13. februar 2006 - 12:20Der er
7 kommentarer og 1 løsning
Opsætning af alarm via IP
I forbindelse med opsætning af en alarm i firmaet, som skal have forbindelse til alarmcentralen via vores internetforbindelse, havde vi problemer med at firewallen blokerede for alarmens poll-signal.
Fejlbeskeden i vores SonicWall firewall var: Denied UDP packet from LAN - Source:0.0.0.0, 68, LAN - Destination:255.255.255.255, 67, LAN
Vi kunne konstatere at alarm-udstyret måtte have 0.0.0.0 som standard-IP, hvilket vel i sig selv er tosset...
Desuden ser det ud til at dens poll signal er en UDP broadcast, som den udsender hvert 70. sekund.
Jeg vil gerne høre jeres kommentarer på følgende:
1. Kan det give problemer at alarmen udsender en UDP broadcast til hele netværket hvert 70. sekund, eller burde vi få leverandøren til at sætte den op til kun at sende til vores gateway?
2. Er det dumt rent LAN-designmæssigt at lade den beholde IP-adressen 0.0.0.0?
3. Er der et sikkerhedsproblem i, at alarmen er ukritisk tilsluttet vores hovedswitch uden nogen form for VLAN? (Vi har forsøgt at oprette et VLAN til alarmen, men stødte ind i problemer, som er en helt anden historie)
1. Du kan ikke opsætte broadcast til kun at sende til en ip, broadcast går til alle. Den bør ikke stå hele tiden og broadcaste med mindre det er en del at alarmens virkemåde, en slags "jeg er i live funktion"
IP adressen 0.0.00 må ikke forekomme på et lan, der vil være masser af ordentlige enheder dervil brokke sig over dette. 0.0.0.0 adressen er en ulovlig adresse der bevidst filtreres
3. Ja, en IP enhed kan relativt let SYN floddes hvilket kan betyde at den ikke virker og derer også andre muligheder for at bryde ind i signalet når den kører ukrypteret. Du bør oven i købet overveje om alarm m.m. der jo ikke har meget med dit netværk at gøre ikke kan køre i eget DMZ, VLAN eller på egne kabler der ikke er forbundet med resten
bufferzone>> Jeg har forsøgt at opsæte et VLAN på min switch uden held. Jeg har også forsøgt at opsætte en switch til at dele min internetforbindelse til hhv. min firewall og alarmen, men også uden held.
Alarmens "jeg-er-i-live-signal" skulle jo helst køre helt udenom vores netværk og direkte i internetforbindelsen, som du også nævner. - Hvad bør jeg være opmærksom på, hvis jeg vil dele min internetforbindelse før firewallen? Kan en alm. switch/hub klare opgaven, eller skal der sættes en router specielt op til det?
DEt vil en almindeli switch kunne MEN. Du skal være opmærksom på især båndbredde problemer, Hvis switchen ikke har QOS (quality of service) kan du ikke styre båndbredden og dermed risikerer at f.eks. alarmen forstyrre eller at den ikke får båndbredde nok.
Noget andeter sikkerhed. Hvis folk kan komme til det område alarmen sidder på, kan de også manipolerer med den, derfor bør alarm kommunikation altid poskkes ind mindst i kryptering
Men vil det sige at den optimale struktur for en alarm via IP vil være:
- At alarmen har en gyldig og fast IP-adresse - At alarmen sidder bag en firewall - At der oprettes et VLAN, så alarm-signalerne kun kan gå direkte til internetforbindelsen og ikke til netværket.
Er der noget man bør være opmærksom på, når man opretter flere VLAN på en switch, hvor begge VLAN skal kunne få adgang til samme internetforbindelse?
Lidt afhængig af hvordan infrastrukturen er skruet sammen og hvad alarmen skal kommunikerer med så mangler du faktisk kun Qos for at sikre båndbredden begge veje
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.