{"id":31395,"date":"2019-10-31T21:41:01","date_gmt":"2019-10-31T18:41:01","guid":{"rendered":"https:\/\/prohoster.info\/blog\/kak-vzyat-setevuyu-infrastrukturu-pod-svoj-kontrol-glava-tretya-setevaya-bezopasnost-chast-tretya\/"},"modified":"2019-10-31T21:41:01","modified_gmt":"2019-10-31T18:41:01","slug":"kak-vzyat-setevuyu-infrastrukturu-pod-svoj-kontrol-glava-tretya-setevaya-bezopasnost-chast-tretya","status":"publish","type":"post","link":"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/kak-vzyat-setevuyu-infrastrukturu-pod-svoj-kontrol-glava-tretya-setevaya-bezopasnost-chast-tretya","title":{"rendered":"Wie Sie die Netzwerkinfrastruktur unter Kontrolle bringen. Kapitel drei. Netzwerksicherheit. Teil drei","gt_translate_keys":[{"key":"rendered","format":"text"}]},"content":{"rendered":"<p><i>Dieser Artikel ist der f\u00fcnfte Teil der Reihe \u00abSo behalten Sie die Kontrolle \u00fcber Ihre Netzwerkinfrastruktur\u00bb. Den Inhalt aller Artikel der Reihe sowie die Links finden Sie hier. <noindex><a rel=\"nofollow\" href=\"https:\/\/habr.com\/ru\/post\/447008\/\">hier<\/a><\/noindex><\/i>.<\/p>\n<p>Dieser Abschnitt behandelt die Segmente Campus (B\u00fcro) und Remote Access VPN. <\/p>\n<p><img decoding=\"async\" alt=\"Wie Sie die Netzwerkinfrastruktur unter Kontrolle bringen. Kapitel drei. Netzwerksicherheit. Teil drei\" src=\"\/wp-content\/uploads\/2019\/04\/c20ea5e670105b5bf9b655a97b82f62f.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\nAuf den ersten Blick k\u00f6nnte man denken, dass das Design eines B\u00fcronetzwerks einfach ist. <\/p>\n<p>In der Tat, wir nehmen L2\/L3-Switches, verbinden sie miteinander. Anschlie\u00dfend konfigurieren wir grundlegend VLANs, Standardgateways, richten einfaches Routing ein, verbinden WiFi-Controller und Access Points, installieren und konfigurieren ASA f\u00fcr den Remote-Zugang und freuen uns, dass alles funktioniert. Im Grunde genommen, wie ich bereits in einem der vorherigen Artikel dieses Zyklus erw\u00e4hnt habe, kann fast jeder Studierende, der zwei Semester Telekommunikationskurs besucht hat, ein B\u00fcronetzwerk so gestalten und einrichten, dass es \"irgendwie funktioniert\". <noindex><a rel=\"nofollow\" href=\"https:\/\/habr.com\/ru\/post\/434750\/\">Artikel<\/a><\/noindex> Aber je mehr Sie lernen, desto weniger einfach erscheint diese Aufgabe. F\u00fcr mich pers\u00f6nlich scheint das Thema Netzwerkdesign f\u00fcr B\u00fcros alles andere als einfach zu sein, und in diesem Artikel werde ich versuchen zu erkl\u00e4ren, warum.<\/p>\n<p>Doch je mehr Sie erfahren, desto weniger einfach erscheint Ihnen diese Aufgabe. F\u00fcr mich pers\u00f6nlich ist das Thema, das Design eines B\u00fcronetzwerks, keineswegs einfach, und in diesem Artikel werde ich versuchen zu erkl\u00e4ren, warum.<\/p>\n<p>Kurz gesagt, es gibt eine Vielzahl von Faktoren zu ber\u00fccksichtigen. Oft stehen diese Faktoren in Konflikt zueinander, weshalb man einen vern\u00fcnftigen Kompromiss suchen muss. <br \/>\nDiese Unsicherheit stellt die haupts\u00e4chliche Herausforderung dar. Im Hinblick auf Sicherheit haben wir ein Dreieck mit drei Eckpunkten: Sicherheit, Benutzerfreundlichkeit f\u00fcr die Mitarbeiter und Kosten der L\u00f6sung. <br \/>\nJedes Mal m\u00fcssen wir einen Kompromiss zwischen diesen dreien finden.<br \/>\n<noindex><a rel=\"nofollow\" name=\"habracut\"><\/a><\/noindex><\/p>\n<h2>Architektur von<\/h2>\n<p>\nAls Beispiel f\u00fcr die Architektur dieser beiden Segmente empfehle ich, wie in meinen vorherigen Artikeln, <noindex><a rel=\"nofollow\" href=\"https:\/\/www.cisco.com\/c\/en\/us\/td\/docs\/solutions\/Enterprise\/Security\/SAFE_RG\/SAFE_rg\/chap1.html\">Cisco SAFE<\/a><\/noindex> das Modell: <noindex><a rel=\"nofollow\" href=\"https:\/\/www.cisco.com\/c\/en\/us\/td\/docs\/solutions\/Enterprise\/Security\/SAFE_RG\/SAFE_rg\/chap5.html#wpxref51616\">Enterprise Campus<\/a><\/noindex>, <noindex><a rel=\"nofollow\" href=\"https:\/\/www.cisco.com\/c\/en\/us\/td\/docs\/solutions\/Enterprise\/Security\/SAFE_RG\/SAFE_rg\/chap6.html#wpxref74611\">Enterprise Internet Edge<\/a><\/noindex>.<\/p>\n<p>Dies sind etwas veraltete Dokumente. Ich f\u00fchre sie hier an, weil die grundlegenden Diagramme und Ans\u00e4tze unver\u00e4ndert geblieben sind, aber ich die Darstellungen ansprechender finde als in der <noindex><a rel=\"nofollow\" href=\"https:\/\/www.cisco.com\/c\/en\/us\/solutions\/enterprise\/design-zone-security\/landing_safe.html#~tab-architecture\">neuen Dokumentation.<\/a><\/noindex>.<\/p>\n<p>Ohne Sie einzuladen, ausschlie\u00dflich Cisco-L\u00f6sungen zu verwenden, halte ich es dennoch f\u00fcr n\u00fctzlich, dieses Design eingehend zu studieren. <\/p>\n<p>Dieser Artikel ist, wie gewohnt, keineswegs vollst\u00e4ndig, sondern eher eine Erg\u00e4nzung zu den dargestellten Informationen. <\/p>\n<p>Am Ende des Artikels werden wir das Cisco SAFE-Design f\u00fcr B\u00fcros hinsichtlich der hier dargestellten Konzepte analysieren.<\/p>\n<h2>Allgemeine Prinzipien<\/h2>\n<p>\nDas Design des B\u00fcros Netzwerks sollte selbstverst\u00e4ndlich die allgemeinen Anforderungen erf\u00fcllen, die besprochen wurden. <noindex><a rel=\"nofollow\" href=\"https:\/\/habr.com\/ru\/post\/434750\/\">hier<\/a><\/noindex> Zus\u00e4tzlich zu Kosten und Sicherheit, die wir in diesem Artikel er\u00f6rtern werden, gibt es drei weitere Kriterien, die wir beim Entwurf (oder bei \u00c4nderungen) ber\u00fccksichtigen m\u00fcssen:<\/p>\n<ul>\n<li>Skalierbarkeit<\/li>\n<li>Bedienbarkeit (managability)<\/li>\n<li>Verf\u00fcgbarkeit (availability)<\/li>\n<\/ul>\n<p>\nVieles davon, was f\u00fcr <noindex><a rel=\"nofollow\" href=\"https:\/\/habr.com\/ru\/post\/435138\/\">von Rechenzentren<\/a><\/noindex> diskutiert wurde, trifft ebenso auf das B\u00fcro zu. <\/p>\n<p>Dennoch hat der B\u00fcrosektor seine eigene Spezifit\u00e4t, die aus sicherheitstechnischer Sicht kritisch ist. Diese Spezifit\u00e4t besteht darin, dass dieser Sektor zur Bereitstellung von Netzwerkdiensten f\u00fcr Mitarbeiter (sowie Partner und G\u00e4ste) des Unternehmens geschaffen wird. Folglich haben wir auf h\u00f6chster Ebene zwei Aufgaben:<\/p>\n<ul>\n<li>die Ressourcen des Unternehmens vor sch\u00e4dlichen Handlungen zu sch\u00fctzen, die von Mitarbeitern (G\u00e4sten, Partnern) sowie von der Software, die sie verwenden, ausgehen k\u00f6nnen. Dazu geh\u00f6rt auch der Schutz vor unbefugtem Zugang zum Netzwerk. <\/li>\n<li>die Systeme und Daten der Benutzer selbst zu sch\u00fctzen.<\/li>\n<\/ul>\n<p>\nUnd das ist nur eine Seite des Problems (oder genauer gesagt, eine Spitze des Dreiecks). Auf der anderen Seite stehen Benutzerfreundlichkeit und die Kosten der eingesetzten L\u00f6sungen.<\/p>\n<p>Lassen Sie uns damit beginnen, was Benutzer von einem modernen B\u00fcronetzwerk erwarten. <\/p>\n<h2>Benutzerfreundlichkeit<\/h2>\n<p>\nSo sehe ich die \u201eNetzwerknutzerfreundlichkeit\u201c f\u00fcr B\u00fcromitarbeiter:<\/p>\n<ul>\n<li>Mobilit\u00e4t<\/li>\n<li>Die M\u00f6glichkeit, eine Vielzahl gewohnter Ger\u00e4te und Betriebssysteme nutzen zu k\u00f6nnen.<\/li>\n<li>Einfacher Zugang zu allen erforderlichen Unternehmensressourcen. <\/li>\n<li>Verf\u00fcgbarkeit von Internetressourcen, einschlie\u00dflich verschiedener Cloud-Services.<\/li>\n<li>\u201eSchnelle Netzwerkleistung\u201c<\/li>\n<\/ul>\n<p>\nAll dies gilt sowohl f\u00fcr Mitarbeiter als auch f\u00fcr G\u00e4ste (oder Partner), und es ist Aufgabe der Ingenieure des Unternehmens, auf der Grundlage von Authentifizierung den Zugriff f\u00fcr verschiedene Nutzergruppen zu differenzieren.<\/p>\n<p>Lassen Sie uns jeden dieser Aspekte etwas detaillierter betrachten.<\/p>\n<h3>Mobilit\u00e4t<\/h3>\n<p>\nEs geht darum, die M\u00f6glichkeit zu haben, von \u00fcberall auf der Welt (nat\u00fcrlich wo Internet verf\u00fcgbar ist) auf alle notwendigen Unternehmensressourcen zugreifen zu k\u00f6nnen.<\/p>\n<p>Dies gilt auch f\u00fcr das B\u00fcro. Es ist praktisch, wenn Sie von jedem Punkt im B\u00fcro aus weiterarbeiten k\u00f6nnen, zum Beispiel E-Mails abrufen, im Unternehmensmessenger kommunizieren oder f\u00fcr Videoanrufe erreichbar sind. So k\u00f6nnen Sie einerseits einige Fragen durch \"pers\u00f6nliche\" Kommunikation kl\u00e4ren (zum Beispiel an Meetings teilnehmen) und andererseits immer online sein, den Puls der Zeit halten und dringende, hochpriorisierte Aufgaben schnell l\u00f6sen. Das ist sehr praktisch und verbessert tats\u00e4chlich die Qualit\u00e4t der Kommunikation.<\/p>\n<p>Dies wird durch ein durchdachtes Design des WiFi-Netzwerks erreicht.<\/p>\n<blockquote><p><b>Hinweis<\/b><\/p>\n<p>Hier stellt sich oft die Frage, ob es ausreichend ist, nur WiFi zu verwenden. Bedeutet das, dass man auf Ethernet-Ports im B\u00fcro verzichten kann? Wenn es nur um Benutzer geht und nicht um Server, die sinnvollerweise \u00fcber einen herk\u00f6mmlichen Ethernet-Port angeschlossen werden sollten, lautet die allgemeine Antwort: Ja, man kann sich auf WiFi beschr\u00e4nken. Aber es gibt Nuancen.<\/p>\n<p>Es gibt wichtige Benutzergruppen, die einen besonderen Ansatz ben\u00f6tigen. Dazu geh\u00f6ren nat\u00fcrlich die Administratoren. Im Allgemeinen ist eine WiFi-Verbindung in Bezug auf Datenverlust weniger zuverl\u00e4ssig und bietet geringere Geschwindigkeiten als ein herk\u00f6mmlicher Ethernet-Port. Dies kann f\u00fcr Administratoren entscheidend sein. Zudem haben Netzwerkadministratoren m\u00f6glicherweise ein eigenes dediziertes Ethernet-Netzwerk f\u00fcr Out-of-Band-Verbindungen.<\/p>\n<p>M\u00f6glicherweise gibt es in Ihrem Unternehmen auch andere Gruppen oder Abteilungen, f\u00fcr die diese Faktoren ebenfalls wichtig sind.<\/p>\n<p>Ein weiterer wichtiger Punkt ist die Telefonie. Aus bestimmten Gr\u00fcnden m\u00f6chten Sie vielleicht kein Wireless VoIP nutzen und bevorzugen IP-Telefone mit einer herk\u00f6mmlichen Ethernet-Verbindung. <\/p>\n<p>In den Unternehmen, in denen ich t\u00e4tig war, gab es normalerweise sowohl WiFi- als auch Ethernet-Portm\u00f6glichkeiten.<\/p><\/blockquote>\n<p>\nEs w\u00e4re w\u00fcnschenswert, dass die Mobilit\u00e4t nicht nur auf das B\u00fcro beschr\u00e4nkt ist.<\/p>\n<p>Um die M\u00f6glichkeit zu gew\u00e4hrleisten, aus dem Homeoffice (oder jedem anderen Ort mit Internetzugang) zu arbeiten, wird eine VPN-Verbindung verwendet. Dabei ist es wichtig, dass die Mitarbeiter keinen Unterschied zwischen der Arbeit im Homeoffice und dem Remote-Arbeiten versp\u00fcren, was die gleichen Zugriffsrechte voraussetzt. Wie wir das organisieren k\u00f6nnen, werden wir sp\u00e4ter im Kapitel \u201eEingespielte zentrale Authentifizierungs- und Autorisierungssystem\u201c besprechen.<\/p>\n<blockquote><p><b>Hinweis<\/b><\/p>\n<p>Vermutlich wird es Ihnen nicht gelingen, die gleiche Qualit\u00e4t der Services f\u00fcr Remote-Arbeit bereitzustellen wie im B\u00fcro. Angenommen, Sie verwenden als VPN-Gateway die Cisco ASA 5520. Gem\u00e4\u00df <noindex><a rel=\"nofollow\" href=\"https:\/\/www.cisco.com\/c\/en\/us\/products\/security\/asa-5500-series-next-generation-firewalls\/data_sheet_c78-345385.html\">Datenblatt<\/a><\/noindex> Dieses Ger\u00e4t kann lediglich 225 Mbit VPN-Datenverkehr bew\u00e4ltigen. Das bedeutet, dass die VPN-Verbindung in Bezug auf die Bandbreite stark von der B\u00fcroarbeit abweicht. Sollte es aus irgendwelchen Gr\u00fcnden zu Verz\u00f6gerungen, Paketverlusten oder Jitter kommen (zum Beispiel, wenn Sie die B\u00fcro-IP-Telefonie nutzen m\u00f6chten), wird die Qualit\u00e4t nicht die gleiche sein, als w\u00e4ren Sie im B\u00fcro. Daher sollten wir, wenn wir \u00fcber Mobilit\u00e4t sprechen, m\u00f6gliche Einschr\u00e4nkungen im Hinterkopf behalten.<\/p><\/blockquote>\n<p><\/p>\n<h3>Einfacher Zugang zu allen Unternehmensressourcen<\/h3>\n<p>\nDiese Aufgabe sollte gemeinsam mit anderen technischen Abteilungen angegangen werden.<br \/>\nDie ideale Situation besteht darin, dass sich der Benutzer nur einmal authentifizieren muss und danach Zugang zu allen erforderlichen Ressourcen erh\u00e4lt.<br \/>\nDie Bereitstellung eines einfachen Zugangs ohne Kompromisse bei der Sicherheit kann die Arbeitseffizienz erheblich steigern und den Stresslevel Ihrer Kollegen senken.<\/p>\n<blockquote><p><b>Hinweis 1<\/b><\/p>\n<p>Zug\u00e4nglichkeit bedeutet nicht nur, wie oft Sie Ihr Passwort eingeben m\u00fcssen. Wenn Sie beispielsweise gem\u00e4\u00df Ihrer Sicherheitsrichtlinie zuerst eine Verbindung zu einem VPN-Gateway herstellen m\u00fcssen, um von Ihrem B\u00fcro aus auf das Rechenzentrum zuzugreifen, und dabei den Zugriff auf B\u00fcrosysteme verlieren, ist das \u00e4u\u00dferst unpraktisch.\n<\/p><\/blockquote>\n<blockquote><p><b>Hinweis 2<\/b><\/p>\n<p>Es gibt Dienste (zum Beispiel der Zugriff auf Netzwerkausr\u00fcstung), bei denen wir in der Regel unsere eigenen dedizierten AAA-Server haben. In diesen F\u00e4llen ist es normal, sich mehrfach authentifizieren zu m\u00fcssen.\n<\/p><\/blockquote>\n<p><\/p>\n<h3>Verf\u00fcgbarkeit von Internetressourcen<\/h3>\n<p>\nDas Internet ist nicht nur eine Quelle der Unterhaltung, sondern auch ein Satz von Diensten, die f\u00fcr die Arbeit \u00e4u\u00dferst n\u00fctzlich sein k\u00f6nnen. Dazu kommen psychologische Faktoren. Der moderne Mensch ist durch viele virtuelle F\u00e4den mit anderen Menschen verbunden, und ich finde es nicht schlecht, wenn er diese Verbindung auch w\u00e4hrend der Arbeit aufrechterhalten kann.<\/p>\n<p>Aus der Sicht des Zeitverlusts ist es nicht schlimm, wenn ein Mitarbeiter beispielsweise Skype ge\u00f6ffnet hat und sich bei Bedarf 5 Minuten Zeit f\u00fcr ein Gespr\u00e4ch mit einer nahestehenden Person nimmt.<\/p>\n<p>Bedeutet dies, dass das Internet immer zug\u00e4nglich sein muss, und dass Mitarbeiter unkontrollierten Zugang zu allen Ressourcen haben sollten?<\/p>\n<p>Nein, das bedeutet es selbstverst\u00e4ndlich nicht. Der Grad der Offenheit des Internets kann f\u00fcr verschiedene Unternehmen unterschiedlich sein \u2013 von kompletter Geschlossenheit bis hin zu kompletter Offenheit. Die Methoden zur Kontrolle des Datenverkehrs werden wir sp\u00e4ter in den Abschnitten \u00fcber Sicherheitsl\u00f6sungen besprechen. <\/p>\n<h3>Die M\u00f6glichkeit, mit s\u00e4mtlichen gewohnten Ger\u00e4ten zu arbeiten<\/h3>\n<p>\nEs ist praktisch, wenn Sie beispielsweise weiterhin alle Ihnen vertrauten Kommunikationsmittel auch im B\u00fcro nutzen k\u00f6nnen. Technisch ist es nicht schwierig, dies umzusetzen. Daf\u00fcr sind WiFi und ein Gast-VLAN erforderlich.<\/p>\n<p>Au\u00dferdem ist es vorteilhaft, wenn Sie das Betriebssystem verwenden k\u00f6nnen, an das Sie gew\u00f6hnt sind. Aber meiner Beobachtung nach ist dies normalerweise nur Managern, Administratoren und Entwicklern erlaubt. <\/p>\n<blockquote><p><b>Beispiel<\/b><\/p>\n<p>Es ist nat\u00fcrlich m\u00f6glich, den Weg der Verbote zu gehen: den Remote-Zugriff zu verbieten, Verbindungen von mobilen Ger\u00e4ten auszuschlie\u00dfen, alles auf statische Ethernet-Verbindungen zu beschr\u00e4nken, den Internetzugang zu verwehren und zwingend Handys und Gadgets am Eingang zu konfiszieren... einige Organisationen mit erh\u00f6hten Sicherheitsanforderungen verfolgen tats\u00e4chlich diesen Ansatz, und in einigen F\u00e4llen mag das auch gerechtfertigt sein. Aber... seien wir ehrlich, das sieht eher nach einem Versuch aus, den Fortschritt in einer Organisation zu stoppen. Nat\u00fcrlich w\u00e4re es w\u00fcnschenswert, die M\u00f6glichkeiten, die moderne Technologien bieten, mit einem angemessenen Sicherheitsniveau zu kombinieren.<\/p><\/blockquote>\n<p><\/p>\n<h3>\u201eSchnelle Netzwerkleistung\u201c<\/h3>\n<p>\nDie Daten\u00fcbertragungsgeschwindigkeit wird durch viele Faktoren beeinflusst. Dabei ist die Geschwindigkeit Ihres Anschlussports in der Regel nicht der entscheidende Faktor. Langsame Anwendungsleistung muss nicht immer mit Netzwerkproblemen zusammenh\u00e4ngen, aber hier konzentrieren wir uns auf den Netzwerkbereich. Das h\u00e4ufigste Problem der \u201eVerlangsamung\u201c eines lokalen Netzwerks ist der Paketverlust. Dies tritt typischerweise aufgrund eines Engpasses oder bei L1 (OSI) Problemen auf. Seltener, bei bestimmten Konfigurationen (zum Beispiel wenn Standardgateways in Ihren Subnetzen durch eine Firewall bereitgestellt werden und somit der gesamte Datenverkehr \u00fcber diese l\u00e4uft), kann die Leistung der Hardware unzureichend sein. <\/p>\n<p>Daher m\u00fcssen Sie bei der Auswahl von Hardware und Architektur die Geschwindigkeiten der Endports, Trunks und die Leistung der Hardware ber\u00fccksichtigen.<\/p>\n<blockquote><p><b>Beispiel<\/b><\/p>\n<p>Angenommen, Sie verwenden 1-Gigabit-Ports als Zugangsswitches. Diese sind \u00fcber Etherchannel mit 2 x 10 Gigabit miteinander verbunden. Als Standardgateway nutzen Sie eine Firewall mit Gigabit-Ports, die \u00fcber zwei Gigabit-Ports, die im Etherchannel zusammengefasst sind, mit dem L2-Netzwerk des B\u00fcros verbunden ist. <\/p>\n<p>Diese Architektur ist funktional sehr praktisch, da der gesamte Traffic \u00fcber die Firewall l\u00e4uft und Sie die Zugriffspolitiken einfach verwalten sowie komplexe Traffic-Kontrollalgorithmen und potenzielle Angriffe verhindern k\u00f6nnen (siehe unten). Allerdings gibt es hinsichtlich der Bandbreite und Leistung potenzielle Probleme mit diesem Design. Wenn beispielsweise zwei Hosts Daten mit 1-Gigabit-Portgeschwindigkeit herunterladen, k\u00f6nnen sie die 2-Gigabit-Verbindung zur Firewall vollst\u00e4ndig auslasten, was zu einer Verschlechterung des Services f\u00fcr den gesamten B\u00fcrobereich f\u00fchren kann.<\/p><\/blockquote>\n<p>\nWir haben nun eine Ecke des Dreiecks betrachtet. Lassen Sie uns nun untersuchen, welche Ma\u00dfnahmen wir ergreifen k\u00f6nnen, um Sicherheit zu gew\u00e4hrleisten.<\/p>\n<h2>Schutzma\u00dfnahmen<\/h2>\n<p>\nUnser Ziel ist es, das Unm\u00f6gliche zu erreichen: den maximalen Komfort bei maximaler Sicherheit zu minimalen Kosten.<\/p>\n<p>Schauen wir uns an, welche Methoden wir f\u00fcr den Schutz anbieten k\u00f6nnen.<\/p>\n<p>F\u00fcr das B\u00fcro w\u00fcrde ich Folgendes hervorheben:<\/p>\n<ul>\n<li>Zero Trust-Ansatz im Design<\/li>\n<li>hohes Schutzniveau <\/li>\n<li>Netzwerktransparenz<\/li>\n<li>einiges zentrales Authentifizierungs- und Autorisierungssystem<\/li>\n<li>Host-\u00dcberpr\u00fcfung <\/li>\n<\/ul>\n<p>\nNun m\u00f6chten wir n\u00e4her auf jeden dieser Aspekte eingehen.<\/p>\n<h3>Zero Trust<\/h3>\n<p>\nDie IT-Welt ver\u00e4ndert sich rasant. In den letzten zehn Jahren haben neue Technologien und Produkte zu einem grundlegenden Umdenken in Sicherheitskonzepten gef\u00fchrt. Vor einem Jahrzehnt segmentierten wir Netzwerke in vertrauensw\u00fcrdige, DMZ- und untrusted Zonen und verwendeten die sogenannte \"Perimetersicherheit\", die \u00fcber zwei Verteidigungslinien verf\u00fcgte: untrusted \u2192 DMZ und DMZ \u2192 vertrauensw\u00fcrdig. Der Schutz beschr\u00e4nkte sich \u00fcblicherweise auf Zugriffslisten basierend auf L3\/L4 (OSI) Headern (IP, TCP\/UDP-Ports, TCP-Flags). H\u00f6here Schichten, einschlie\u00dflich L7, wurden den Betriebssystemen und Sicherheitsprodukten \u00fcberlassen, die auf den Endger\u00e4ten installiert waren.<\/p>\n<p>Heute hat sich die Situation grundlegend ver\u00e4ndert. Das moderne Konzept <noindex><a rel=\"nofollow\" href=\"https:\/\/doubleoctopus.com\/security-wiki\/network-architecture\/zero-trust\/\">Zero Trust<\/a><\/noindex> geht davon aus, dass es nicht mehr m\u00f6glich ist, interne Systeme, also solche innerhalb des Perimeters, als vertrauensw\u00fcrdig zu betrachten, und das Konzept des Perimeters selbst ist ebenfalls verschwommen geworden.<br \/>\nNeben der Internetanbindung verf\u00fcgen wir auch \u00fcber<\/p>\n<ul>\n<li>Remote Access VPN f\u00fcr Benutzer,<\/li>\n<li>verschiedene pers\u00f6nliche Ger\u00e4te, mitgebrachte Laptops, die \u00fcber das B\u00fcro-WiFi verbunden sind,<\/li>\n<li>andere (Branch-) B\u00fcros,<\/li>\n<li>die Integration in die Cloud-Infrastruktur. <\/li>\n<\/ul>\n<p>\nWie sieht der Zero Trust-Ansatz in der Praxis aus?<\/p>\n<p>Idealerweise sollte nur der Verkehr erlaubt sein, der tats\u00e4chlich ben\u00f6tigt wird, und wenn wir schon von Idealen sprechen, sollte die Kontrolle nicht nur auf der Ebene L3\/L4, sondern auch auf Anwendungsebene erfolgen. <\/p>\n<p>Wenn Sie beispielsweise die M\u00f6glichkeit haben, den gesamten Verkehr \u00fcber eine Firewall zu leiten, k\u00f6nnen Sie sich dem Ideal n\u00e4hern. Doch ein solcher Ansatz kann die Gesamtdatenrate Ihres Netzwerks erheblich verringern, und zudem funktioniert die Filterung auf Anwendungsebene nicht immer optimal.<\/p>\n<p>Bei der Kontrolle des Verkehrs auf dem Router oder L3-Switch (Verwendung von Standard-ACLs) sto\u00dfen Sie auf andere Probleme:<\/p>\n<ul>\n<li>Es handelt sich nur um L3\/L4-Filterung. Nichts hindert einen Angreifer daran, erlaubte Ports (z.B. TCP 80) f\u00fcr seine Anwendung (nicht http) zu verwenden.<\/li>\n<li>Komplexes ACL-Management (schwierig zu analysierende ACLs).<\/li>\n<li>Es handelt sich nicht um eine stateful Firewall, das hei\u00dft, Sie m\u00fcssen den r\u00fcckl\u00e4ufigen Verkehr explizit erlauben.<\/li>\n<li>Bei Switches sind Sie in der Regel stark durch die Gr\u00f6\u00dfe des TCAM eingeschr\u00e4nkt, was bei der Anwendung des Ansatzes 'nur das Erlauben, was notwendig ist' schnell problematisch werden kann.<\/li>\n<\/ul>\n<p><\/p>\n<blockquote><p><b>Hinweis<\/b><\/p>\n<p>Wenn wir \u00fcber r\u00fcckl\u00e4ufigen Verkehr sprechen, sollten wir uns auch der folgenden M\u00f6glichkeit (Cisco) bewusst sein. <\/p>\n<p>permit tcp any any established<\/p>\n<p>Es ist jedoch wichtig zu verstehen, dass diese Zeile zwei Zeilen entspricht:<br \/>\npermit tcp any any ack<br \/>\npermit tcp any any rst<\/p>\n<p>Das bedeutet, dass dieser ACL auch dann Pakete mit dem ACK-Flag zul\u00e4sst, wenn kein urspr\u00fcngliches TCP-Segment mit dem SYN-Flag vorlag (d.h. die TCP-Sitzung wurde nicht einmal initialisiert), was von einem Angreifer ausgenutzt werden kann, um Daten zu \u00fcbertragen.<\/p>\n<p>Diese Zeile macht Ihren Router oder L3-Switch also keineswegs zu einer stateful Firewall.<\/p><\/blockquote>\n<p><\/p>\n<h3>Hoher Sicherheitsstandard.<\/h3>\n<p>\nIn <noindex><a rel=\"nofollow\" href=\"https:\/\/habr.com\/ru\/post\/435138\/\">Artikel<\/a><\/noindex> Im Abschnitt \u00fcber Rechenzentren haben wir die folgenden Schutzmethoden betrachtet.<\/p>\n<ul>\n<li>stateful Firewalling (standardm\u00e4\u00dfig)<\/li>\n<li>ddos\/dos protection<\/li>\n<li>Anwendungsfirewalling<\/li>\n<li>Bedrohungspr\u00e4vention (Antivirus, Anti-Spyware und Schwachstellenmanagement)<\/li>\n<li>URL-Filterung<\/li>\n<li>Datenfilterung (Inhaltsfilterung)<\/li>\n<li>Datei-Blockierung (Blockierung von Dateitypen)<\/li>\n<\/ul>\n<p>\nIm B\u00fcro ist die Situation \u00e4hnlich, aber die Priorit\u00e4ten sind etwas anders. Die Verf\u00fcgbarkeit des B\u00fcros ist in der Regel nicht so kritisch wie im Fall eines Rechenzentrums, w\u00e4hrend die Wahrscheinlichkeit von 'internem' sch\u00e4dlichen Traffic um ein Vielfaches h\u00f6her ist. <br \/>\nDaher werden die folgenden Schutzmethoden f\u00fcr diesen Bereich entscheidend:<\/p>\n<ul>\n<li>Anwendungsfirewalling<\/li>\n<li>threat prevention (Anti-Virus, Anti-Spyware und Vulnerability)<\/li>\n<li>URL-Filterung<\/li>\n<li>Datenfilterung (Inhaltsfilterung)<\/li>\n<li>Datei-Blockierung (Blockierung von Dateitypen)<\/li>\n<\/ul>\n<p>\nObwohl all diese Schutzmethoden, abgesehen von der Application-Firewalling, traditionell auf den Endger\u00e4ten (z. B. durch Installation von Antivirenprogrammen) und \u00fcber Proxys umgesetzt wurden und weiterhin werden, bieten moderne NGFW auch diese Dienste an. <\/p>\n<p>Hersteller von Sicherheitsausr\u00fcstung streben nach einem umfassenden Schutz. Daher werden neben lokalen L\u00f6sungen auch verschiedene Cloud-Technologien und Client-Software f\u00fcr Hosts (End Point Protection\/EPP) angeboten. So sehen wir zum Beispiel, dass <noindex><a rel=\"nofollow\" href=\"https:\/\/www.fairline.com.tw\/data\/editor\/files\/01%20%20Gartner%20-%20Magic%20Quad%20-%20Endpoint%20Protection%20Platforms%201-2018.pdf\">der Magic Quadrant von Gartner f\u00fcr 2018<\/a><\/noindex> zeigt, dass Palo Alto und Cisco ihre eigenen EPP L\u00f6sungen haben (PA: Traps, Cisco: AMP), jedoch nicht zu den f\u00fchrenden Anbietern geh\u00f6ren.<\/p>\n<p>Das Aktivieren dieser Schutzma\u00dfnahmen (in der Regel durch den Erwerb von Lizenzen) auf der Firewall ist zwar nicht zwingend erforderlich (Sie k\u00f6nnen den traditionellen Weg gehen), bietet aber einige Vorteile:<\/p>\n<ul>\n<li>In diesem Fall entsteht ein einheitlicher Anwendungsbereich f\u00fcr Schutzmethoden, was die Sichtbarkeit verbessert (siehe n\u00e4chstes Thema). <\/li>\n<li>Wenn in Ihrem Netzwerk ein ungesch\u00fctztes Ger\u00e4t vorhanden ist, f\u00e4llt es dennoch unter den \"Schutzschirm\" der Firewall.<\/li>\n<li> Durch die Kombination von Schutzma\u00dfnahmen an der Firewall und an den Endger\u00e4ten erh\u00f6hen wir die Wahrscheinlichkeit, sch\u00e4dlichen Verkehr zu erkennen. Beispielsweise steigert die Nutzung von Bedrohungsverh\u00fctung an lokalen Hosts und an der Firewall die Erkennungswahrscheinlichkeit (vorausgesetzt, dass diesen L\u00f6sungen unterschiedliche Softwareprodukte zugrunde liegen).<\/li>\n<\/ul>\n<blockquote><p><b>Hinweis<\/b><\/p>\n<p>Wenn Sie beispielsweise Kaspersky sowohl als Antivirensoftware auf Ihrer Firewall als auch auf den Endger\u00e4ten verwenden, wird dies Ihre Chancen, einen Virenangriff in Ihrem Netzwerk zu verhindern, nicht erheblich steigern.<\/p><\/blockquote>\n<p><\/p>\n<h3>Netzwerktransparenz<\/h3>\n<p>\n<noindex><a rel=\"nofollow\" href=\"https:\/\/blog.gigamon.com\/2017\/11\/01\/what-is-network-visibility\/\">Die Grundidee<\/a><\/noindex> bedeutet schlichtweg, dass Sie sehen, was in Ihrem Netzwerk passiert, sowohl in Echtzeit als auch historische Daten. <\/p>\n<p>Ich w\u00fcrde diese \u00abSichtbarkeit\u00bb in zwei Gruppen unterteilen:<\/p>\n<p><b>Gruppe eins:<\/b> das, was normalerweise von Ihrem Monitoringsystem bereitgestellt wird.<\/p>\n<ul>\n<li>Auslastung der Hardware<\/li>\n<li>Auslastung der Bandbreite<\/li>\n<li>Speichernutzung<\/li>\n<li>Festplattennutzung<\/li>\n<li>\u00c4nderungen in der Routing-Tabelle <\/li>\n<li>Link-Status<\/li>\n<li>Verf\u00fcgbarkeit der Hardware (oder Hosts)<\/li>\n<li>\u2026<\/li>\n<\/ul>\n<p><b>Gruppe zwei: <\/b>Sicherheitsbezogene Informationen.<\/p>\n<ul>\n<li>verschiedene Statistiken (z.B. \u00fcber Anwendungen, Webbesuche, welche Daten heruntergeladen wurden, Informationen zu Benutzern)<\/li>\n<li>was durch Sicherheitsrichtlinien blockiert wurde und aus welchem Grund, n\u00e4mlich\n<ul>\n<li>verbotene Anwendung<\/li>\n<li>blockiert basierend auf IP\/Protokoll\/Port\/Flags\/Zonen<\/li>\n<li>Bedrohungsverhinderung<\/li>\n<li>URL-Filterung<\/li>\n<li>Datenfilterung<\/li>\n<li>Dateiblockierung<\/li>\n<li>\u2026<\/li>\n<\/ul>\n<\/li>\n<li>Statistiken zu DOS\/DDOS-Angriffen<\/li>\n<li>fehlgeschlagene Identifizierungs- und Autorisierungsversuche<\/li>\n<li>Statistiken zu allen oben genannten Ereignissen von Sicherheitsrichtlinienverletzungen<\/li>\n<li>\u2026<\/li>\n<\/ul>\n<p>\nIn diesem Abschnitt \u00fcber Sicherheit interessiert uns insbesondere der zweite Teil.<\/p>\n<p>Einige moderne Firewalls (aus meiner Erfahrung Palo Alto) bieten ein gutes Ma\u00df an Sichtbarkeit. Der Verkehr, der Sie interessiert, muss jedoch durch diese Firewall geleitet werden (in diesem Fall haben Sie die M\u00f6glichkeit, den Verkehr zu blockieren) oder wird zur Firewall gespiegelt (nur zur \u00dcberwachung und Analyse verwendet), und Sie m\u00fcssen Lizenzen besitzen, die es erm\u00f6glichen, all diese Dienste zu aktivieren.<\/p>\n<p>Es gibt nat\u00fcrlich auch einen alternativen Ansatz, genauer gesagt den traditionellen Weg, zum Beispiel<\/p>\n<ul>\n<li>die Sitzungsstatistik kann \u00fcber NetFlow gesammelt werden, und anschlie\u00dfend k\u00f6nnen spezielle Tools zur Analyse der Informationen und zur Visualisierung der Daten verwendet werden.<\/li>\n<li>Bedrohungsverhinderung \u2013 spezielle Programme (Antivirus, Antispyware, Firewall) auf den Endger\u00e4ten.<\/li>\n<li>URL-Filterung, Datenfilterung, Dateisperrung \u2013 \u00fcber Proxy.<\/li>\n<li>Sie k\u00f6nnen auch tcpdump analysieren, zum Beispiel mit <noindex><a rel=\"nofollow\" href=\"https:\/\/habr.com\/ru\/company\/cisco\/blog\/268207\/\">Snort.<\/a><\/noindex><\/li>\n<\/ul>\n<p>\nSie k\u00f6nnen diese beiden Ans\u00e4tze kombinieren, indem Sie fehlende Funktionen erg\u00e4nzen oder sie zur Erh\u00f6hung der Wahrscheinlichkeit einer Angriffserkennung duplizieren.<\/p>\n<p>Welchen Ansatz sollten Sie w\u00e4hlen?<br \/>\nEs h\u00e4ngt stark von den F\u00e4higkeiten und Pr\u00e4ferenzen Ihres Teams ab.<br \/>\nBeide haben Vor- und Nachteile.<\/p>\n<h3>Ein zentrales System zur Authentifizierung und Autorisierung<br \/>\n<\/h3>\n<p>\nBei einem guten Design bedeutet die Mobilit\u00e4t, die wir in diesem Artikel besprochen haben, dass Sie von jedem Ort aus, sei es im B\u00fcro, zu Hause, am Flughafen, in einem Caf\u00e9 oder an einem anderen Ort (mit den oben besprochenen Einschr\u00e4nkungen), \u00fcber die gleichen Zugriffe verf\u00fcgen. Was k\u00f6nnte daran problematisch sein? <br \/>\nUm die Komplexit\u00e4t dieser Aufgabe besser zu verstehen, lassen Sie uns ein typisches Design betrachten.<\/p>\n<blockquote><p><b>Beispiel<\/b><\/p>\n<ul>\n<li>Sie haben alle Mitarbeiter in Gruppen aufgeteilt. Sie haben entschieden, den Zugriff nach Gruppen zu gew\u00e4hren.<\/li>\n<li>Innerhalb des B\u00fcros kontrollieren Sie die Zugriffe \u00fcber die B\u00fcro-Firewall.<\/li>\n<li>Den Verkehr vom B\u00fcro zum Rechenzentrum \u00fcberwachen Sie \u00fcber die Firewall des Rechenzentrums.<\/li>\n<li>Als VPN-Gateway verwenden Sie Cisco ASA und zur Kontrolle des Verkehrs, der von den zugewiesenen Kunden in Ihr Netzwerk gelangt, setzen Sie lokale (auf der ASA) ACL ein.<\/li>\n<\/ul>\n<p>\nJetzt stellen Sie sich vor, Sie werden gebeten, bestimmten Mitarbeitern zus\u00e4tzliche Zugriffe zu gew\u00e4hren. Dabei sollen diese Zug\u00e4nge nur f\u00fcr ihn und nicht f\u00fcr niemanden aus seiner Gruppe gew\u00e4hrt werden.<\/p>\n<p>Daf\u00fcr m\u00fcssen wir eine separate Gruppe f\u00fcr diesen Mitarbeiter erstellen, das hei\u00dft<\/p>\n<ul>\n<li>einen separaten IP-Pool auf der ASA f\u00fcr diesen Mitarbeiter einrichten<\/li>\n<li>eine neue ACL auf der ASA hinzuf\u00fcgen und sie an diesen Remote-Client binden<\/li>\n<li>neue Sicherheitsrichtlinien auf den Firewall-Systemen im B\u00fcro und im Rechenzentrum erstellen<\/li>\n<\/ul>\n<p>\nDas ist in Ordnung, wenn dieses Ereignis selten ist. Aber in meiner Erfahrung gab es Situationen, in denen Mitarbeiter an verschiedenen Projekten teilnahmen, und dieser Satz von Projekten sich f\u00fcr einige von ihnen recht h\u00e4ufig \u00e4nderte. Es waren nicht nur 1-2 Personen, sondern Dutzende. Nat\u00fcrlich musste hier etwas ver\u00e4ndert werden.<\/p>\n<p>Das wurde auf folgende Weise gel\u00f6st.<\/p>\n<p>Wir haben beschlossen, dass die einzige vertrauensw\u00fcrdige Quelle, die alle m\u00f6glichen Zug\u00e4nge eines Mitarbeiters bestimmt, LDAP sein wird. Wir haben s\u00e4mtliche Gruppen erstellt, die Zugangss\u00e4tze definieren, und jeden Benutzer haben wir einer oder mehreren Gruppen zugeordnet. <\/p>\n<p>Nehmen wir zum Beispiel an, dass es folgende Gruppen gab <\/p>\n<ul>\n<li>guest (Zugang zum Internet)<\/li>\n<li>common access (Zug\u00e4nge zu gemeinsamen Ressourcen: E-Mail, Wissensdatenbank, \u2026)<\/li>\n<li>accounting<\/li>\n<li>project 1<\/li>\n<li>project 2<\/li>\n<li>Datenbankadministrator<\/li>\n<li>Linux-Administrator<\/li>\n<li>\u2026<\/li>\n<\/ul>\n<p>\nWenn ein Mitarbeiter sowohl in Projekt 1 als auch in Projekt 2 t\u00e4tig war und die erforderlichen Zugriffe f\u00fcr die Arbeit in diesen Projekten ben\u00f6tigte, wurde dieser Mitarbeiter den entsprechenden Gruppen zugeordnet:<\/p>\n<ul>\n<li>guest <\/li>\n<li>allgemeiner Zugang<\/li>\n<li>project 1<\/li>\n<li>project 2<\/li>\n<\/ul>\n<p>\nWie k\u00f6nnen wir diese Informationen nun in Zugriffe auf das Netzwerkger\u00e4t umwandeln? <\/p>\n<p>Die Cisco ASA Dynamic Access Policy (DAP) (siehe <noindex><a rel=\"nofollow\" href=\"https:\/\/www.cisco.com\/c\/en\/us\/support\/docs\/security\/asa-5500-x-series-next-generation-firewalls\/108000-dap-deploy-guide.html\">www.cisco.com\/c\/en\/us\/support\/docs\/security\/asa-5500-x-series-next-generation-firewalls\/108000-dap-deploy-guide.html<\/a><\/noindex>) ist genau die richtige L\u00f6sung f\u00fcr diese Aufgabe.<\/p>\n<p>Kurz gesagt, bei unserer Implementierung erh\u00e4lt die ASA im Identifikations-\/Autorisierungsprozess von LDAP eine Menge Gruppen, die dem jeweiligen Benutzer entsprechen, und 'stellt' aus mehreren lokalen ACLs (jede entspricht einer Gruppe) eine dynamische ACL mit allen erforderlichen Zugriffsrechten zusammen, was unseren Anforderungen vollst\u00e4ndig entspricht.<\/p>\n<p>Dies gilt jedoch nur f\u00fcr VPN-Verbindungen. Um die Situation sowohl f\u00fcr Mitarbeiter, die \u00fcber VPN verbunden sind, als auch f\u00fcr diejenigen im B\u00fcro einheitlich zu gestalten, wurde folgender Schritt unternommen. <\/p>\n<p>Beim Anschluss aus dem B\u00fcro gelangten die Benutzer \u00fcber das 802.1x-Protokoll entweder in das G\u00e4ste-VLAN (f\u00fcr G\u00e4ste) oder in das VLAN mit gemeinsamen Zug\u00e4ngen (f\u00fcr Mitarbeiter des Unternehmens). Um spezifische Zugriffe (z.B. auf Projekte im Rechenzentrum) zu erhalten, mussten die Mitarbeiter eine VPN-Verbindung herstellen.<\/p>\n<p>F\u00fcr die Verbindung aus dem B\u00fcro und von zu Hause wurden unterschiedliche Tunnelgruppen auf der ASA verwendet. Dies ist notwendig, damit der Traffic der Anschlussnehmer aus dem B\u00fcro zu den gemeinsamen Ressourcen (die von allen Mitarbeitern genutzt werden, wie E-Mail, Dateiserver, Ticketsystem, DNS, \u2026) nicht \u00fcber die ASA, sondern \u00fcber das lokale Netzwerk l\u00e4uft. So haben wir die ASA nicht mit zus\u00e4tzlichem, auch hochintensivem Traffic belastet.<\/p>\n<p>Somit war die Aufgabe gel\u00f6st. <br \/>\nWir erhielten <\/p>\n<ul>\n<li>denselben Zugriffssatz, sowohl f\u00fcr Verbindungen aus dem B\u00fcro als auch f\u00fcr Remote-Zug\u00e4nge.<\/li>\n<li>das Fehlen einer Serviceverschlechterung bei der Arbeit aus dem B\u00fcro, die mit der \u00dcbertragung hochintensiven Datenverkehrs \u00fcber die ASA verbunden ist.<\/li>\n<\/ul>\n<p>\nWas ist ein weiteres Vorteil dieses Ansatzes?<br \/>\nIn der Verwaltung der Zugriffe. Zugriffe k\u00f6nnen an einem zentralen Ort schnell ge\u00e4ndert werden.<br \/>\nBeispielsweise, wenn ein Mitarbeiter das Unternehmen verl\u00e4sst, entfernen Sie ihn einfach aus dem LDAP, und er verliert automatisch alle Zugriffsrechte.\n<\/p><\/blockquote>\n<p><\/p>\n<h3>Hostpr\u00fcfung<\/h3>\n<p>\nBei der M\u00f6glichkeit eines Remote-Zugriffs besteht das Risiko, nicht nur Mitarbeiter des Unternehmens, sondern auch sch\u00e4dliche Software, die mit gro\u00dfer Wahrscheinlichkeit auf ihrem Computer (z. B. zu Hause) vorhanden ist, in das Netzwerk zu lassen. Dar\u00fcber hinaus k\u00f6nnten wir durch diese Software m\u00f6glicherweise einem Angreifer den Zugang zu unserem Netzwerk erm\u00f6glichen, der diesen Host als Proxy nutzt.<\/p>\n<p>Es ist sinnvoll, f\u00fcr Hosts, die remote verbunden sind, die gleichen Sicherheitsanforderungen anzuwenden wie f\u00fcr Hosts, die sich im B\u00fcro befinden.<\/p>\n<p>Dazu geh\u00f6rt unter anderem eine \u201erichtige\u201c Version des Betriebssystems, Antiviren-, Antispyware- und Firewall-Software sowie Updates. Diese M\u00f6glichkeit besteht normalerweise am VPN-Gateway (siehe beispielsweise f\u00fcr ASA, <noindex><a rel=\"nofollow\" href=\"https:\/\/community.cisco.com\/t5\/security-documents\/how-to-configure-anyconnect-host-scan\/ta-p\/3118732\">hier<\/a><\/noindex>).<\/p>\n<p>Es ist auch sinnvoll, die gleichen Methoden zur Analyse und Blockierung des Datenverkehrs (siehe \u201eHohes Schutzniveau\u201c) anzuwenden, die gem\u00e4\u00df Ihrer Sicherheitsrichtlinien f\u00fcr den B\u00fcrodatverkehr verwendet werden. <\/p>\n<p>Es ist vern\u00fcnftig anzunehmen, dass Ihr B\u00fcro-Netzwerk jetzt nicht mehr auf das B\u00fcrogeb\u00e4ude und die dort befindlichen Hosts beschr\u00e4nkt ist.<\/p>\n<blockquote><p><b>Beispiel<\/b><\/p>\n<p>Eine gute Ma\u00dfnahme ist es, jedem Mitarbeiter, der Remote-Zugriff ben\u00f6tigt, einen guten, komfortablen Laptop zur Verf\u00fcgung zu stellen und von ihm zu verlangen, sowohl im B\u00fcro als auch von zu Hause aus mit diesem Ger\u00e4t zu arbeiten.<\/p>\n<p>Das verbessert nicht nur die Sicherheit Ihres Netzwerks, sondern ist auch wirklich praktisch und wird von den Mitarbeitern in der Regel positiv aufgenommen (wenn es sich tats\u00e4chlich um einen guten und benutzerfreundlichen Laptop handelt).<\/p><\/blockquote>\n<p><\/p>\n<h2>\u00dcber das Gef\u00fchl von Ma\u00df und Balance<\/h2>\n<p>\nIm Grunde genommen handelt es sich um das Gespr\u00e4ch \u00fcber die dritte Spitze unseres Dreiecks \u2013 \u00fcber den Preis.<br \/>\nLassen Sie uns ein hypothetisches Beispiel betrachten.<\/p>\n<blockquote><p><b>Beispiel<\/b><\/p>\n<p>Sie haben ein B\u00fcro mit 200 Personen. Sie haben sich entschieden, es so komfortabel und sicher wie m\u00f6glich zu gestalten.<\/p>\n<p>Daher haben Sie beschlossen, den gesamten Datenverkehr \u00fcber die Firewall zu leiten, und f\u00fcr alle Subnetze im B\u00fcro fungiert die Firewall als Standardgateway. Neben der Sicherheitssoftware, die auf jedem Endger\u00e4t installiert ist (Antivirus-, Anti-Spyware- und Firewall-Software), haben Sie auch beschlossen, alle m\u00f6glichen Schutzmethoden an der Firewall anzuwenden.<\/p>\n<p>Um eine hohe Verbindungsgeschwindigkeit zu gew\u00e4hrleisten (alles f\u00fcr Ihren Komfort), haben Sie Switches mit 10-Gigabit-Zugangsports gew\u00e4hlt, und f\u00fcr Firewalls \u2013 leistungsstarke NGFW-Firewalls, wie beispielsweise die Palo Alto der Serie 7K (mit 40-Gigabit-Ports), selbstverst\u00e4ndlich inklusive aller erforderlichen Lizenzen und in einer High Availability-Konfiguration.<\/p>\n<p>Au\u00dferdem ben\u00f6tigen wir f\u00fcr den Betrieb dieser Ger\u00e4teserie mindestens ein paar hochqualifizierte Security-Ingenieure.<\/p>\n<p>Dar\u00fcber hinaus haben Sie beschlossen, jedem Mitarbeiter ein hochwertiges Laptop zur Verf\u00fcgung zu stellen.<\/p>\n<p>Insgesamt belaufen sich die Kosten f\u00fcr die Implementierung auf etwa 10 Millionen Dollar, mit Hunderttausenden von Dollar (ich denke, es wird eher n\u00e4her an einer Million sein) f\u00fcr die j\u00e4hrliche Unterst\u00fctzung und die Geh\u00e4lter der Ingenieure.<\/p>\n<p>B\u00fcro, 200 Personen\u2026<br \/>\nPraktisch? Wahrscheinlich, ja. <\/p>\n<p>Sie bringen dieses Angebot Ihrem Management vor\u2026<br \/>\nM\u00f6glicherweise gibt es auf der Welt eine Anzahl von Unternehmen, f\u00fcr die dies eine akzeptable und richtig L\u00f6sung ist. Wenn Sie ein Mitarbeiter in einem solchen Unternehmen sind \u2013 herzlichen Gl\u00fcckwunsch, aber in den \u00fcberwiegenden meisten F\u00e4llen bin ich mir sicher, dass Ihr Wissen von der Gesch\u00e4ftsf\u00fchrung nicht gesch\u00e4tzt wird.<\/p><\/blockquote>\n<p>\nIst dieses Beispiel \u00fcbertrieben? Das n\u00e4chste Kapitel wird diese Frage beantworten.<\/p>\n<p>Wenn Sie in Ihrem Netzwerk nichts von dem oben Aufgez\u00e4hlten sehen, ist das normal.<br \/>\nIn jedem spezifischen Fall m\u00fcssen Sie einen vern\u00fcnftigen Kompromiss zwischen Benutzerfreundlichkeit, Preis und Sicherheit finden. Oft ist sogar kein NGFW in Ihrem B\u00fcro erforderlich und L7-Schutz auf der Firewall ist nicht notwendig. Es reicht aus, ein gutes Ma\u00df an Sichtbarkeit und Benachrichtigungen sicherzustellen, und das kann durch die Nutzung von Open-Source-Produkten erreicht werden. Ja, Ihre Reaktion auf einen Angriff wird nicht sofort erfolgen, aber das Wesentliche ist, dass Sie ihn sehen und mit den richtigen Prozessen in Ihrer Abteilung in der Lage sind, schnell zu neutralisieren.<\/p>\n<p>Und ich m\u00f6chte daran erinnern, dass Sie im Sinne dieses Artikels nicht das Netzwerk entwerfen, sondern versuchen, das zu verbessern, was Sie erhalten haben.<\/p>\n<h2>Analyse der SAFE-Architektur des B\u00fcros<\/h2>\n<p>\nBeachten Sie dieses rote Quadrat, das ich auf dem Diagramm hervorgehoben habe <noindex><a rel=\"nofollow\" href=\"https:\/\/www.cisco.com\/c\/dam\/en\/us\/solutions\/collateral\/enterprise\/design-zone-security\/safe-architecture-guide-secure-campus.pdf\">SAFE Secure Campus Architecture Guide<\/a><\/noindex>, das ich hier diskutieren m\u00f6chte.<\/p>\n<p><img decoding=\"async\" alt=\"Wie Sie die Netzwerkinfrastruktur unter Kontrolle bringen. Kapitel drei. Netzwerksicherheit. Teil drei\" src=\"\/wp-content\/uploads\/2019\/04\/617b6561b6ebb17d4f015251abcadf9b.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\nEs ist eines der Schl\u00fcsselstellen in der Architektur und eine der wichtigsten Unsicherheiten.<\/p>\n<blockquote><p><b>Hinweis<\/b><\/p>\n<p>Ich habe noch nie mit FirePower (aus der Cisco-Firewall-Serie \u2013 nur mit ASA) gearbeitet, daher werde ich es wie jede andere Firewall betrachten, zum Beispiel wie die Juniper SRX oder Palo Alto, unter der Annahme, dass sie die gleichen Funktionen hat.<\/p><\/blockquote>\n<p>\nAus den g\u00e4ngigen Konfigurationen sehe ich vier m\u00f6gliche Einsatzszenarien f\u00fcr eine Firewall bei dieser Anbindung:<\/p>\n<ul>\n<li>der Standard-Gateway f\u00fcr jedes Subnetz ist ein Switch, w\u00e4hrend die Firewall im Transparentmodus arbeitet (das bedeutet, dass der gesamte Verkehr durch sie hindurchgeht, aber sie einen L3-Hop nicht bildet)<\/li>\n<li>der Standard-Gateway f\u00fcr jedes Subnetz sind die Sub-Interfaces der Firewall (oder SVI-Interfaces), der Switch fungiert als L2<\/li>\n<li>auf dem Switch werden verschiedene VRFs verwendet, und der Verkehr zwischen den VRFs geht \u00fcber die Firewall, der Verkehr innerhalb eines VRFs wird durch ACLs auf dem Switch kontrolliert<\/li>\n<li>s\u00e4mtlicher Verkehr wird zur Analyse und \u00dcberwachung auf die Firewall gespiegelt, der Verkehr geht nicht dar\u00fcber<\/li>\n<\/ul>\n<p><\/p>\n<blockquote><p><b>Hinweis 1<\/b><\/p>\n<p>Kombinationen dieser Optionen sind m\u00f6glich, aber zur Vereinfachung werden wir sie nicht betrachten.<\/p><\/blockquote>\n<blockquote><p><b>Hinweis 2<\/b><\/p>\n<p>Es besteht auch die M\u00f6glichkeit, PBR (Service-Chain-Architektur) zu verwenden, aber bisher ist das, obwohl ich es als ansprechende L\u00f6sung betrachte, eher exotisch und daher hier nicht von Interesse.<\/p><\/blockquote>\n<p>\nAus der Beschreibung der Str\u00f6me im Dokument sehen wir, dass der Verkehr tats\u00e4chlich durch die Firewall geleitet wird, das hei\u00dft, gem\u00e4\u00df dem Cisco-Design f\u00e4llt die vierte Option weg.<\/p>\n<p>Lassen Sie uns zun\u00e4chst die ersten beiden Optionen betrachten.<br \/>\nIn diesen Optionen l\u00e4uft der gesamte Verkehr \u00fcber die Firewall.<\/p>\n<p>Jetzt sehen wir uns an, <noindex><a rel=\"nofollow\" href=\"https:\/\/www.cisco.com\/c\/en\/us\/products\/collateral\/security\/firepower-ngfw\/data_sheet-c78-736661.html\">Datenblatt<\/a><\/noindex>, betrachten wir, <noindex><a rel=\"nofollow\" href=\"https:\/\/itprice.com\">Cisco GPL<\/a><\/noindex> und erkennen, dass wir eine Gesamtdatenrate f\u00fcr unser B\u00fcro von mindestens 10 bis 20 Gigabit ben\u00f6tigen, was bedeutet, dass wir die 4K-Version kaufen m\u00fcssen.<\/p>\n<blockquote><p><b>Hinweis<\/b><\/p>\n<p>Wenn ich von der Gesamtdatenrate spreche, meine ich den Verkehr zwischen den Subnetzen (nicht innerhalb eines VLANs).<\/p><\/blockquote>\n<p>\nAus der GPL sehen wir, dass der Preis f\u00fcr das HA Bundle mit Threat Defense je nach Modell (4110\u20134150) zwischen ~0,5 und 2,5 Millionen Dollar variiert.<\/p>\n<p>Das hei\u00dft, unser Design \u00e4hnelt dem vorherigen Beispiel.<\/p>\n<p>Bedeutet das, dass dieses Design fehlerhaft ist?<br \/>\nNein, das bedeutet es nicht. Cisco bietet Ihnen den bestm\u00f6glichen Schutz basierend auf der Produktreihe, die es hat. Aber das bedeutet nicht, dass das ein \u201eMust-Have\u201c f\u00fcr Sie ist. <\/p>\n<p>Im Grunde genommen ist das eine allt\u00e4gliche Frage, die bei der Gestaltung eines B\u00fcros oder Rechenzentrums aufkommt, und es bedeutet nur, dass man einen Kompromiss finden muss. <\/p>\n<p>Zum Beispiel sollte nicht der gesamte Datenverkehr \u00fcber die Firewall geleitet werden. In diesem Fall erscheint mir die dritte Option ziemlich ansprechend, oder (siehe vorherigen Abschnitt) m\u00f6glicherweise ben\u00f6tigen Sie 'Threat Defense' nicht oder \u00fcberhaupt keine Firewall in diesem Netzwerksegment. Stattdessen k\u00f6nnten Sie sich mit passivem Monitoring mittels kosteng\u00fcnstiger oder Open-Source-L\u00f6sungen begn\u00fcgen, vielleicht ist jedoch eine Firewall eines anderen Anbieters erforderlich.<\/p>\n<p>Normalerweise gibt es immer diese Ungewissheit, und es gibt keine eindeutige Antwort darauf, welche L\u00f6sung f\u00fcr Sie die beste ist.<br \/>\nDarin liegt die Komplexit\u00e4t und die Sch\u00f6nheit dieser Aufgabe.<br \/>\n<br \/>Quelle: <a content=\"nofollow\" rel=\"nofollow\" href=\"https:\/\/habr.com\/ru\/post\/447610\/\">habr.com<\/a><\/p>","protected":false,"gt_translate_keys":[{"key":"rendered","format":"html"}]},"excerpt":{"rendered":"<p>\u042d\u0442\u0430 \u0441\u0442\u0430\u0442\u044c\u044f \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043f\u044f\u0442\u043e\u0439 \u0432 \u0446\u0438\u043a\u043b\u0435 \u0441\u0442\u0430\u0442\u0435\u0439 \u00ab\u041a\u0430\u043a \u0432\u0437\u044f\u0442\u044c \u0441\u0435\u0442\u0435\u0432\u0443\u044e \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 \u043f\u043e\u0434 \u0441\u0432\u043e\u0439 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044c\u00bb. \u0421\u043e\u0434\u0435\u0440\u0436\u0430\u043d\u0438\u0435 \u0432\u0441\u0435\u0445 \u0441\u0442\u0430\u0442\u0435\u0439 \u0446\u0438\u043a\u043b\u0430 \u0438 \u0441\u0441\u044b\u043b\u043a\u0438 \u043c\u043e\u0436\u043d\u043e \u043d\u0430\u0439\u0442\u0438 \u0437\u0434\u0435\u0441\u044c. \u042d\u0442\u0430 \u0447\u0430\u0441\u0442\u044c \u0431\u0443\u0434\u0435\u0442 \u043f\u043e\u0441\u0432\u044f\u0449\u0435\u043d\u0430 Campus (Office) &amp; Remote access VPN \u0441\u0435\u0433\u043c\u0435\u043d\u0442\u0430\u043c. \u041c\u043e\u0436\u0435\u0442 \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u044c\u0441\u044f, \u0447\u0442\u043e \u0434\u0438\u0437\u0430\u0439\u043d \u043e\u0444\u0438\u0441\u043d\u043e\u0439 \u0441\u0435\u0442\u0438 \u2013 \u044d\u0442\u043e \u043f\u0440\u043e\u0441\u0442\u043e. \u0414\u0435\u0439\u0441\u0442\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u043e, \u0431\u0435\u0440\u0435\u043c L2\/L3 \u043a\u043e\u043c\u043c\u0443\u0442\u0430\u0442\u043e\u0440\u044b, \u0441\u043e\u0435\u0434\u0438\u043d\u044f\u0435\u043c \u0438\u0445 \u043c\u0435\u0436\u0434\u0443 \u0441\u043e\u0431\u043e\u0439. \u0414\u0430\u043b\u0435\u0435, \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u043c \u044d\u043b\u0435\u043c\u0435\u043d\u0442\u0430\u0440\u043d\u0443\u044e \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0443 [&hellip;]<\/p>\n","protected":false,"gt_translate_keys":[{"key":"rendered","format":"html"}]},"author":1,"featured_media":23359,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[688],"tags":[],"class_list":["post-31395","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-administrirovanie"],"aioseo_notices":[],"aioseo_head":"\n\t\t<!-- All in One SEO 4.9.10 - aioseo.com -->\n\t<meta name=\"description\" content=\"\u042d\u0442\u0430 \u0441\u0442\u0430\u0442\u044c\u044f \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043f\u044f\u0442\u043e\u0439 \u0432 \u0446\u0438\u043a\u043b\u0435 \u0441\u0442\u0430\u0442\u0435\u0439 \u00ab\u041a\u0430\u043a \u0432\u0437\u044f\u0442\u044c \u0441\u0435\u0442\u0435\u0432\u0443\u044e \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 \u043f\u043e\u0434 \u0441\u0432\u043e\u0439 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044c\u00bb. \u0421\u043e\u0434\u0435\u0440\u0436\u0430\u043d\u0438\u0435 \u0432\u0441\u0435\u0445 \u0441\u0442\u0430\u0442\u0435\u0439 \u0446\u0438\u043a\u043b\u0430 \u0438 \u0441\u0441\u044b\u043b\u043a\u0438 \u043c\u043e\u0436\u043d\u043e \u043d\u0430\u0439\u0442\u0438 \u0437\u0434\u0435\u0441\u044c. \u042d\u0442\u0430 \u0447\u0430\u0441\u0442\u044c \u0431\u0443\u0434\u0435\u0442 \u043f\u043e\u0441\u0432\u044f\u0449\u0435\u043d\u0430 Campus (Office) &amp; Remote access VPN \u0441\u0435\u0433\u043c\u0435\u043d\u0442\u0430\u043c. \u041c\u043e\u0436\u0435\u0442 \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u044c\u0441\u044f, \u0447\u0442\u043e \u0434\u0438\u0437\u0430\u0439\u043d \u043e\u0444\u0438\u0441\u043d\u043e\u0439 \u0441\u0435\u0442\u0438 \u2013 \u044d\u0442\u043e \u043f\u0440\u043e\u0441\u0442\u043e. \u0414\u0435\u0439\u0441\u0442\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u043e, \u0431\u0435\u0440\u0435\u043c L2\/L3 \u043a\u043e\u043c\u043c\u0443\u0442\u0430\u0442\u043e\u0440\u044b, \u0441\u043e\u0435\u0434\u0438\u043d\u044f\u0435\u043c \u0438\u0445 \u043c\u0435\u0436\u0434\u0443 \u0441\u043e\u0431\u043e\u0439. \u0414\u0430\u043b\u0435\u0435, \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u043c \u044d\u043b\u0435\u043c\u0435\u043d\u0442\u0430\u0440\u043d\u0443\u044e \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0443\" \/>\n\t<meta name=\"robots\" content=\"max-image-preview:large\" \/>\n\t<meta name=\"author\" content=\"Yuri Gagarin\"\/>\n\t<link rel=\"canonical\" href=\"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/kak-vzyat-setevuyu-infrastrukturu-pod-svoj-kontrol-glava-tretya-setevaya-bezopasnost-chast-tretya\" \/>\n\t<meta name=\"generator\" content=\"All in One SEO (AIOSEO) 4.9.10\" \/>\n\t\t<meta property=\"og:locale\" content=\"de_DE\" \/>\n\t\t<meta property=\"og:site_name\" content=\"ProHoster | \u041a\u0443\u043f\u0438\u0442\u044c \u043d\u0430\u0434\u0435\u0436\u043d\u044b\u0439 \u0445\u043e\u0441\u0442\u0438\u043d\u0433 \u0434\u043b\u044f \u0441\u0430\u0439\u0442\u043e\u0432 \u0441 \u0437\u0430\u0449\u0438\u0442\u043e\u0439 \u043e\u0442 DDoS, VPS VDS \u0441\u0435\u0440\u0432\u0435\u0440\u044b\" \/>\n\t\t<meta property=\"og:type\" content=\"article\" \/>\n\t\t<meta property=\"og:title\" content=\"\ud83e\udd47\u041a\u0430\u043a \u0432\u0437\u044f\u0442\u044c \u0441\u0435\u0442\u0435\u0432\u0443\u044e \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 \u043f\u043e\u0434 \u0441\u0432\u043e\u0439 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044c. \u0413\u043b\u0430\u0432\u0430 \u0442\u0440\u0435\u0442\u044c\u044f. \u0421\u0435\u0442\u0435\u0432\u0430\u044f \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c. \u0427\u0430\u0441\u0442\u044c \u0442\u0440\u0435\u0442\u044c\u044f | ProHoster\" \/>\n\t\t<meta property=\"og:description\" content=\"\u042d\u0442\u0430 \u0441\u0442\u0430\u0442\u044c\u044f \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043f\u044f\u0442\u043e\u0439 \u0432 \u0446\u0438\u043a\u043b\u0435 \u0441\u0442\u0430\u0442\u0435\u0439 \u00ab\u041a\u0430\u043a \u0432\u0437\u044f\u0442\u044c \u0441\u0435\u0442\u0435\u0432\u0443\u044e \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 \u043f\u043e\u0434 \u0441\u0432\u043e\u0439 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044c\u00bb. \u0421\u043e\u0434\u0435\u0440\u0436\u0430\u043d\u0438\u0435 \u0432\u0441\u0435\u0445 \u0441\u0442\u0430\u0442\u0435\u0439 \u0446\u0438\u043a\u043b\u0430 \u0438 \u0441\u0441\u044b\u043b\u043a\u0438 \u043c\u043e\u0436\u043d\u043e \u043d\u0430\u0439\u0442\u0438 \u0437\u0434\u0435\u0441\u044c. \u042d\u0442\u0430 \u0447\u0430\u0441\u0442\u044c \u0431\u0443\u0434\u0435\u0442 \u043f\u043e\u0441\u0432\u044f\u0449\u0435\u043d\u0430 Campus (Office) &amp; Remote access VPN \u0441\u0435\u0433\u043c\u0435\u043d\u0442\u0430\u043c. \u041c\u043e\u0436\u0435\u0442 \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u044c\u0441\u044f, \u0447\u0442\u043e \u0434\u0438\u0437\u0430\u0439\u043d \u043e\u0444\u0438\u0441\u043d\u043e\u0439 \u0441\u0435\u0442\u0438 \u2013 \u044d\u0442\u043e \u043f\u0440\u043e\u0441\u0442\u043e. \u0414\u0435\u0439\u0441\u0442\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u043e, \u0431\u0435\u0440\u0435\u043c L2\/L3 \u043a\u043e\u043c\u043c\u0443\u0442\u0430\u0442\u043e\u0440\u044b, \u0441\u043e\u0435\u0434\u0438\u043d\u044f\u0435\u043c \u0438\u0445 \u043c\u0435\u0436\u0434\u0443 \u0441\u043e\u0431\u043e\u0439. \u0414\u0430\u043b\u0435\u0435, \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u043c \u044d\u043b\u0435\u043c\u0435\u043d\u0442\u0430\u0440\u043d\u0443\u044e \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0443\" \/>\n\t\t<meta property=\"og:url\" content=\"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/kak-vzyat-setevuyu-infrastrukturu-pod-svoj-kontrol-glava-tretya-setevaya-bezopasnost-chast-tretya\" \/>\n\t\t<meta property=\"og:image\" content=\"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg\" \/>\n\t\t<meta property=\"og:image:secure_url\" content=\"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg\" \/>\n\t\t<meta property=\"og:image:width\" content=\"350\" \/>\n\t\t<meta property=\"og:image:height\" content=\"350\" \/>\n\t\t<meta property=\"article:published_time\" content=\"2019-10-31T18:41:01+00:00\" \/>\n\t\t<meta property=\"article:modified_time\" content=\"2019-10-31T18:41:01+00:00\" \/>\n\t\t<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/prohoster\" \/>\n\t\t<meta property=\"article:author\" content=\"https:\/\/www.facebook.com\/prohoster\" \/>\n\t\t<!-- All in One SEO -->\n\n","aioseo_head_json":{"title":"\ud83e\udd47Wie Sie Ihre Netzwerk-Infrastruktur kontrollieren. Kapitel drei. Netzwerksicherheit. Teil drei | ProHoster","description":"Dieser Artikel ist der f\u00fcnfte Teil der Serie 'Wie man die Netzwerkinfrastruktur unter Kontrolle bringt'. Die Inhalte aller Artikel der Serie und Links finden Sie hier. Dieser Teil wird sich mit den Segmenten Campus (B\u00fcro) und Remote Access VPN befassen. Es mag einfach erscheinen, das B\u00fcrotechnologiedesign zu gestalten. Tats\u00e4chlich verbinden wir L2\/L3-Switches miteinander und nehmen dann grundlegende Einstellungen vor.","canonical_url":"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/kak-vzyat-setevuyu-infrastrukturu-pod-svoj-kontrol-glava-tretya-setevaya-bezopasnost-chast-tretya","robots":"max-image-preview:large","keywords":"","webmasterTools":{"miscellaneous":""},"schema":null,"og:locale":"de_DE","og:site_name":"ProHoster | \u041a\u0443\u043f\u0438\u0442\u044c \u043d\u0430\u0434\u0435\u0436\u043d\u044b\u0439 \u0445\u043e\u0441\u0442\u0438\u043d\u0433 \u0434\u043b\u044f \u0441\u0430\u0439\u0442\u043e\u0432 \u0441 \u0437\u0430\u0449\u0438\u0442\u043e\u0439 \u043e\u0442 DDoS, VPS VDS \u0441\u0435\u0440\u0432\u0435\u0440\u044b","og:type":"article","og:title":"\ud83e\udd47\u041a\u0430\u043a \u0432\u0437\u044f\u0442\u044c \u0441\u0435\u0442\u0435\u0432\u0443\u044e \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 \u043f\u043e\u0434 \u0441\u0432\u043e\u0439 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044c. \u0413\u043b\u0430\u0432\u0430 \u0442\u0440\u0435\u0442\u044c\u044f. \u0421\u0435\u0442\u0435\u0432\u0430\u044f \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c. \u0427\u0430\u0441\u0442\u044c \u0442\u0440\u0435\u0442\u044c\u044f | ProHoster","og:description":"\u042d\u0442\u0430 \u0441\u0442\u0430\u0442\u044c\u044f \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043f\u044f\u0442\u043e\u0439 \u0432 \u0446\u0438\u043a\u043b\u0435 \u0441\u0442\u0430\u0442\u0435\u0439 \u00ab\u041a\u0430\u043a \u0432\u0437\u044f\u0442\u044c \u0441\u0435\u0442\u0435\u0432\u0443\u044e \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0443 \u043f\u043e\u0434 \u0441\u0432\u043e\u0439 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044c\u00bb. \u0421\u043e\u0434\u0435\u0440\u0436\u0430\u043d\u0438\u0435 \u0432\u0441\u0435\u0445 \u0441\u0442\u0430\u0442\u0435\u0439 \u0446\u0438\u043a\u043b\u0430 \u0438 \u0441\u0441\u044b\u043b\u043a\u0438 \u043c\u043e\u0436\u043d\u043e \u043d\u0430\u0439\u0442\u0438 \u0437\u0434\u0435\u0441\u044c. \u042d\u0442\u0430 \u0447\u0430\u0441\u0442\u044c \u0431\u0443\u0434\u0435\u0442 \u043f\u043e\u0441\u0432\u044f\u0449\u0435\u043d\u0430 Campus (Office) &amp; Remote access VPN \u0441\u0435\u0433\u043c\u0435\u043d\u0442\u0430\u043c. \u041c\u043e\u0436\u0435\u0442 \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u044c\u0441\u044f, \u0447\u0442\u043e \u0434\u0438\u0437\u0430\u0439\u043d \u043e\u0444\u0438\u0441\u043d\u043e\u0439 \u0441\u0435\u0442\u0438 \u2013 \u044d\u0442\u043e \u043f\u0440\u043e\u0441\u0442\u043e. \u0414\u0435\u0439\u0441\u0442\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u043e, \u0431\u0435\u0440\u0435\u043c L2\/L3 \u043a\u043e\u043c\u043c\u0443\u0442\u0430\u0442\u043e\u0440\u044b, \u0441\u043e\u0435\u0434\u0438\u043d\u044f\u0435\u043c \u0438\u0445 \u043c\u0435\u0436\u0434\u0443 \u0441\u043e\u0431\u043e\u0439. \u0414\u0430\u043b\u0435\u0435, \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u043c \u044d\u043b\u0435\u043c\u0435\u043d\u0442\u0430\u0440\u043d\u0443\u044e \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0443","og:url":"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/kak-vzyat-setevuyu-infrastrukturu-pod-svoj-kontrol-glava-tretya-setevaya-bezopasnost-chast-tretya","og:image":"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg","og:image:secure_url":"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg","og:image:width":350,"og:image:height":350,"article:published_time":"2019-10-31T18:41:01+00:00","article:modified_time":"2019-10-31T18:41:01+00:00","article:publisher":"https:\/\/www.facebook.com\/prohoster","article:author":"https:\/\/www.facebook.com\/prohoster"},"aioseo_meta_data":{"post_id":"31395","title":null,"description":null,"keywords":null,"keyphrases":null,"primary_term":null,"canonical_url":null,"og_title":null,"og_description":null,"og_object_type":"default","og_image_type":"default","og_image_url":null,"og_image_width":null,"og_image_height":null,"og_image_custom_url":null,"og_image_custom_fields":null,"og_video":null,"og_custom_url":null,"og_article_section":null,"og_article_tags":null,"twitter_use_og":false,"twitter_card":"default","twitter_image_type":"default","twitter_image_url":null,"twitter_image_custom_url":null,"twitter_image_custom_fields":null,"twitter_title":null,"twitter_description":null,"schema":{"blockGraphs":[],"customGraphs":[],"default":{"data":{"Article":[],"Course":[],"Dataset":[],"FAQPage":[],"Movie":[],"Person":[],"Product":[],"ProductReview":[],"Car":[],"Recipe":[],"Service":[],"SoftwareApplication":[],"WebPage":[]},"graphName":"","isEnabled":true},"graphs":[]},"schema_type":null,"schema_type_options":null,"pillar_content":false,"robots_default":true,"robots_noindex":false,"robots_noarchive":false,"robots_nosnippet":false,"robots_nofollow":false,"robots_noimageindex":false,"robots_noodp":false,"robots_notranslate":false,"robots_max_snippet":null,"robots_max_videopreview":null,"robots_max_imagepreview":"large","priority":null,"frequency":null,"local_seo":null,"seo_analyzer_scan_date":"2026-01-21 05:58:22","breadcrumb_settings":null,"limit_modified_date":false,"reviewed_by":null,"ai":null,"created":"2021-03-01 03:17:26","updated":"2026-01-21 05:58:22"},"gt_translate_keys":[{"key":"link","format":"url"}],"_links":{"self":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts\/31395","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/comments?post=31395"}],"version-history":[{"count":0,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts\/31395\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/media\/23359"}],"wp:attachment":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/media?parent=31395"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/categories?post=31395"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/tags?post=31395"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}