LCM verwaltete Switche und AP, das Management Netz und Sicherheitserwägungen

Forum zur LANCOM Management Cloud (LMC)

Moderator: Lancom-Systems Moderatoren

Antworten
Tom06
Beiträge: 6
Registriert: 22 Jun 2006, 11:25

LCM verwaltete Switche und AP, das Management Netz und Sicherheitserwägungen

Beitrag von Tom06 »

Hallo allerseits,

vorab zur Info: Viele Jahre habe ich stets mittels physischer Trennung die Kundennetze separieren können. VLAN war für mich lange ein rotes tuch, welches ich wegen der deutlich erhöhten Komplexität nie bei den Kunden nutzen wollte. Wie es aber so ist, irgendwann schaut man sich aber doch mal neue Sachen an, weil es nicht anders geht oder weil, wie im Lancom Falle, einfach eine vermeintlich gute Lösung ein komplexes Thema an einigen Stellen doch einfacher sein bzw. darstellen läss...

Einige kleinere LMC Projekte (mit VLANs) habe ich also nun schon umsetzen können. Aber eine Sache, die mich noch umtreibt, ist die Thematik mit dem Management Netz der LMC Geräte. Dabei geht es mir erstmal nur um die Switche.

Wie wir wissen, muss LMC verwaltete Hardware auf dem ungetaggten LAN angesprochen werden. Das zu ändern ist zwar grundsätzlich möglich aber mit Einrichtungsaufwand (Add-In Skript) verbunden und es entspricht nicht dem vom Hersteller vorgesehenem Standard (macht ja wohl nicht nur Lancom so?). An einem so neuralgischen Punkt bin ich tendenziell eher gegen einen Sonderweg, denn die Verfügbarkeit und Stabilität der Verwaltung ist m.E. in diesem Fall zu priorisieren.

Ausgangslage:
Wenn ich beim Kunden ein LMC Projekt beginne/plane, dann ist hier in der Regel das Ausgangs LAN/Netzwerk eine Broadcast Domain/ein Netzwerk, folglich ungetagged und oft ein Class C Netz.
Jetzt habe ich, nach allem, was ich bisher mit der LMC erlebt und gemacht habe also eigentlich nur diese Möglichkeit:

Ich verwende künftig das Ausgangs LAN als unttaged LMC Verwaltungsnetz und richte dieses in der LMC auch als untagged Management Netz ein. Jeder Switch bekommt dieses als Management Netz an mindestens einem Port zugewiesen.
Damit habe ich die Switche auf Management Ebene entweder in meinem Ausgangs LAN/Netzwerk oder ich tue mir dann noch den Aufwand an und designe das Netzwerk mittels verschiedener VLANs komplett um, mit dem damit entsprechend verbundenen Aufwand.

Das (LMC Management über das Ausgangs LAN) mag für die Switche noch OK sein aber wenn ich so an die Access Points denke, finde ich das problematisch und wollte mal dazu andere Meinungen einholen:
Bei den Access Points sagt Lancom/LMC ebenfalls: Management nur auf dem untagged Netzwerk.
Access Points als eine Art Medienübersetzer, deren Reichweite nicht durch physische Kabel (wie bei den Switchen) begrenzt ist, sind für mich sicherheitstechnisch im untagged LAN ein NoGo. Bisher zumindest, weil ich WLAN Hardware stets in eigenen DMZ Zone, also einem physischen Port der Firewall, separiert habe. Damit konnte ich zu 100% sicherstellen, dass das WLAN Zeugs nicht mit der kritischen Netzstruktur in Berührung kommt.

Wenn ich mir nun für Lancom APs überlege, dass die mit ihrem physischen interface im untagged LAN hängen... mir ist da nicht wohl dabei und auch hier stünde im Grunde ein komplettes Redesign des Netzwerkes an, damit ich das untagged LAN nur noch als Management Netz nutzen kann und meine klare Netzwerk Trennung habe, wie ich es bisher gewohnt bin und am sichersten finde...

Ich hoffe Ihr konntet mir folgen? 🙈
GrandDixence
Beiträge: 1102
Registriert: 19 Aug 2014, 22:41

Re: LCM verwaltete Switche und AP, das Management Netz und Sicherheitserwägungen

Beitrag von GrandDixence »

sind für mich sicherheitstechnisch im untagged LAN ein NoGo.
Cloud-Lösungen sind sicherheitstechnisch auch ein NoGo...

LANCOM Cloud-Getöns (LMC) rauswerfen und Management-VLAN gemäss den Angaben unter:
fragen-zum-thema-firewall-f15/schulnetz ... ml#p106924

fragen-zur-lancom-systems-routern-und-g ... ml#p106568

fragen-zur-lancom-systems-routern-und-g ... ml#p109508
für alle Netzwerkkomponenten (Switch, Router, AP) einrichten und einsetzen.

Aber die liebe "Bequemlichkeit" hält wohl ab vom Rauswurf des LMC. Ist halt wie mit dem SSH-Zugriff aus dem Internet auf die LANCOM-Routern. Siehe Beitrag von "5624" am 30. März 2024 um 21:45 Uhr:
fragen-zur-lancom-systems-routern-und-g ... ml#p116776
Dr.Einstein
Beiträge: 3056
Registriert: 12 Jan 2010, 14:10

Re: LCM verwaltete Switche und AP, das Management Netz und Sicherheitserwägungen

Beitrag von Dr.Einstein »

GrandDixence hat geschrieben: 17 Jun 2024, 15:02 LANCOM Cloud-Getöns (LMC) rauswerfen und Management-VLAN gemäss den Angaben unter:
Ich finde deinen Kommentar hier unpassend. Der User hat eine Frage gestellt und möchte Hilfe und nicht so ein Linuxforum Blödsinn.

Zur Frage: Wenn du ein Netzwerk betreibst, wo du dumme Komponenten automatisiert eine Konfiguration ohne Aufwand zuweisen möchtest, bietet sich ein funktionseingeschränktes Netzwerk an, d.h. du hast ein untagged Netzwerk, dass DHCP macht, aber nur die LMC, Meraki, andere IoT Clouds erreicht, Rest gesperrt. Also kein vollständiges Internet, keine anderen echten LAN Komponenten etc. Nur frisch ausgepackte Geräte. Dann bekommen die Lancom Router z.B. mittels PIN Verfahren die finale Konfiguration via Cloud zugewiesen. Die finale (Management)Konfiguration kann dann ja theoretisch alles über tagged VLANs etc laufen (muss aber nicht). Leider geht das aktuell anders als beim WLC nur über AddIns
Tom06
Beiträge: 6
Registriert: 22 Jun 2006, 11:25

Re: LCM verwaltete Switche und AP, das Management Netz und Sicherheitserwägungen

Beitrag von Tom06 »

Dr.Einstein hat geschrieben: 17 Jun 2024, 17:55
GrandDixence hat geschrieben: 17 Jun 2024, 15:02 LANCOM Cloud-Getöns (LMC) rauswerfen und Management-VLAN gemäss den Angaben unter:
Ich finde deinen Kommentar hier unpassend. Der User hat eine Frage gestellt und möchte Hilfe und nicht so ein Linuxforum Blödsinn.
In meinem Alter rege ich mich über sowas nicht mehr auf... zumindest hat er ein paar interessante Links gepostet aber in Gänze fühlt man sich nach der Antwort wie bei einem Lesen von Gesetzestexten in denen immer wieder auf andere Paragrafen referenziert wird...

Zur Frage: Wenn du ein Netzwerk betreibst, wo du dumme Komponenten automatisiert eine Konfiguration ohne Aufwand zuweisen möchtest, bietet sich ein funktionseingeschränktes Netzwerk an, d.h. du hast ein untagged Netzwerk, dass DHCP macht, aber nur die LMC, Meraki, andere IoT Clouds erreicht, Rest gesperrt. Also kein vollständiges Internet, keine anderen echten LAN Komponenten etc. Nur frisch ausgepackte Geräte. Dann bekommen die Lancom Router z.B. mittels PIN Verfahren die finale Konfiguration via Cloud zugewiesen. Die finale (Management)Konfiguration kann dann ja theoretisch alles über tagged VLANs etc laufen (muss aber nicht). Leider geht das aktuell anders als beim WLC nur über AddIns
Na ja das ist nicht so wirklich das was ich meinte, wenngleich ich Deinen Ansatz verstehe und dieser im Grunde dem entspricht, was ich gerne umsetzen möchte.

Bei unseren Kunden haben wir eigentlich nur Sonicwall Appliances im Einsatz, was aber dem Thema keinen Abbruch tut. Denn damit kann ich VLAN seitig und auf Sicherheitsebene alles tun was ich möchte.

@Dr. Wie machst Du das denn bei Kundenprojekten, wenn wir mal annehmen, dass Du einen Kunden hast, der bisher seine Switch Infrastruktur mit billig Netgear und Co. aufgebaut hat, alles eine Broadcast Domain, nichts segmentiert, vielleicht noch maximal ne DMZ auf der Firewall...
Dr.Einstein
Beiträge: 3056
Registriert: 12 Jan 2010, 14:10

Re: LCM verwaltete Switche und AP, das Management Netz und Sicherheitserwägungen

Beitrag von Dr.Einstein »

Tom06 hat geschrieben: 18 Jun 2024, 08:58 @Dr. Wie machst Du das denn bei Kundenprojekten, wenn wir mal annehmen, dass Du einen Kunden hast, der bisher seine Switch Infrastruktur mit billig Netgear und Co. aufgebaut hat, alles eine Broadcast Domain, nichts segmentiert, vielleicht noch maximal ne DMZ auf der Firewall...
Meine Kunden bezahlen mich meist nicht für's Aufräumen des Bestands, sondern nur für das Erweitern. D.h. wenn schon so ein Netzwerk vorliegt wie du es beschrieben hast, dann würde ich die SW und APs einfach ins untagged VLAN reinwerfen. Ebenso wie die internen WLAN Clients. Für ein mögliches Gastnetzwerk wird dann einfach VLAN tagged über das gesamte Netzwerk gespannt, sprich so, wie es sogar die LMC im Default macht.
Antworten