Overdesign van netwerk

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Plaats reactie
Gebruikersavatar
devilkin
Elite Poster
Elite Poster
Berichten: 4884
Lid geworden op: 17 mei 2006, 20:10
Uitgedeelde bedankjes: 551 keer
Bedankt: 341 keer
Contacteer:

Hoi,

Ik was recent eens een checkup aan't doen van mijn intern netwerk... en vraag me af of het niet wat overdesigned (en, met gevolg, hard(er) to maintain) is.

Heb ik momenteel qua networks:
  • WAN: modem van Telenet hangt daar nu aan
  • Management: hierop zit mijn network infrastructuur / network management. Enkel accessible vanaf LAN.
  • DMZ: voorzien, maar momenteel unused.
  • VOIP: Specifiek voor VOIP. Is eigenlijk identiek aan untrusted, maar wegens hardware limitaties van mijn router (USG-3) als je de 2e lan poort gebruikt werd dit een apart netwerk.
  • LAN: Intern netwerk, dingen ik die ik in eigen beheer heb. PC's, laptops, ebook readers, gsm's, ...
    Alles is toegelaten op dat netwerk. NTP is enkel toegelaten naar mijn eigen NTP server, DNS idem (dus andere DNS traffic wordt geredirect naar interne DNS)
  • Untrusted: dingen die ik niet in eigen beheer heb (denk maar aan omvormer zonnepanelen)
    Is volledig afgeschermd van intern netwerk, enkel DHCP traffic allowed naar de router, voorts enkel internet. Geen incoming traffic, enkel related/established. Ook niet van LAN.
  • IoT: zaken zoals chromecasts, Ikea TRADFRI hub, Logitech Hub.
    Enkel specifieke ip's / poorten zijn toegelaten naar intern netwerk
    Ook is NTP/DNS enkel toegelaten naar interne servers. Traffic van LAN is toegelaten.
  • VPN: incoming VPN gaat daarop, enkel specifieke poorten toegelaten naar andere zaken intern
  • Guest: guest vlan voor .. gasten.
    In vele opzichten identiek aan untrusted, maar dan op wifi.
Ben ik nu echt over the top aan't gaan hiermee? ;)
Ik vraag me ook af in hoeverre het afschermen van de iot devices die ik heb nuttig is.

(EDIT: management/guest/voip/dmz toegevoegd, die was ik nog vergeten)
Laatst gewijzigd door devilkin 15 aug 2019, 11:49, in totaal 2 gewijzigd.
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
Gebruikersavatar
mailracer
Elite Poster
Elite Poster
Berichten: 3870
Lid geworden op: 23 feb 2010, 21:03
Uitgedeelde bedankjes: 224 keer
Bedankt: 318 keer

over the top ? ....... Neeen. absoluut niet. :-D Als het op veiligheid aan komt, kan je niet genoeg beheren.
Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 2417
Lid geworden op: 14 nov 2008, 08:22
Twitter: KrSi78
Locatie: Brugge
Uitgedeelde bedankjes: 208 keer
Bedankt: 152 keer

Ziet er goed uit en helemaal niet over-the-top.
IoT zou ik helemaal dichtzetten richting internet, eventueel muv. NTP, tenzij je deze met een app moet besturen. Je wil niet dat een WiFi-schakelaar zomaar vanuit China geschakeld kan worden...
Computer(k)nul
Gebruikersavatar
devilkin
Elite Poster
Elite Poster
Berichten: 4884
Lid geworden op: 17 mei 2006, 20:10
Uitgedeelde bedankjes: 551 keer
Bedankt: 341 keer
Contacteer:

Sinna schreef:Ziet er goed uit en helemaal niet over-the-top.
IoT zou ik helemaal dichtzetten richting internet, eventueel muv. NTP, tenzij je deze met een app moet besturen. Je wil niet dat een WiFi-schakelaar zomaar vanuit China geschakeld kan worden...
Wifi schakelaars heb ik momenteel niet. Traffic incoming van internet is niet toegelaten, enkel vanaf LAN netwerk. (established/related is een andere zaak, want bvb die tradfri hub moet wel z'n firmware updates kunnen pullen)
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
CCatalyst
Elite Poster
Elite Poster
Berichten: 6659
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 18 keer
Bedankt: 386 keer

devilkin schreef:en vraag me af of het niet wat overdesigned (en, met gevolg, hard(er) to maintain) is
Als je meent dat het teveel energie/tijd kost om te onderhouden, best zoveel materiaal van 1 vendor gebruiken zodat je centraal kunt beheren, e.g. met Cisco Prime Infrastructure, Ubiquiti Unifi of UNMS, of een andere SD-WAN oplossing dat elke vendor tegenwoordig heeft. Voor apparaten van andere vendors kan je dan bv nog beheren via SNMP, bv met Cisco Prime.

Dan blijven enkel nog consumentenapparaten over zoals die IoT toestellen. Zoveel mogelijk automatiseren van updates, als je syslog output kan krijgen dat configureren naar een syslog server. Aan HomeKit koppelen voor iets van centraal beheer indien het ondersteund wordt. Veel meer kan je dan niet meer doen.

Voor het overige lijkt me dit ook niet overdesigned, denk dat dit redelijk overeenkomt met wat sommige andere geavanceerde forumleden zullen hebben. Bij mij is het bv zeer gelijkaardig, met nog enkele GRE tunnels naar andere fysieke sites en de cloud erbij.
Gebruikersavatar
devilkin
Elite Poster
Elite Poster
Berichten: 4884
Lid geworden op: 17 mei 2006, 20:10
Uitgedeelde bedankjes: 551 keer
Bedankt: 341 keer
Contacteer:

Het is een ubiquiti (unifi) setup, best wel tevreden van.

Sent from my ONEPLUS A6003 using Tapatalk
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
Jorinde
Starter
Starter
Berichten: 10
Lid geworden op: 15 aug 2019, 17:58
Uitgedeelde bedankjes: 1 keer

Radius lijkt me een leuke feature, maar momenteel heb ik er de tijd niet voor
Gebruikersavatar
devilkin
Elite Poster
Elite Poster
Berichten: 4884
Lid geworden op: 17 mei 2006, 20:10
Uitgedeelde bedankjes: 551 keer
Bedankt: 341 keer
Contacteer:

Daar heb ik even naar zitten kijken. Voor mobiele clients is het een redelijke nobrainer, maar voor fixed clients valt het tegen, zeker in de unifi gui. Of je moet een externe database gebruiken. (in de builtin radius dB kan je geen comments mee geven, en gezien die geauth worden adhv mac address... Niet zo transparant)

Sent from my ONEPLUS A6003 using Tapatalk
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
Plaats reactie

Terug naar “Netwerken en Security”