Kleines Netzwerk
geschrieben am 05.01.2009 um 15:07 von Boy2006
Mein Netzwerk soll ca. so auseehen:
Am Dachboden steht ein Router mit 3 Subnetze und ein Netzwerkkabel führt runter ins Wohnzimmer wo bald ein IP Telefon und ein Media Center stehen soll.
Dann geht weiter über den gang ein Netzwerkkabel zu mir wo eben ein Media Center, Pc, Laptop, IP Telefon,... stehen.
Was sehr wichtig ist das mein Vater (Rot) 100% nicht auf mein Netzwerk zugreifen kann weil ich dort meinen Server stehen haben werde.
Ein paar Eckdaten von den 3 Switche die ich suche sind:
- IEEE 802.1x Port-Authentisierung
- 2 der 3 Switche dürfen keine Lüfter haben da sie in einen Wohnraum stehen.
- sehr sehr energiesparend
- zentral Konfigurierbar
- 1000MB/s Fulldublex da ich Filme über das Netzwerk schauen werde.
Derzeit dachte ich an HP Switche wegen der Unbegrenzten Garantie.
THX !!!
geschrieben am 05.01.2009 um 20:04 von Mirko
Wie es aussieht, haben die kleinen Procurve 1800 kein 802.1x. Wie wäre es mit dem Allied Telesis AT-GS950/8? Der hat 802.1X Security, Link Aggregation, Port Mirroring, VLANs und ist lüfterlos.
Mirko
geschrieben am 05.01.2009 um 22:51 von Boy2006
Actebis findet nur:
Hersteller Art. Nr.: AT-GS950/8-50
EAN Code: 767035181349
Naja der Switch sieht nicht Vertrauens erweckend aus.
Ist er mit 140€ nicht zu Günstig mein 24 Port von Zyxel hat für die Firma ~400€ gekostet.
geschrieben am 06.01.2009 um 07:06 von Mirko
Die Teile von Allied Telesis sehen alle so aus ;-) Sie funktionieren aber trotzdem zuverlässig.
Mirko
geschrieben am 06.01.2009 um 08:43 von bewa
Re: Kleines Netzwerk
Was sehr wichtig ist das mein Vater (Rot) 100% nicht auf mein Netzwerk zugreifen kann weil ich dort meinen Server stehen haben werde.
Ein paar Eckdaten von den 3 Switche die ich suche sind:
- IEEE 802.1x Port-Authentisierung
[...]
Können die Media-Center denn 802.1x? Insbesondere wenn das irgendwelche Appliances sind bitte unbedingt vorher prüfen, obwohl es inzwischen Standard sein sollte.
Gibt es einen Authentication/RADIUS Server - den sehe ich in deiner Zeichnung nicht?! Ohne den wird es ja nix...
Alternativen:
- Billigstlösung: Nicht benötigte Ports abschalten. Verhindert natürlich nicht unbefugtes Umstecken an aktiven Ports, reicht aber vielen Privathaushalten schon. Es gab übrigens mal kaputte 802.1x-Implementationen, da ging das wohl auch. (Umstecken, nachdem sich erstmal jemand richtig authentifiziert hat...) Und bei der Gelegenheit nie die Switche in den Telefonen vergessen... :-)
- Mac-Filter: Reicht alleine nicht für sicherheitskritische Bereiche, trennt die Netze natürlich nicht und kann manchmal lästig sein, hilft aber schonmal ein bischen gegen unbedarfte Spielkinder am Netz und wird für deinen Vater wohl auch ausreichen, damit er sich nicht an "unerlaubten" Ports verbindet. Die eigentliche Trennung kann man dann ja auf L3 machen.
- Andere Alternative: Netztrennung auf L3. Verhindert (alleine) kein Umstöpseln, aber man kann es ja kombinieren. Sollte recht günstig machbar sein, wenn man wirklich nur die Netze trennen will. Den Router hast du ja eh schon?! Der muss ohnehin als erstes richtig konfiguriert werden. 802.1x hilft dir nichts, wenn du die Netze am Router wieder zusammen führst, oder z.B. ein Angreifer das kann, auch wenn es eigentlich nicht "vorgesehen" ist.
geschrieben am 07.01.2009 um 08:08 von Otaku19
Actebis findet nur:
Hersteller Art. Nr.: AT-GS950/8-50
EAN Code: 767035181349
Naja der Switch sieht nicht Vertrauens erweckend aus.
Ist er mit 140€ nicht zu Günstig mein 24 Port von Zyxel hat für die Firma ~400€ gekostet.
das kann man nicht nur am Preis ausmachen, es zählen die Features die man wirklich braucht.
"Meine" Cisco Switches können über diese Preisregion nur müde lächeln ;)
geschrieben am 07.01.2009 um 17:13 von Boy2006
Können die Media-Center denn 802.1x? Insbesondere wenn das irgendwelche Appliances sind bitte unbedingt vorher prüfen, obwohl es inzwischen Standard sein sollte.
Ist ein Normales Vista Ultimate und XP bei unseren anderen Laptops/ Pcs.
Gibt es einen Authentication/RADIUS Server
der Router sollte das können und mein Server steht schon in den Startlöchern.
reicht aber vielen Privathaushalten schon
Mein Vater ist auch IT Techniker wenn du wüsstest was der so an meinen Router herumpfuscht !!!
Und bei der Gelegenheit nie die Switche in den Telefonen vergessen...
Bei meinen Zyxel Switch habe ich eine Option wo ich das verhindern kann.
Mac-Filter: Reicht alleine nicht für sicherheitskritische Bereiche, trennt die Netze natürlich nicht und kann manchmal lästig sein, hilft aber schonmal ein bischen gegen unbedarfte Spielkinder am Netz und wird für deinen Vater wohl auch ausreichen, damit er sich nicht an "unerlaubten" Ports verbindet. Die eigentliche Trennung kann man dann ja auf L3 machen.
Ja das Problem ist ja dabei das ich nicht weis welche MAC Adressen er einsetzen wird.
802.1x hilft dir nichts, wenn du die Netze am Router wieder zusammen führst
Wieso nicht ?
Ich habe im Router 3 VLan`s mit 3 Verschieden Physichen Port.
geschrieben am 08.01.2009 um 12:40 von bewa
[802.1x]
Ist ein Normales Vista Ultimate und XP bei unseren anderen Laptops/ Pcs.
Das sollte kein Problem geben. Was ist denn mit den eingezeichneten Mediacentern? Sind die auch auf PC- und Windows-Basis?
Gibt es einen Authentication/RADIUS Server
der Router sollte das können und mein Server steht schon in den Startlöchern.
Der Router muss ja gar nix machen, wenn du einen Server hast, auf dem RADIUS laufen kann. Falls der RADIUS-Server doch auf dem Router laufen soll: Was für einen Router hast du im Einsatz/vorgesehen?
Und bei der Gelegenheit nie die Switche in den Telefonen vergessen...
Bei meinen Zyxel Switch habe ich eine Option wo ich das verhindern kann.
Was genau? Mehr als ein Endgerät pro Port? Filtern auf Mac-Basis reicht da ja nicht, weil die Ports im Telefon in der Regel als Mini-Switch ausgeführt sind. Wenn das Telefon keinen zusätzlichen LAN-Port hat oder der abschaltbar ist, gibt es natürlich kein Problem.
802.1x hilft dir nichts, wenn du die Netze am Router wieder zusammen führst
Wieso nicht ?
Ich habe im Router 3 VLan`s mit 3 Verschieden Physichen Port.
Vielleicht habe ich mich missverständlich ausgedrückt. Gemeint ist: Du musst unterbinden, das der Router zwischen diesen VLANs routet. Andernfalls könnten ja doch alle intern kommunizieren. Wenn du nur statisch routest, ist das aber eigentlich kein Problem, weil kaum noch Angriffsmöglichkeiten offen bleiben. Wenn du sicher gehen willst, kannst du ja noch zusätzlich filtern.
[ Dieses Thema im Live-Forum aufrufen ]
| 
