Lifestyle

#erstmalverstehen: Wie erstelle ich ein sicheres & zuverlässiges Firmennetzwerk?



Zugeordnete Tags Router | WLAN | #erstmalverstehen

In Zeiten von Cloud-Diensten und Home Office ist die Internetanbindung oftmals die Lebenslinie eines Unternehmens. Unzählige Geräte im Büro erfordern Anschluss an andere Geräte oder das Internet, zum Beispiel Telefone und Überwachungskameras. Zudem bieten Retail-Stores den Kunden zunehmend WLAN an – sei es, damit der Gatte bei der ausgiebigen Shoppingtour nicht nörgelt, der Spotify-Stream im Einkaufszentrum nicht abreißt oder der Kunde sich noch im Laden Reviews durchliest.

Aber wie stellt ihr sicher, dass das Netzwerk zuverlässig funktioniert? Dass die Mitarbeiter effektiv von Zuhause aus arbeiten können, während Kunden gerade 4K-Videos auf YouTube streamen oder sich Hacker euer Unternehmen als neues Ziel auserkoren haben? Ganz klar: Mit der herkömmlichen Box des Internetanbieters ist es nicht getan. Die Firma braucht eine professionelle Lösung, die der Größe und den Anforderungen des Unternehmens gewachsen ist und euch zudem vor Angreifern schützt.

Die Grundlagen: Die einzelnen Komponenten eines Unternehmensnetzwerks

Im Grunde genommen steckt in jedem gewöhnlichen WLAN-Router eures Providers schon alles drin, was ihr braucht. Denn trotz des Namens vereinen diese normalerweise Modem (die Verbindung ins Internet), Router (das Gehirn, das dafür sorgt, dass alles an den richtigen Platz kommt), Firewall (Schutz vor Angreifern), Switch (für die physikalische Verbindung zwischen Geräten) und Access Point (für eine drahtlose Verbindung zwischen Geräten (WLAN)).

Im Unternehmens-Kontext kommen diese Komponenten separat voneinander zum Einsatz. Dadurch wird das Netzwerk leistungsstärker und ermöglicht höhere Sicherheitsstandards.

Modem

Das Modem stellt die physikalische Verbindung mit dem Internetanschluss her. So gibt es Modems für DSL, Kabelanschluss, Glasfaser (Fiber to the Home) sowie LTE und 5G. Üblicherweise wird das Gerät vom Internetanbieter zur Verfügung gestellt, denn es muss zum Anschluss passen. Ist das Modem nebenbei auch ein WLAN-Router, können Router und Access Point zur Verwendung externer, professionellerer Hardware deaktiviert werden.

Router

Der Router übernimmt die Kommunikation mit dem Modem und somit dem Internet und verwaltet das interne Netzwerk. Fragt zum Beispiel ein Computer eine Verbindung zu OneDrive an, leitet der Router diese Anfrage weiter. Kommt die Antwort zurück, weiß der Router, welcher der hundert Geräte im Netzwerk die Anfrage gestellt hat und sorgt dafür, dass der richtige Computer seine Daten erhält.

Ein wichtiger Punkt ist QoS (Quality of Service). Schließlich werden über die Internetverbindung große Datenmengen übertragen, an die unterschiedliche Anforderungen gestellt werden. So ist es mehr oder weniger egal, ob ein großer Download in einer oder in zehn Sekunden ankommt. Bei Telefonaten und Videokonferenzen hingegen müssen die Daten möglichst zeitnah ankommen, damit die Verzögerung nicht zu groß ist.

Ohne QoS werden alle Datenpakete nach dem Best-Effort-Prinzip behandelt – die Folge können abgehackte Gespräche sein. Der Router hat daher bei aktiviertem QoS die Aufgabe dafür zu sorgen, dass zeitkritische Pakete priorisiert behandelt werden.

Dafür gibt es unterschiedliche Ansätze: Erst schaut er sich an, was der Inhalt der entsprechenden Pakete ist. Danach kann zum Beispiel ein Teil der Leitung für Sprachpakete reserviert werden. Oder der Router sendet priorisierte Pakete schlicht als erstes heraus und bremst bei Bedarf für andere Anwendungen die Netzwerkgeschwindigkeit. Gerade bei einer sehr schnellen Internetverbindung muss der Router einen starken Prozessor haben, denn sonst ist ausgerechnet er der bremsende Faktor.

Gute Enterprise-Lösungen sind in der Lage, zwei verschiedene Internetanbieter zu koppeln. Fällt zum Beispiel der DSL-Anschluss aus, schaltet der Router automatisch zum 5G-Modem, bis DSL wieder geht. Ein potenzieller Showstopper fällt weg.

Eine weitere Aufgabe kann die Bereitstellung des VPNs (Virtual Private Network) sein. Geräte, die sich außerhalb des Firmennetzes befinden, können sich darüber in das Firmennetz einwählen und sind dann Teil des Netzes, mit den dazugehörigen Rechten und dem Zugriff auf interne Server. Auf Wunsch läuft die gesamte Kommunikation über das interne Netz. Alternativ kann je nach System festgelegt werden, dass Zugriffe auf das Internet direkt stattfinden. Gerade bei langsamen Anschlüssen mit niedriger Upload-Geschwindigkeit ist das eine eine nützliche Erleichterung.

Firewall

Firewalls überwachen den Datenverkehr und entscheiden anhand festgelegter Regeln, ob die Pakete durchgelassen werden oder nicht. Oftmals ist diese Funktion im Router integriert. Fortschrittlichere Geräte schauen zudem in die Pakete hinein und filtern Schadsoftware wie Viren und Ransomware heraus. Ebenso können boshafte URLs und Webinhalte geblockt werden. Diese Funktionen sind zum Beispiel Teil einer Cloud-Anbindung, die weitere Kosten verursacht, aber auch besseren Schutz vor sich stets ändernden Bedrohungsszenarien bietet.

Switch

Ein Router hat mindestens zwei Ethernet-Ports – einer für die Verbindung zum Modem (WAN-Port genannt), einer für die Verbindung zum Switch. Viele Modelle verfügen aber zumindest über ein paar weitere Ethernet-Ports (LAN-Ports) – ein Switch ist in dem Fall bereits integriert.

Um mehr Geräte anzuschließen, benötigt ihr daher mindestens einen weiteren Switch. Dieser ermöglicht es den angeschlossenen Devices, miteinander zu kommunizieren – und das sind vielleicht mehr, als ihr anfangs erwartet. Neben den üblichen Verdächtigen wie PCs und Notebooks benötigen auch IP-Telefone, Überwachungskameras, Access Points, Schließanlagen und Co. einen Anschluss.

Unterschieden wird zwischen unmanaged und managed Switches. Während unmanaged Switches einfach alle Geräte miteinander verbinden, bieten managed Modelle ein Webinterface zur genaueren Steuerung. Damit teilt ihr eure Geräte in virtuelle Netze (VLANs) auf, sodass beispielsweise IP-Telefone keinen Zugriff auf den Fileserver oder die Computer haben – den benötigen sie schlichtweg nicht.

Der große Vorteil: Der Router weiß zum Beispiel, dass Pakete aus dem den Telefonen zugeordneten VLAN Priorität genießen. Und sollte eine Sicherheitslücke der Telefone oder Überwachungskameras Angreifern einen Zugang ins Netzwerk geben, haben sie trotzdem keine Möglichkeit, das Firmennetz zu infiltrieren.

Ein in vielen Fällen essenzielles Feature, auf das ihr achten solltet, ist Power over Ethernet (PoE). Dabei wird das Netzwerkkabel genutzt, um neben Daten auch Strom zu übertragen. Typische Anwendungsfälle sind Überwachungskameras, IP-Telefone, Access Points und Zugangskontrollsysteme. Dafür eignet sich die Funktion perfekt, da an deren Einsatzort oftmals keine oder nur zu wenig Steckdosen zur Verfügung stehen.

Aber auch smarte Beleuchtungssysteme, Wanduhren, “Point of Sale”-Kioske und Anzeigetafeln können so vereinfacht werden. Die Stromversorgung läuft dann über den Switch, der daher PoE beziehungsweise PoE+ unterstützen sollte. Achtet dabei darauf, dass sowohl die richtige Variante (802.3af schafft 15,4 Watt, 802.3at schafft 30 Watt und 802.3bt schafft 60 Watt) unterstützt wird als auch der gesamte Stromverbrauch nicht die Limits des Switches überschreitet.

Ein weiterer Unterschied zu Switches für den Consumer-Bereich ist der Uplink. Dieser wird genutzt, um mehrere Switches auch über größere Entfernungen und modellabhängig mit höherer Geschwindigkeit zu verbinden. Schließlich setzt man dafür SFP und SFP+ ein, das auf Wunsch Daten via Glasfaser überträgt.

Noch ein Tipp: Achtet auf die richtigen Kabel. Denn neben Entfernung und Übertragungsrate spielt bei Ethernet auch die Qualität des Kabels und dessen Abschirmung eine Rolle. Früher war CAT5e Standard, inzwischen wird auch gerne CAT6 oder CAT7 genutzt. Das treibt die Kosten allerdings hoch.

Access Point

Um auch Geräte via WLAN in das Netzwerk zu hängen, benötigt ihr Access Points (APs). Diese sind die kabellose Variante eines Switches und haben ebenfalls Grenzen, wie viele Geräte sie mit Daten versorgen können. Im Gegensatz zu herkömmlichen Consumer-Modellen sind diese darauf optimiert, möglichst viele Endgeräte ins Internet zu bringen und im Verband mit weiteren Access Points flächendeckende Versorgung zu ermöglichen. Hier kommt es auch auf die zentrale Verwaltung an.

If you're going to San FranCISCO

An diesem Punkt setzt Cisco an. Das 1984 in San Francisco gegründete Unternehmen mit der Golden Gate Bridge im Logo hat sich als einer der wichtigsten Zulieferer für das Rückgrat des Internets etabliert. Auch für zahlreiche internationale Konzerne ist Cisco der Mittelpunkt des internen Netzwerks. Diese Expertise nutzt Cisco, um auch kleine und mittelständische Unternehmen mit zuverlässiger und leistungsstarker Hardware auszustatten.

Dabei nimmt der Hersteller speziell auf die Anforderungen kleinerer Unternehmen Rücksicht. So bleibt der Preis im Rahmen und die Bedienung wurde möglichst einfach gehalten, ohne die Funktionalität einzuschränken. Und benötigt ihr doch Hilfe, profitiert ihr davon, dass IT-Profis oftmals spezielle Cisco-Trainings durchlaufen.

Switches: Cisco Business 250

Cisco Business 250 & 350
Cisco Business 250 & 350

Auch bei der Hardware selbst ist Cisco eine einfache Bedienung wichtig, zum Beispiel bei den Switches der Business-250-Serie. Diese sind so vorkonfiguriert, dass ihr sie einfach nur einstecken müsst. Stück für Stück könnt ihr euch dann in das Thema einarbeiten und von den managed-Funktionen Gebrauch machen, beispielsweise um das Netzwerk fein zu unterteilen.

Damit ihr das für die Größe eures Unternehmens perfekte Modell erwischt, stehen euch eine Vielzahl an Switches zur Auswahl. So gibt es Modelle mit acht bis 48 Ports sowie SFP- beziehungsweise SFP+-Uplinks, um mehrere Switche mit einem oder 10 Gigabit miteinander zu verbinden. Das ist besonders empfehlenswert, wenn mehrere Mitarbeiter parallel auf einen leistungsfähigen Fileserver zugreifen möchten.

Selbstverständlich bietet Cisco zudem Varianten mit PoE+ an – pro Port sind es 30 Watt.

Zuletzt möchte ich noch ein Wort über die Produktbezeichnungen verlieren, die anfangs zwar kryptisch wirken, aber eigentlich logisch aufgebaut sind. So wisst ihr auf den ersten Blick, was ihr bekommt beziehungsweise was bereits verbaut ist.

Die Bezeichnung CBS250-24T-4G bedeutet beispielsweise, dass es sich um ein Gerät der Business-250-Reihe handelt. Die 350er bieten nochmals umfangreichere Management-Features, während 110er unmanaged sind. “24T” bedeutet, dass 24 Gigabit-Ethernet-Ports ohne PoE verbaut sind. Stände da “PP”, “P” oder “FP”, hätte es Power over Ethernet mit zunehmend hohem Power-Budget zum Betrieb stromhungriger Endgeräte. “4G” zeigt zuletzt die Zahl und Art der Uplinks auf. Bei G handelt es sich um SFP mit einem Gigabit, bei X um SFP+ mit 10 Gigabit. Das ist auch für den Anschluss des Fileservers nützlich, denn einige NAS von QNAP und Co. sind ebenfalls mit SFP+ ausgestattet oder können kostengünstig nachgerüstet werden.

Access Point: Cisco Business 240AC

Cisco Business 240AC
Cisco Business 240AC

Der Cisco Business 240AC wurde zur flächendeckenden Wi-Fi-5-Versorgung von Büros entwickelt. Daher ist er ein hervorragender Teamplayer. Jeder 240AC funktioniert als Master oder Slave. Zudem könnt ihr weitere Mesh-Extender der Business-100-Familie einbinden und über die “Cisco Business Mobile”-App gesammelt verwalten.

Damit ihr auch ohne Cisco-zertifizierte Experten klar kommt

Telnet und SSH? Könnt ihr machen, wenn ihr Profis seid und alle Befehle auswendig wisst. Aber Cisco bietet für die Switches und Access Points auch Webinterfaces, über die ihr den aktuellen Stand und die Auslastung seht sowie alles Wichtige einstellt. Beim Access Point kommt eine mobile App hinzu, während es für den Switch eine virtuelle Maschine gibt, die weitere Möglichkeiten bietet.

Allen Interfaces ist gemein, dass sie nutzerfreundlich und mit zahlreichen Erklärungen versehen sind. So könnt ihr euch auch ohne große Vorkenntnisse in das Thema einarbeiten. Umfangreiche Diagnose-Tools helfen euch, die Performance zu optimieren und zu identifizieren, falls ein Nutzer exzessiven Bandbreitenbedarf hat.

Switch

Mit mehreren Configuration Wizards erleichtert die Business-250-Serie die initiale Einrichtung. Es lohnt sich auch, wenn ihr den physikalischen Ports im Interface sprechenden Namen zuweist, damit ihr später problematische Geräte leichter identifizieren könnt. Apropos Probleme: Ausfallsicherheit spielt bei diesen Geräten eine große Rolle. Daher ist genug Platz für zwei Firmwares vorhanden.

Ihr könnt also, falls es zu Problemen kommt, zur anderen Firmware wechseln. Umfangreiche Analysemöglichkeiten und Statistiken erleichtern euch zudem die gezielte Steuerung des Netzwerks. Die Zuweisung von VLANs zu den einzelnen Ports ist dabei natürlich ebenso Teil des Funktionsumfangs wie das automatische Einrichten eines Telefon-VLANs, damit die Sprachkommunikation ungehindert funktioniert. Da die Möglichkeiten noch deutlich umfangreicher sind, als wir an dieser Stelle kommunizieren können, sei an dieser Stelle nur auf den Advanced-Modus hingewiesen, der weitere Funktionen offenlegt.

Access Point

Gibt es bei den Access Points ein Firmware-Update, spielt ihr es gesammelt auf alle Access Points und Extender aus. Das reduziert die Downtime – wobei das Update auch terminiert werden kann, damit keine Nutzer betroffen sind. Zudem besteht die Möglichkeit, Quality of Service zu nutzen. Schließlich weiß der Router, welche Anwendungsbereiche den größten Traffic verursachen.

Das ist besonders nützlich, wenn die Nutzer auch euer WLAN überlasten und ihr dem Einhalt gebieten wollt. Natürlich besteht auch die Möglichkeit, sich anzusehen, welche anderen WLAN-Netze in der Umgebung funken, damit man sich einen anderen Kanal auswählen kann.

Auch die Sendeleistung kann eingestellt werden, um die Strahlenbelastung zu reduzieren, beziehungsweise damit sich mehrere Access Points nicht in die Quere kommen. Selbstverständlich ist auch die Nutzung von SNMP (Simple Network Management Protocol) enthalten – einem Protokoll, das die Verwaltung der Netzwerkhardware vereint und die Anzeige diverser Statistiken ermöglicht, selbst wenn der Access Point neu gestartet wurde.

Auch wenn manche Consumer-WLAN-Router ebenfalls die Möglichkeit zur Einrichtung eines Gast-Netzwerks bieten, kann der Cisco Business 240AC doch deutlich mehr. So stellt ihr ein, ob die Gäste von einer Log-in-Seite begrüßt werden und wenn ja, welche Informationen sie angeben müssen, um rein zu kommen. Das geht von Terms and Conditions bestätigen bis hin zu eigenen Log-ins – ideal für Hotel-Betreiber.

Ebenso besteht die Möglichkeit, dem Netzwerk zur Sicherheit ein VLAN zuzuordnen und separate Regeln für die Priorität unterschiedlicher Anwendungen einzustellen. Inklusive der vollständigen Sperrung, zum Beispiel um Filesharing-Dienste, die in einer rechtlichen Grauzone operieren, zu unterbinden. Wenn die Gäste dieselbe Internetverbindung wie eure Mitarbeiter nutzen, reduziert ihr einfach die Priorität der Gäste oder legt fest wie viel Bandbreite genutzt werden darf.

RSS-Feed

Werde Autor!

Dieser Beitrag wurde von veröffentlicht.
hat bereits 24 Artikel geschrieben.
Sei auch dabei: Werde jetzt Autor und teile dein Wissen!

Kommentieren

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

*

Ähnliche Beiträge

F-Secure Sense: Sicherheit für dein Smart Home

Lifestyle

20.01.2018

 | Johanna Leierseder

Mittlerweile sind es nicht mehr nur mein Smartphone, Notebook und PC, die mit meinem Router verbunden sind, sondern auch Smart-TV, Drucker, Kamera, mein smarter Lautsprecher, die Spielekonsole, die Sicherheitskamera vor der Tür und sogar mein... mehr +

Teilnahmebedingungen "Almond-Router"-Gewinnspiel

Lifestyle

22.11.2013

 | Website-Einstellung

Die Teilnahme am Gewinnspiel ist kostenlos und endet am 26.11.2013, 10 Uhr. Mit der Teilnahme an dem Gewinnspiel akzeptierst du diese Aktionsbedingungen. Die Teilnahme erfolgt über einen Kommentar auf diesen Facebook Post. Mehrere Kommentare... mehr +