Overdesign van netwerk

Gebruikersavatar
devilkin
Elite Poster
Elite Poster
Berichten: 2046
Lid geworden op: 17 Mei 2006
Twitter: jdeluyck
Locatie: Gent
Bedankt: 77 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 172 keer
Contact:

Overdesign van netwerk

Berichtdoor devilkin » 2 dagen 11 uur 44 minuten geleden (15 Aug 2019, 11:20)

Hoi,

Ik was recent eens een checkup aan't doen van mijn intern netwerk... en vraag me af of het niet wat overdesigned (en, met gevolg, hard(er) to maintain) is.

Heb ik momenteel qua networks:
  • WAN: modem van Telenet hangt daar nu aan
  • Management: hierop zit mijn network infrastructuur / network management. Enkel accessible vanaf LAN.
  • DMZ: voorzien, maar momenteel unused.
  • VOIP: Specifiek voor VOIP. Is eigenlijk identiek aan untrusted, maar wegens hardware limitaties van mijn router (USG-3) als je de 2e lan poort gebruikt werd dit een apart netwerk.
  • LAN: Intern netwerk, dingen ik die ik in eigen beheer heb. PC's, laptops, ebook readers, gsm's, ...
    Alles is toegelaten op dat netwerk. NTP is enkel toegelaten naar mijn eigen NTP server, DNS idem (dus andere DNS traffic wordt geredirect naar interne DNS)
  • Untrusted: dingen die ik niet in eigen beheer heb (denk maar aan omvormer zonnepanelen)
    Is volledig afgeschermd van intern netwerk, enkel DHCP traffic allowed naar de router, voorts enkel internet. Geen incoming traffic, enkel related/established. Ook niet van LAN.
  • IoT: zaken zoals chromecasts, Ikea TRADFRI hub, Logitech Hub.
    Enkel specifieke ip's / poorten zijn toegelaten naar intern netwerk
    Ook is NTP/DNS enkel toegelaten naar interne servers. Traffic van LAN is toegelaten.
  • VPN: incoming VPN gaat daarop, enkel specifieke poorten toegelaten naar andere zaken intern
  • Guest: guest vlan voor .. gasten.
    In vele opzichten identiek aan untrusted, maar dan op wifi.

Ben ik nu echt over the top aan't gaan hiermee? ;)
Ik vraag me ook af in hoeverre het afschermen van de iot devices die ik heb nuttig is.

(EDIT: management/guest/voip/dmz toegevoegd, die was ik nog vergeten)
Laatst gewijzigd door devilkin op 15 Aug 2019, 11:49, 2 keer totaal gewijzigd.
Telenet Whoppa -- using Ubiquiti USG-3
Mobile Vikings & Proximus-- Using OnePlus 6 (ROM: Stock)

Gebruikersavatar
mailracer
Elite Poster
Elite Poster
Berichten: 3269
Lid geworden op: 23 Feb 2010
Bedankt: 258 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 198 keer

Re: Overdesign van netwerk

Berichtdoor mailracer » 2 dagen 11 uur 20 minuten geleden (15 Aug 2019, 11:44)

over the top ? ....... Neeen. absoluut niet. :-D Als het op veiligheid aan komt, kan je niet genoeg beheren.

Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 1595
Lid geworden op: 14 Nov 2008
Locatie: Brugge
Bedankt: 98 keer
Uitgedeelde bedankjes: 99 keer

Re: Overdesign van netwerk

Berichtdoor Sinna » 2 dagen 11 uur 16 minuten geleden (15 Aug 2019, 11:48)

Ziet er goed uit en helemaal niet over-the-top.
IoT zou ik helemaal dichtzetten richting internet, eventueel muv. NTP, tenzij je deze met een app moet besturen. Je wil niet dat een WiFi-schakelaar zomaar vanuit China geschakeld kan worden...
Computer(k)nul

Gebruikersavatar
devilkin
Elite Poster
Elite Poster
Berichten: 2046
Lid geworden op: 17 Mei 2006
Twitter: jdeluyck
Locatie: Gent
Bedankt: 77 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 172 keer
Contact:

Re: Overdesign van netwerk

Berichtdoor devilkin » 2 dagen 11 uur 14 minuten geleden (15 Aug 2019, 11:50)

Sinna schreef:Ziet er goed uit en helemaal niet over-the-top.
IoT zou ik helemaal dichtzetten richting internet, eventueel muv. NTP, tenzij je deze met een app moet besturen. Je wil niet dat een WiFi-schakelaar zomaar vanuit China geschakeld kan worden...


Wifi schakelaars heb ik momenteel niet. Traffic incoming van internet is niet toegelaten, enkel vanaf LAN netwerk. (established/related is een andere zaak, want bvb die tradfri hub moet wel z'n firmware updates kunnen pullen)
Telenet Whoppa -- using Ubiquiti USG-3
Mobile Vikings & Proximus-- Using OnePlus 6 (ROM: Stock)

CCatalyst
Elite Poster
Elite Poster
Berichten: 2131
Lid geworden op: 20 Jun 2016
Bedankt: 192 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 8 keer

Re: Overdesign van netwerk

Berichtdoor CCatalyst » 2 dagen 10 uur 2 minuten geleden (15 Aug 2019, 13:02)

devilkin schreef:en vraag me af of het niet wat overdesigned (en, met gevolg, hard(er) to maintain) is


Als je meent dat het teveel energie/tijd kost om te onderhouden, best zoveel materiaal van 1 vendor gebruiken zodat je centraal kunt beheren, e.g. met Cisco Prime Infrastructure, Ubiquiti Unifi of UNMS, of een andere SD-WAN oplossing dat elke vendor tegenwoordig heeft. Voor apparaten van andere vendors kan je dan bv nog beheren via SNMP, bv met Cisco Prime.

Dan blijven enkel nog consumentenapparaten over zoals die IoT toestellen. Zoveel mogelijk automatiseren van updates, als je syslog output kan krijgen dat configureren naar een syslog server. Aan HomeKit koppelen voor iets van centraal beheer indien het ondersteund wordt. Veel meer kan je dan niet meer doen.

Voor het overige lijkt me dit ook niet overdesigned, denk dat dit redelijk overeenkomt met wat sommige andere geavanceerde forumleden zullen hebben. Bij mij is het bv zeer gelijkaardig, met nog enkele GRE tunnels naar andere fysieke sites en de cloud erbij.

Gebruikersavatar
devilkin
Elite Poster
Elite Poster
Berichten: 2046
Lid geworden op: 17 Mei 2006
Twitter: jdeluyck
Locatie: Gent
Bedankt: 77 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 172 keer
Contact:

Re: Overdesign van netwerk

Berichtdoor devilkin » 2 dagen 8 uur 4 minuten geleden (15 Aug 2019, 15:01)

Het is een ubiquiti (unifi) setup, best wel tevreden van.

Sent from my ONEPLUS A6003 using Tapatalk
Telenet Whoppa -- using Ubiquiti USG-3
Mobile Vikings & Proximus-- Using OnePlus 6 (ROM: Stock)

Jorinde
Starter
Starter
Berichten: 8
Lid geworden op: 15 Aug 2019
Uitgedeelde bedankjes: 1 keer

Re: Overdesign van netwerk

Berichtdoor Jorinde » 2 dagen 2 uur 4 minuten geleden (15 Aug 2019, 21:00)

Radius lijkt me een leuke feature, maar momenteel heb ik er de tijd niet voor

Gebruikersavatar
devilkin
Elite Poster
Elite Poster
Berichten: 2046
Lid geworden op: 17 Mei 2006
Twitter: jdeluyck
Locatie: Gent
Bedankt: 77 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 172 keer
Contact:

Re: Overdesign van netwerk

Berichtdoor devilkin » 1 dag 23 uur 52 minuten geleden (15 Aug 2019, 23:13)

Daar heb ik even naar zitten kijken. Voor mobiele clients is het een redelijke nobrainer, maar voor fixed clients valt het tegen, zeker in de unifi gui. Of je moet een externe database gebruiken. (in de builtin radius dB kan je geen comments mee geven, en gezien die geauth worden adhv mac address... Niet zo transparant)

Sent from my ONEPLUS A6003 using Tapatalk
Telenet Whoppa -- using Ubiquiti USG-3
Mobile Vikings & Proximus-- Using OnePlus 6 (ROM: Stock)


Terug naar “Netwerken en Security”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 0 gasten