jodelknut
Goto Top

Gateway in Switches, Druckern ect eintragen oder nicht

Hi,

bisher habe ich immer das Gateway überall wo es verlangt oder eintragbar war auch eingetragen.
Mein neuer Kollege meinte, dass man das nicht mehr macht, sondern allerhöchstens der Core Switch würde das noch erhalten (neben den PCs etc.)

Warum weiß er selber nicht und ich bin nun ratlos und meine es sei wahrscheinlich Jacke wie Hose.
Wie handhabt ihr das?

VG

Content-Key: 371476

Url: https://administrator.de/contentid/371476

Ausgedruckt am: 19.03.2024 um 10:03 Uhr

Mitglied: BassFishFox
Lösung BassFishFox 18.04.2018 aktualisiert um 22:19:38 Uhr
Goto Top
Hi,

Wenn er es selbst nicht weiss ist ja echt der Grund es so zu tun. face-wink

Ueberlege mal wofuer eine Gateway gut ist und benoetigt wird. Dann entscheide selbst, welchen Geraeten Du den Eintrag gibst.

Und lass den neuen Kollegen mit lernen. face-wink

BFF
Mitglied: Kraemer
Kraemer 18.04.2018 um 22:22:09 Uhr
Goto Top
Moin,

hoffentlich ist dein neuer Kollege noch so neu, dass man ihn einfach wieder umtauschen kann.

Gruß
Mitglied: clSchak
Lösung clSchak 18.04.2018 aktualisiert um 22:36:16 Uhr
Goto Top
Hi

wir handhaben es eigentlich so, dass die meisten Geräte kein Gateway bekommen, damit nimmt man schon einen großen Angriffsvektor weg

  • Drucker: brauchen es nicht, der Printerserver sowie der Mailserver haben ein LAN Adapter in dem VLAN, direkter Zugriff durch die Clients ist nicht erforderlich
  • Switche: sind lediglich aus dem Management VLAN erreichbar, wir haben für so etwas extra Managementserver die Zugriff auf das Netz haben, Clients direkt nicht
  • Accesspoint: das gleiche wie die Switche
  • Server sind so eine Sache, Primärsysteme haben kein GW dort sind alle Routen eingetragen die relevant sind

Router / L3 Switche haben natürlich ein GW ... funktioniert ja sonst nicht anders face-smile. Du kannst natürlich allen Geräten ein GW geben, ist alles Config und Geschmackssache und wie hoch das Bedürfnis an Sicherheit ist, alternativen sind halt ACL's, 802.1x usw. zur Steuerung des Zugriffs. Ist natürlich alles ein Mehraufwand wenn ohne GW arbeitet ...

Gruß
@clSchak
Mitglied: Kraemer
Kraemer 18.04.2018 um 22:46:10 Uhr
Goto Top
@clSchak
Es gibt diverse Designs, in denen man ohne GW klar kommt. Das weiß sogar ich - und Netzwerke sind nicht mein Steckenpferd.
Schlimm finde ich nur Leute, die etwas tun, ohne zu wissen, warum die das tun. Die sind IMHO gefährlich!
Mitglied: chgorges
chgorges 18.04.2018 aktualisiert um 22:53:29 Uhr
Goto Top
Zitat von @Jodelknut:
Mein neuer Kollege meinte, dass man das nicht mehr macht, sondern allerhöchstens der Core Switch würde das noch erhalten (neben den PCs etc.)

Abgesehen davon, dass in mittleren bis großen Umgebungen der Core Switch das Gateway ist, kann man es halten wie man will.

Geräte, die in ein anderes Subnetz/VLAN geroutet werden sollen, brauchen den Wegweiser, das Gateway.
Geräte, die sich nur im eigenen Subnetz/VLAN bewegen (sollen), brauchen per Definition kein Gateway.

Aber auch letzteres hat Ausnahmen, ich habe schon öfters MFPs/Kopierer gesehen, die ohne eingetragenes Gateway kein Scan-to-SMB auf Geräte im selben Subnetz machen wollten.

Aber mach den Thread besser zu, bevor aqui das liest, der kommt bei euch höchstpersönlich vorbei und kündigt deinem neuen Kollegen ;)
Mitglied: BassFishFox
BassFishFox 18.04.2018 aktualisiert um 23:02:16 Uhr
Goto Top
face-big-smile

Aber mach den Thread besser zu, bevor aqui das liest, der kommt bei euch höchstpersönlich vorbei und kündigt deinem neuen Kollegen ;)

Der ist gut!
Und der TO sollte sich vor der hier fuerchten, wenn er vorbei kommt. face-big-smile

2018-04-18 16_59_39-getdigital netzwerkpeitsche cat5 o nine tails _ perfektes sysadmin-geschenk _ id

BFF
Mitglied: Lochkartenstanzer
Lösung Lochkartenstanzer 19.04.2018 um 07:48:48 Uhr
Goto Top
Moin,

Ob Du eine gateway in einem Endgerät brauchst oder nciht, kommt immer darauf an, wie Dein netzwerk aufgebaut ist.

Grundregel: Jedes Gerät, daß mit einem anderen IP-Netz kommunizieren muß, brauch tein Gateway, entweder für eine spezifische Route oder eine Default-Route.

Solange man z.B. wie bei den meisten Kleinbetrieben nur ein "flaches" IP-Netz mit nur einem Router ins Internet hat, kann man i.d.R. den Kommunikationswunsch von Druckern, Switchen, Kopierern, Kameras, etc. ins Internet verneinen und den gateway-eintrag weglassen.

Sobald man aber mehrere IP-Netze (lokal oder über VPN) hat und man auf das Gerät aus dem anderen Netz zugreifen können muß, wird eine Router (spezifisch oder default) benötig.

Also:

Tausch mal Deinen neuen Kollegen um. sofern die Widerspruchsfrist nciht abgelaufen ist oder setz Dich mit ihm zusammen in einen Netzwerkkurs.

lks
Mitglied: Lochkartenstanzer
Lochkartenstanzer 19.04.2018 um 07:49:51 Uhr
Goto Top
Zitat von @BassFishFox:

Und der TO sollte sich vor der hier fuerchten, wenn er vorbei kommt.

2018-04-18 16_59_39-getdigital netzwerkpeitsche cat5 o nine tails _ perfektes sysadmin-geschenk _ id


Ist Doch noch gar nicht Freitag.

lks
Mitglied: maretz
maretz 19.04.2018 um 07:51:31 Uhr
Goto Top
Und das "kein Gateway" die Sicherheit (nennenswert) erhöht halte ich auch für ein Gerücht...
a) Wird wohl eher selten über nen Switch/Drucker/whatever nen Virus durch Mitarbeiter ins Netz gepackt, das sind üblicherweise Endgeräte wie Laptops, Pcs,...
b) wenn ich als Angreifer im Netz bin dann bin ich ja bereits von aussen irgendwo ins Netz gekommen. Eben z.B. auf dem Core-Switch, Firewall oder whatever. Da diese Geräte (eben das Mgmt-Netz) ja die Switches und Drucker sehen - ja himmel, dann setz ich mir das Gateway halt wenn ich möchte. Dauert auch nur wenige Sekunden mehr. Mit dem Nachteil das diese Geräte dann eher selten geprüft werden weil "haben ja eh kein Gateway".

Von daher: Das Gateway rauslassen um die Sicherheit zu erhöhen? Dann kann ich heute auch sagen: Ich baue CD-ROM/DVD-LW und Diskettenlaufwerk aus um die Sicherheit zu erhöhen. In der Theorie sicher richtig, in der Praxis ist der Gewinn eher minimal da diese Dinge eh nicht mehr genutzt werden (ausser als Kaffeetassen-Halter ggf ;) ).

Einziger Punkt der m.E. dafür sprechen würde: Wenn die Geräte mal wieder ne Auto-Update-Funktion haben könnte ich so verhindern das die ungefragt sich selbst aktuallisieren. Gegen "Spy-Ware" hilft aber auch das fehlende Gateway nicht. Wenn der Hersteller Daten übermitteln möchte dann wird der das Gateway schon selbst erkennen können ;). Da würde nur nen Netz ganz ohne Gateway helfen - also es nicht nur aus den Einstellungen rauslassen sondern wirklich keines zu erstellen.
Mitglied: SlainteMhath
SlainteMhath 19.04.2018 um 07:56:29 Uhr
Goto Top
Moin,

der Gateway Eintrag gehört mEn zu der grundlegenden Netzwerkkonfiguration und sollte deswegen IN JEDES Gerät eingetragen werden. Falls du in Zukunft mal VLANs oder Zweigstellen einführen möchtest hast du erstmal ne Menge Sucherei und Arbeit.

Das GW ist NICHT geeignet um den Zugang zum Internet zu reglementieren - dafür ist die Hardware-Firewall am Übergang zum öffentlichen Netz da.

lg,
Slainte
Mitglied: aqui
aqui 19.04.2018 um 09:44:42 Uhr
Goto Top
Warum weiß er selber nicht und ich bin nun ratlos und meine es sei wahrscheinlich Jacke wie Hose.
Oha, ein völliger Dilletant und ein halbwissender Dilletant. Nundenn, die Peitsche oben ist die richtige Antwort.
Nur so viel:
Das Gateway MUSS eingetragen werden wenn man eine segmentierte Netzwerk Struktur hat. Sprich also das Management VLAN zum Managen der Netzwerk Komponenten von den Produktiv Netzen komplett abgetrennt ist (z.B. Sicherheit)
Ohne Gateway käme man von anderen IP Netzen nicht drauf.

In simplen, doofen und flachen Layer 2 Netzen ohne Segmentierung (wie vermutlich bei euch ?!) muss man es nur eintragen wenn man Internet Zugang haben möchte z.B. für ein automatisiertes Update der Firmware usw.
Hier hat der "Kollege" wohl gedacht das wenn man es weglässt es dann "sicherer" ist ?!
In gewissen Grenzen stimmt das auch.

Fazit:
Ihr solltet mal dringenst etwas für eure TCP/IP Bildung tun und mal grundsätzlich lernen was IP Adressen sind und wozu man diese braucht !
Mitglied: brammer
brammer 19.04.2018 um 12:04:41 Uhr
Goto Top
Hallo,

schade.... der Vormittag ist für Besprechungen drauf gegangen und ich verpasse so lustige Threads.....

Sicherheit durch weglassen des Gateway?
Teilweise geht das aber wenn du heute der Meinung bist das der Rechner keine Kommunikation nach außen brauchst aber in einem Jahr auf einmal Support auf die Kiste brauchst.... dann wird das ein Turnschuh Netzwerk und du gehst zur Kiste und Konfigurierst das Gateway...

Ohne Gateway sollte immer ein Sonderfall sein....

Angriffsvektoren sollte man an anderer Stelle blockieren.... Wenn ein Angreifer an ein Kiste will kommt er das auch ....

Ich finde es immer wieder mal interessant in wie vielen kleineren Firmen und Privathäusern man Drucker sieht die ein eigens WLAN aufbauen....

brammer