{"id":31058,"date":"2019-10-31T21:39:12","date_gmt":"2019-10-31T18:39:12","guid":{"rendered":"https:\/\/prohoster.info\/blog\/kak-vzyat-setevuyu-infrastrukturu-pod-svoj-kontrol-glava-tretya-setevaya-bezopasnost-chast-pervaya\/"},"modified":"2019-10-31T21:39:12","modified_gmt":"2019-10-31T18:39:12","slug":"kak-vzyat-setevuyu-infrastrukturu-pod-svoj-kontrol-glava-tretya-setevaya-bezopasnost-chast-pervaya","status":"publish","type":"post","link":"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/kak-vzyat-setevuyu-infrastrukturu-pod-svoj-kontrol-glava-tretya-setevaya-bezopasnost-chast-pervaya","title":{"rendered":"Wie man die Netzwerkinfrastruktur unter Kontrolle bringt. Kapitel drei. Netzwerksicherheit. Teil eins","gt_translate_keys":[{"key":"rendered","format":"text"}]},"content":{"rendered":"<p><i>Dieser Artikel ist der dritte in der Reihe \"Wie Sie die Netzwerk-Infrastruktur unter Kontrolle bekommen\". Den Inhalt aller Artikel der Reihe und die Links finden Sie <noindex><a rel=\"nofollow\" href=\"https:\/\/habr.com\/ru\/post\/447008\/\">hier<\/a><\/noindex><\/i>.<\/p>\n<p><img decoding=\"async\" alt=\"Wie man die Netzwerkinfrastruktur unter Kontrolle bringt. Kapitel drei. Netzwerksicherheit. Teil eins\" src=\"\/wp-content\/uploads\/2019\/04\/cdf33cc6797d26df8fef5533f2570c47.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\nEs hat keinen Sinn, \u00fcber die vollst\u00e4ndige Beseitigung von Sicherheitsrisiken zu sprechen. Grunds\u00e4tzlich k\u00f6nnen wir sie nicht auf null reduzieren. Man muss auch verstehen, dass unsere L\u00f6sungen immer teurer werden, je mehr wir versuchen, das Netzwerk sicherer zu machen. Es ist notwendig, einen vern\u00fcnftigen Kompromiss zwischen Preis, Komplexit\u00e4t und Sicherheit f\u00fcr Ihr Netzwerk zu finden. <\/p>\n<p>Nat\u00fcrlich ist das Sicherheitsdesign organisch in die Gesamtarchitektur integriert, und die verwendeten Sicherheitsl\u00f6sungen wirken sich auf die Skalierbarkeit, Zuverl\u00e4ssigkeit, Verwaltbarkeit ... der Netzwerk-Infrastruktur aus, was ebenfalls ber\u00fccksichtigt werden sollte.<\/p>\n<p>Aber ich erinnere daran, dass wir jetzt nicht \u00fcber den Aufbau eines Netzwerks sprechen. Entsprechend unseren <noindex><a rel=\"nofollow\" href=\"https:\/\/habr.com\/post\/433614\/\">ausgangsbedingungen<\/a><\/noindex> haben wir bereits ein Design gew\u00e4hlt, die Hardware ausgew\u00e4hlt und die Infrastruktur erstellt, und sollten in dieser Phase, soweit m\u00f6glich, \"leben\" und L\u00f6sungen im Kontext des zuvor gew\u00e4hlten Ansatzes finden.<\/p>\n<p>Unsere Aufgabe besteht jetzt darin, Risiken im Zusammenhang mit der Netzwerk-Sicherheit zu identifizieren und sie auf ein vern\u00fcnftiges Ma\u00df zu reduzieren. <noindex><a rel=\"nofollow\" name=\"habracut\"><\/a><\/noindex><\/p>\n<h1>Netzwerksicherheitsaudit<\/h1>\n<p>\nWenn in Ihrer Organisation ISO 27k-Prozesse implementiert sind, sollten die Sicherheits- und Netzwerk\u00e4nderungspr\u00fcfungen nahtlos in die allgemeinen Abl\u00e4ufe dieses Ansatzes integriert werden. Diese Standards beziehen sich jedoch nicht auf spezifische L\u00f6sungen, Konfigurationen oder Designs\u2026 Es gibt keine eindeutigen Ratschl\u00e4ge, keine Standards, die genau vorschreiben, wie Ihr Netzwerk aussehen sollte; das ist die Komplexit\u00e4t und Faszination dieser Aufgabe.<\/p>\n<p>Ich w\u00fcrde mehrere m\u00f6gliche Sicherheitspr\u00fcfungen des Netzwerks hervorheben:<\/p>\n<ul>\n<li>Audit der Hardwarekonfiguration (Hardening)<\/li>\n<li>Audit des Sicherheitsdesigns<\/li>\n<li>Zugangspr\u00fcfung<\/li>\n<li>Prozesspr\u00fcfung<\/li>\n<\/ul>\n<p><\/p>\n<h1>Audit der Hardwarekonfiguration (Hardening)<\/h1>\n<p>\nEs scheint, dass dies in den meisten F\u00e4llen der beste Ausgangspunkt f\u00fcr ein Audit und die Verbesserung der Sicherheit Ihres Netzwerks ist. IMHO ist dies eine gute Demonstration des Pareto-Prinzips (20 % des Aufwands f\u00fchren zu 80 % der Ergebnisse, w\u00e4hrend die restlichen 80 % des Aufwands nur 20 % der Ergebnisse bringen). <\/p>\n<p>Der springende Punkt ist, dass wir normalerweise Empfehlungen von Anbietern zu den \u201ebesten Praktiken\u201c f\u00fcr die Sicherheitskonfiguration von Hardware erhalten. Dies wird als \u201eHardening\u201c bezeichnet.<\/p>\n<p>Es ist auch h\u00e4ufig m\u00f6glich, einen Fragebogen (oder selbst zu erstellen) basierend auf diesen Empfehlungen zu finden, der Ihnen hilft festzustellen, wie gut die Konfiguration Ihrer Hardware den \u201eBest Practices\u201c entspricht und basierend auf den Ergebnissen \u00c4nderungen in Ihrem Netzwerk vorzunehmen. Dies erm\u00f6glicht es Ihnen, die Sicherheitsrisiken erheblich zu senken, relativ einfach und ohne Kosten.<\/p>\n<blockquote><p>Einige Beispiele f\u00fcr verschiedene Cisco-Betriebssysteme.<\/p>\n<p><noindex><a rel=\"nofollow\" href=\"https:\/\/www.cisco.com\/c\/en\/us\/support\/docs\/ip\/access-lists\/13608-21.html\">H\u00e4rtung der Cisco IOS-Konfiguration<\/a><\/noindex><br \/>\n<noindex><a rel=\"nofollow\" href=\"https:\/\/tools.cisco.com\/security\/center\/resources\/increase_security_ios_xr_devices.html\">H\u00e4rtung der Cisco IOS-XR-Konfiguration<\/a><\/noindex><br \/>\n<noindex><a rel=\"nofollow\" href=\"https:\/\/tools.cisco.com\/security\/center\/resources\/securing_nx_os.html\">H\u00e4rtung der Cisco NX-OS-Konfiguration<\/a><\/noindex><br \/>\n<noindex><a rel=\"nofollow\" href=\"https:\/\/www.cisco.com\/c\/en\/us\/td\/docs\/solutions\/Enterprise\/Security\/Baseline_Security\/securebasebook\/appendxD.html\">Cisco Baseline Sicherheits-Checkliste<\/a><\/noindex><\/p>\n<p>Basierend auf diesen Dokumenten kann eine Liste von Konfigurationsanforderungen f\u00fcr jede Art von Hardware erstellt werden. Beispielsweise k\u00f6nnten die Anforderungen f\u00fcr Cisco N7K VDC wie folgt aussehen: <noindex><a rel=\"nofollow\" href=\"https:\/\/www.dropbox.com\/s\/hnat6yriyptigzb\/7k_hard.xlsx?dl=0\">so<\/a><\/noindex>.<\/p><\/blockquote>\n<p>\nAuf diese Weise k\u00f6nnen Konfigurationsdateien f\u00fcr verschiedene aktive Ger\u00e4te Ihrer Netzwerk-Infrastruktur erstellt werden. Anschlie\u00dfend k\u00f6nnen Sie diese Konfigurationsdateien manuell oder mithilfe von Automatisierung \u201ehochladen\u201c. Wie dieser Prozess automatisiert werden kann, wird in einer anderen Artikelreihe zu Orchestrierung und Automatisierung ausf\u00fchrlich behandelt.<\/p>\n<h1>Audit des Sicherheitsdesigns<\/h1>\n<p>\nIn einem Unternehmensnetzwerk sind typischerweise folgende Segmente vorhanden: <\/p>\n<ul>\n<li>DC (DMZ f\u00fcr \u00f6ffentliche Dienste und Intranet-Rechenzentrum)<\/li>\n<li>Internetzugang<\/li>\n<li>Remote Access VPN<\/li>\n<li>WAN Edge<\/li>\n<li>Zweigstelle<\/li>\n<li>Campus (B\u00fcro)<\/li>\n<li>Kern<\/li>\n<\/ul>\n<p>\nDie Begriffe stammen aus <noindex><a rel=\"nofollow\" href=\"https:\/\/www.cisco.com\/c\/en\/us\/td\/docs\/solutions\/Enterprise\/Security\/SAFE_RG\/SAFE_rg\/chap1.html\">Cisco SAFE<\/a><\/noindex> Modell, doch es ist nicht zwingend notwendig, sich genau an diese Begriffe und dieses Modell zu halten. Es ist wichtiger, \u00fcber das Wesentliche zu sprechen und sich nicht in Formalit\u00e4ten zu verlieren.<\/p>\n<p>F\u00fcr jedes dieser Segmente variieren die Sicherheitsanforderungen, Risiken und somit auch die L\u00f6sungen.<\/p>\n<p>Lassen Sie uns jedes einzelne Segment hinsichtlich der Herausforderungen betrachten, die Sie aus Sicht des Sicherheitsdesigns m\u00f6glicherweise begegnen. Ich m\u00f6chte betonen, dass dieser Artikel keineswegs den Anspruch auf Vollst\u00e4ndigkeit erhebt; es ist nicht einfach (wenn \u00fcberhaupt m\u00f6glich), alle Aspekte dieses wirklich tiefgreifenden und vielschichtigen Themas zu erfassen, sondern reflektiert meine pers\u00f6nlichen Erfahrungen.<\/p>\n<p>Es gibt keine perfekte L\u00f6sung (zumindest derzeit nicht). Es ist immer ein Kompromiss. Entscheidend ist, dass die Wahl eines bestimmten Ansatzes bewusst getroffen wird, mit einem Verst\u00e4ndnis sowohl seiner Vor- als auch seiner Nachteile.<\/p>\n<h2>Rechenzentrum<\/h2>\n<p>\nDas aus Sicht der Sicherheit kritischste Segment.<br \/>\nWie \u00fcblich gibt es auch hier keine universelle L\u00f6sung. Alles h\u00e4ngt stark von den Anforderungen an das Netzwerk ab. <\/p>\n<h3>Brauchen Sie eine Firewall oder nicht?<\/h3>\n<p>\nAuf den ersten Blick scheint die Antwort offensichtlich zu sein, aber es ist nicht so einfach, wie es scheint. Bei Ihrer Entscheidung k\u00f6nnten nicht nur<b> Preis<\/b>. <\/p>\n<blockquote><p>Beispiel 1. <b>Latenzen.<\/b><\/p>\n<p>Wenn zwischen bestimmten Segmenten des Netzwerks eine niedrige Latenz eine wesentliche Anforderung ist, wie zum Beispiel im Falle einer B\u00f6rse, k\u00f6nnen wir zwischen diesen Segmenten keine Firewalls verwenden. Es ist schwierig, Studien zu Latenzen in Firewalls zu finden, aber nur wenige Switch-Modelle bieten Latenzen von weniger als oder etwa 1 \u00b5s, daher denke ich, dass, wenn Mikrosekunden f\u00fcr Sie entscheidend sind, Firewalls nichts f\u00fcr Sie sind.<\/p><\/blockquote>\n<blockquote><p>Beispiel 2. <b>Leistung.<\/b><\/p>\n<p>Die Bandbreite der besten L3-Switches liegt in der Regel um ein Vielfaches h\u00f6her als die Bandbreite der leistungsst\u00e4rksten Firewalls. Daher werden Sie bei hochintensivem Traffic wahrscheinlich ebenfalls diesen Traffic an den Firewalls vorbeileiten m\u00fcssen.<\/p><\/blockquote>\n<p><\/p>\n<blockquote><p>Beispiel 3. <b>Zuverl\u00e4ssigkeit.<\/b><\/p>\n<p>Firewalls, insbesondere moderne NGFW (Next-Generation Firewalls), sind komplexe Ger\u00e4te. Sie sind deutlich anspruchsvoller als L3\/L2-Switches. Aufgrund der Vielzahl an Diensten und Konfigurationsm\u00f6glichkeiten ist es nicht \u00fcberraschend, dass ihre Zuverl\u00e4ssigkeit deutlich niedriger ist. Wenn die Kontinuit\u00e4t des Services f\u00fcr Ihr Netzwerk entscheidend ist, m\u00fcssen Sie m\u00f6glicherweise abw\u00e4gen, was zu einer besseren Verf\u00fcgbarkeit f\u00fchrt \u2013 der Schutz durch einen Firewall oder die Einfachheit eines Netzwerks, das auf Switches (oder \u00e4hnlichen Fabriken) mit herk\u00f6mmlichen ACLs basiert.<\/p><\/blockquote>\n<p> In den oben genannten Beispielen werden Sie wahrscheinlich (wie gewohnt) einen Kompromiss finden m\u00fcssen. Betrachten Sie die folgenden L\u00f6sungen: <\/p>\n<ul>\n<li>Wenn Sie sich entschieden haben, keine Firewalls im Rechenzentrum zu verwenden, m\u00fcssen Sie \u00fcberlegen, wie Sie den Zugang an der Peripherie maximal einschr\u00e4nken. Beispielsweise k\u00f6nnen Sie nur die erforderlichen Ports aus dem Internet (f\u00fcr den Kundenverkehr) und Verwaltungszug\u00e4nge zum Rechenzentrum nur von Jump-Hosts \u00f6ffnen. Auf den Jump-Hosts sollten alle notwendigen Pr\u00fcfungen (Authentifizierung\/Autorisierung, Antivirus, Protokollierung, \u2026) durchgef\u00fchrt werden.<\/li>\n<li>Sie k\u00f6nnen eine logische Unterteilung des Rechenzentrums in Segmente nutzen, \u00e4hnlich wie im PSEFABRIC-Schema beschrieben. <noindex><a rel=\"nofollow\" href=\"https:\/\/github.com\/nihole\/PSEFABRIC\/wiki\/p002-design\">Beispiel p002<\/a><\/noindex>. Dabei sollte das Routing so konfiguriert sein, dass latenzempfindlicher oder intensiver Traffic \"innerhalb\" eines Segments (im Falle von p002, VRF) verl\u00e4uft und nicht \u00fcber die Firewall geht. Traffic zwischen verschiedenen Segmenten wird weiterhin \u00fcber die Firewall geleitet. Sie k\u00f6nnen auch Route Leaking zwischen den VRFs verwenden, um eine Umleitung des Traffics \u00fcber die Firewall zu vermeiden.<\/li>\n<li>Ebenso kann die Firewall im transparenten Modus nur f\u00fcr VLANs eingesetzt werden, bei denen diese Faktoren (Latenz\/Performance) keine wesentliche Rolle spielen. Allerdings sollten die Einschr\u00e4nkungen dieser Betriebsart f\u00fcr jeden Anbieter gr\u00fcndlich untersucht werden.<\/li>\n<li>Sie k\u00f6nnen auch erw\u00e4gen, eine Service-Chain-Architektur einzuf\u00fchren. Dies w\u00fcrde es erm\u00f6glichen, nur den erforderlichen Traffic \u00fcber die Firewall zu leiten. Theoretisch sieht es ansprechend aus, jedoch habe ich diese L\u00f6sung nie in der Praxis gesehen. Vor etwa drei Jahren haben wir Service-Chain f\u00fcr Cisco ACI\/Juniper SRX\/F5 LTM getestet, aber zu diesem Zeitpunkt erschien uns diese L\u00f6sung \"unreif\".<\/li>\n<\/ul>\n<p><\/p>\n<h3>Schutzgrad<\/h3>\n<p>\nNun m\u00fcssen Sie sich die Frage stellen, welche Tools Sie f\u00fcr die Traffic-Filterung einsetzen m\u00f6chten. Hier sind einige der M\u00f6glichkeiten, die typischerweise in einer NGFW vorhanden sind (zum Beispiel, <noindex><a rel=\"nofollow\" href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/8-0\/pan-os-admin\/policy\/security-profiles.html\">hier<\/a><\/noindex>):<\/p>\n<ul>\n<li>stateful Firewalling (standardm\u00e4\u00dfig)<\/li>\n<li>Anwendungsfirewalling<\/li>\n<li>Bedrohungspr\u00e4vention (Antivirus, Anti-Spyware und Schwachstellenmanagement)<\/li>\n<li>URL-Filterung<\/li>\n<li>Datenfilterung (Inhaltsfilterung)<\/li>\n<li>Datei-Blockierung (Blockierung von Dateitypen)<\/li>\n<li>DDoS-Schutz<\/li>\n<\/ul>\n<p>\nEs ist auch nicht alles eindeutig. Auf den ersten Blick scheint es, je h\u00f6her das Schutzniveau, desto besser. Aber Sie m\u00fcssen auch bedenken, dass<\/p>\n<ul>\n<li>je mehr der oben genannten Funktionen der Firewall Sie verwenden, desto teurer wird es nat\u00fcrlich (Lizenzen, zus\u00e4tzliche Module)<\/li>\n<li>der Einsatz bestimmter Algorithmen kann die Durchsatzrate der Firewall erheblich verringern und auch die Latenz erh\u00f6hen, siehe zum Beispiel <noindex><a rel=\"nofollow\" href=\"https:\/\/www.paloaltonetworks.com\/products\/secure-the-network\/next-generation-firewall\/pa-7000-series\">hier<\/a><\/noindex><\/li>\n<li>wie bei jeder komplexen L\u00f6sung kann der Einsatz komplexer Schutzmethoden die Zuverl\u00e4ssigkeit Ihrer L\u00f6sung beeintr\u00e4chtigen, zum Beispiel habe ich bei der Verwendung von Application Firewalling erlebt, dass einige ganz normal funktionierende Anwendungen (DNS, SMB) blockiert wurden<\/li>\n<\/ul>\n<p>\nWie gewohnt m\u00fcssen Sie die optimalste L\u00f6sung f\u00fcr Ihr Netzwerk finden.<\/p>\n<p>Es gibt keine eindeutige Antwort auf die Frage, welche Schutzfunktionen erforderlich sein k\u00f6nnten. Erstens h\u00e4ngt dies nat\u00fcrlich von den Daten ab, die Sie \u00fcbertragen oder speichern und zu sch\u00fctzen versuchen. Zweitens besteht die Herausforderung h\u00e4ufig darin, dass die Auswahl der Schutzma\u00dfnahmen eine Frage des Vertrauens in den Anbieter ist. Sie kennen die Algorithmen nicht, wissen nicht, wie effektiv sie sind, und k\u00f6nnen sie nicht umfassend testen. <\/p>\n<p>F\u00fcr kritische Bereiche kann es daher sinnvoll sein, L\u00f6sungen von verschiedenen Anbietern zu nutzen. Beispielsweise k\u00f6nnen Sie einen Antivirus auf der Firewall aktivieren und gleichzeitig eine Antivirusl\u00f6sung (von einem anderen Anbieter) lokal auf den Hosts einsetzen.<\/p>\n<h3>Segmentierung<\/h3>\n<p>\nHier geht es um die logische Segmentierung des Rechenzentrumsnetzwerks. Die Aufteilung in VLANs und Subnetze ist ebenfalls eine logische Segmentierung, die wir jedoch aufgrund ihrer Offensichtlichkeit nicht im Detail betrachten werden. Interessant ist die Segmentierung unter Ber\u00fccksichtigung von Entit\u00e4ten wie FW-Sicherheitszonen, VRF (und ihren \u00c4quivalenten bei verschiedenen Anbietern), logischen Ger\u00e4ten (PA VSYS, Cisco N7K VDC, Cisco ACI Tenant, \u2026), \u2026<\/p>\n<blockquote><p>Ein Beispiel f\u00fcr eine solche logische Segmentierung und das derzeit gefragte Design eines Rechenzentrums findet sich in <noindex><a rel=\"nofollow\" href=\"https:\/\/github.com\/nihole\/PSEFABRIC\/wiki\/p002-design\">p002 des Projekts PSEFABRIC<\/a><\/noindex>.<\/p><\/blockquote>\n<p> Nachdem Sie die logischen Teile Ihres Netzwerks definiert haben, k\u00f6nnen Sie beschreiben, wie der Datenverkehr zwischen den verschiedenen Segmenten flie\u00dft, auf welchen Ger\u00e4ten die Filterung erfolgt und welche Mittel dabei eingesetzt werden.<\/p>\n<p>Falls in Ihrem Netzwerk keine klare logische Aufteilung existiert und die Sicherheitsrichtlinien f\u00fcr verschiedene Datenstr\u00f6me (Flow) nicht formalisiert sind, bedeutet dies, dass Sie bei der Gew\u00e4hrung von Zugriffen jedes Mal neu entscheiden m\u00fcssen, und es ist sehr wahrscheinlich, dass Sie dies jedes Mal anders tun werden. <\/p>\n<p>Oft basiert die Segmentierung nur auf FW-Sicherheitszonen. Daher m\u00fcssen Sie die folgenden Fragen beantworten:<\/p>\n<ul>\n<li>Welche Sicherheitszonen ben\u00f6tigen Sie?<\/li>\n<li>Welches Sicherheitsniveau m\u00f6chten Sie f\u00fcr jede dieser Zonen anwenden? <\/li>\n<li>Wird der intra-Zonen-Datenverkehr standardm\u00e4\u00dfig erlaubt? <\/li>\n<li>Wenn nicht, welche Filterrichtlinien werden innerhalb jeder Zone angewendet?<\/li>\n<li>Welche Filterrichtlinien werden f\u00fcr jedes Paar von Zonen (Quelle\/Ziel) angewendet?<\/li>\n<\/ul>\n<p><\/p>\n<h3>TCAM<\/h3>\n<p>\nEin h\u00e4ufig auftretendes Problem ist der Mangel an TCAM (Ternary Content Addressable Memory), sowohl f\u00fcr das Routing als auch f\u00fcr Zugriffe. Meiner Meinung nach ist dies eine der wichtigsten \u00dcberlegungen bei der Auswahl der Hardware, weshalb diesem Thema die geb\u00fchrende Beachtung geschenkt werden sollte.<\/p>\n<blockquote><p>Beispiel 1. Forwarding-Tabelle TCAM.<\/p>\n<p>Schauen wir uns das genauer an <noindex>Palo Alto 7k<\/noindex> Firewall.<br \/>\nWir sehen, dass die Gr\u00f6\u00dfe der IPv4-Forwarding-Tabelle* = 32K<br \/>\nDieses Routing ist dabei insgesamt f\u00fcr alle VSYSs.<\/p>\n<p>Angenommen, laut Ihrem Design haben Sie beschlossen, 4 VSYS zu verwenden.<br \/>\nJeder dieser VSYSs ist \u00fcber BGP mit zwei PE des MPLS-Netzwerks verbunden, das Sie als BB nutzen. So tauschen 4 VSYSs ihre spezifischen Routen untereinander aus und haben Forwarding-Tabellen mit ann\u00e4hernd identischen Routen-Sets (aber unterschiedlichen NH). Da jeder VSYS 2 BGP-Sitzungen (mit identischen Einstellungen) hat, hat jede Route, die \u00fcber MPLS erhalten wird, 2 NH und somit 2 FIB-Eintr\u00e4ge in der Forwarding-Tabelle. Angenommen, dies ist die einzige Firewall im Rechenzentrum und sie muss \u00fcber alle Routen informiert sein, dann bedeutet dies, dass die Gesamtzahl der Routen in unserem Rechenzentrum nicht mehr als 32K\/(4 * 2) = 4K betragen kann. <\/p>\n<p>Angenommen, wir haben 2 Rechenzentren (mit demselben Design) und m\u00f6chten VLANs verwenden, die \"\u00fcber\" die Rechenzentren hinweg gedehnt sind (zum Beispiel f\u00fcr vMotion). Um das Routing-Problem zu l\u00f6sen, m\u00fcssen wir Host-Routen nutzen. Das bedeutet jedoch, dass wir f\u00fcr 2 Rechenzentren nicht mehr als 4096 m\u00f6gliche Hosts zur Verf\u00fcgung haben, und das k\u00f6nnte nat\u00fcrlich nicht ausreichen.<\/p><\/blockquote>\n<blockquote><p>Beispiel 2. ACL TCAM.<\/p>\n<p>Wenn Sie Traffic auf L3-Switches (oder anderen L\u00f6sungen, die L3-Switches verwenden, wie z.B. Cisco ACI) filtern m\u00f6chten, sollten Sie beim Kauf der Hardware auf ACL TCAM achten.<\/p>\n<p>Angenommen, Sie m\u00f6chten den Zugriff auf SVI-Schnittstellen von Cisco Catalyst 4500 kontrollieren. Dann, wie aus <noindex><a rel=\"nofollow\" href=\"https:\/\/www.cisco.com\/c\/en\/us\/support\/docs\/switches\/catalyst-4000-series-switches\/66978-tcam-cat-4500.html\">dieses Artikels<\/a><\/noindex>zu erkennen ist, k\u00f6nnen Sie zur Kontrolle des ausgehenden (sowie eingehenden) Traffics an den Schnittstellen nur 4096 TCAM-Zeilen verwenden. Bei Verwendung von TCAM3 erhalten Sie damit etwa 4000 ACE (ACL-Zeilen).<\/p><\/blockquote>\n<p> Wenn Sie auf ein Problem mit unzureichendem TCAM sto\u00dfen, sollten Sie zun\u00e4chst eine Optimierung in Betracht ziehen. Bei Problemen mit der Gr\u00f6\u00dfe der Forwarding Table k\u00f6nnte zum Beispiel die Aggregation von Routen sinnvoll sein. Bei Problemen mit der TCAM-Gr\u00f6\u00dfe f\u00fcr Zugriffe sollten Sie eine \u00dcberpr\u00fcfung der Zugriffsrechte in Erw\u00e4gung ziehen, veraltete und \u00fcberschneidende Eintr\u00e4ge entfernen und m\u00f6glicherweise das Verfahren zur Erteilung von Zugriffsrechten \u00fcberdenken (dies wird ausf\u00fchrlich im Kapitel \u00fcber die \u00dcberpr\u00fcfung der Zugriffsrechte behandelt).<\/p>\n<h3>Hochverf\u00fcgbarkeit<\/h3>\n<p>\nDie Frage ist, ob man HA f\u00fcr Firewalls verwenden oder zwei unabh\u00e4ngige Ger\u00e4te parallel installieren und den Verkehr im Falle eines Ausfalls der einen \u00fcber die andere leiten sollte?<\/p>\n<p>Die Antwort scheint offensichtlich \u2013 HA zu verwenden. Der Grund, warum diese Frage dennoch aufkommt, ist, dass, bedauerlicherweise, die theoretischen und reklamem\u00e4\u00dfigen Verf\u00fcgbarkeitswerte von 99 und mehreren Neunen nach dem Komma in der Praxis oft nicht so erfreulich sind. HA ist logischerweise ein recht komplexes Thema, und bei verschiedenen Ger\u00e4ten und Anbietern (keine Ausnahme) haben wir Probleme, Bugs und Serviceausf\u00e4lle erlebt.<\/p>\n<p>Wenn Sie HA verwenden, haben Sie die M\u00f6glichkeit, einzelne Knoten auszuschalten und ohne Unterbrechung des Dienstes zwischen ihnen zu wechseln. Dies ist besonders wichtig bei Upgrades. Allerdings besteht auch eine nicht unerhebliche Wahrscheinlichkeit, dass beide Knoten gleichzeitig ausfallen und dass das n\u00e4chste Upgrade nicht so reibungslos verl\u00e4uft, wie es der Anbieter verspricht. Dieses Problem kann vermieden werden, wenn Sie die M\u00f6glichkeit haben, das Upgrade auf Testhardware zu testen.<\/p>\n<p>Wenn Sie kein HA verwenden, sind Ihre Risiken in Bezug auf doppelte Ausf\u00e4lle deutlich geringer, da Sie zwei unabh\u00e4ngige Firewalls haben. Da jedoch die Sitzungen nicht synchronisiert sind, verlieren Sie jedes Mal, wenn zwischen diesen Firewalls gewechselt wird, Verkehr. Nat\u00fcrlich kann man stateless Firewalls nutzen, aber dann wird der Nutzen einer Firewall in vielerlei Hinsicht stark reduziert.<\/p>\n<p>Wenn Sie also bei der \u00dcberpr\u00fcfung feststellen, dass Sie isolierte Firewalls haben und dar\u00fcber nachdenken, die Zuverl\u00e4ssigkeit Ihres Netzwerks zu erh\u00f6hen, dann ist Hochverf\u00fcgbarkeit (HA) sicherlich eine der empfohlenen L\u00f6sungen. Allerdings sollten Sie auch die Nachteile, die mit diesem Ansatz verbunden sind, in Betracht ziehen. M\u00f6glicherweise ist eine andere L\u00f6sung besser geeignet f\u00fcr Ihr Netzwerk.<\/p>\n<h3>Verwaltbarkeit<\/h3>\n<p>\nIm Grunde genommen geht es bei HA auch um die Verwalbarkeit. Anstatt zwei Ger\u00e4te separat zu konfigurieren und das Problem der Synchronisierung der Konfigurationen zu l\u00f6sen, verwalten Sie sie gr\u00f6\u00dftenteils, als h\u00e4tten Sie ein einziges Ger\u00e4t. <\/p>\n<p>Aber m\u00f6glicherweise haben Sie viele Rechenzentren und zahlreiche Firewalls. In diesem Fall wird die Frage auf einem neuen Niveau gestellt. Es geht nicht nur um die Konfiguration, sondern auch um<\/p>\n<ul>\n<li>die Sicherung von Konfigurationen<\/li>\n<li>Updates<\/li>\n<li>Upgrades<\/li>\n<li>\u00dcberwachung<\/li>\n<li>Protokollierung<\/li>\n<\/ul>\n<p>\nUnd all dies k\u00f6nnen zentrale Managementsysteme l\u00f6sen. <\/p>\n<blockquote><p>Wenn Sie beispielsweise Palo Alto-Firewalls verwenden, dann <noindex><a rel=\"nofollow\" href=\"https:\/\/www.paloaltonetworks.com\/products\/management\/panorama\">ist Panorama<\/a><\/noindex> eine solche L\u00f6sung.\n<\/p><\/blockquote>\n<p>\n<i>Fortsetzung folgt.<\/i><br \/>\n<br \/>Quelle: <a content=\"nofollow\" rel=\"nofollow\" href=\"https:\/\/habr.com\/ru\/post\/435138\/\">habr.com<\/a><\/p>","protected":false,"gt_translate_keys":[{"key":"rendered","format":"html"}]},"excerpt":{"rendered":"<p>\u042d\u0442\u0430 \u0441\u0442\u0430\u0442\u044c\u044f \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0442\u0440\u0435\u0442\u044c\u0435\u0439 \u0432 \u0446\u0438\u043a\u043b\u0435 \u0441\u0442\u0430\u0442\u0435\u0439 \u00ab\u041a\u0430\u043a \u0432\u0437\u044f\u0442\u044c \u0441\u0435\u0442\u0435\u0432\u0443\u044e \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 \u043f\u043e\u0434 \u0441\u0432\u043e\u0439 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044c\u00bb. \u0421\u043e\u0434\u0435\u0440\u0436\u0430\u043d\u0438\u0435 \u0432\u0441\u0435\u0445 \u0441\u0442\u0430\u0442\u0435\u0439 \u0446\u0438\u043a\u043b\u0430 \u0438 \u0441\u0441\u044b\u043b\u043a\u0438 \u043c\u043e\u0436\u043d\u043e \u043d\u0430\u0439\u0442\u0438 \u0437\u0434\u0435\u0441\u044c. \u041d\u0435\u0442 \u0441\u043c\u044b\u0441\u043b\u0430 \u0433\u043e\u0432\u043e\u0440\u0438\u0442\u044c \u043e \u043f\u043e\u043b\u043d\u043e\u043c \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u0438 security \u0440\u0438\u0441\u043a\u043e\u0432. \u041c\u044b \u0432 \u043f\u0440\u0438\u043d\u0446\u0438\u043f\u0435 \u043d\u0435 \u043c\u043e\u0436\u0435\u043c \u0441\u043d\u0438\u0437\u0438\u0442\u044c \u0438\u0445 \u0434\u043e \u043d\u0443\u043b\u044f. \u0422\u0430\u043a\u0436\u0435 \u043d\u0443\u0436\u043d\u043e \u043f\u043e\u043d\u0438\u043c\u0430\u0442\u044c, \u0447\u0442\u043e \u043f\u0440\u0438 \u0441\u0442\u0440\u0435\u043c\u043b\u0435\u043d\u0438\u0438 \u0441\u0434\u0435\u043b\u0430\u0442\u044c \u0441\u0435\u0442\u044c \u0431\u043e\u043b\u0435\u0435 \u0438 \u0431\u043e\u043b\u0435\u0435 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0439 \u043d\u0430\u0448\u0438 \u0440\u0435\u0448\u0435\u043d\u0438\u044f \u0441\u0442\u0430\u043d\u043e\u0432\u044f\u0442\u0441\u044f [&hellip;]<\/p>\n","protected":false,"gt_translate_keys":[{"key":"rendered","format":"html"}]},"author":1,"featured_media":23033,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[688],"tags":[],"class_list":["post-31058","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-administrirovanie"],"aioseo_notices":[],"aioseo_head":"\n\t\t<!-- All in One SEO 4.9.10 - aioseo.com -->\n\t<meta name=\"description\" content=\"\u042d\u0442\u0430 \u0441\u0442\u0430\u0442\u044c\u044f \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0442\u0440\u0435\u0442\u044c\u0435\u0439 \u0432 \u0446\u0438\u043a\u043b\u0435 \u0441\u0442\u0430\u0442\u0435\u0439 \u00ab\u041a\u0430\u043a \u0432\u0437\u044f\u0442\u044c \u0441\u0435\u0442\u0435\u0432\u0443\u044e \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 \u043f\u043e\u0434 \u0441\u0432\u043e\u0439 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044c\u00bb. \u0421\u043e\u0434\u0435\u0440\u0436\u0430\u043d\u0438\u0435 \u0432\u0441\u0435\u0445 \u0441\u0442\u0430\u0442\u0435\u0439 \u0446\u0438\u043a\u043b\u0430 \u0438 \u0441\u0441\u044b\u043b\u043a\u0438 \u043c\u043e\u0436\u043d\u043e \u043d\u0430\u0439\u0442\u0438 \u0437\u0434\u0435\u0441\u044c. \u041d\u0435\u0442 \u0441\u043c\u044b\u0441\u043b\u0430 \u0433\u043e\u0432\u043e\u0440\u0438\u0442\u044c \u043e \u043f\u043e\u043b\u043d\u043e\u043c \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u0438 security \u0440\u0438\u0441\u043a\u043e\u0432. \u041c\u044b \u0432 \u043f\u0440\u0438\u043d\u0446\u0438\u043f\u0435 \u043d\u0435 \u043c\u043e\u0436\u0435\u043c \u0441\u043d\u0438\u0437\u0438\u0442\u044c \u0438\u0445 \u0434\u043e \u043d\u0443\u043b\u044f. \u0422\u0430\u043a\u0436\u0435 \u043d\u0443\u0436\u043d\u043e \u043f\u043e\u043d\u0438\u043c\u0430\u0442\u044c, \u0447\u0442\u043e \u043f\u0440\u0438 \u0441\u0442\u0440\u0435\u043c\u043b\u0435\u043d\u0438\u0438 \u0441\u0434\u0435\u043b\u0430\u0442\u044c \u0441\u0435\u0442\u044c \u0431\u043e\u043b\u0435\u0435 \u0438 \u0431\u043e\u043b\u0435\u0435 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0439 \u043d\u0430\u0448\u0438 \u0440\u0435\u0448\u0435\u043d\u0438\u044f \u0441\u0442\u0430\u043d\u043e\u0432\u044f\u0442\u0441\u044f\" \/>\n\t<meta name=\"robots\" content=\"max-image-preview:large\" \/>\n\t<meta name=\"author\" content=\"Yuri Gagarin\"\/>\n\t<link rel=\"canonical\" href=\"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/kak-vzyat-setevuyu-infrastrukturu-pod-svoj-kontrol-glava-tretya-setevaya-bezopasnost-chast-pervaya\" \/>\n\t<meta name=\"generator\" content=\"All in One SEO (AIOSEO) 4.9.10\" \/>\n\t\t<meta property=\"og:locale\" content=\"de_DE\" \/>\n\t\t<meta property=\"og:site_name\" content=\"ProHoster | \u041a\u0443\u043f\u0438\u0442\u044c \u043d\u0430\u0434\u0435\u0436\u043d\u044b\u0439 \u0445\u043e\u0441\u0442\u0438\u043d\u0433 \u0434\u043b\u044f \u0441\u0430\u0439\u0442\u043e\u0432 \u0441 \u0437\u0430\u0449\u0438\u0442\u043e\u0439 \u043e\u0442 DDoS, VPS VDS \u0441\u0435\u0440\u0432\u0435\u0440\u044b\" \/>\n\t\t<meta property=\"og:type\" content=\"article\" \/>\n\t\t<meta property=\"og:title\" content=\"\ud83e\udd47\u041a\u0430\u043a \u0432\u0437\u044f\u0442\u044c \u0441\u0435\u0442\u0435\u0432\u0443\u044e \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 \u043f\u043e\u0434 \u0441\u0432\u043e\u0439 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044c. \u0413\u043b\u0430\u0432\u0430 \u0442\u0440\u0435\u0442\u044c\u044f. \u0421\u0435\u0442\u0435\u0432\u0430\u044f \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c. \u0427\u0430\u0441\u0442\u044c \u043f\u0435\u0440\u0432\u0430\u044f | ProHoster\" \/>\n\t\t<meta property=\"og:description\" content=\"\u042d\u0442\u0430 \u0441\u0442\u0430\u0442\u044c\u044f \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0442\u0440\u0435\u0442\u044c\u0435\u0439 \u0432 \u0446\u0438\u043a\u043b\u0435 \u0441\u0442\u0430\u0442\u0435\u0439 \u00ab\u041a\u0430\u043a \u0432\u0437\u044f\u0442\u044c \u0441\u0435\u0442\u0435\u0432\u0443\u044e \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 \u043f\u043e\u0434 \u0441\u0432\u043e\u0439 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044c\u00bb. \u0421\u043e\u0434\u0435\u0440\u0436\u0430\u043d\u0438\u0435 \u0432\u0441\u0435\u0445 \u0441\u0442\u0430\u0442\u0435\u0439 \u0446\u0438\u043a\u043b\u0430 \u0438 \u0441\u0441\u044b\u043b\u043a\u0438 \u043c\u043e\u0436\u043d\u043e \u043d\u0430\u0439\u0442\u0438 \u0437\u0434\u0435\u0441\u044c. \u041d\u0435\u0442 \u0441\u043c\u044b\u0441\u043b\u0430 \u0433\u043e\u0432\u043e\u0440\u0438\u0442\u044c \u043e \u043f\u043e\u043b\u043d\u043e\u043c \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u0438 security \u0440\u0438\u0441\u043a\u043e\u0432. \u041c\u044b \u0432 \u043f\u0440\u0438\u043d\u0446\u0438\u043f\u0435 \u043d\u0435 \u043c\u043e\u0436\u0435\u043c \u0441\u043d\u0438\u0437\u0438\u0442\u044c \u0438\u0445 \u0434\u043e \u043d\u0443\u043b\u044f. \u0422\u0430\u043a\u0436\u0435 \u043d\u0443\u0436\u043d\u043e \u043f\u043e\u043d\u0438\u043c\u0430\u0442\u044c, \u0447\u0442\u043e \u043f\u0440\u0438 \u0441\u0442\u0440\u0435\u043c\u043b\u0435\u043d\u0438\u0438 \u0441\u0434\u0435\u043b\u0430\u0442\u044c \u0441\u0435\u0442\u044c \u0431\u043e\u043b\u0435\u0435 \u0438 \u0431\u043e\u043b\u0435\u0435 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0439 \u043d\u0430\u0448\u0438 \u0440\u0435\u0448\u0435\u043d\u0438\u044f \u0441\u0442\u0430\u043d\u043e\u0432\u044f\u0442\u0441\u044f\" \/>\n\t\t<meta property=\"og:url\" content=\"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/kak-vzyat-setevuyu-infrastrukturu-pod-svoj-kontrol-glava-tretya-setevaya-bezopasnost-chast-pervaya\" \/>\n\t\t<meta property=\"og:image\" content=\"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg\" \/>\n\t\t<meta property=\"og:image:secure_url\" content=\"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg\" \/>\n\t\t<meta property=\"og:image:width\" content=\"350\" \/>\n\t\t<meta property=\"og:image:height\" content=\"350\" \/>\n\t\t<meta property=\"article:published_time\" content=\"2019-10-31T18:39:12+00:00\" \/>\n\t\t<meta property=\"article:modified_time\" content=\"2019-10-31T18:39:12+00:00\" \/>\n\t\t<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/prohoster\" \/>\n\t\t<meta property=\"article:author\" content=\"https:\/\/www.facebook.com\/prohoster\" \/>\n\t\t<!-- All in One SEO -->\n\n","aioseo_head_json":{"title":"\ud83e\udd47Wie Sie Ihre Netzwerk-Infrastruktur unter Kontrolle bringen. Kapitel drei. Netzwerksicherheit. Teil eins | ProHoster","description":"Dieser Artikel ist der dritte Teil der Artikelreihe \"Wie Sie Ihre Netzwerk-Infrastruktur unter Kontrolle bringen\". Eine \u00dcbersicht aller Beitr\u00e4ge und Links finden Sie hier. Es ist sinnvoll zu erw\u00e4hnen, dass ein vollst\u00e4ndiges Beseitigen von Sicherheitsrisiken nicht m\u00f6glich ist. Wir k\u00f6nnen sie grunds\u00e4tzlich nicht auf null reduzieren. Zudem ist zu verstehen, dass unsere L\u00f6sungen, bei dem Bestreben, das Netzwerk sicherer zu gestalten, immer komplexer werden.","canonical_url":"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/kak-vzyat-setevuyu-infrastrukturu-pod-svoj-kontrol-glava-tretya-setevaya-bezopasnost-chast-pervaya","robots":"max-image-preview:large","keywords":"","webmasterTools":{"miscellaneous":""},"schema":null,"og:locale":"de_DE","og:site_name":"ProHoster | \u041a\u0443\u043f\u0438\u0442\u044c \u043d\u0430\u0434\u0435\u0436\u043d\u044b\u0439 \u0445\u043e\u0441\u0442\u0438\u043d\u0433 \u0434\u043b\u044f \u0441\u0430\u0439\u0442\u043e\u0432 \u0441 \u0437\u0430\u0449\u0438\u0442\u043e\u0439 \u043e\u0442 DDoS, VPS VDS \u0441\u0435\u0440\u0432\u0435\u0440\u044b","og:type":"article","og:title":"\ud83e\udd47\u041a\u0430\u043a \u0432\u0437\u044f\u0442\u044c \u0441\u0435\u0442\u0435\u0432\u0443\u044e \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 \u043f\u043e\u0434 \u0441\u0432\u043e\u0439 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044c. \u0413\u043b\u0430\u0432\u0430 \u0442\u0440\u0435\u0442\u044c\u044f. \u0421\u0435\u0442\u0435\u0432\u0430\u044f \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c. \u0427\u0430\u0441\u0442\u044c \u043f\u0435\u0440\u0432\u0430\u044f | ProHoster","og:description":"\u042d\u0442\u0430 \u0441\u0442\u0430\u0442\u044c\u044f \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0442\u0440\u0435\u0442\u044c\u0435\u0439 \u0432 \u0446\u0438\u043a\u043b\u0435 \u0441\u0442\u0430\u0442\u0435\u0439 \u00ab\u041a\u0430\u043a \u0432\u0437\u044f\u0442\u044c \u0441\u0435\u0442\u0435\u0432\u0443\u044e \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 \u043f\u043e\u0434 \u0441\u0432\u043e\u0439 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044c\u00bb. \u0421\u043e\u0434\u0435\u0440\u0436\u0430\u043d\u0438\u0435 \u0432\u0441\u0435\u0445 \u0441\u0442\u0430\u0442\u0435\u0439 \u0446\u0438\u043a\u043b\u0430 \u0438 \u0441\u0441\u044b\u043b\u043a\u0438 \u043c\u043e\u0436\u043d\u043e \u043d\u0430\u0439\u0442\u0438 \u0437\u0434\u0435\u0441\u044c. \u041d\u0435\u0442 \u0441\u043c\u044b\u0441\u043b\u0430 \u0433\u043e\u0432\u043e\u0440\u0438\u0442\u044c \u043e \u043f\u043e\u043b\u043d\u043e\u043c \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u0438 security \u0440\u0438\u0441\u043a\u043e\u0432. \u041c\u044b \u0432 \u043f\u0440\u0438\u043d\u0446\u0438\u043f\u0435 \u043d\u0435 \u043c\u043e\u0436\u0435\u043c \u0441\u043d\u0438\u0437\u0438\u0442\u044c \u0438\u0445 \u0434\u043e \u043d\u0443\u043b\u044f. \u0422\u0430\u043a\u0436\u0435 \u043d\u0443\u0436\u043d\u043e \u043f\u043e\u043d\u0438\u043c\u0430\u0442\u044c, \u0447\u0442\u043e \u043f\u0440\u0438 \u0441\u0442\u0440\u0435\u043c\u043b\u0435\u043d\u0438\u0438 \u0441\u0434\u0435\u043b\u0430\u0442\u044c \u0441\u0435\u0442\u044c \u0431\u043e\u043b\u0435\u0435 \u0438 \u0431\u043e\u043b\u0435\u0435 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0439 \u043d\u0430\u0448\u0438 \u0440\u0435\u0448\u0435\u043d\u0438\u044f \u0441\u0442\u0430\u043d\u043e\u0432\u044f\u0442\u0441\u044f","og:url":"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/kak-vzyat-setevuyu-infrastrukturu-pod-svoj-kontrol-glava-tretya-setevaya-bezopasnost-chast-pervaya","og:image":"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg","og:image:secure_url":"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg","og:image:width":350,"og:image:height":350,"article:published_time":"2019-10-31T18:39:12+00:00","article:modified_time":"2019-10-31T18:39:12+00:00","article:publisher":"https:\/\/www.facebook.com\/prohoster","article:author":"https:\/\/www.facebook.com\/prohoster"},"aioseo_meta_data":{"post_id":"31058","title":null,"description":null,"keywords":null,"keyphrases":null,"primary_term":null,"canonical_url":null,"og_title":null,"og_description":null,"og_object_type":"default","og_image_type":"default","og_image_url":null,"og_image_width":null,"og_image_height":null,"og_image_custom_url":null,"og_image_custom_fields":null,"og_video":null,"og_custom_url":null,"og_article_section":null,"og_article_tags":null,"twitter_use_og":false,"twitter_card":"default","twitter_image_type":"default","twitter_image_url":null,"twitter_image_custom_url":null,"twitter_image_custom_fields":null,"twitter_title":null,"twitter_description":null,"schema":{"blockGraphs":[],"customGraphs":[],"default":{"data":{"Article":[],"Course":[],"Dataset":[],"FAQPage":[],"Movie":[],"Person":[],"Product":[],"ProductReview":[],"Car":[],"Recipe":[],"Service":[],"SoftwareApplication":[],"WebPage":[]},"graphName":"","isEnabled":true},"graphs":[]},"schema_type":null,"schema_type_options":null,"pillar_content":false,"robots_default":true,"robots_noindex":false,"robots_noarchive":false,"robots_nosnippet":false,"robots_nofollow":false,"robots_noimageindex":false,"robots_noodp":false,"robots_notranslate":false,"robots_max_snippet":null,"robots_max_videopreview":null,"robots_max_imagepreview":"large","priority":null,"frequency":null,"local_seo":null,"seo_analyzer_scan_date":"2026-01-21 04:20:20","breadcrumb_settings":null,"limit_modified_date":false,"reviewed_by":null,"ai":null,"created":"2021-03-01 03:24:14","updated":"2026-01-21 04:20:20"},"gt_translate_keys":[{"key":"link","format":"url"}],"_links":{"self":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts\/31058","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/comments?post=31058"}],"version-history":[{"count":0,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts\/31058\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/media\/23033"}],"wp:attachment":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/media?parent=31058"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/categories?post=31058"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/tags?post=31058"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}