dirmhirn
Goto Top

IP Adressbereich für Firmennetz

Hi!

Wir haben bis jetzt den Adressbereich 192.168.0.x in der Firma. Jetzt kam VPN und wir haben Probleme mit den Heimnetzen die im gleichen Bereich liegen.

Da ja 192.168.0/1/2.x wohl die meist genutzten Bereiche im privaten sind, wollen wir die Adressen in der Firma ändern.
Die Adresszahl sollte auch für die nächsten Jahre mit einerm Class C Netz passen.
Gibt es weiter 192.168.er Netze die weit verbreitet sind und es daher wieder Probleme gäbe.

lg Dirm

Content-Key: 116657

Url: https://administrator.de/contentid/116657

Ausgedruckt am: 29.03.2024 um 06:03 Uhr

Mitglied: mrtux
mrtux 24.05.2009 um 16:37:58 Uhr
Goto Top
Hi !

Zitat von @Dirmhirn:
Gibt es weiter 192.168.er Netze die weit verbreitet sind und es daher

Ja Fritzbox 192.168.178.x

Warum gebt ihr das den Homeofficeleuten nicht vor ?

Du wirst doch um Himmelswillen nicht einfach irgendwelche Privat-PCs/Netze ungeprüft (mit den 4904395 Spielen und Viren der Kinder) auf dein Firmennetz lassen ?

mrtux
Mitglied: HL1234
HL1234 24.05.2009 um 16:51:28 Uhr
Goto Top
Hallo,
mir fällt hierzu ein, dass es mehrere private Adressbereiche gibt:

siehe hierzu auch (eng) http://en.wikipedia.org/wiki/Private_network

und in RFC1918 http://tools.ietf.org/html/rfc1918 heißt dann dazu:

Private Address Space

   The Internet Assigned Numbers Authority (IANA) has reserved the
   following three blocks of the IP4 address space for private internets:

     10.0.0.0        -   10.255.255.255  (10/8 prefix)
     172.16.0.0      -   172.31.255.255  (172.16/12 prefix)
     192.168.0.0     -   192.168.255.255 (192.168/16 prefix)

Ich hab gesehen das in Firmen gerne auch 172.16.0.101/102/10x z.B. verwendet wird.
Mitglied: education
education 24.05.2009 um 16:56:15 Uhr
Goto Top
wenn du dir echt die arbeit machen willst die IP von Firmennetz zu ändern. dann geh ins B netz. wer weis was in 2-3 jahren für ip von C-Netz noch kommt. wie gesagt der bereich 192.168.x.x ist für private nutzung frei. die fritzbox hängt ja in bereich 192.168.178.x vielleicht kommt genau wieder dein netzwerk für ein anderen router dann hängst du wieder da.


also wenn du die IP von Firmennetz ändern willst geh ins B netz. wenn dir das zu gross ist häng anstatt subnetz 255.255.0.0 ein subnet 255.255.255.0 rein da bist auf der sichern seite ein C-Netz in B-Netz
Mitglied: aqui
aqui 24.05.2009 um 17:41:57 Uhr
Goto Top
Nimm für dein Firmennetz irgendwas "Krummes" aus dem 172er RFC 1918 Bereich:

http://de.wikipedia.org/wiki/Private_IP-Adresse

Sowas wie 172.27.147.0 /24 oder 172.31.17.0 /24 usw. usw.
Ebenso etwas so krummes aus dem 10er Netz sollte auch gut sein.
Eine Migration ist sehr einfach zu machen wenn du DHCP einsetzt also kein Thema !

Mit einem krummen Netz ist die Chance sehr sehr gering das einer zuhause ein ähnliches Netz hat.
192.168.0.0 /24 oder .1.0 /24 ist nicht sehr intelligent denn jeder Dummbatz Consumer Router hat das als default und damit ist das dann der Tod jeglichen VPNs wenn das auch das Unternehmensnetz ist...logisch !!

Gleich ne Class B Subnetzmaske wie education ist eigentlich mit Kanonen auf Spatzen und überflüssig...
Es reicht ja auch wenn du statt einer 24 Bit Maske eine 23 Bit Maske nimmst, das beschert dir dann 253 Hosts mehr im Netz. Ob du das in einer 172er oder 10er Adressumgebung machst spielt mehr oder weniger nur eine kosmetische Rolle. 192er solltest du aber vermieden
Nur schön krumm und exotisch sollte das netzwerk sein um Überschneidungen zu vermeiden mit Heimnetzen !!!
Mitglied: spacyfreak
spacyfreak 24.05.2009 um 21:27:18 Uhr
Goto Top
Im Grunde ist es wurst welchen privaten IP-Bereich man fürs Firmen-Netz wählt.

"Untypisch" für Heim-Netze wäre beispielsweise
10.10.10.0 mit 255.255.255.0

Es ist auch wurst ob man ein privates A, B oder C Klasse Netz für die Firma nimmt.
Die Grösse des Netzes bzw. der Netze hängt eh von der Subnetzmaske ab und nicht von der Netz-Klasse.
Mitglied: Dirmhirn
Dirmhirn 24.05.2009 um 22:15:37 Uhr
Goto Top
Warum gebt ihr das den Homeofficeleuten nicht vor ?

naja das 192.168.0er ist ja "typisch home" - ich will ja nicht auch noch die Heimhardware mitbetreuen face-wink

Wir haben nur die Server und Drucker statisch, sonst DHCP. Jetzt ist die Umstellung noch sehr einfach.

Ein 172er werde ich nehmen.

Du wirst doch um Himmelswillen nicht einfach irgendwelche Privat-PCs/Netze ungeprüft (mit den 4904395 Spielen und Viren der Kinder) auf dein Firmennetz lassen ?

Die Clients kommen hauptsächlich mit ihren Laptops, die sie auch in der Firma nutzen. Wenn sich ein Client per VPN verbindet, ist ja nicht gleich das ganze externe LAN mitverbunden - oder?!
(hab wenig Erfahrung mit VPN und null mit VPN-Sicherheitsfragen)

Wer sich verbinden darf, regel ich dann über die Benutzer.


Es gäbe zwar eine Möglichkeit die IP-Bereiche zu beschränken, allerdings kann man sich dann nicht mehr verbinden sobald man die eigene IP nicht selbst wählen kann (zB mobiles Internet).

lg Dirm
Mitglied: dog
dog 24.05.2009 um 22:34:53 Uhr
Goto Top
Sehr viel einfacher in der Einrichtung, aber auch beschränkter in den Funktionen sind SSL-VPNs und SSH-Tunnel.
Das erspart einen den ganzen Umstand mit den Subnetzen.

Grüße

Max
Mitglied: kingkong
kingkong 25.05.2009 um 08:27:55 Uhr
Goto Top
Wenn du unter SSL-VPN aber soetwas wie OpenVPN verstehst trifft deine Aussage nicht zu - da gibt es genau die selben Probleme wie bei jedem IPSec auch, was das Routing betrifft...
Mitglied: mrtux
mrtux 25.05.2009 um 08:48:03 Uhr
Goto Top
Hi !

Zitat von @Dirmhirn:
Wir haben nur die Server und Drucker statisch, sonst DHCP. Jetzt ist
die Umstellung noch sehr einfach.

Genau ! Evt. auch noch die Drucker per Reservierungen im DHCP setzen, was auch Nachteile haben kann, da ich aber faul bin... face-smile

Ein 172er werde ich nehmen.

Muss ich bei einigen Kunden auch noch machen, habe ich bei der Übernahme vom Vorgänger verpennt, krestlavieh face-wink

Die Clients kommen hauptsächlich mit ihren Laptops, die sie auch
in der Firma nutzen. Wenn sich ein Client per VPN verbindet, ist ja

OK ! Aber auf alle Patches (Windows Updates) achten, da die Firmenlaptops in dem privaten (W)LAN evt. schon mit den PCs der Kids in Kontakt kommen Könnten. face-wink

mrtux
Mitglied: Dirmhirn
Dirmhirn 25.05.2009 um 10:51:26 Uhr
Goto Top
@ssl, SSH - kenn ich eigentlich nur von Linux, als remote-shell. Das geht leider nicht, muss Windows-Bunt sein. Dateifreigabe, SharePoint...

Außerdem haben wir ein Hardwaregerät (Check Point UTM-1 Egde X) und jetzt funktionierts mit dem eigentlich langsam aber doch, recht gut.

OK ! Aber auf alle Patches (Windows Updates) achten,

ich bemühe mich - ist aber nicht einfach *gg*
Außerdem ist da noch der Client in China ;-/ Legale SW gibts da nur wenn du sie ihnen kaufst und installierst und das Wort Virenscanner ist völlig unbekannt.
Aber das müssen wir auch noch lösen...

lg Dirm
Mitglied: kingkong
kingkong 25.05.2009 um 11:43:31 Uhr
Goto Top
Naja, die werden ja ihre Landsmänner nicht gleich ausspionieren face-wink Und noch sind die westlichen Wirtschaften ja interessanter. Außer es kommen dann die Kollegen vom RBN :D
Mitglied: spacyfreak
spacyfreak 26.05.2009 um 00:10:20 Uhr
Goto Top
Yoyo, die alte Panik ... "ujjj, die pööösen homeuser mit ihren vergeigten PCs...machen volles VPN ins LAN und verpesten die Büroluft...".

Was passiert denn WIRKLICH?

Bin seit Jahren im IT Bereich tötig und so langsam wird man relaxed.

Ich denke man stürzt sich allzusehr auf "Risiken" die soo gross garnicht sind und vernachlässigt aufgrund fehlendem Überblick die richtig fiesen Risiken, z. B. Surfen mit admin. Rechten und Internet Explodierer, kein Contentfilter im Webproxy, mitgebrachte Notebooks, Dateiaustausch privater natur via USB-Sticks, keine regelmässigen Backup-Widerherstellungs-Tests (macht das überhaupt jemand jemals???), spielende Praktikanten die auch wissen dass Cain&Abel nicht nur biblische Figuren sind sondern auch ne fiese Software....

Wo steht denn geschrieben dass ein VPN Client VOLLEN Netzzugriff kriegen MUSS?
Man kann den Zugriff auf das Nötigste Reduzieren und Risiken dramatisch minimieren.
Zugriff auf Fileserver, Mails, bissl SSH und ausdiemaus. Warum sollte ein VPN Client alle internen Clients erreichen können dürfen sollen?
Vielleicht via RDP - ok dann schalt halt RDP frei.


Ich finde client Firewalls wichtig auch in Firmenumgebungen, dann kann nämlich kommen was will, juckt nix. Wurm im Netz?= Wurst weil der client hat ja ne lokale FW und kommuniziert nur mit dem Server wo die guten Daten liegen und surft. Client mal nicht up to date (wer kann schon IMMER garantieren dass JEDER kritische Patch rechtzeitig installiert ist..) - WURST! Weil der hat ja ne lokale FW die Netzattacken blockt.

Ohne lokaler FW ist man auf Gedeih und Verderb dem Patchmanagement und weiteren Massnahmen ausgeliefert. Bei Day zero Geschichten nützt auch das Patchen nix - die client firewall schützt vor dem meisten was übers Netz schwappt. Und lässt sich mit netsh prima skripten und frisst kein Brot.
Mitglied: Dirmhirn
Dirmhirn 26.05.2009 um 00:24:03 Uhr
Goto Top
Also der Thread geht Off-Topic - aber das eigentliche Problem ist ja gelöst...

habt ihr auf Windows Servern die WIndows Firewall laufen?

bei uns kam der einzige Virus den unser Scanner bis jetzt gefunden hat vom USB-Stick einer Software Firma face-confused

Bin noch am überlegen ob ich nur die gewünschten Dienste übers VPN freischalte. Zmdest kann ich mit unserer Firewall auch Regeln für die VPN-Verbindung erstellen.
Wenn ich zB nur die Ports für SharePoint und Dateifreigabe freischalte, müsste das ja auch schon einen gewissen Sicherheitsbonus bringen.

Wie ich verhinder, dass sich die Kollegen die SW auch auf ihren Privatrechnern installieren und verbinden, weiß ich noch nicht. Allerdings bevor sie das machen, verwenden sie die FirmenLaptops eher privat...

lg Dirm