Arama Yap Mesaj Gönder
Biz Sizi Arayalım
+90
X

Wählen Sie Ihr Land

Turkey (Türkçe)Turkey (Türkçe) Germany (German)Germany (German) Worldwide (English)Worldwide (English)
X

Wählen Sie Ihre Währung

Türk Lirası $ US Dollar Euro
X

Wählen Sie Ihr Land

Turkey (Türkçe)Turkey (Türkçe) Germany (German)Germany (German) Worldwide (English)Worldwide (English)
X

Wählen Sie Ihre Währung

Türk Lirası $ US Dollar Euro

Wissensdatenbank

Startseite Wissensdatenbank Allgemein Wie man IP-Subnetze in Firewall-Reg...

Bize Ulaşın

Konum Halkalı merkez mahallesi fatih cd ozgur apt no 46 , Küçükçekmece , İstanbul , 34303 , TR
Telefon +90 850 888 83 42
WhatsApp +90 850 307 34 58
E-posta [email protected]

Wie man IP-Subnetze in Firewall-Regeln verwendet.

Warum werden IP-Subnetze in Firewalls verwendet?

Der Hauptzweck der Verwendung von IP-Subnetzen (Teilnetzen) in Firewalls besteht darin, den Netzwerkverkehr granularer zu steuern. Subnetze unterteilen einen großen IP-Adressblock in kleinere, verwaltbare Teile. Dadurch können Sie spezifische Regeln für Geräte in einem bestimmten Subnetz definieren und festlegen, auf welche Ressourcen diese Geräte zugreifen können oder welche Art von Datenverkehr sie senden dürfen.

  • Sicherheit: Sie können den unbefugten Zugriff verhindern, indem Sie Subnetze mit sensiblen Daten isolieren.
  • Leistung: Durch die Segmentierung des Netzwerkverkehrs können Sie Netzwerküberlastungen reduzieren und die Leistung verbessern.
  • Verwaltbarkeit: Kleinere Subnetze erleichtern die Netzwerkverwaltung und Fehlerbehebung.

Beispielsweise können die Buchhaltungsabteilung und die Marketingabteilung eines Unternehmens in verschiedenen Subnetzen angesiedelt sein. Dem Subnetz der Buchhaltungsabteilung wird nur der Zugriff auf bestimmte Server gewährt, während dem Subnetz der Marketingabteilung ein breiterer Zugriff gewährt werden kann.

Was ist ein IP-Subnetz und wie funktioniert es?

Ein IP-Subnetz ist ein logisch unterteilter Teil eines IP-Netzwerks. Subnetze werden mithilfe einer IP-Adresse und einer Subnetzmaske definiert. Die Subnetzmaske gibt an, welche Bits der IP-Adresse die Netzwerkadresse und welche Bits die Hostadresse darstellen.

Beispielsweise hat der IP-Block 192.168.1.0/24 die Netzwerkadresse 192.168.1.0 und die Subnetzmaske 255.255.255.0. Der Ausdruck "/24" gibt an, dass die ersten 24 Bits der Subnetzmaske "1" sind. Dies bedeutet, dass die ersten 24 Bits der IP-Adresse (192.168.1) die Netzwerkadresse und die letzten 8 Bits die Hostadresse darstellen. In diesem Subnetz gibt es 254 verfügbare Hostadressen (192.168.1.1 - 192.168.1.254).

Um die Subnetzmaske besser zu verstehen, können Sie die folgende Tabelle betrachten:

Subnetzmaske CIDR-Notation Anzahl der verfügbaren Hosts
255.255.255.0 /24 254
255.255.255.128 /25 126
255.255.255.192 /26 62
255.255.255.224 /27 30

Wenn ein Gerät mit einer IP-Adresse und einer Subnetzmaske konfiguriert ist, kann es feststellen, ob sich die Ziel-IP-Adresse im selben Subnetz befindet. Wenn sich die Ziel-IP-Adresse im selben Subnetz befindet, kann das Gerät Daten direkt an das Ziel senden. Wenn sich die Ziel-IP-Adresse in einem anderen Subnetz befindet, sendet das Gerät die Daten an das Standard-Gateway. Das Gateway leitet den Datenverkehr zwischen verschiedenen Subnetzen weiter.

Wie werden IP-Subnetz-basierte Regeln in einer Firewall definiert?

Das Definieren von IP-Subnetz-basierten Regeln in einer Firewall umfasst in der Regel die folgenden Schritte:

  1. Auf die Firewall zugreifen: Melden Sie sich über einen Webbrowser oder ein Protokoll wie SSH an der Verwaltungsoberfläche der Firewall an.
  2. Zum Regelbereich navigieren: Suchen Sie den Regelverwaltungsbereich der Firewall. Dieser Abschnitt wird oft als "Firewall", "Sicherheitsregeln", "Zugriffskontrolle" usw. bezeichnet.
  3. Neue Regel erstellen: Klicken Sie auf die Option, eine neue Regel zu erstellen.
  4. Quelle definieren: Geben Sie an, welcher Subnetz der Datenverkehr durch die Regel beeinflusst wird. Als Quelle können Sie eine Subnetzadresse (z. B. 192.168.1.0/24) oder einen IP-Adressbereich (z. B. 192.168.1.10 - 192.168.1.50) angeben.
  5. Ziel definieren: Geben Sie an, welcher Subnetz oder welche IP-Adresse der Datenverkehr durch die Regel beeinflusst wird.
  6. Dienst definieren: Geben Sie an, welches Protokoll (z. B. TCP, UDP, ICMP) und welche Portnummer (z. B. 80, 443, 22) den durch die Regel beeinflussten Datenverkehr verwenden.
  7. Aktion definieren: Geben Sie an, was die Regel mit dem Datenverkehr tun soll. Es gibt in der Regel Optionen wie "Allow" (zulassen), "Deny" (verweigern) oder "Reject" (ablehnen). "Allow" lässt den Datenverkehr zu, während "Deny" und "Reject" den Datenverkehr blockieren. "Reject" sendet außerdem eine Fehlermeldung an den Absender.
  8. Regel speichern und aktivieren: Vergessen Sie nicht, die Regel nach dem Speichern zu aktivieren. Einige Firewalls aktivieren Regeln automatisch, während Sie sie bei anderen manuell aktivieren müssen.

Beispiel: Um eine Regel zu erstellen, die den Zugriff von Datenverkehr aus dem Subnetz 192.168.1.0/24 auf den Webserver unter der Adresse 10.0.0.10 (Port 80 und 443) erlaubt, können Sie die folgenden Schritte ausführen:

  1. Auf die Firewall zugreifen.
  2. Zum Regelverwaltungsbereich navigieren.
  3. Eine neue Regel erstellen.
  4. 192.168.1.0/24 als Quelle angeben.
  5. 10.0.0.10 als Ziel angeben.
  6. TCP-Port 80 und 443 als Dienst angeben.
  7. "Allow" als Aktion auswählen.
  8. Regel speichern und aktivieren.

Beispiele für die Subnetzdefinition in verschiedenen Firewall-Produkten

Verschiedene Firewall-Produkte können unterschiedliche Schnittstellen und Befehle für die Subnetzdefinition verwenden. Hier sind einige Beispiele für die Subnetzdefinition in beliebten Firewall-Produkten:

Cisco ASA


object network WEB_SERVER
 host 10.0.0.10
object network INTERNAL_NETWORK
 subnet 192.168.1.0 255.255.255.0

access-list INSIDE_OUT extended permit tcp object INTERNAL_NETWORK object WEB_SERVER eq www
access-list INSIDE_OUT extended permit tcp object INTERNAL_NETWORK object WEB_SERVER eq https
access-group INSIDE_OUT in interface inside

In diesem Beispiel werden zuerst zwei Objekte namens "WEB_SERVER" und "INTERNAL_NETWORK" definiert. Das Objekt "WEB_SERVER" repräsentiert die IP-Adresse 10.0.0.10, während das Objekt "INTERNAL_NETWORK" das Subnetz 192.168.1.0/24 repräsentiert. Anschließend wird eine Zugriffsliste namens "INSIDE_OUT" erstellt, die TCP-Traffic (Port 80 und 443) vom Subnetz "INTERNAL_NETWORK" zur Adresse "WEB_SERVER" zulässt.

iptables (Linux Firewall)


iptables -A INPUT -s 192.168.1.0/24 -d 10.0.0.10 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -d 10.0.0.10 -p tcp --dport 443 -j ACCEPT

In diesem Beispiel wird mit dem Befehl "iptables" TCP-Traffic (Port 80 und 443) vom Subnetz 192.168.1.0/24 zur Adresse 10.0.0.10 zugelassen. Der Parameter "-A INPUT" gibt an, dass die Regel den eingehenden Traffic beeinflusst. Der Parameter "-s" gibt die Quell-IP-Adresse oder das Subnetz an. Der Parameter "-d" gibt die Ziel-IP-Adresse an. Der Parameter "-p" gibt das Protokoll an. Der Parameter "--dport" gibt die Zielportnummer an. Der Parameter "-j ACCEPT" gibt an, dass der Traffic zugelassen wird.

pfSense

pfSense verfügt über eine webbasierte Oberfläche. Um ein Subnetz zu definieren, gehen Sie zu "Firewall" -> "Rules" und erstellen Sie eine neue Regel. Wählen Sie im Bildschirm zur Regelerstellung im Abschnitt "Source" als "Type" "Network" aus und geben Sie die Subnetzadresse ein (z. B. 192.168.1.0/24). Geben Sie im Abschnitt "Destination" die Ziel-IP-Adresse oder das Subnetz an. Geben Sie in den Abschnitten "Protocol" und "Destination port range" das entsprechende Protokoll und die Portnummern an. Wählen Sie abschließend im Abschnitt "Action" die Option "Pass" (zulassen) und speichern Sie die Regel.

Bedeutung von IP-Subnetzen für die Sicherheit und Best Practices

IP-Subnetze sind ein wichtiges Werkzeug zur Erhöhung der Netzwerksicherheit. Wenn sie jedoch nicht korrekt konfiguriert sind, können sie Sicherheitslücken verursachen. Hier sind einige Best Practices, die bei der Verwendung von IP-Subnetzen zu beachten sind:

  • Subnetze planvoll erstellen: Erstellen Sie Subnetze planvoll, basierend auf den Anforderungen Ihres Netzwerks. Bewahren Sie beispielsweise Geräte, die sensible Daten enthalten, in einem separaten Subnetz auf.
  • Das Prinzip der geringsten Privilegien anwenden: Gewähren Sie jedem Subnetz nur Zugriff auf die Ressourcen, die es benötigt. Vermeiden Sie unnötige Zugriffsberechtigungen.
  • Firewall-Regeln regelmäßig überprüfen: Überprüfen und aktualisieren Sie die Firewall-Regeln regelmäßig. Entfernen Sie unnötige oder falsch konfigurierte Regeln.
  • Netzwerküberwachung und -protokollierung aktivieren: Überwachen Sie den Netzwerkverkehr und analysieren Sie die Protokolle regelmäßig. Verwenden Sie Sicherheitswerkzeuge, um anormale Aktivitäten zu erkennen.
  • Kommunikation zwischen Subnetzen kontrollieren: Kontrollieren Sie die Kommunikation zwischen Subnetzen mit Firewall-Regeln. Blockieren Sie unnötige Kommunikation zwischen Subnetzen.
  • Subnetzmasken korrekt konfigurieren: Konfigurieren Sie die Subnetzmasken korrekt. Falsch konfigurierte Subnetzmasken können zu Netzwerkproblemen und Sicherheitslücken führen.

Beispiel aus der Praxis: Ein Einzelhandelsunternehmen bewahrt einen Datenbankserver, auf dem Kundendaten gespeichert sind, in einem separaten Subnetz auf. Nur autorisiertes Personal hat Zugriff auf dieses Subnetz. Darüber hinaus wird der Datenverkehr in diesem Subnetz regelmäßig überwacht und protokolliert. Dadurch wird die Sicherheit der Kundendaten gewährleistet.

IP-Subnetz und VLAN im Vergleich

IP-Subnetze und VLANs (Virtual LAN) sind zwei verschiedene Technologien, die verwendet werden, um den Netzwerkverkehr zu segmentieren. Beide können dazu beitragen, die Netzwerksicherheit zu erhöhen und die Leistung zu verbessern. Ihre Funktionsprinzipien und Anwendungsbereiche sind jedoch unterschiedlich.

Merkmal IP-Subnetz VLAN
Arbeitsschicht Netzwerkschicht (Schicht 3) Datenverbindungsschicht (Schicht 2)
Segmentierungsmethode Logische IP-Adressierung Physische Ports oder MAC-Adressen
Routing Erforderlich (Router oder Schicht-3-Switch) Nicht erforderlich (Geräte innerhalb desselben VLAN können direkt kommunizieren)
Sicherheit Wird durch Firewall-Regeln gewährleistet Bietet grundlegende Isolation, aber eine Firewall kann erforderlich sein
Flexibilität Flexibler (Verwaltung über IP-Adressen) Weniger flexibel (abhängig von physischen Verbindungen)

IP-Subnetz: IP-Subnetze arbeiten auf der Netzwerkschicht (Schicht 3) und segmentieren das Netzwerk mithilfe logischer IP-Adressierung. Für die Kommunikation zwischen verschiedenen Subnetzen ist ein Router oder ein Schicht-3-Switch erforderlich. IP-Subnetze bieten eine flexiblere Segmentierungsmethode und ermöglichen die Anwendung detaillierterer Sicherheitsrichtlinien durch Firewall-Regeln.

VLAN: VLANs arbeiten auf der Datenverbindungsschicht (Schicht 2) und segmentieren das Netzwerk mithilfe von physischen Ports oder MAC-Adressen. Geräte innerhalb desselben VLANs können direkt miteinander kommunizieren, während die Kommunikation zwischen verschiedenen VLANs einen Router oder einen Schicht-3-Switch erfordert. VLANs bieten eine grundlegende Isolation, aber für detailliertere Sicherheitsrichtlinien kann eine Firewall erforderlich sein.

Wann sollte man was verwenden?

  • IP-Subnetz: Ideal in komplexen Netzwerken, um Geräte mit unterschiedlichen Sicherheitsanforderungen zu segmentieren und detaillierte Sicherheitsrichtlinien anzuwenden.
  • VLAN: Kann in einfachen Netzwerken verwendet werden, um den Netzwerkverkehr zu segmentieren und den Broadcast-Verkehr zu reduzieren. Es kann auch verwendet werden, um Geräte, die sich physisch an verschiedenen Standorten befinden, im selben Netzwerk zu vereinen.

IP-Subnetz-Berechnungstools und deren Verwendung

Die IP-Subnetz-Berechnung ist ein Prozess, der verwendet wird, um zu bestimmen, zu welchem Subnetz eine IP-Adresse gehört, die Subnetzmaske und die verfügbaren Host-Adressen. Dieser Vorgang kann manuell durchgeführt werden, aber es können auch Online-Subnetz-Berechnungstools verwendet werden.

Online-Subnetz-Berechnungstools:

  • Subnet Calculator: Diese Tools sind auf verschiedenen Online-Plattformen verfügbar und berechnen die Netzwerkadresse, die Broadcast-Adresse, die verfügbaren Host-Adressen und andere relevante Informationen, wenn Sie eine IP-Adresse und eine Subnetzmaske eingeben.
  • IP Calculator: Diese Tools werden für umfassendere IP-Berechnungen verwendet und können neben der Subnetz-Berechnung auch IP-Adressen konvertieren, CIDR-Berechnungen durchführen usw.

Subnetz-Berechnungsschritte (Manuell):

  1. IP-Adresse und Subnetzmaske in Binärzahlen umwandeln: Wandeln Sie beispielsweise die IP-Adresse 192.168.1.10 und die Subnetzmaske 255.255.255.0 in Binärzahlen um.
  2. IP-Adresse und Subnetzmaske einer "AND"-Operation unterziehen: Führen Sie eine "AND"-Operation mit der in Binärzahlen umgewandelten IP-Adresse und Subnetzmaske durch, um die Netzwerkadresse zu finden.
  3. Broadcast-Adresse berechnen: Führen Sie eine "OR"-Operation mit den "0"-Bits in der Subnetzmaske und den entsprechenden Bits in der IP-Adresse durch, um die Broadcast-Adresse zu finden.
  4. Verfügbare Host-Adressen bestimmen: Die erste IP-Adresse nach der Netzwerkadresse und die letzte IP-Adresse vor der Broadcast-Adresse sind die verfügbaren Host-Adressen.

Beispiel: Subnetz-Berechnung für die IP-Adresse 192.168.1.10/24:

  • IP-Adresse (Binär): 11000000.10101000.00000001.00001010
  • Subnetzmaske (Binär): 11111111.11111111.11111111.00000000
  • Netzwerkadresse (Binär): 11000000.10101000.00000001.00000000 (192.168.1.0)
  • Broadcast-Adresse (Binär): 11000000.10101000.00000001.11111111 (192.168.1.255)
  • Verfügbare Host-Adressen: 192.168.1.1 - 192.168.1.254

Häufige Fehler und Lösungen im Zusammenhang mit IP-Subnetzen

Häufige Fehler bei der Konfiguration von IP-Subnetzen können zu Netzwerkproblemen und Sicherheitslücken führen. Hier sind einige häufige Fehler und Lösungen:

  • Verwendung einer falschen Subnetzmaske: Die Verwendung einer falschen Subnetzmaske kann zu einer falschen Berechnung der Netzwerkadresse und der Broadcast-Adresse führen. Dies kann dazu führen, dass Geräte nicht miteinander kommunizieren können oder Datenverkehr an falsche Subnetze senden. Lösung: Stellen Sie sicher, dass Sie die richtige Subnetzmaske verwenden. Wählen Sie eine Subnetzmaske, die den Anforderungen Ihres Netzwerks entspricht, und verwenden Sie auf allen Geräten dieselbe Subnetzmaske.
  • Kollidierende IP-Adressen: Das Zuweisen derselben IP-Adresse zu mehreren Geräten im selben Subnetz führt zu einer IP-Adresskollision. Dies kann dazu führen, dass sich Geräte nicht mit dem Netzwerk verbinden können oder Verbindungsprobleme auftreten. Lösung: Verwenden Sie einen DHCP-Server, um IP-Adressen automatisch zuzuweisen. Wenn Sie statische IP-Adressen verwenden, stellen Sie sicher, dass Sie jedem Gerät eine eindeutige IP-Adresse zuweisen.
  • Falsche Konfiguration des Standard-Gateways: Eine falsche Konfiguration des Standard-Gateways kann dazu führen, dass Geräte keinen Datenverkehr an andere Subnetze senden können. Lösung: Stellen Sie sicher, dass das Standard-Gateway jedes Geräts korrekt konfiguriert ist. Das Standard-Gateway ist in der Regel die IP-Adresse des Routers oder Layer-3-Switches.
  • Falsche Konfiguration von Firewall-Regeln: Eine falsche Konfiguration von Firewall-Regeln kann zur Blockierung des Netzwerkverkehrs oder zu unbefugtem Zugriff führen. Lösung: Konfigurieren Sie Firewall-Regeln sorgfältig und überprüfen Sie sie regelmäßig. Wenden Sie das Prinzip der geringsten Privilegien an und erlauben Sie nur den erforderlichen Datenverkehr.
  • DHCP-Server-Probleme: DHCP-Server-Probleme können zu Problemen bei der IP-Adresszuweisung und zu Netzwerkverbindungsproblemen führen. Lösung: Stellen Sie sicher, dass der DHCP-Server korrekt konfiguriert ist und funktioniert. Überprüfen Sie regelmäßig die DHCP-Serverprotokolle und beheben Sie Probleme.

Fallstudie: In einem Büronetzwerk konnten einige Benutzer nach dem Hinzufügen eines neuen Druckers nicht mehr auf das Internet zugreifen. Bei der Untersuchung wurde festgestellt, dass die statische IP-Adresse des Druckers mit einem vorhandenen Gerät kollidierte. Das Problem wurde durch Ändern der IP-Adresse des Druckers behoben.

 

Finden Sie nicht die Informationen, die Sie suchen?

Ticket erstellen
Fanden Sie es nützlich?
(442 mal angesehen / 229 Kunden fanden es hilfreich)

Kategorien

Server/VPS/VDS (67)SSH (23)Domänennamenverwaltung (15)Allgemein (577)Reseller Hosting (1)

Zuletzt hinzugefügte Themen

Was ist Notion? Ein Leitfaden für Projektmanagement, Notizen und WissensorganisationWas ist Google Meet? Ein kostenloser und einfacher Leitfaden für Remote-Meetings.Was ist Zoom? Ein Leitfaden für Remote-Meetings und VideoanrufeWas ist Microsoft Teams? Ein Leitfaden für Unternehmenskommunikation und Remote-ZusammenarbeitWas ist TeamViewer? Ein Leitfaden für Fernwartung und Remote-Desktop-ZugriffWas ist AnyDesk? Ein Leitfaden für Fernwartung und Remote-SupportWas ist Xming? Eine Anleitung zur Anzeige von X11-Anwendungen unter WindowsWas ist UltraVNC? Ein Leitfaden für Remote Desktop und Bildschirmfreigabe unter WindowsWas ist HyperTerminal? Klassische Terminalsoftware für serielle Port- und Modemverbindungen.Was ist RLogin? Ein Leitfaden zum fortgeschrittenen japanischen Terminal-Client

Call now to get more detailed information about our products and services.

Top