiedene grundsaetzliche ansaetze wie ein klassisches 3tier netzwerk oder ein core-edge design in dem viele funktionen auf die zugangsswitche verlagert werden.

[Tschokko]

wenn ich mal ne ruhige minute habe male ich das mal auf.

Das wäre mal ne super coole Sache, denn ich hab nun mal überhaupt keine Ahnung von diesem Thema und mich würde einfach mal der Entwurf interessieren wie in etwa ein professionelles Netzwerk aussehen könnte.

Apropos Admin Netzwerk für die Geräte in der DMZ. Wie kann ich mir das in etwa vorstellen? Klingt so wie ein zweiter Netzwerkanschluss, als auch eine Gefahrenquelle falls die Maschine doch mal gehackt wird??

Gruß
Tschokko

[Ebbi]

Was dann noch eine schöne Option ist, ist ein Failover-Cluster über WAN.

[truerasp]

Was dann noch eine schöne Option ist, ist ein Failover-Cluster über WAN.

failover ist ja schoen und gut. die vorherigen datenreplikationen sind immer spannend dafuer gibts ja diese lustigen wan acceleratoren die ja im grunde nix als nen kompressionsproxy sind und dann diese WDM darkfibres und das theater wieder GBICs mit verschiedenen Wellenlaengen zu besorgen, die weider kein Distri an Lager hat.

DEJAvu das war irgendwie mein Dezember.

[karakal]

Also so schaut mein Heimnetzwerk aus... Größtes Sicherheitsrisiko (aus meiner Sicht) ist der 100MBit Layer3 Switch mit den zwei VLANs auf denen sowohl das Internet als auch Teile des Intranets laufen...

[Stefan307]

Wenn ich das mit den VLANs richtig verstanden(http://de.wikipedia.org/wiki/Virtual_Local_Area_Network) habe ist das in der Tat ein Sicherheitsproblem! du überbrückst quasi deinen IPCop!

[karakal]

Wenn ich das mit den VLANs richtig verstanden(http://de.wikipedia.org/wiki/Virtual_Local_Area_Network) habe ist das in der Tat ein Sicherheitsproblem! du überbrückst quasi deinen IPCop!

Nein. Tu' ich nicht. Rein technisch betrachtet ist es für Pakete aus einem VLAN nicht möglich, Pakete aus einem anderen VLAN einzusehen. Theoretisch könnte ich, da ich einen Layer3 Switch besitze, diese VLANs über internes Routing miteinander verbinden, dann könnten die auch miteinander reden und ich würde dann wirklich den IPCOP überbrücken.
Der Angreifer müsste somit in der Lage sein, die VLAN-Implementierung des Switches auszunutzen. Das ist relativ theoretisch, da der Angreifer normalerweise nicht weiß, dass ein solcher Switch im Einsatz ist, das Ding "verrät" sich ja nicht nach außen. Und da ich eine statische VLAN-Konfiguration (Ports fix einem VLAN zugeordnet) habe, muss der Angreifer tatsächlich physischen Zugriff auf den Switch haben...

In einer Produktivumgebung, wo es auch um "Geld" gehen würde (wo Geld auch keine Rolle spielt) würde ich das Setup in dieser Form allerdings nicht fahren.

[truerasp]

Wenn ich das mit den VLANs richtig verstanden(http://de.wikipedia.org/wiki/Virtual_Local_Area_Network) habe ist das in der Tat ein Sicherheitsproblem! du überbrückst quasi deinen IPCop!

wenn du davon ausgehst dass deine vlans im switchbetriebssystem nicht richtig implementiert sind dann schon. In atomkraftwerken darf man das nicht machen. nahmhafte deutsche automobilkonzerne und chemiekonzerne mit deren dmz ich vertraut bin machen das genau so.

allerdings sollte der layer 3 switch nicht routen sondern genau das dem ip cop ueberlassen und auf gar keinen fall eine ip adresse auf dem virtuellen interface des dmz vlan haben.

[karakal]

wenn du davon ausgehst dass deine vlans im switchbetriebssystem nicht richtig implementiert sind dann schon. In atomkraftwerken darf man das nicht machen. nahmhafte deutsche automobilkonzerne und chemiekonzerne mit deren dmz ich vertraut bin machen das genau so.

allerdings sollte der layer 3 switch nicht routen sondern genau das dem ip cop ueberlassen und auf gar keinen fall eine ip adresse auf dem virtuellen interface des dmz vlan haben.

Der IPCOP hat (bei mir zumindest) brav vier physische Netzwerkkarten und deswegen setze ich da gar keine VLANs ein. Wichtig ist halt, wie du schon gesagt hast: nicht zu routen und die zuordnung von ports zu vlans statisch zu machen. dann kann eigentlich net viel passieren.... (und die management-oberfläche des switches kann man ja abdrehen sobald man das ding konfiguriert hat... wozu gibts einen seriellen port ;-) )

[Fleedwood]

Der IPCOP hat (bei mir zumindest) brav vier physische Netzwerkkarten und deswegen setze ich da gar keine VLANs ein. Wichtig ist halt, wie du schon gesagt hast: nicht zu routen und die zuordnung von ports zu vlans statisch zu machen. dann kann eigentlich net viel passieren....

immer unter der Annahme, daß der Switch tagged Frames sauber in die Tonne drückt wenn sie verboten sind.

Ich hab ja beruflich immer wieder mit Switchbausteinen selber zu tun und hab oft den Eindruck, daß die Hardwarebrüder damit oft
so ein gedankliches Problem haben... Und wenn dann intern im Switch mit double tagging gearbeitet wird, wirds auch für einige
Softwerker schwer... Da Switches als Angriffpunkt von außen eher selten sind, sind die großen Exploits noch gar nicht aus der Taufe
gehoben worden, ich geh aber stark davon aus, daß es jede Menge Löcher gibt.

Thomas.

[truerasp]

Ich hab ja beruflich immer wieder mit Switchbausteinen selber zu tun und hab oft den Eindruck, daß die Hardwarebrüder damit oft
so ein gedankliches Problem haben... Und wenn dann intern im Switch mit double tagging gearbeitet wird, wirds auch für einige
Softwerker schwer... Da Switches als Angriffpunkt von außen eher selten sind, sind die großen Exploits noch gar nicht aus der Taufe
gehoben worden, ich geh aber stark davon aus, daß es jede Menge Löcher gibt.

das erklaert das aeusserst merkwuerdige verhalten er switchblades GbE2C mit derem internen management port der durch das blade enclosure nach aussen gefuehrt wird und sehr renitent darauf regiert wenn der uplink des enclosure admninistrators auf ein l2-segment fuehrt in dem ungetaggt server aus dem blade enclosure selbst angeschlossen sind.