Netzwerke mit VLANs segmentieren

Logisch getunnelt

Die Virtualisierung von Netzwerken steht für sehr unterschiedliche Ansätze auf Software- und Hardware-Ebene, um Netzwerkressourcen unabhängig von der physischen Schicht in logische Einheiten aufzuteilen oder zusammenzufassen. In der Regel geht es dabei auch um die Umsetzung von Sicherheitskonzepten. Wir zeigen, was technisch hinter VLANs steckt.
Die Zusammenarbeit im Unternehmen wird immer dynamischer und flexibler. Aus diesem Grund wirft IT-Administrator in der April-Ausgabe einen Blick auf die ... (mehr)

Die offensichtlichste Netzwerktrennung erfolgt routinemäßig zwischen dem Internet und dem internen Netzwerk. Die Anbindung der IT-Infrastruktur eines Unternehmens an die Außenwelt erfolgt meist in der sogenannten Demilitarisierten Zone (DMZ). Hierbei handelt es sich um ein Teilnetz, das kontrollierte Zugriffsmöglichkeiten auf die darin vorhandenen öffentlichen Server und Dienste bereitstellt. Eine Firewall trennt dabei das Internet von der DMZ und eine weitere Firewall die DMZ vom internen Netz. Durch diese Trennung kann der Zugriff auf öffentlich erreichbare Dienste wie E-Mail, WWW, DNS oder VoIP gestattet und gleichzeitig das interne Unternehmensnetz vor unberechtigten Zugriffen von außen geschützt werden. In der DMZ erfolgt auch die Aufteilung der Datenströme in die sogenannten virtuellen LANs (VLANs).

In der DMZ ist bei der Voice-over-IP-Nutzung auch der Enterprise Session Border Controller (E-SBC) installiert. Bei diesem Gerät handelt es sich um eine Art von SIP-Firewall. Die Daten-Firewalls reichen die VoIP/Video-Ströme nämlich unkontrolliert über einen offenen Port an den E-SBC weiter. Da es sich beim E-SBC um eine anwendungsspezifische Prüfkomponente handelt, nimmt diese eine "Deep Packet Inspection" vor und stellt sicher, dass nur ordnungsgemäße SIP-Nachrichten an die VoIP/Video-Komponenten im entsprechenden VoIP-VLAN gelangen. Der E-SBC agiert dabei als Proxy und kann auch ein VoIP/Video-Interception durchführen beziehungsweise verschlüsselte Verbindungen überprüfen. Nach der Prüfung werden die Daten wieder verschlüsselt und an den eigentlichen Empfänger weitergeleitet. Darüber hinaus verhindert ein E-SBC Denial-of-Service (DoS)–Attacken auf die Telefonanlage. Zudem lassen sich Positiv- und Negativlisten von IP-Adressen bekannter Angreifer sowie vertrauenswürdiger Gegenstellen anlegen. Dabei werden fehlgeschlagene Anmeldeversuche registriert und anschließend der potenzielle Angreifer blockiert. Dies verhindert

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Setup eines Kubernetes-Clusters mit Kops

Vor allem für Testinstallationen von Kubernetes gibt es einige Lösungen wie Kubeadm und Minikube. Für das Setup eines Kubernetes-Clusters in Cloud-Umgebungen hat sich Kops als Mittel der Wahl bewährt. Wir beschreiben seine Fähigkeiten und geben eine Anleitung für den praktischen Einsatz. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite