# Netzwerkstrukturierung (Separation of concerns)



## NeoCortex (28 Februar 2022)

Ich weiß nicht genau, wie sinnvoll die Frage ist und ich beschäftige mich hier nur in einem halbwegs hypothetischen Scenario. 
Ich möchte mir als Konzept überlegen, wie man günstig und sinnvoll sein Netzwerk sinnvoll absichern kann. 
Und Achtung, ich fang grad erst an mich damit zu beschäftigen und gehe meistens ganz naiv von meiner intuitiven Annahme aus. Also bitte verschont mich ein bisschen wenn ich irgendwas falsch verstanden habe. 

Ich möchte ein Netzwerk gegen "Angriffe" sichern. Für den Heimgebrauch wird meine Herangehensweise wahrscheinlich ein kleines bisschen übertrieben sein. 
Ich möchte das Netzwerk nach dem Prinzip "Separation of concerns" aufteilen, so dass jede Art von Geräten ihre eigene, getrennte Umgebung bekommt. Wenn möglich würde ich gern sog. vlans oder virtuelle LANs benutzen. Vlans haben den Vorteil, dass sie günstig sind und dass sie sich leicht configurieren lassen. 
Die Steuerungen müssen selbst keine vlans unterstützen, da eigentlich alle managed switche vlan tagging unterstützen, damit auch Geräte die das nicht können daran funktionieren. 

Ich möchte gern für folgende Zwecke jeweils eigene Vlans verwenden und dann im Router/Firewall nur die sinnvolle Kommunikation zwischen den vlans erlauben. Ich schreib mal aus Spaß vlan ids dazu, auch wenn die nicht so wichtig sind. 

10 - Steuerungen
20 - Infrastruktur 
30 - Kameras
40 - stationäre Geräte 
50 - mobile Geräte 
60 - iot Geräte 
70 - Gäste 

Ich weiß, dass die Teilung zwischen 40 und 50 nicht notwendig ist, aber ich bin davon ausgegangen, dass Handys, Tablets und so nicht unbedingt immer sicher sind und man diese besonders schützen sollte. 

Weswegen ich schreibe ist die Verbindung zwischen 10 und 40. Der PC der zum programmieren der Steuerungen benutzt wird ist ein normaler PC und gehört deshalb in vlan 40. Um die Steuerungen zu erreichen muss er dann aber mit vlan 10 reden. 

Jetzt gibt es einen Punkt wo ich beim fixen googlen keine sinnvolle Antwort finden konnte:
Kann ich windows mitteilen, dass er da einen trunc Port mit mindestens 2 Vlans hat und windows bekommt das hin, dass die engineering Software (In meinem Beispiel Tia) immer ein spezielles vlan bekommt?

Oder sollte ich lieber zwei switch ports für diesen PC reservieren und den PC mit einer dual netzwerk Karte ausstatten, damit man die ganze netzwerk Karte von vlan 10 an tia geben kann. Ich gehe hier auch mal davon aus, dass andere engineering Software genauso primitiv oder fortschrittlich ist was das angeht. 

Ich bin auch davon ausgegangen, dass die Steuerungen abgesehen von z.B. Siemens iot2000 oder et200 open controller irgendwie mit vlans direkt umgehen können. Wieso sollten sie saß uch müssen, dafür sind sie nicht gedacht. 

Ihr dürft gern davon ausgehen, dass ich in der Lage bin mit Windows umzugehen und dass überall mindestens Windows 10 läuft. Außerdem kann ich mit dem von mir gewählten router und den switches umgehen. 
Außerdem bin ich in der Lage die Firewall zu configurieren, dass nur sinnvolle Kommunikation möglich ist. 

Mir würde es auch genügen, wenn ihr mir lesestoff zum Thema sps und netzwerkicherheit geben würdet wo sowas potentiell drin steht.


----------



## Plan_B (28 Februar 2022)

Der Sinn einer solchen Teilung liegt IMHO darin, zu kontrollieren, wer mit wem wohin telefoniert.
Ergo würde ich alle Verbindungen über einen Router mit Firewall laufen lassen zwischen den VLAN.
Bedeutet, dass der PC, der zum programmieren benutzt wird, ganz normal alle seine Anfragen bzgl. VLAN 10 an sein Gateway sendet.

Die Firewall entscheidet dann, ob er das darf und routet entsprechend.
So benötigt auch kein Rechner VLAN-fähige Netzwerkkarten. Kniffelig wird es, wenn Protokolle nicht routingfähig sind, z.B. Broadcasts, Beckhoff AMS.

Dann wird u.U. so eine Lösung, wie von Dir angedacht erforderlich, die aber dann teilweise Dein Sicherheitskonzept aushebeln könnte.
Die Trunc-Lösung auf der Netzwerkkarte erfordert IMHO keine weiteren Maßnahmen, denn wenn die Software die IP des Steuerungsnetzes anspricht, wählt windows dann schonm den rechten Pfad. In so einer Konfi könnte der Rechner aber als Bridge zwischen den eigentlich getrennten Netzen fungieren. Und das willst Du ja augenscheinlich nicht.


----------



## NeoCortex (28 Februar 2022)

Davon war mir das Meiste eigentlich schon klar gewesen/ Ich hab damit gerechnet, auch wenn ich anderes gehofft hatte. 

Ich dachte es sei einfacher, wenn man den PC in beide vlans steckt, als wenn man alles raussucht was notwendig ist, damit zum Beispiel Tia mit einer S7 reden kann. Ich denke nämlich dass - da es ja um ein privates Netzwerk geht - der Besitzer wahrscheinlich ohne großes Fachwissen darin rum configurieren wird. 
Das bietet Potential, dass dann in Zukunft der Hersteller der Steuerung was ändert und plötzlich geht nix mehr. Dem würde ich gern vorbeugen und hatte die Lösung alles über die Firewall zu schicken nicht vorgeschlagen. 

Danke für die Info mit den Boradcasts, die hatte ich garnicht auf dem Schirm. Auch der Hinweis auf Beckhoff ist super! In meinem Fiktiven Beispiel will ich mir verschiedene Steuerungen anschauen. 

Da ich es gewohnt bin dass alles einfach funktioniert wusste ich auch nicht, dass man spezielle Hardware für vlans braucht, das das bei mir eigentlich auf jedem PC bisher wunderbar mit Software treibern funktioniert hatte.


----------



## JoGi65 (1 März 2022)

Hab das eine Zeitlang gehabt, ist aber recht nervig. Zum Beispiel wähle ich am PC die Nummern vom Handy oder synche die Fotos. Die Webcams müssen prog. werden,  genauso wie alle andern Geräte. Irgendwohin sollen sie dann schreiben,  wo man auch wieder lesen muss. Der Wechselrichter braucht ein Update usw. Somit müssen einige Teile miteinander sprechen die Du trennen willst. 
Besser wenige Vlans für Gäste und ev ein Schrottgeräte Vlan. Den Rest bei Bedarf über den Router/Firewall sperren.


----------

