20
LAN Verschlüsselung (kabelgebundenes Netzwerk)
Erstmal ein nettes Hallo an die Community hier.
Ich bin Auszubildender in einer kleinen Kommune und es steht bald meine praktische Abschlussprüfung vor der Tür.
Als Projekt habe ich mir Überlegt eine zusätzliche „außer Haus“ Sicherung unserer täglichen Server-Backups zu machen. Wir sichern jede Nacht ca. 20 virtuelle Maschinen auf ein Storage System im Haus (ca. 10 TB). Diese sollen nach Abschluss über Glasfaser auf ein weiteres Storage-System kopiert werden. Das Ganze soll auch Verschlüsselt sein.
Die Anbindung stelle ich mir wie folgt vor:
Storage-System an Hauptstandort wird per LAN an einen Switch angeschlossen.
Switch am Hauptstandort kommuniziert mit dem Switch am 2. Standort per Glasfaserleitung.
Storage-System an 2. Standort wird per LAN an den 2. Switch angebunden.
Nun zu meiner Frage: Wie kann ich das Netzwerk so absichern das keine Daten oder Geräte von einem beliebigen Standort abgerufen werden können.
Bsp.: -Notebook wird in Switch 1, 2 angeschlossen…
-Keine Daten abfangbar, keine Geräte (Server, Switche) im Netzwerk sichtbar.
Worst Case: -Glasfaserleitung wird manipuliert und ein Notebook reingehängt
-Keine Daten abfangbar, keine Geräte (Server, Switche) im Netzwerk sichtbar.
Mir schwebt entweder eine Punkt zu Punkt Verschlüsselung wie VPN bzw. Routing und oder Mac-Adressen Filter im Kopf rum.
Könnt ihr mir vielleicht den richtigen Denkanstoß zur Lösung meines Vorhabens geben?! Ein paar Lösungsvorschläge wären nicht schlecht und oder eigene neue Ideen die sich relativ kostengünstig mit Hilfe der Switche oder Windows Server Boardmitteln lösen lassen.
Vielen Dank im Voraus.
Ich bin Auszubildender in einer kleinen Kommune und es steht bald meine praktische Abschlussprüfung vor der Tür.
Als Projekt habe ich mir Überlegt eine zusätzliche „außer Haus“ Sicherung unserer täglichen Server-Backups zu machen. Wir sichern jede Nacht ca. 20 virtuelle Maschinen auf ein Storage System im Haus (ca. 10 TB). Diese sollen nach Abschluss über Glasfaser auf ein weiteres Storage-System kopiert werden. Das Ganze soll auch Verschlüsselt sein.
Die Anbindung stelle ich mir wie folgt vor:
Storage-System an Hauptstandort wird per LAN an einen Switch angeschlossen.
Switch am Hauptstandort kommuniziert mit dem Switch am 2. Standort per Glasfaserleitung.
Storage-System an 2. Standort wird per LAN an den 2. Switch angebunden.
Nun zu meiner Frage: Wie kann ich das Netzwerk so absichern das keine Daten oder Geräte von einem beliebigen Standort abgerufen werden können.
Bsp.: -Notebook wird in Switch 1, 2 angeschlossen…
-Keine Daten abfangbar, keine Geräte (Server, Switche) im Netzwerk sichtbar.
Worst Case: -Glasfaserleitung wird manipuliert und ein Notebook reingehängt
-Keine Daten abfangbar, keine Geräte (Server, Switche) im Netzwerk sichtbar.
Mir schwebt entweder eine Punkt zu Punkt Verschlüsselung wie VPN bzw. Routing und oder Mac-Adressen Filter im Kopf rum.
Könnt ihr mir vielleicht den richtigen Denkanstoß zur Lösung meines Vorhabens geben?! Ein paar Lösungsvorschläge wären nicht schlecht und oder eigene neue Ideen die sich relativ kostengünstig mit Hilfe der Switche oder Windows Server Boardmitteln lösen lassen.
Vielen Dank im Voraus.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 292251
Url: https://administrator.de/contentid/292251
Printed on: April 26, 2024 at 07:04 o'clock
20 Comments
Latest comment
Hallo,
welche Backup-Software nehmt ihr?
Die könnte schon einiges abfangen.
Dann solltest du über ein VLAN nachdenken um die Netze logisch zu trennen.
Die Verschlüsselung könntest du z.B. mit zwei Switchen und MacSec regeln, oder auch per VPN (je nachdem wie die WAN-Leitung ist).
VG,
Deepsys
welche Backup-Software nehmt ihr?
Die könnte schon einiges abfangen.
Dann solltest du über ein VLAN nachdenken um die Netze logisch zu trennen.
Die Verschlüsselung könntest du z.B. mit zwei Switchen und MacSec regeln, oder auch per VPN (je nachdem wie die WAN-Leitung ist).
VG,
Deepsys
Wir benutzen für das Backup auf den ersten Backup-Server Veeam Backup & Replication 8.0. Das kopieren auf den zweiten Storage-Server soll jedoch anders funktionieren bin mir noch nicht sicher wie. Ich tendiere gerade zur popligen xcopy Batch ;)
Hi,
ggf. kannst du auch IPSEC im LAN anwenden, dann hast du die Pakete verschlüsselt.
Gruß
ggf. kannst du auch IPSEC im LAN anwenden, dann hast du die Pakete verschlüsselt.
Gruß
Zitat von @St4t1c:
Wir benutzen für das Backup auf den ersten Backup-Server Veeam Backup & Replication 8.0. Das kopieren auf den zweiten Storage-Server soll jedoch anders funktionieren bin mir noch nicht sicher wie. Ich tendiere gerade zur popligen xcopy Batch ;)
Warum???Wir benutzen für das Backup auf den ersten Backup-Server Veeam Backup & Replication 8.0. Das kopieren auf den zweiten Storage-Server soll jedoch anders funktionieren bin mir noch nicht sicher wie. Ich tendiere gerade zur popligen xcopy Batch ;)
Das kann Veeam super, nennt sich Backup-Copy und kopiert auch nur die Änderungen.
Wir sichern damit 3-5 Server über eine 10MBit Leitung jede Nacht.
Okay stimmt sehe ich gerade das ist ja was 
Dachte nicht das Veeam das mitbringt aber nett Danke.. noch Tipps zur Verschlüsselung?
Dachte nicht das Veeam das mitbringt aber nett
Danke.. noch Tipps zur Verschlüsselung?
Keine Schlechte Idee. Warum ich nicht drauf gekommen bin Danke
Schonmal sowas konfiguriert? Habe nur die ein wenig Theorie von der Schule ganz blass im Kopf.
DankeSchonmal sowas konfiguriert? Habe nur die ein wenig Theorie von der Schule ganz blass im Kopf.
Zitat von @St4t1c:
Keine Schlechte Idee. Warum ich nicht drauf gekommen bin Danke
Schonmal sowas konfiguriert? Habe nur die ein wenig Theorie von der Schule ganz blass im Kopf.
Keine Schlechte Idee. Warum ich nicht drauf gekommen bin
DankeSchonmal sowas konfiguriert? Habe nur die ein wenig Theorie von der Schule ganz blass im Kopf.
Wen und was meinst du damit? Veem oder ipsec?
Zitat von @St4t1c:
Dachte nicht das Veeam das mitbringt aber nett Danke.. noch Tipps zur Verschlüsselung?
Wie oben steht Dachte nicht das Veeam das mitbringt aber nett
Danke.. noch Tipps zur Verschlüsselung?
2 Switche mit MacSec schaffen die 1 GBit, mit Routern und ISPEC geht das auch, wird aber nicht billig, das dies nur die größeren Router können.
(Oder ich habe noch keinen günstigen (<5.000€) gefunden).
Ach ja, klicke bitte mal auf Zitieren (unter den 3 ... rechts) dann sieht man auch auf was sich den Kommentar bezog.
VG,
Deepsys
Zitat von @killtec:
Hi,
ggf. kannst du auch IPSEC im LAN anwenden, dann hast du die Pakete verschlüsselt.
Gruß
Hi,
ggf. kannst du auch IPSEC im LAN anwenden, dann hast du die Pakete verschlüsselt.
Gruß
Keine Schlechte Idee. Warum ich nicht drauf gekommen bin Danke
Schonmal sowas konfiguriert? Habe nur die ein wenig Theorie von der Schule ganz blass im Kopf.
Ja, einmal vor ca. 5 Jahren in einer Testumgebung... Ich kann mich daran erinnern, dass wir das mit einem Preshared Key gemacht haben. Ich glaube sogar auch per GPO. Das war noch ein Win2k3 Szenario.
Bekomme die Details aber nicht mehr zusammen.
Gruß
Bekomme die Details aber nicht mehr zusammen.
Gruß
Zitat von @Deepsys:
2 Switche mit MacSec schaffen die 1 GBit, mit Routern und ISPEC geht das auch, wird aber nicht billig, das dies nur die größeren Router können.
(Oder ich habe noch keinen günstigen (<5.000€) gefunden).
Ach ja, klicke bitte mal auf Zitieren (unter den 3 ... rechts) dann sieht man auch auf was sich den Kommentar bezog.
VG,
Deepsys
Zitat von @St4t1c:
Dachte nicht das Veeam das mitbringt aber nett Danke.. noch Tipps zur Verschlüsselung?
Wie oben steht Dachte nicht das Veeam das mitbringt aber nett
Danke.. noch Tipps zur Verschlüsselung?2 Switche mit MacSec schaffen die 1 GBit, mit Routern und ISPEC geht das auch, wird aber nicht billig, das dies nur die größeren Router können.
(Oder ich habe noch keinen günstigen (<5.000€) gefunden).
Ach ja, klicke bitte mal auf Zitieren (unter den 3 ... rechts) dann sieht man auch auf was sich den Kommentar bezog.
VG,
Deepsys
Danke bezüglich Zitat ;)
Dachte an einen sg300 10-SFP managed Switch. Haben nur Cisco bei uns eig.
Was genau ist denn MacSec? Wie funktioniert das?
Gruß
Moin,
die Frage hatten wir vor einiger Zeit schonmal so ähnlich:
Verschlüsselung über LWL-Strecke
2 Switche mit MacSec sollte hier die richtige Wahl sein.
Ein VPN AES Verschlüsselung und mindestens 1Gbit Durchsatz braucht auch ordentliche Rechenleistung und macht hier nur bedingt Sinn.
VG
Val
die Frage hatten wir vor einiger Zeit schonmal so ähnlich:
Verschlüsselung über LWL-Strecke
2 Switche mit MacSec sollte hier die richtige Wahl sein.
Ein VPN AES Verschlüsselung und mindestens 1Gbit Durchsatz braucht auch ordentliche Rechenleistung und macht hier nur bedingt Sinn.
VG
Val
Leider ist die Infrastruktur Beschreibung wieder mal recht laienhaft:
Ein Server und ein Storage wird ja nun auch oft mit Glasfaser angeschlossen gerade wenn dies mit den heute im Netzwerk Bereich üblichen 10G geschieht.
Letztlich ist es ja auch egal ob die Bits über Kupfer oder Klas transportiert werden. Die Kardinalsfrage die sich stellt ist warum du das "Glasfaser" so herausstellst ??
Beid e Switches sind ja Switches von deiner Kommune also unter deiner Hoheit und vermutlich in gesichterten Bereichen ? Wo ist also das Problem hier ??
Oder ist es so das die Glasfaser über öffentlichen Grund geführt wird auf das nocht Dritte bzw. Unauthorisierte Zugang haben ??
Das hast du ja nur oberflächlich bis gar nicht definiert
Nicht besonders dolle also bei einer Arbeit....
Bei ersterem hast du ja kein Problem...2 Switches am besten mit 10G um den Durchsatz zu schaffen und gut iss.
Bei letzterem ist es aber auch nicht weiter schwer: ...2 Switches die das Feature MacSec (IEEE 802.1ae) supporten und fertig ist der Lack !!
https://en.wikipedia.org/wiki/IEEE_802.1AE
Auf dem Glasfaserlink der beide Standorte verbindet aktivierst du dann MacSec in der Switchkonfig und das wars. Ist eine Zeile bzw. Mausklick. Damit laufen dann die Storage Daten auf diesem Link AES verschlüsselt im Layer 2 über die Verbindung.
Weiss eigentlich heute auch jeder Netzwerk Anfänger ohne Thread.
Wenn du noch sicherere Encryption haben willst (derzeit macht kein Hersteller bei MacSec mehr als 128Bit AES !) dann nimmst du einfach einen Switch mit einem IPsec Crypto Modul und machst einen IPsec Tunnel zw. beiden Standorten.
Auch das ist mit entsprechender Hardware ein Kinderspiel.
Wo war jetzt noch grad dein Problem...?? Ach so ja...das war ja nur die Absicherung auf der Strecke:
Port Absicherung mit 802.1x ?? Vermutlich ja. Dann guckst du mal hier:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Das erklärt das ganze Procedere und mit einem kleinen Raspberry Pi und einem billigen 802.1x Switch lässt sich da eine vortreffliche Arbeit draus machen in der alles enthalten ist...
Netzwerk Management Server mit Raspberry Pi
Haben wir noch was vergessen....?? Nööö, alle deine Vorgaben und Angriffsszenarien deckt das problemlos ab.
Es gäbe noch was zu sagen zu DCB Switches in einer Ethernet Fabric mit TRILL die man intelligent z.B. mit einem Vcenter kombiniert um dort Security Port Profile vollautomatisch im Netzwerk zu verteilen um das Management möglichst klein zu halten.
Ist aber die Frage ob deine Prüfer schon solch einen erweiterten Horizont haben und dann verstehen worüber du da schreibst...
Besser also MacSec und 802.1x die Klassiker !
Switch am Hauptstandort kommuniziert mit dem Switch am 2. Standort per Glasfaserleitung.
Was genau meinst du damit ??Ein Server und ein Storage wird ja nun auch oft mit Glasfaser angeschlossen gerade wenn dies mit den heute im Netzwerk Bereich üblichen 10G geschieht.
Letztlich ist es ja auch egal ob die Bits über Kupfer oder Klas transportiert werden. Die Kardinalsfrage die sich stellt ist warum du das "Glasfaser" so herausstellst ??
Beid e Switches sind ja Switches von deiner Kommune also unter deiner Hoheit und vermutlich in gesichterten Bereichen ? Wo ist also das Problem hier ??
Oder ist es so das die Glasfaser über öffentlichen Grund geführt wird auf das nocht Dritte bzw. Unauthorisierte Zugang haben ??
Das hast du ja nur oberflächlich bis gar nicht definiert
Nicht besonders dolle also bei einer Arbeit....Bei ersterem hast du ja kein Problem...2 Switches am besten mit 10G um den Durchsatz zu schaffen und gut iss.
Bei letzterem ist es aber auch nicht weiter schwer: ...2 Switches die das Feature MacSec (IEEE 802.1ae) supporten und fertig ist der Lack !!
https://en.wikipedia.org/wiki/IEEE_802.1AE
Auf dem Glasfaserlink der beide Standorte verbindet aktivierst du dann MacSec in der Switchkonfig und das wars. Ist eine Zeile bzw. Mausklick. Damit laufen dann die Storage Daten auf diesem Link AES verschlüsselt im Layer 2 über die Verbindung.
Weiss eigentlich heute auch jeder Netzwerk Anfänger ohne Thread.
Wenn du noch sicherere Encryption haben willst (derzeit macht kein Hersteller bei MacSec mehr als 128Bit AES !) dann nimmst du einfach einen Switch mit einem IPsec Crypto Modul und machst einen IPsec Tunnel zw. beiden Standorten.
Auch das ist mit entsprechender Hardware ein Kinderspiel.
Wo war jetzt noch grad dein Problem...?? Ach so ja...das war ja nur die Absicherung auf der Strecke:
Wie kann ich das Netzwerk so absichern das keine Daten oder Geräte von einem beliebigen Standort abgerufen...
Was genau meinst du nun wieder damit ???Port Absicherung mit 802.1x ?? Vermutlich ja. Dann guckst du mal hier:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Das erklärt das ganze Procedere und mit einem kleinen Raspberry Pi und einem billigen 802.1x Switch lässt sich da eine vortreffliche Arbeit draus machen in der alles enthalten ist...
Netzwerk Management Server mit Raspberry Pi
Haben wir noch was vergessen....?? Nööö, alle deine Vorgaben und Angriffsszenarien deckt das problemlos ab.
Es gäbe noch was zu sagen zu DCB Switches in einer Ethernet Fabric mit TRILL die man intelligent z.B. mit einem Vcenter kombiniert um dort Security Port Profile vollautomatisch im Netzwerk zu verteilen um das Management möglichst klein zu halten.
Ist aber die Frage ob deine Prüfer schon solch einen erweiterten Horizont haben und dann verstehen worüber du da schreibst...
Besser also MacSec und 802.1x die Klassiker !
Hallo aqui,
da du es ja wohl nicht persönlich nehmen wirst, frage ich jetzt mal (ich habe mich das schon öfter gefragt):
Warum oft so negativ?
Der TO hat oben geschrieben, er ist noch Azubi und kennt damit noch nicht alles. Auch wenn man in einer kleiner Bude mit nem billigen Switch ist, kennt man MacSec oft nicht. Und viele von uns sind Quereinsteiger und nicht studiert.
Du schreibst dann oft sowas wie:
Deine Antworten sind technisch immer top, kein Zweifel; aber warum oft so negativ?
Ja, ich weiß ein Admin sollte das abkönnen, aber gerade dafür ist ein Forum wie dieses hier, meiner Meinung nach, da.
Wenn wir alles immer wüssten, wäre es hier recht leer
Also, nichts für ungut, wollte nur mal fragen
VG,
Deepsys
da du es ja wohl nicht persönlich nehmen wirst, frage ich jetzt mal (ich habe mich das schon öfter gefragt):
Warum oft so negativ?
Der TO hat oben geschrieben, er ist noch Azubi und kennt damit noch nicht alles. Auch wenn man in einer kleiner Bude mit nem billigen Switch ist, kennt man MacSec oft nicht. Und viele von uns sind Quereinsteiger und nicht studiert.
Du schreibst dann oft sowas wie:
Weiss eigentlich heute auch jeder Netzwerk Anfänger ohne Thread.
Nein, er weiß es nicht sonst hätte er ja nicht gefragt ...Deine Antworten sind technisch immer top, kein Zweifel; aber warum oft so negativ?
Ja, ich weiß ein Admin sollte das abkönnen, aber gerade dafür ist ein Forum wie dieses hier, meiner Meinung nach, da.
Wenn wir alles immer wüssten, wäre es hier recht leer
Also, nichts für ungut, wollte nur mal fragen
VG,
Deepsys
1Warum oft so negativ?
Ooops...war das "negativ" ? Sollte etwas fröhlich provokant den TO animieren mal vorher zu recherchieren Als Azubi hat man einen Kollegen oder Ausbilder der solche Banalitäten eigentlich wissen sollte...eigentlich. Gerade in einer Kommune ist Datensicherheit oberste Priorität. Dafür gibt es in jeder öffentlichen Behörde einen Beauftragten der solche Dinge abfragt und prüft und rechtlich bewertet.
Das mindeste wäre doch als Azubi das man so einen auch mal befragt und ins Boot holt. Gerade bei Behörden werden solche Datensicherungs Dinge sehr hoch bewertet. Man sehe sich mal deren Ausschreibungen an wenn es um IT HW Beschaffung geht.
Auch als Quereinsteiger sollte man solche grundlegenden Dinge wenigstens ansatzweise mal gehört haben zumal sie auch im Server und Storage Umfeld eine identische Rolle spielen.
Da es um eine Abschlussarbeit geht ist der TO ja nun wahrlich auch kein Greenhorn mehr in IT Fragen insofern würde ich das nicht "negativ" beurteilen wollen zumal es de facto natürlich nicht so gemeint ist.
Aber du hast recht: Feedback zählt und das ist auch absolut ok von dir und ich gelobe dann mal weniger "provokant" zu antworten in 2016
@St4t1c Du musst dich jetzt nicht ängstlich verkrümeln...die Diskussion ist weiter offen.
Na dann, frohes Neues
Morgen,
Ja das meinte ich! Entschuldigt für die nicht durchgedrungene Definition
Jemand schneidet das Glasfaserkabel z.B auf und hängt sic da direkt rein ;)
Wie gesagt: Worst-Case und auch total unsinnig.
Danke für deine Antwort hat mir sehr geholfen!
Zitat von @aqui:
Oder ist es so das die Glasfaser über öffentlichen Grund geführt wird auf das nocht Dritte bzw. Unauthorisierte Zugang haben ??
Das hast du ja nur oberflächlich bis gar nicht definiert Nicht besonders dolle also bei einer Arbeit....
Oder ist es so das die Glasfaser über öffentlichen Grund geführt wird auf das nocht Dritte bzw. Unauthorisierte Zugang haben ??
Das hast du ja nur oberflächlich bis gar nicht definiert
Nicht besonders dolle also bei einer Arbeit....Ja das meinte ich! Entschuldigt für die nicht durchgedrungene Definition
Weiss eigentlich heute auch jeder Netzwerk Anfänger ohne Thread.
Wie kann ich das Netzwerk so absichern das keine Daten oder Geräte von einem beliebigen Standort abgerufen...
Was genau meinst du nun wieder damit ???Jemand schneidet das Glasfaserkabel z.B auf und hängt sic da direkt rein ;)
Wie gesagt: Worst-Case und auch total unsinnig.
Danke für deine Antwort hat mir sehr geholfen!
Als Azubi hat man einen Kollegen oder Ausbilder der solche Banalitäten eigentlich wissen sollte...eigentlich. Gerade in einer Kommune ist Datensicherheit oberste Priorität. Dafür gibt es in jeder öffentlichen Behörde einen Beauftragten der solche Dinge abfragt und prüft und rechtlich bewertet.
Das Projekt wird ja von mir gemacht und mein Ausbilder will da schon mehr was "von mir" sehen. Da ich im Internet wenig gefunden habe zum Thema LAN Verschlüsselung wollte ich das Forum vorab fragen. Hätte vllt. besser recherchieren sollen.
Das mindeste wäre doch als Azubi das man so einen auch mal befragt und ins Boot holt. Gerade bei Behörden werden solche Datensicherungs Dinge sehr hoch bewertet. Man sehe sich mal deren Ausschreibungen an wenn es um IT HW Beschaffung geht.
Leider haben wir "noch" keinen speziellen beauftragten in der IT den man so ins Boot holen könnte.
Da es um eine Abschlussarbeit geht ist der TO ja nun wahrlich auch kein Greenhorn mehr in IT Fragen insofern würde ich das nicht "negativ" beurteilen wollen zumal es de facto natürlich nicht so gemeint ist.
Finde ich eher als anstoß zu einer guten Abschlussarbeit und natürlich der Motivation
Aber du hast recht: Feedback zählt und das ist auch absolut ok von dir und ich gelobe dann mal weniger "provokant" zu antworten in 2016
gutes gelingen
Danke
Bin jetzt nicht ängstlich mich am verkriechen und betrete das Forum nie wieder Danke Deepsys für deine Worte. Hab ich jetzt auch minimal so empfunden sehe das aber eher motivierend anstelle von negativ.
Wie gesagt: Worst-Case und auch total unsinnig.
Nöööö...das ist keineswegs unsinnig...im Gegenteil.Erstens muss man die Glasfaser nichtmal aufschneiden, sondern kann mit dem Restlicht was durchs Cladding kommt die Daten auch so mitlesen ohne Aufwand und ohne das das jemand groß merkt.
Zweitens kann bei gemieteten Glasfaserleitungen (Stadtwerke usw.) der Besitzer dieser Infrastruktur kinderleicht mitlesen, der muss dann auch nichtmal schneiden, sondern schleift nur einen Tap ein.
Das sind alles denkabre Szenarien die auch schon mehrfach so vorgekommen sind. Kein Unsinn also und du liegst hier genau richtig mit deiner Anforderung !!
Aber wie schon gesagt... MacSec ist hier dein Freund auf dem Switchport !!
Dann gutes Gelingen für die Arbeit ...mit MacSec natürlich