morpheus112
Goto Top

Sicherheit Netzwerksegmentierung

Hallo Leute,
ich habe mal eine kurze Frage, wie sicher ist Netzwerksegmentierung wirklich? Ich meine wenn man annimmt, man hätte Schadcode die die Routingtabelle umschreiben könnte (vorausgesetzt die Netzwerke wären durch Spyware etc. bekannt), dann bringt doch selbst die Segmentierung nicht allzu viel oder?
Wie hoch ist diese Szenario mit dem Umschreiben der Routingtabelle überhaupt?
Mit freundlichen Grüßen

Content-Key: 344406

Url: https://administrator.de/contentid/344406

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: SlainteMhath
SlainteMhath 25.07.2017 um 09:58:41 Uhr
Goto Top
Moin,

Segmentierung ohne ACLs ist kein Sicherheitsfeature. Werden ACLs eingesetzt, kann der Client die Routingtabelle umschreiben wir er will face-smile

lg,
Slainte
Mitglied: Morpheus112
Morpheus112 25.07.2017 aktualisiert um 10:14:09 Uhr
Goto Top
Alles klar, die ACLs müssten direkt auf dem Router gesetzt werden oder auf dem Server ?
Mitglied: chgorges
chgorges 25.07.2017 um 10:17:15 Uhr
Goto Top
Zitat von @Morpheus112:

Alles klar, die ACLs müssten direkt auf dem Router gesetzt werden oder auf dem Server ?

Routet der Router oder der Server? ;)
Mitglied: Morpheus112
Morpheus112 25.07.2017 um 10:22:19 Uhr
Goto Top
Der Router natürlich.^^
Kann jeder Router ACLs setzen?
Mitglied: chgorges
chgorges 25.07.2017 aktualisiert um 10:35:09 Uhr
Goto Top
Billigheimer/MediaMarkt-Mistgeräte nicht face-smile

Zumindest Router, die zwei oder mehr Netze aufspannen können (Gastnetz ausgenommen) können in der Regel auch ACLs.

Zyxel USG20W oder Cisco RV-Serie z.B. als günstiger Einstieg.

Oder OpenSource pfSense, IPFire etc.
Mitglied: SlainteMhath
SlainteMhath 25.07.2017 um 10:49:42 Uhr
Goto Top
Wenn wir hier von Netzwerksegmentierung (in LAN) sprechen, dann geht's ja nicht um klassische Router sondern eher um Layer-3 Switches - das ganze soll ja in Wirespeed auf allen Ports passieren.
Mitglied: Morpheus112
Morpheus112 25.07.2017 um 11:12:35 Uhr
Goto Top
Sprich ACL nicht zwingend auf Router, sondern eher Layer-3 Switches
Mitglied: Cyberurmel
Cyberurmel 26.07.2017 um 12:25:28 Uhr
Goto Top
Hi,

kannst du mir bitte erklären warum die so schnell "routen" können und ein Router nicht so schnell?
Liegt das an der verbauten Hardware? Und wenn ja warum sind dann die regulären Router soviel teurer ?

Vielen Dank

greets
Cyb
Mitglied: SlainteMhath
SlainteMhath 26.07.2017 um 12:35:40 Uhr
Goto Top
Grob:

Router: Wenig Ports, erweiterte L3/L4 Funktionilität, (extrem) große Routingtabelle
Switch: Viele Ports, nur grundlegende L3 Funktionen, kleine Routingtabelle

Mittlerweile vermischt sich das allerdings mehr und mehr., auch weil die Hardware (ASICs) immer schneller und billiger werden.
Mitglied: Cyberurmel
Cyberurmel 26.07.2017 um 14:35:30 Uhr
Goto Top
Danke...
ich fragte mich das halt weil ISR Router meist das nachsehen haben im Beug Routing selbst wenn fast nichts in den Routingtabellen drin ist.
Also scheinen die Asics bei L3 Switches "besser" zu sein , wenn es sich um wenig Routing Aufgaben handelt?
Kann man das so verstehen?
greets
Mitglied: maretz
maretz 26.07.2017 um 21:49:01 Uhr
Goto Top
Moin,

naja, ein Grund ist ganz einfach: Dein Router hat sagen wir mal 1 Interface. Auf dem Interface laufen 2000 VLANs. Und jedesmal wenn ein VLAN mit einem anderem sprechen will muss das also rein ins Kabel, durch den Router und wieder raus. Somit geht das halt nur mit max. der Portgeschwindigkeit... Nehmen wir an ich habe nen Stack-Switch mit 2000 Ports. Auf jedem Port läuft genau 1 VLAN. Jetzt kann der switch also bereits exklusiv schalten - Port 1 (vlan1) spricht mit port 2 (vlan2) -> ok, "brücke" gebaut und vergessen, lass die machen... port 3 (vlan3) spricht mit port 4(vlan4) -> brücke gebaut und vergessen... Es gibt keinen Grund warum jetzt die 1/2 und 3/4 nicht gleichzeitig arbeiten sollten.

Beim Switch hast du heute ohne Probleme 24, 48 oder ähnliche Portzahlen (pro switch!). beim Router hast du oft nur 2-3 Interfaces wovon eben eines typischerweise Internet/Externes Netz ist. Wenn du also selbst Netzintern routen willst/musst hast du hier schon das Problem das du dein internes Interface zumüllst. Egal wie schnell die Router-CPU jetzt ist - hier hast du schon mal halbiert. Voll-Duplex geht da natürlich nicht da du ja die Daten von der Station an den Server schicken willst - d.h. Client sendet (am router rx), das wandert durch die Routing-Tabelle, router sendet (tx) an den server. Der Switch muss also hier wieder rumschalten...

Da hast du schon ganz einfache Hardware-Gründe warum man bei Routern immer langsamer ist - und warum der Hersteller eben da auch bei den Bausteinen ggf. ne Liga tiefer einsteigt...