Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sinnvolle Netzwerkkonfiguration in Verbindung mit SophosUTM 9.3

Frage Netzwerke LAN, WAN, Wireless

Mitglied: JohnDorian

JohnDorian (Level 1) - Jetzt verbinden

10.02.2015 um 16:18 Uhr, 1330 Aufrufe, 6 Kommentare, 2 Danke

Hallo Friends,

ich bin Systemadministrator in einem mittelständischen Unternehmen mit 250 Mitarbeitern, ca 100 PC-Clients und 10 Servern.
Ist zustand:
- ein IP-Adressbereich für alles (192.168.10.0/24)
- Sophos UTM (auf Sophos SG230) dient als Firewall, Proxy-Server, macht NAT und WLAN-AP-Verwaltung

Das soll sich aber ändern, denn wie wir alle wissen, ist es nicht gut alle Geräte in ein Subnetz zu werfen und außerdem werden die Adressen knapp so langsam :D

Jetzt ist die große Frage, wie ich unser Netzwerk sinnvoll umstelle, damit wir nachher mehr Sicherheit und mehr IP-Adressen bei gleichbleibender Performance und Funktionalität haben.

Ich habe dazu nun 2 Ansätze und will von Euch wissen, welcher der gebräuchlichere Wäre, bzw ob es noch einen Besseren gibt.

Ansatz 1:

- separate VLANs für Server, Verwaltung, Produktion, Drucker
- Inter-VLAN-Routing macht der zentral(st)e Switch anhand von VLAN-Interfaces, welche die Standard-Gateways der Clients in den VLANs sind
- Standard-Gateway des zentralen Switches ist die SophosUTM welche nur mit den Paketen in Berührung kommt, die im internen Netz keinen Emfpänger finden. Diese werden dann (ggf.) durch den Proxy und durch die Firewall ins große weite Internet geroutet.
- Die SophosUTM hängt dabei (evtl.) in einem separaten VLAN (?)
- Auf der SophosUTM wird die Rückroute von extern in die internen Netze konfiguriert

Ansatz 2:

- separate VLANs für Server, Verwaltung, Produktion, Drucker
- Inter-VLAN-Routing macht die SophosUTM anhand von VLAN-Interfaces, die auf dem physikalischen Interface der SophosUTM liegen, welches am zentralen Switch hängt.
- Dadurch lässt sich die Firewall auch zwischen die einzelnen VLAN's schalten
Nachteil müsste hier ja sein, dass jedes Paket, welches nicht im eigenen VLAN bleibt (also quasi ein Großteil der Pakete) über das eine Interface der SophosUTM muss... was diese Performancetechnisch eigentlich nicht aushalten könnte - macht dieser Ansatz dann überhaupt Sinn?
... hach, welche erkentnisse einem beim Schreiben seiner Probleme manchmal kommen...

Vielen Dank schonmal für alle Antworten und Tips!

Grüße, J.D.
Mitglied: DerSchorsch
10.02.2015 um 17:40 Uhr
Hallo,

beide Varianten funktionieren.
Ansatz 1 ist performanter, Ansatz 2 sicherer.
Wenn du keine Kompromise bei Performance eingehen willst, ist es #1.
Das ist auch ausbaufähiger im LAN, also z.B. wenn du die Server mal per 10GE anbinden oder Storage-Systeme hinzufügen willst.
Es gibt durchaus Switches, die bis zu einem gewissen Grad ACLs können. Das ist jetzt nicht so detailiert, wie die UTM es mit ihrem IPS kann, aber im LAN häufig ausreichend. Was da möglich ist, hängt aber davon ab, welche Switch-Hardware ihr habt.

Gruß
Bitte warten ..
Mitglied: aqui
10.02.2015 um 21:12 Uhr
Bei der Netzwerkgröße ist der Ansatz 1 besser.
Gute L3 Switches bieten heute die Option von Accesslisten mit denen sich eine grundlegende Sicherheit schaffen lässt.
Die Sophos ist viel zu klein um performantes VLAN Routing skalierbar zu realisieren.
Besser also du verfolgst Option 1.
Bitte warten ..
Mitglied: JohnDorian
11.02.2015 um 08:44 Uhr
Sehr geil, vielen Dank Euch beiden! Das bestätigt meinen Gedankengang.

Mein Zentralswitch wäre momentan ein HP 2530-48G - funktionell wäre der höchstwarscheinlich ausreichend. Was wäre aber der Unterschied zu einem Switch (z.B. von HP) der über 1000€ liegt? Gibt es da wesentliche Vorteile, die eine Investition rechtfertigen würden?

Grüße, JD
Bitte warten ..
Mitglied: aqui
11.02.2015 um 09:37 Uhr
wäre momentan ein HP 2530-48G
Igitt...schon wieder HP. Keine gute Wahl bei Layer 3 denn da ist HP traditionell sehr schwach....jedenfalls mit den billigen ProCurve Produkten.
Sieh lieber mal über den Horizont auf andere Hersteller die das besser können.
Bitte warten ..
Mitglied: JohnDorian
11.02.2015 um 10:48 Uhr
Alles klar, ja hab ich auch schon gehört, dass das nicht das gelbe vom Ei ist. Ich tendiere gerade auch eher in Richtung eines "richtigen" Layer 3 Core-Switches, also einen mit SFP-Ports der dann eben auch das Routing übernimmt. Gibt es da beliebte Modelle / Empfehlungen für unsere Unternehmensgröße?

Guß, JD
Bitte warten ..
Mitglied: aqui
11.02.2015, aktualisiert um 10:55 Uhr
Die Frage, und das weisst du sicher selber wenn du mal nachdenkst, kann man nicht sinnvoll und zielführend beantworten wenn mein dein Budget nicht kennt !!
Grundsätzlich muss man dazu wissen ob dir dann Premium Hersteller alao Cisco, Extreme, Juniper, Brocade usw. mit Service wichtig sind oder du lieber auf die Billiganbieter schielst.
Kompromiss sind auch sog. Billigschienen der Premium Hersteller wie z.B. Cisco SG300 oder SG500 bei geringerem Budget.
Final also immer die Frage wie wichtig und zuverlässig dir deine Netzwerk Infrastruktur ist, denn das sollte bestimmen welche HW du einsetzt ?!
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Konfiguration von VLANs auf einer SophosUTM 9.2 in der Testumgebung
gelöst Frage von JohnDorianLAN, WAN, Wireless6 Kommentare

Hallo Zusammen, folgende Konfiguration habe ich momentan in einer Testumgebung aufgebaut: Hardware: Switch01 (HP 1810-48G) SophosUTM 9.2 (auf Hyper-V; ...

Router & Routing
Netzwerkkonfiguration mit mehreren Routern
gelöst Frage von StahlmannRouter & Routing20 Kommentare

Bisheriger aufbau mit ISDN-Anschluss: (sorry, die Symbole sind nicht ganz korrekt, ich weiß) Hat tadellos funktioniert. Am ersten Speedport ...

DNS
Netzwerkkonfiguration SBS2011 überprüfen
Frage von Injoy111DNS5 Kommentare

Ich betreibe einen SBS2011. Bei der Überprüfung der Netzwerkkonfiguration sind mir folgende Dinge aufgefallen: 1.) Ich habe mal testweise ...

Windows Netzwerk
Netzwerkkonfiguration bei ausgelagertem Exchange 2013
Frage von KaempferWindows Netzwerk3 Kommentare

Hallo, ich habe ein Netzwerk mit 2 DCs mit Server 2008R2 und 2 Exchange Server 2013 auf Server 2012R2. ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 10 StundenViren und Trojaner1 Kommentar

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 14 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Vmware
DOS 6.22 in VMWare mit CD-ROM
gelöst Frage von hesperVmware10 Kommentare

Hallo zusammen! Ich hab ein saublödes Problem. Es ist eine VMWare mit DOS 6.22 zu erstellen auf dem ein ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Cloud-Dienste
PIM als SaaS Nutzungsgebühr
Frage von vanTastCloud-Dienste8 Kommentare

Moin, wir haben uns ein PIM (Product Information Management) nach unseren Ansprüchen für viel Geld als SaaS-Lösung bauen lassen. ...