Netzwerk: Wie Server vor Nutzung von banachbarten IP-Adressen schützen?

Dieses Thema im Forum "Security" wurde erstellt von 8dh, 17. Februar 2010.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 8dh

    8dh New Member

    Registriert seit:
    5. Januar 2010
    Beiträge:
    39
    Guten Morgen,

    mir ist heute morgen die Frage gekommen, wie es die ganzen Root-Server-Hoster usw. schaffen das Netzwerk so abzusichern, dass ein Kunde nicht eine IP-Adresse eines anderen Kunden hochfahren kann.

    Hat da jemand eine Idee, wie das heißt und wie das technisch realisiert wird. Wäre doch mal interessant :)

    Viele Grüße,
    8dh
     
  2. HosterME.de

    HosterME.de Eingetragener Provider

    Registriert seit:
    24. März 2004
    Beiträge:
    1.063
    Firmenname:
    HosterME.de
    Anbieterprofil:
    Klick
    AW: Netzwerk: Wie Server vor Nutzung von banachbarten IP-Adressen schützen?

    VLAN (10 Zeichen)
     
  3. DasIch

    DasIch New Member

    Registriert seit:
    26. April 2007
    Beiträge:
    332
    AW: Netzwerk: Wie Server vor Nutzung von banachbarten IP-Adressen schützen?

    Da gibts sicher mehrere Möglichkeiten. Eine sinnvolle wäre z.B. ein Switch oder Router, der die internen IPs mit MAC-Adressen abgleicht (welche natürlich vorher bekannt sein müssen) - ebenso könnte der "letzte" Switch auch Portweise entsprechend konfiguriert werden.

    zudem wären Abfangmechanismen denkbar, die dem Rechenzentrumbetreiber sofort melden, dass diegleiche interne IP aus "verschiedenen Richtungen" kommt und dann den falschen Kunden vom Netz nehmen.
     
  4. 8dh

    8dh New Member

    Registriert seit:
    5. Januar 2010
    Beiträge:
    39
    AW: Netzwerk: Wie Server vor Nutzung von banachbarten IP-Adressen schützen?

    Danke für deine Antwort. Ich kann mir gut vorstellen, dass diese Funktion von eine Cisco Gerät unterstützt wird. Hat damit schon mal jemand gearbeitet? Mich würde interessieren, wie man das nennt.
     
  5. kse

    kse New Member

    Registriert seit:
    9. September 2007
    Beiträge:
    64
    AW: Netzwerk: Wie Server vor Nutzung von banachbarten IP-Adressen schützen?

    damit unterteilst du das Netz nur in kleinere Segmente, verhinderst aber nicht das Server A sich die IP von Server B klaut.

    Oder hast du vor für jede IP ein eigenes VLAN auf zumachen? da gehen dir aber ziemlich schnell die VLANs aus ;)
     
  6. smartTERRA GmbH Falk

    smartTERRA GmbH Falk Eingetragener Provider

    Registriert seit:
    23. Dezember 2000
    Beiträge:
    4.240
    Ort:
    Düsseldorf
    Firmenname:
    smartTERRA GmbH
    Anbieterprofil:
    Klick
    AW: Netzwerk: Wie Server vor Nutzung von banachbarten IP-Adressen schützen?

    Klassischerweise gehören Server A und Server B aber dem gleichen Kunden, somit ist mir das erstmal egal - ein VLAN pro Kunde ist hier die Lösung. Allerdings sind dem hier Grenzen gesetzt, so dass dies bei Billigangeboten und Massenhostern wahrscheinlich eher nicht zum Einsatz kommen sollte.

    Aus früheren Erfahrungen (ist aber wirklich schon ein paar Jahre her) kann ich berichten, dass es Anbieter gibt, die Dein Sicherheitsbewusstsein so überhaupt nicht interessieren. Wenn Du da Glück hattest, wurde an zentraler Stelle wenigstens mal ein Arpwatch installiert, der den Wechsel einer IP Adresse zu einer anderen MAC dokumentiert hat - das war's dann aber auch schon.

    Schönen Gruß aus Duisburg,

    Falk Brockerhoff
     
  7. kse

    kse New Member

    Registriert seit:
    9. September 2007
    Beiträge:
    64
    AW: Netzwerk: Wie Server vor Nutzung von banachbarten IP-Adressen schützen?

    Natürlich, wenn man Umgebungen speziell für einzelne Kunden aufbaut erhalten diese Umgebungen ihr eigenes Vlan.
    Sobald man aber anfängt Dedicated Server Netze bereitzustellen, hast du dort Vlans in denen jeweils ein /24 und unterschiedlichste Kunden leben. Und an dem Punkt ist ein vlan kein Schutz mehr vor IP-Klau. Dort musst du mit anderen Systemen arbeiten (z.b. Arpwatch, Blackholing von nicht vergebenen IP's)
     
  8. 8dh

    8dh New Member

    Registriert seit:
    5. Januar 2010
    Beiträge:
    39
    AW: Netzwerk: Wie Server vor Nutzung von banachbarten IP-Adressen schützen?

    Ich habe eben bei einem bekannten Hoster nachgefragt:

    Die verwenden Vlans pro Kundenserver und Filterung Mac-Adressen und der Zugehörigen IP.
     
  9. smartTERRA GmbH Falk

    smartTERRA GmbH Falk Eingetragener Provider

    Registriert seit:
    23. Dezember 2000
    Beiträge:
    4.240
    Ort:
    Düsseldorf
    Firmenname:
    smartTERRA GmbH
    Anbieterprofil:
    Klick
    AW: Netzwerk: Wie Server vor Nutzung von banachbarten IP-Adressen schützen?

    Warum sollte ich das tun? Jeder Kunde hat bei mir mindestens sein /29 und sein eigenes VLAN. Wenn er mehr Server hat, ein entsprechend grösseres Netz. Aber ich betreibe doch nicht mehrere unterschiedliche Kunden im gleichen VLAN.

    Aber einer gewissen Masse sind aber die zur Verfügung stehenden VLAN IDs erschöpft, dann muss man sich etwas anderes überlegen.

    Schönen Gruß aus Duisburg,

    Falk Brockerhoff
     
  10. Virtualist

    Virtualist New Member

    Registriert seit:
    15. Mai 2009
    Beiträge:
    459
    Ort:
    Lehrte / Hannover
    Zuletzt bearbeitet: 18. Februar 2010
  11. kse

    kse New Member

    Registriert seit:
    9. September 2007
    Beiträge:
    64
    AW: Netzwerk: Wie Server vor Nutzung von banachbarten IP-Adressen schützen?

    Das war auch nicht explizit auf dich bezogen, sonder eher im allgemeinen gesprochen um klar zu machen das die Separierung in vlans nur unter gewissen Rahmenbedingungen Schutz vor IP-Klau bietet. Nämlich nur dann wenn möglichst wenig kunden in einem vlan sind. 8dh hat ja nicht mitgeteilt bei welchen Provider er ist. wir wissen nicht ob er eine eigene Umgebung bei einem Anbieter der auf Spieziallösungen ausgerichtet ist hat, oder einen Standard Dedicatedserver bei einem Anbieter der eher für Privatkunden ausgerichtet ist und die Separierung durch vlans größer angeht (jedes dedic netz z.b. ein /24, was dnan auch 1 vlan ist).

    Wenn jeder Kunde ein eigenes Vlan bekommt ist das durchaus eine gangbare Lösung. Wenn aber eben Dedicatednetze wie es z.b. strato, 1und1, hosteurope etc.. tun betrieben werden, ist es einfach nicht möglich jedem Kunden ein eigenes vlan zu geben. (allein schon weil einem früher oder später die vlans ausgehen und der Serverraum gerade mal zur Hälfte voll ist)
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen