Netzwerk
WLAN in Unternehmen
WLANs im Unternehmen erfordern die Berücksichtigung zahlreicher Faktoren. Reicht eine entsprechende Anmeldung? Welche Lösungen für mobile Endgeräte und branchenspezifische Erfordernisse für die Nutzung müssen bestimmt werden.
Zunehmende Gefährdungspotenziale
Man geht heute allgemein von einer Laufzeit von fünf Jahren für ein WLAN aus. Deshalb sollte es für diesen Zeitraum die technischen Anforderungen erfüllen und die unternehmerischen Bedürfnisse abdecken. Einer der wichtigsten Faktoren Gäste und Besucher Zugriff auf das Netzwerk nicht zur Verfügung zu stellen.
Für potenzielle Angreifer ist ein Unternehmens-WLAN eine willkommene Schwachstelle in der IT-Infrastruktur.
Separieren dein Netzwerk komplett getrennt vom Gästenetzwerk, durch ein eigenes physikalisch getrenntes Netzwerk!
Gefährdungspotenzial Mitarbeiter
Wächst die Zahl der genutzten mobilen Endgeräte wie Smartphone, Tablet und Notebook – etwa durch Außendiensttätigkeiten oder Arbeiten vom Homeoffice aus. Zum anderen entsteht ein erhöhtes Risiko durch private Geräte, die nach dem Motto „Bring Your Own Device“ (BYOD) innerhalb des Unternehmensnetzwerks eingesetzt werden. Diese privaten Endgeräte lassen sich meist nur schwer oder gar nicht durch Administratoren kontrollieren, können aber mit den Zugangsdaten des jeweiligen Mitarbeiters auf sensible Daten zugreifen.
Radius Server
Der RADIUS-Server ist der zentrale Authentifizierungsserver, an den sich verschiedene IT-Services für die Authentifizierung wenden können.
Ein RADIUS-Server kann so für diese Services die Authentifizierung,
also die Überprüfung von Benutzername und Kennwort des jeweiligen Nutzers
des Dienstes, übernehmen. Ausgeschiedene Mitarbeiter und verlorene Geräte sind somit kein Problem mehr für die Sicherheit.
Das Netzwerk richtig aufteilen
Zu einem Netzwerk gehören nicht nur Switche, Internet-Router, Netzwerkkarten und W-LAN.
Eine Firewall, die uns nicht nur vor dem bösen Internet schütz, sie sorgt auch das interne Netz unterteilt werden können und diese Möglichkeiten solltet ihr auf jeden Fall umsetzen, um einen möglichen Fall von Piraterie oder Geiselnahme zu entgehen.
Grundsätzlich ist das interne Netz zu unterteilen wie zum Beispiel
172.16.1.x Testumgebung,
172.16.2.x Backup,
172.16.3.x Buchhaltung,
172.16.4.x W-LAN,
usw. Gäste-WLAN, Web-Server, Anwender, Admin, Server Netzwerk alle schön sauber in ihren eigenen VLAN Netzwerke unterteilt.
Natürlich müssen viele Regeln auf der Firewall angelegt werden. Vorteilhaft ist, dass nur Teilnetzwerke von Hacker erreicht werden können und bei entsprechendem Monitoring weitere Ausbreitung verhindern kann.
Das Backup ist weder in der Domäne noch über ein anderes Netzwerk erreichbar, am besten auf einer separaten physikalischen Maschine mit Remote Software wie TeamViewer und Anydesk und beide mit 2FA gesichert. Sie fragt nur über den Port die vSphere ab und sichert die VM.
Layer2 und Layer3 Switch, was ist der Unterschied?
Im Allgemeinen hat ein Layer 2 Switch alles nötige, um alle Geräte eines Klienten und dazugehörige Netzwerkgeräte in einem LAN mit einander zu verbinden. Die primäre Funktion eines Layer 2 Switches ist es, den Netzwerkverkehr von Geräten innerhalb eines LANs zu regeln. Ein Layer 2 Switch entscheidet mittels der MAC Adresse über welchen Pfad die Datenpakete zu übermitteln sind. Sie sind allerdings nicht für Routing gedacht, weswegen eine Anbindung ans Internet über sie nicht möglich ist. Das nachfolgende Diagramm zeigt ein LAN (Local Area Network) mit mehreren Layer 2 Switchen und einem Router (Layer 3).
Beispiel
Um nun mehrere LANs und VLANs (Virtual Local Area Networks) miteinander zu verbinden oder eine Verbindung mit dem Internet (WAN) herzustellen ist ein Router nötig. Mit der steigenden Vielfalt von Netzwerkanwendungen werden neue Netzwerkgeräte, wie zum Beispiel Layer 3 Switche, immer populärer – Dabei besitzt ein Layer 3 Switch die Fähigkeiten eines Layer 2 Switches mit einigen Layer 3 Routingfähigkeiten zusätzlich. Trotzdem können nicht alle Layer 3 Switche verwendet werden, wenn es um die Anbindung ans WAN (Internet) geht. Im folgenden Diagramm wird gezeigt, wie eine Netzwerkkonfiguration beispielhaft mit Layer 2 und Layer 3 Switchen funktioniert.
OSI Model
Die Begriffe Layer 2 und Layer 3 rühren vom OSI Modell her. Das OSI
Modell (Open System Interconnect Modell) ist ein Referenzmodell,
welches die Netzwerkkommunikation erklären soll. Das Modell beinhaltet 7
Layer:
Anwendung (7 Layer)
Darstellung (6 Layer)
Sitzung (5 Layer)
Transport (4 Layer)
Vermittlung/Paket (3 Layer)
Sicherung (2 Layer)
Bitübertragung (1 Layer)
Unterschiede im Layer 2 und Layer 3 switching
1. Funktionsprinzip: Switching vs Routing
Im OSI Referenzmodell geschieht das Switching auf der zweiten Ebene. Beim Switching werden Frames mittels der MAC-Adresse von dem Quell- zum Zielport weitergeschalten. Auf diese Weise transportiert ein Layer 2 Switch Frames (Daten) an die richtigen Stellen durch das Feststellen und Einpflegen von MAC Adressen in einer Tabelle. Ein Layer 3 Switch dagegen ist speziell dafür gedacht, Datenpakete durch IP Adressen zuordnen zu können. Das Routing wird somit vom Layer 3 Switch übernommen.
2. Funktionalität
Ein Layer 2 Switch besitzt lediglich die Möglichkeit Frames von einem Port zum anderen zu schalten. Wohingegen ein Layer 3 Switch für das Routing und Switching von Datenpaketen verwendet werden kann. Im zweiten Layer ist Routing nicht möglich und Geräte können nur innerhalb des gleichen Netzwerks interagieren. Layer 3 Switching erlaubt es netzwerkfähigen Geräten auch nach außerhalb des Netzwerks zu kommunizieren.
3. MAC Adresse vs. IP Adresse
Layer 2 Switching ermöglicht die Kommunikation über eine Hardwaremethode. Die MAC Adresse wird hierbei über das Address Resolution Protocol (ARP) bestimmt. Layer 3 Geräte nutzen dagegen IP Adressen innerhalb von Virtual LANs (VLANs) um den gewünschten Host rauszudeuten.
4. Geschwindigkeit und Leistung
In diesem Bereich schneiden Layer 2 Switche deutlich besser ab. Auf Ebene 2 werden Frames lediglich vom Quellport zum Zielport umgeleitet, wohingegen bei Layer 3 Switching ein wenig Zeit dafür aufgewendet werden muss, die Integrität von Datenpaketen zu überprüfen, bevor die bestmögliche Route zum Zielport gesucht werden kann.
Welches Gerät ist für mich das richtige?
Viele können nicht recht entscheiden, ob sie nun einen Layer 2 oder Layer 3 Switch oder doch einen Router benötigen. Die Abbildung unten resümiert die Informationen, wann ein Layer 2, ein Layer 3 Switch oder ein Router verwendet werden sollte.
Bei der Überlegung zwischen Layer 2 und Layer 3 Switchen sollten Sie den vorgesehenen Anwendungsfall überdenken. Wird es eine reine Layer 2 Domäne, dann ist ein Layer 2 Switch nicht nur ausreichend, sondern auch besser. In jeder Layer 2 Domäne bleiben die Hosts verbunden und in der Netzwerktopologie wird dies der Access Layer genannt. Hier reicht also ein Layer 2 Switch. Für den Fall, dass Sie ein VLAN erstellen wollen oder mehrere VLANs zusammen routen möchten, benötigen Sie einen Layer 3 Switch. Dies wird in der Netzwerktopologie Vermittlungsschicht genannt. Das Diagramm weiter unten zeigt, wie Netzwerkgeräte mittels eines Layer 3 Switch zu einem VLAN hinzugefügt werden können.
Das richtige Gerät
Da beide Geräte, der Layer 3 Switch und der Router, Routing-Funktionen übernehmen können, stellt sich die Frage, welcher besser dafür geeignet ist. Tatsächlich haben beide einen eigenen Anwendungsfall. Suchen Sie lediglich ein Gerät, mit welchem sich Inter-VLAN Routing realisieren lässt und wollen keine Anbindung ans ISP/WAN, dann reicht der Einsatz eines Layer 3 Switches völlig. Ansonsten wäre es besser, in einen Router mit erweiterten Layer 3 Fähigkeiten zu investieren.
Die Vor- und Nachteile von Layer 2 Switchen
Vorteile
Leitet Pakete auf Basis einer eindeutigen MAC-Adresse weiter Kein Einrichten oder Verwalten notwendig. Kann bei geringem Kostenaufwand schnell eingesetzt werden Flow accounting Fähigkeiten, Geringe Latenzzeiten und verbesserte Sicherheit
Nachteile
Es kann keinerlei Logik für das Weiterleiten von Paketen vorgeschaltet werden Routing oder switching anhand von IP-Adressen ist nicht möglich Die nötige Bandbreite für VoIP (voice over IP) kann nicht garantiert werden
Vor- und Nachteile von Layer 3 Switchen
Vorteile
Bietet QoS (Quality of Service) Verbesserte Sicherheitsprotokolle, um vor unautorisierten Zugriffen zu schützen Kann ein einzelnes LAN in zwei oder mehrere virtuelle LANs (VLANs) untergliedern Ermöglicht es Routern, verschiedene Subnetze miteinander zu verbinden, Bietet die Möglichkeit, Pakete IP Adressbezogen weiterzuleiten/zu routen Verwendet eine logische Adressierung um den optimalen Pfad zum Zielhost oder Zielnetzwerk zu finden
Nachteile
Deutlich höhere Kosten als ein Layer 2 Switch Erfordert eine anfängliche Konfiguration und Verwaltung Zusätzlicher Verarbeitungsspeicher (RAM) und Rechenleistung ist nötig