-> Hier kostenlos registrieren
Ich weiß nicht genau, wie sinnvoll die Frage ist und ich beschäftige mich hier nur in einem halbwegs hypothetischen Scenario.
Ich möchte mir als Konzept überlegen, wie man günstig und sinnvoll sein Netzwerk sinnvoll absichern kann.
Und Achtung, ich fang grad erst an mich damit zu beschäftigen und gehe meistens ganz naiv von meiner intuitiven Annahme aus. Also bitte verschont mich ein bisschen wenn ich irgendwas falsch verstanden habe.
Ich möchte ein Netzwerk gegen "Angriffe" sichern. Für den Heimgebrauch wird meine Herangehensweise wahrscheinlich ein kleines bisschen übertrieben sein.
Ich möchte das Netzwerk nach dem Prinzip "Separation of concerns" aufteilen, so dass jede Art von Geräten ihre eigene, getrennte Umgebung bekommt. Wenn möglich würde ich gern sog. vlans oder virtuelle LANs benutzen. Vlans haben den Vorteil, dass sie günstig sind und dass sie sich leicht configurieren lassen.
Die Steuerungen müssen selbst keine vlans unterstützen, da eigentlich alle managed switche vlan tagging unterstützen, damit auch Geräte die das nicht können daran funktionieren.
Ich möchte gern für folgende Zwecke jeweils eigene Vlans verwenden und dann im Router/Firewall nur die sinnvolle Kommunikation zwischen den vlans erlauben. Ich schreib mal aus Spaß vlan ids dazu, auch wenn die nicht so wichtig sind.
10 - Steuerungen
20 - Infrastruktur
30 - Kameras
40 - stationäre Geräte
50 - mobile Geräte
60 - iot Geräte
70 - Gäste
Ich weiß, dass die Teilung zwischen 40 und 50 nicht notwendig ist, aber ich bin davon ausgegangen, dass Handys, Tablets und so nicht unbedingt immer sicher sind und man diese besonders schützen sollte.
Weswegen ich schreibe ist die Verbindung zwischen 10 und 40. Der PC der zum programmieren der Steuerungen benutzt wird ist ein normaler PC und gehört deshalb in vlan 40. Um die Steuerungen zu erreichen muss er dann aber mit vlan 10 reden.
Jetzt gibt es einen Punkt wo ich beim fixen googlen keine sinnvolle Antwort finden konnte:
Kann ich windows mitteilen, dass er da einen trunc Port mit mindestens 2 Vlans hat und windows bekommt das hin, dass die engineering Software (In meinem Beispiel Tia) immer ein spezielles vlan bekommt?
Oder sollte ich lieber zwei switch ports für diesen PC reservieren und den PC mit einer dual netzwerk Karte ausstatten, damit man die ganze netzwerk Karte von vlan 10 an tia geben kann. Ich gehe hier auch mal davon aus, dass andere engineering Software genauso primitiv oder fortschrittlich ist was das angeht.
Ich bin auch davon ausgegangen, dass die Steuerungen abgesehen von z.B. Siemens iot2000 oder et200 open controller irgendwie mit vlans direkt umgehen können. Wieso sollten sie saß uch müssen, dafür sind sie nicht gedacht.
Ihr dürft gern davon ausgehen, dass ich in der Lage bin mit Windows umzugehen und dass überall mindestens Windows 10 läuft. Außerdem kann ich mit dem von mir gewählten router und den switches umgehen.
Außerdem bin ich in der Lage die Firewall zu configurieren, dass nur sinnvolle Kommunikation möglich ist.
Mir würde es auch genügen, wenn ihr mir lesestoff zum Thema sps und netzwerkicherheit geben würdet wo sowas potentiell drin steht.
Ich möchte mir als Konzept überlegen, wie man günstig und sinnvoll sein Netzwerk sinnvoll absichern kann.
Und Achtung, ich fang grad erst an mich damit zu beschäftigen und gehe meistens ganz naiv von meiner intuitiven Annahme aus. Also bitte verschont mich ein bisschen wenn ich irgendwas falsch verstanden habe.
Ich möchte ein Netzwerk gegen "Angriffe" sichern. Für den Heimgebrauch wird meine Herangehensweise wahrscheinlich ein kleines bisschen übertrieben sein.
Ich möchte das Netzwerk nach dem Prinzip "Separation of concerns" aufteilen, so dass jede Art von Geräten ihre eigene, getrennte Umgebung bekommt. Wenn möglich würde ich gern sog. vlans oder virtuelle LANs benutzen. Vlans haben den Vorteil, dass sie günstig sind und dass sie sich leicht configurieren lassen.
Die Steuerungen müssen selbst keine vlans unterstützen, da eigentlich alle managed switche vlan tagging unterstützen, damit auch Geräte die das nicht können daran funktionieren.
Ich möchte gern für folgende Zwecke jeweils eigene Vlans verwenden und dann im Router/Firewall nur die sinnvolle Kommunikation zwischen den vlans erlauben. Ich schreib mal aus Spaß vlan ids dazu, auch wenn die nicht so wichtig sind.
10 - Steuerungen
20 - Infrastruktur
30 - Kameras
40 - stationäre Geräte
50 - mobile Geräte
60 - iot Geräte
70 - Gäste
Ich weiß, dass die Teilung zwischen 40 und 50 nicht notwendig ist, aber ich bin davon ausgegangen, dass Handys, Tablets und so nicht unbedingt immer sicher sind und man diese besonders schützen sollte.
Weswegen ich schreibe ist die Verbindung zwischen 10 und 40. Der PC der zum programmieren der Steuerungen benutzt wird ist ein normaler PC und gehört deshalb in vlan 40. Um die Steuerungen zu erreichen muss er dann aber mit vlan 10 reden.
Jetzt gibt es einen Punkt wo ich beim fixen googlen keine sinnvolle Antwort finden konnte:
Kann ich windows mitteilen, dass er da einen trunc Port mit mindestens 2 Vlans hat und windows bekommt das hin, dass die engineering Software (In meinem Beispiel Tia) immer ein spezielles vlan bekommt?
Oder sollte ich lieber zwei switch ports für diesen PC reservieren und den PC mit einer dual netzwerk Karte ausstatten, damit man die ganze netzwerk Karte von vlan 10 an tia geben kann. Ich gehe hier auch mal davon aus, dass andere engineering Software genauso primitiv oder fortschrittlich ist was das angeht.
Ich bin auch davon ausgegangen, dass die Steuerungen abgesehen von z.B. Siemens iot2000 oder et200 open controller irgendwie mit vlans direkt umgehen können. Wieso sollten sie saß uch müssen, dafür sind sie nicht gedacht.
Ihr dürft gern davon ausgehen, dass ich in der Lage bin mit Windows umzugehen und dass überall mindestens Windows 10 läuft. Außerdem kann ich mit dem von mir gewählten router und den switches umgehen.
Außerdem bin ich in der Lage die Firewall zu configurieren, dass nur sinnvolle Kommunikation möglich ist.
Mir würde es auch genügen, wenn ihr mir lesestoff zum Thema sps und netzwerkicherheit geben würdet wo sowas potentiell drin steht.
