Skysnake schrieb:
Bei dir ist das Netz egal, bei vielen anderen ist es auch nicht so wichtig wie die Daten, aber auch ein kaputtes Netz kann schon katastrophale Auswirkungen haben.
Die Anforderungen können da schon diverse sein.
Für die meisten, mich selbst eingeschlossen, ist die Datensicherheit das primäre Ziel, die Verfügbarkeit eher weniger, solange diese generell geben ist. Aber ja, es gibt auch welche, denen die Daten nicht so wichtig sind, sondern nur deren Verfügbarkeit ... Politiker z.B ;-).
Skysnake schrieb:
Wenn du z.b. nen High Frequency Trader fragst, sind die Daten die über Netz XY gehen auch weniger wichtig als das die Daten ankommen.
Auch nicht so ganz, die Datenübertragung mag für diesen eine höhere Priorität haben, als die Datensicherheit, aber auch dieser würde sich bedanken, wenn ein Konkurent ihm die Aufträge wegschnappt bzw. er muss diese noch nicht einmal wegschnappen, teurer machen reicht schon ...
Skysnake schrieb:
Klar wenn sich jemand Wissen verschafft kann es denen das Geschäft kaputt machen, wenn die Daten aber zu spät oder gar nicht ankommen kann es die auch binnen Minuten oder Stunden den Kopf kosten.
Leider aber genauso, wenn ein Angreifer dieses Geschäft eine Millisekunde vorher macht ... weil er weiß was das Opfer kaufen bzw. verkaufen möchte.
Skysnake schrieb:
Ne, der Zugriff ist nicht nutzlos. Wie du schon sagst, es gibt Zero day exploits. Daher will man sein Netz segmentieren und zu angemessenen Kosten schützen. Genau das ist halt aber ein Punkt. Angemessen .klar kann ich alles extra Verkabeln mit dedizierter Hardware das ist aber am Ende dann irgendwann auch teuer und bringt fast keinen Mehrwert in vielen Fällen
Ich möchte unter keinen Umständen behaupten das vLANS sinnlos sind, sie sind ein sehr sinnvoles Tool um große Netze erst möglich und verwaltbar zu machen, aber halt nur als Organistationstool und nicht als Sicherheitsmaßnahme.
Wir nutzen bei uns selbstverständlich sehr viele vLANs , ansonsten bekäme man mehr als 6.000 Rechner + Drucker und Telefone auch nicht verwaltet.
Skysnake schrieb:
Jaein. Wenn auf den Ports ein VLAN nicht verfügbar ist, dann kommst du da auch über den Port nicht dran. Ein Management Netz so zu realisieren, das z.b. nur auf den Uplinks sichtbar ist, hat schon seine Vorteile.
Ebenfalls ein jein zurück, ein vLAN zu haben bedeutet nichts anderes als das man eine phyisische Verbindung hat, die man in logische Segmente unterteilt. Unsichtbar sind die, nur für die Teilnehmer welche sich regulär verhalten.
Skysnake schrieb:
Auch wenn man z.b. einzelne Räum3me in eigene VLANs packt kann das praktisch sein. Aber klar VLANs können maximal den Schutz bieten den eine dedizierte Verkabelung bringt. Nicht mehr aber auch nicht wirklich weniger.
Nein, diese Annahme ist vollkommen falsch, bei einer dedizierten Verkabelung hat man einfach keinerlei Chance einen Angriff durchzuführen, dagegen gibt es bei vLANs eine "unbeschränkte" physische Verkabelung, die nur logisch segmentiert wurde und da wo ein Kabel liegt ist auch ein Angriff denkbar.
Skysnake schrieb:
Naja, du hast die VLANs ja auf nem Port. Ein VLAN das nicht auf nem Port da ist kann derjenige auch nicht benutzen so lange er nicht den Switch unter Kontrolle hat. Eine derartige Unterteilung macht schon öfters Sinn. Die Zugangskontrolle muss natürlich gewährleistet sein.
Wie schon gesagt, die meisten vLANs haben Interconnections. Aber ja, ein vLAN ohne diese ist relativ sicher, nur halt nicht der Realität entsprechend.
Skysnake schrieb:
Naja, was heißt in Sicherheit wähnt? VLANs können halt nur das was sie können. Wer das nicht weiß hat ein ganz generelles Problem.
Naja, jeder der denkt, dass vLANs eine Sicherheitsmaßnahme (allein) sein könnte, hat dieses Problem.
Skysnake schrieb:
Meinst du das link down/up cycle, das beim Booten passiert? Das bezieht sich doch "nur" auf den Link Layer. Soweit ich das Feature verstanden hatte, können manche Switche wohl aber auch erkennen ob ein Kabel auf zwei Seiten gesteckt ist. Ganz unabhängig davon ob ein Link besteht. Quasi wie bei dem Kabeltester den einige Switche auch haben.
Nein, funktioniert nicht, wir haben es getestet, so gut wie jeder Client und/oder Drucker schaltet den Port bei einem Reboot offline, andernfalls wären auch Netzwerkprobleme nicht durch einen Reboot zu lösen.
Skysnake schrieb:
Allein auf nen Link Down zu gehen ist natürlich ziemlich eingeschränkt. Das geht wenn überhaupt nur für Server etc die 24/7 laufen.
ja, mit dier Methode könnte man maximal Server überwachen, aber bei Clientrechnern keine Chance.
Skysnake schrieb:
Naja, das ist eher schön nen WAN. Das würde ich jetzt nicht mit dem Fall zu vergleichen. In der Größehat man ja eh auch schon einiges an Hardware im Einsatz, was den Einsatz von VLANs unnötig macht.
Ganz im Gegenteil, wir nutzen vLANs ohne Ende, denn nur durch diese, sind mehr als 255 Rechner in einem lokalen Netz/Standort überhaupt erst möglich. Allerdings betrachten wir diese nicht als Security sondern als Tool.
Skysnake schrieb:
Aber da kennst du dann ja sicherlich auch die Probleme, wenn man offline Systeme betreiben muss oder KRITIS. Da muss man sich aber auf einem ganz anderem Niveau bewegen als hier nötig. Am Ende muss es ja immer nur angemessen sein was man macht.
Richtig, leider gehören wir zu den Unternehmen, die der Kritis Richtlinie unterliegen und die letzte Zerifizierung ist im September erst durchgelaufen. Allerdings die Ergebnisse haben wir noch nicht.
Skysnake schrieb:
Ich empfehle dazu auch immer mal gerne das Studium vom BSI Grundschutz. Da sieht man dann ziemlich deutlich auch, das es da kein Schwarz Weiß gibt.
Die gibt es doch effektiv nie, denn wenn man sich auf der einen Seite sich Datenschutzkonform bewegt, hat man das Problem, das diese Vorgehensweise den Kritis Richtlinienen widerspricht.
Skysnake schrieb:
Ja, das geht nicht. Wenn du so ein Netz hastmuss dir abernatürlivh klar sein, dass das nicht geht und du eben wie ihr auf VPN usw setzen für die Verbindung zwischen den Standorten.
Es geht nicht nur um die Verbindungen zwischen einzelnen Standorten, sondern auch um die SIcherheit an den Standorten selbst. Da wir teilweise auf die Netzwerktechnik aus den 80iger bzw. 90iger Jahren zurückgreifen müssen, sind die Server gegenüber dem internen Netz genauso bzw. sogar besser geschützt als aus dem Zugriff des Internets.
Skysnake schrieb:
Aber je nachdem auch innerhalb muss einem klar sein das einer was tun kann. Stichwort Innentäter und dann wird es ja pervers, was die Szenarien angeht gegen die man sich schützen will/muss. Das bedeutet dann ja auch vor allem minotoring und Änderungssicheres Logging und Change Management, weil man ja selbst bei nem Admin als Täter verhindern muss, dass der bei vollem Zugriff die Spuren verwischt. Gibt es alles. Aber wird halt immer komplexer/aufwändiger.
Bei uns ist für wirliche relante Änderungen ein 6 Augen System nicht nur vorgeschrieben, sondern auch umgesetzt. Ohne das OK, von mindestens 2 von mir unabhängigen, bekomme ich keinerlei Richtlinie geändert.
Skysnake schrieb:
Gibt auch Fälle bei denen einige Stunden Netzausfall schon inakzeptabel sind. Ich sag jetzt mal KRITIS. Da sind die Daten teils recht wertlos, das Netz an sich ist aber sehr sehr wichtig.
In unserem Fall, ist die Datensicherheit trotzdem wichtiger als als das Netzwerk, aber trotz allem ist die Netzwerkverügbarkeit an keiner geringen Stelle.
Skysnake schrieb:
Wenn es wie oben z.b. wohl um eine Bildungseinrichtung geht sind die Daten an sich wohl recht wertlos. Das Netz muss aber laufen.
Ist ebenfalls relativ zu betrachten, bei uns würde dies bedeuten, solange es Azubis von unserer Firma sein sollten, dass diese einen ziemlich intensiven Kontakt mit den internen Daten hätten, trozdem würde man einer Veröffentlichung nicht wirklich zustimmen können.
Skysnake schrieb:
Wie gesagt, es kann was es kann. Nicht mehr und nicht weniger. Die dicke Panzertür bringt dir auch nichts wenn daneben das Fenster offen steht...
Vollkommen richtig. Aber als Verantwortlicher für die Daten, ist dem evtl. ein solches Fenster gerade recht ...
Skysnake schrieb:
Aber auch nur, wenn du an anderer Stelle eben nicht alles Sperangel weit offen stehen hast.
Leider ist dies bei der Nutzung von vLANs allein, zwangsläufig der Fall...
Skysnake schrieb:
Das ist halt was man bei Security beachten muss. Die Kette ist nur so stark wie ihr schwächstes Glied. Das dir das klar ist würde ich sogar erwarten vielen aber leider nicht....
Vollkommen richtig, und in dem Fall sind die vLANs der Schwachpunkt, denn diese haben keinerlei effektive Sicherheitsfeatures in Peto, sondern nur Placebos. was man allerdings nicht vergessen sollte, ist die Tatsache, das bei einem verschlüsseltem Netz nur die Eploids als wirksam zeigen, die den Netzwerkstack selbst angreifen, Allle anderen sind so ziemlich nutzlos, da keine gemeinsame Sprache existiert.
Skysnake schrieb:
Ps: wir driften aber ziemlich ab von dem was für den Fragesteller relevant ist. Meiner Meinung nach den BSI Grundschutz abarbeiten, dann ist auch klar was gemacht werden muss oder auch nicht. Man ist dann zumindest mal ziemlich auf der sicheren Seite, was anbelangt das einem einer nen Strick draußen dreht. Also zumindest so lange man das richtig gemacht hat....
Ebenfalls vollkomen richtig, und das wir von den Angaben des TE mehr als abgewichen sind, geschenkt. Wichtig ist nur, das dieser aus der Diskussion mitnimmt, ist das vLANs kein Sicherheitsfeature sind und ohne begleitende Maßnahmen nicht der DsVGO entsprechen.
Aber was er mitnehmen sollte ist, das er sein internes Netz so gut wie möglich absichern sollte, dazu gehört IPsec einfach dazu, denn in der Beziehung ist die Richtlinie ziemlich schwammig formuliert, denn die besagt nur nach dem Stand der Technik. Imho, IPsec. Alles andere könnte utopischen Regress bei einem entsprechndem Kläger bedeuten.