Data Center Netwerk Security

Waarom deze vraag? Lees je eens wat in in de verschillende opties. Een vlan of ACL is nogal een verschil...

Je stelt nu een hele rij vragen. Wat zijn de antwoorden die je zelf al hebt gevonden hierop? Dit lijkt zo als je het nu post meer op een copy/paste van uit een huiswerkopdracht, en dat is nu net niet de bedoeling.

ACL's en Vlan's hebben zo goed als niets vandoen met Firewalls. Dat zijn totaal verschillende dingen. Zoals DJ zegt, probeer even helder te krijgen wat je wil weten en schets desnoods even een (completer) voorbeeldje

Wat is je doel überhaupt? Om wat voor soort omgeving(en) gaat het? Klinkt een beetje als een shared hosting-omgeving?

Een gebruiker de toegang ontzeggen doe je natuurlijk vooral door op db-server B geen account aan te maken voor die gebruiker trouwens

Welke omgeving/situatie?

Overigens: als dit geen huiswerkvraag is, wat is het dan?

Firewall tussen de Vlans is de meest effectieve oplossing. Dat kan op de virtuele laag, maar ook op de fysieke laag trouwens.

-edit-

ACL's zijn gewoon niet betrouwbaar genoeg trouwens. Dat is te simpel om effectief te gaan filteren. Je wil op Laag7 gaan filteren. Applicatie gericht dus en niet meer op poort en IP basis

[ Voor 44% gewijzigd door WhizzCat op 24-06-2013 19:58 ]

Euh was dat niet niet met 802.1x gaat belletje, nooit (bewust) gebruikt

Nee, 802.1x is weer iets anders. Dat is meer laag2/3/4.

In principe hebben alle klanten andere VLAN's. Datastromen tussen de VLAN's worden zorgvuldig door firewall in goede banen gehouden met stricte rules.Voor het geval er "shared" segmenten zijn kan je PVLAN (=Private VLAN) gebruiken in zo'n setup zodat je ni zomaar van Server1 naar Server2 (binnen dezelfde VLAN & IP-range) kan springen maar via een L3-device (vb firewall) moet gaan.

[ Voor 4% gewijzigd door jvanhambelgium op 24-06-2013 20:49 ]

WhizzCat schreef op maandag 24 juni 2013 @ 19:52:
ACL's en Vlan's hebben zo goed als niets vandoen met Firewalls. Dat zijn totaal verschillende dingen. Zoals DJ zegt, probeer even helder te krijgen wat je wil weten en schets desnoods even een (completer) voorbeeldje

Jij wil zeggen dat je VLANs en ACLs niet op firewalls tegenkomt?

webfreakz.nl schreef op maandag 24 juni 2013 @ 20:54:
[...]


Jij wil zeggen dat je VLANs en ACLs niet op firewalls tegenkomt?

Euh ja...? Firewalls, de moderne dan, doen hun werk netjes op hogere treden in het OSI model. ACL's en Vlan's zijn gewoon dusdanig in-flexibel dat je er weinig functioneels mee kan firewallen. Uiteraard kom je wel Vlan's tegen op firewalls maar voor mij zijn dat gewoon netwerken. Of dat nou met een Vlan tag of fysieke poort is maakt mij niet uit.

Mijn firewall policies zijn gebaseerd op types traffic en niet zo zeer op Vlan's'. (en ACL's wil ik het helemaal niet over hebben, dat is niet meer van deze tijd )

WhizzCat schreef op maandag 24 juni 2013 @ 21:18:
[...]
Mijn firewall policies zijn gebaseerd op types traffic en niet zo zeer op Vlan's'. (en ACL's wil ik het helemaal niet over hebben, dat is niet meer van deze tijd )

Hangt wel een beetje van de doelgroep af natuurlijk en soort klanten dat je in het datacenter gaat bedienen.
Uiteraard is een deel van een firewall-policy "type traffic" maar het goede oude source & destination IP/subnets/vlan's doen het nog altijd hoor.

WhizzCat schreef op maandag 24 juni 2013 @ 21:18:
[...]


Euh ja...? Firewalls, de moderne dan, doen hun werk netjes op hogere treden in het OSI model. ACL's en Vlan's zijn gewoon dusdanig in-flexibel dat je er weinig functioneels mee kan firewallen. Uiteraard kom je wel Vlan's tegen op firewalls maar voor mij zijn dat gewoon netwerken. Of dat nou met een Vlan tag of fysieke poort is maakt mij niet uit.

Mijn firewall policies zijn gebaseerd op types traffic en niet zo zeer op Vlan's'. (en ACL's wil ik het helemaal niet over hebben, dat is niet meer van deze tijd )

Hmmz, nouja geef die dingen een naam, maar in mijn boek wijkt ACL niet veel van policy af, en een VLAN kan je terugmappen naar een virtual-router danwel security zone dus ook die kom je tegen op je firewall.

Nee, een ACL is veel starrer en werkt op een lagere trede in het OSI model (2/3) dan traffic flows gebaseerd op applicaties (laag 7). Tuurlijk kan je met source <> destination al een hoop doen, maar voor een meer fijn-mazig beheer van je data stromen moet je gewoon op laag 7 dingen gaan doen.

Denk b.v. aan 't blokken van bepaalde applicaties. Ongeacht op welke poort ze draaien.

TS zegt er even niet bij om wat voor DB server het gaat trouwens
Ik vermoed een MS SQL DB...daar kun je idd met ACL's aan de gang.

Oracle is wat dat betreft een stuk makkelijker; da's gewoon een kwestie van de juiste DB- en listener parameters opgeven en zorgen dat je poort dicht is

ACL's heb je ook L4 hoor. En jij hebt 't nu over gebruikers waarvan je wilt zorgen dat als jij poort 21 dichtzet, ze niet gaan ftp'en via poort 2121. Voor het beschermen van een server is poort-based blokkeren vrij effectief en je hebt er minder geld voor nodig.

True, maar gezien het gebrek aan informatie weet ik ook niet echt goed wat ik hier op moet antwoorden, dus kom ik met iets wat ik logisch vind

Port/IP based blocken kan inderdaad effectief zijn, zeker als jij die server beheert.

@TS: Kijk eens op:
http://www.cisco.com/en/U...lutions_program_home.html

En dan onder FlexPod --> Secure Multi-Tenancy
Onder het kopje Security vind je wat oudere guides.

Voor kleinschalige netwerken kan je eens kijken op:
http://www.cisco.com/en/U...ns_program_home.html#~dcg

VLANs outdated? Kut, moet ik dan weer losse draden spannen?

CyBeR schreef op dinsdag 25 juni 2013 @ 03:04:
VLANs outdated? Kut, moet ik dan weer losse draden spannen?

Firewall technisch maakt het voor mij niet uit of je nou op een VLAN zit of niet. Je firewalled tussen netwerken en of dat nu met een Vlan of een touwtje moet... hoe is dat het probleem van de firewall beheerder? Dat is het niet. Dat probeer ik duidelijk te maken.

WhizzCat schreef op dinsdag 25 juni 2013 @ 13:44:
[...]


Firewall technisch maakt het voor mij niet uit of je nou op een VLAN zit of niet. Je firewalled tussen netwerken en of dat nu met een Vlan of een touwtje moet... hoe is dat het probleem van de firewall beheerder? Dat is het niet. Dat probeer ik duidelijk te maken.

Prima, maar tegen jou had ik 't niet

Anoniem: 314063 schreef op dinsdag 25 juni 2013 @ 00:28:
SDN is, wat security betreft, een grote verandering.

Eigenlijk veranderd vooral de wijze van beheer en dan met name in de hulpmiddelen hiervoor.

Kort gezegd zou een zelfde security in networking kunnen worden toegepast als wat wij nu kennen met active directory in de windows infrastructuur.

Dat kan nu ook al, maar is vaak erg bewerkelijk.

Het ging er nu om of security binnen huidige datacenters echt zo "statisch" was als sommige SDN spreakers beweren.

In veel gevallen wel ja, maar dat betekent niet dat het al anders kon.

ACL`s zijn natuurlijk statisch als het maar kan, VLANs.. is ook outdated.

Het statische karakter van ACL's veranderen niet bij SDN. Er komen mogelijkheden bij om verschillende condities binnen de Access Control te verwerken.

Zie het een beetje als 'gebruiker uit groep A met kerberos ticket mag van groep machines B met juist Kerberos ticket naar groep machines C met juist Kerberos ticket communiceren via RPC voor GUID D'. En zoiets kan al lang, maar is bewerkelijk in beheer.

VLAN's zijn niet zozeer out-dated als dat ze minder zullen worden misbruikt voor een doel waar ze niet direct voor bedoeld waren.

Ik weet dus niet of ze binnen een data center meer doen dan alleen ACL`s en VLANs. PVLANs ken ik ook idd.

Verschilt per omgeving. Veel DC's waar je een server kan huren passen dit toe. Binnen bedrijfsnetwerken (en daarbij behorende DC's) worden er vaak extra maatregelen getroffen.

Het ging mij om het steeds toepassen van ACLs indien een VM van de ene rack beweegt naar de ander, ook zo gebruikers, etc.

Daar zijn flexibelere oplossingen voor dan ACL's in een 'hardware' router/firewall.