Netzwerke mit VLANs segmentieren

Logisch getunnelt

Die Virtualisierung von Netzwerken steht für sehr unterschiedliche Ansätze auf Software- und Hardware-Ebene, um Netzwerkressourcen unabhängig von der physischen Schicht in logische Einheiten aufzuteilen oder zusammenzufassen. In der Regel geht es dabei auch um die Umsetzung von Sicherheitskonzepten. Wir zeigen, was technisch hinter VLANs steckt.
Aus IT-Administrator 04/2016
Die Zusammenarbeit im Unternehmen wird immer dynamischer und flexibler. Aus diesem Grund wirft IT-Administrator in der April-Ausgabe einen Blick auf die ... (mehr)

Die offensichtlichste Netzwerktrennung erfolgt routinemäßig zwischen dem Internet und dem internen Netzwerk. Die Anbindung der IT-Infrastruktur eines Unternehmens an die Außenwelt erfolgt meist in der sogenannten Demilitarisierten Zone (DMZ). Hierbei handelt es sich um ein Teilnetz, das kontrollierte Zugriffsmöglichkeiten auf die darin vorhandenen öffentlichen Server und Dienste bereitstellt. Eine Firewall trennt dabei das Internet von der DMZ und eine weitere Firewall die DMZ vom internen Netz. Durch diese Trennung kann der Zugriff auf öffentlich erreichbare Dienste wie E-Mail, WWW, DNS oder VoIP gestattet und gleichzeitig das interne Unternehmensnetz vor unberechtigten Zugriffen von außen geschützt werden. In der DMZ erfolgt auch die Aufteilung der Datenströme in die sogenannten virtuellen LANs (VLANs).

In der DMZ ist bei der Voice-over-IP-Nutzung auch der Enterprise Session Border Controller (E-SBC) installiert. Bei diesem Gerät handelt es sich um eine Art von SIP-Firewall. Die Daten-Firewalls reichen die VoIP/Video-Ströme nämlich unkontrolliert über einen offenen Port an den E-SBC weiter. Da es sich beim E-SBC um eine anwendungsspezifische Prüfkomponente handelt, nimmt diese eine "Deep Packet Inspection" vor und stellt sicher, dass nur ordnungsgemäße SIP-Nachrichten an die VoIP/Video-Komponenten im entsprechenden VoIP-VLAN gelangen. Der E-SBC agiert dabei als Proxy und kann auch ein VoIP/Video-Interception durchführen beziehungsweise verschlüsselte Verbindungen überprüfen. Nach der Prüfung werden die Daten wieder verschlüsselt und an den eigentlichen Empfänger weitergeleitet. Darüber hinaus verhindert ein E-SBC Denial-of-Service (DoS)–Attacken auf die Telefonanlage. Zudem lassen sich Positiv- und Negativlisten von IP-Adressen bekannter Angreifer sowie vertrauenswürdiger Gegenstellen anlegen. Dabei werden fehlgeschlagene Anmeldeversuche registriert und anschließend der potenzielle Angreifer blockiert. Dies verhindert

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Datenschutzeinstellungen

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Result

Ausgabe /2023

Themen

Cloud Computing Datenbanken IT-Management Linux Mobil Monitoring Netzwerk Open Source OpenStack Programmieren Security Storage Virtualisierung Web Windows
twitter facebook xing