Administratief vs. technisch netwerk

Dit ligt echt aan de context. Het zou net zo goed een ander vlan bij een bedrijf kunnen zijn met andere rechten.

Is dit huiswerk of heb je een specifieks vraag hieromtrent?

Mijn gut-feeling: technisch netwerk is de fysieke hoeveelheid spullen om een netwerk werkend te krijgen dus letterlijk switches, routers, bekabeling, endpoints en alles wat er nodig is om het aan elkaar te knopen. Administratief is "de instellingen" dus rules, IP-ranges, protocollen, OS'en, etc.

Veance schreef op dinsdag 5 oktober 2021 @ 21:20:
nee, we hebben twee dergelijk netwerken op t werk. Onze scada zit op het technisch netwerk. Terwijl email en internet, teams enzo gaat over het administratief netwerk. We hebben ook netwerkpoorten die we enkel mogen gebruiken voor technisch netwerk, blijkbaar. Ik dacht ik vraag even waar het verschil zit. Ik probeerde online te zoeken maar raakte niet veder dan enkele vacatures

Oh zo.

Dan vindt jouw werkgever blijkbaar dat SCADA "techniek" is en zich niet mag mengen met het gewone (administratieve) volk van de werkvloer. Dus, je zou het ook anders kunnen noemen; de mensen achter de bureau's zitten op het KA-netwerk (Kantoor-Automatisering).

Welk naampje je eraan geeft, zeker gezien je uitleg, is dus om het even. Je had het dus ook op werk kunnen vragen want blijkbaar heeft iemand het zo in de documentatie gezet

/edit: overigens kan dit absoluut nog steeds inhouden dat jouw beide netwerken op werk op bepaalde momenten absoluuuuut over dezelfde apparatuur lopen (bijvoorbeeld een core-switch of bijvoorbeeld een glas-verbinding tussen 2 panden) maar dan gescheiden zijn (alsnog) via een VLAN. En ja, een VLAN kan je dan weer afmonteren op poort 5 van de switch in je kantoor en niet op poort 6 (zoals je zegt; er zijn aparte poorten voor bepaalde netwerken).

[ Voor 19% gewijzigd door MAX3400 op 05-10-2021 21:25 ]

Wat jij administratief cq technisch netwerk noemt, is eigenlijk de scheding tussen IT en OT netwerken. IT snap je, OT staat voor Operational Technology. Zie je veel voorkomen, OT netwerken wil je niet zomaar aan je IT knopen. Ze bevatten vaak meet- en regelinstallaties, procesaansturing, tig sensoren en what have you.
Denk aan besturingen van gas, elektra en waternetten, nstallaties in de botlek, fabrieken, etc etc.
En waarom wil je die dinge niet zomaar aan elkaar knopen: omdat het spul wat in de OT zit over het algemeen niet eens met een wachtwoord beveiligd is of uberhaupt kan worden, laat staan een eigen firewall kan draaien.

@Veance sowieso kudos dat je de moeite doet het in de Search te vinden

Vpn is iets anders, zie je meestal gebruikt worden om een tunnel vanaf bv het internet naar kantoor te maken (thuiswerken) of 2 kantoren met elkaar te verbinden (via bv internet)

Ot en it scheiden (netwerk segmentatie en segregatie) doe je meestal door apparaten in aparte vlans te stoppen. Ertussen zet je dan een firewall die alleen zeer beperkt verkeer tussen vlans toestaan

Veance schreef op dinsdag 5 oktober 2021 @ 22:05:
En hoe worden IT en OT netwerken dan gescheiden? Als ik nu lees in volgende rubriek op dit forum over VPN en VLAN lijkt het me (zie post mvdejong) beter een VPN te zijn om daadwerkelijk te scheiden?

Ik ben een beetje bang dat de plek waar je een scheiding kan leggen, echt te vinden is bij jouw werkgever in jouw situatie. Je gaf al aan dat bepaalde netwerk-poorten alleen voor een bepaald netwerk te gebruiken zijn.

Nou, begin daar eens: als je die poort (noem even A) uit de muur trekt, is deze dan fysiek anders bekabeld dan poort B, waar een gewone PC van een secretaresse aan hangt? Of komen beide bekabelingen uit op dezelfde switch of aparte switches? Enzovoort enzovoort. Maar er zijn veel andere componenten die je niet noemt / kent misschien; zo zijn er veel netwerkbeheerders die de firmware/settings van switches via SSH/rsync backuppen. En uiteindelijk komt die backup via via toch op een "ander netwerk" want niet elk bedrijf heeft op "elk netwerk" een volledige backup-oplossing.

Bij mij op werk is heel veel virtueel. En dat draait op "shared hardware". Daarmee is het gros van mijn netwerken VLAN-based / tagged maar 99% van die netwerken gaat uiteindelijk over 1 glas-touwtje naar het andere datacenter. Maar pakketje A en pakketje B gaan "achter elkaar" over het glastouwtje maar hebben "nooit" invloed op elkaar.

@Veance eigenlijk al wat @The Eagle noemt is bij ons op het werk ook van toepassing.
Het "technische" netwerk (scada etc) is allemaal volledig losgekoppeld (hoofdzakelijk VLAN-based) van het "administratief" kantoor netwerk.

Bij ons voornamelijk ook omdat er essentiële processen verwerkt worden in het SCADA/Technisch netwerk, wat theoretisch gezien plat getrokken kan worden als er fouten gemaakt zouden worden in het kantoor netwerk en/of er b.v. een "hacker" bezig is en die ons bedrijf plat zou kunnen leggen.
Een aantal jaren geleden is het bij ons tenminste volledig om gegaan en losgekoppeld aangezien er iemand extern (zonder officiële credidentials) in het netwerk kon komen, maar ook alle machines kon (in)zien en daarmee dus ook plat leggen.

Er kan bij ons wel via VPN nog op het SCADA netwerk ingelogd worden, maar ook alleen als wij (technische dienst medew. en enkele personen op bepaalde afdelingen) een vrijgave knop induwen voor de VPN.
Dan wordt de externe verbinding geaccrediteerd voor een X tijd om die op te bouwen, wanneer men erin zit wordt deze niet automatisch afgebroken.
En meen ook dat b.v. door connectie problemen de externe medew./monteur er even uitgekickt wordt kwa VPN dat het dan ook nog een X tijd open blijft om nieuwe verbinding weer op te bouwen.

Maar wat hierboven ook al meerdere zeggen @Veance voor de details waarom zo benoemt kan je beter op je werk vragen

Edit: ter verduidelijking van hierboven, ons technisch/scada netwerk ligt dus bijna volledig los van het internet/extern, alleen via een eigen vpn kan er een verbinding gemaakt worden die dus eerst toegestaan moet worden.
Via die VPN kan men b.v. niet in het kantoornetwerk oid komen dan.

[ Voor 9% gewijzigd door Annuk op 05-10-2021 23:28 ]