numpsy
Goto Top

Mehrere Firmen Netze parallel isoliert betreiben (Entwicklernetz, Normales Nutzernetz, Geschäftsleitung, etc) und absichern?!

Tja also ich möchte mehrere Netze so aufbaun, das diese isoliert voneinander existieren.

Es soll gewährleistet werden, dass es:
a) keine redundante HW gibt (Mail Exchange, Infrastruktur, etc nur einmal für alle Netze, aber sicher isoliert)
b) die Netze sich nicht gegenseitig gefährden (ein Netz kompromitiert, soll keine Auswirkungen auf die anderen haben)
c) ein Datenaustausch zwischen den Netzen möglich sein.

Wie stelle ich das am besten an? Die Netze haben ja aufgrund ihrer Funktionen und Ihrem Wirkbetrieb unterschiedlich starke Anforderungen (an sensible Daten, an Isolierung, an externen Zugriff auf Inet, usw).

Ich dachte daran viel mit Terminal Servern zu arbeiten bzw durch statische Routen in eine Richtung die Sicherheit zu gewährleisten, das äussere kompromitierte Server nicht innere Server belasten?

Was sind Alternativen? Gibts ein Best-Practice, um ein Firmennetz aufzubauen?

Content-Key: 135388

Url: https://administrator.de/contentid/135388

Ausgedruckt am: 29.03.2024 um 06:03 Uhr

Mitglied: kopie0123
kopie0123 07.02.2010 um 18:39:38 Uhr
Goto Top
Hey,

bau doch einfach 3 physikalisch getrennte Netze auf. Diese verbindest du mit einem Router/Firewall. Dann kannst du auch entsprechende Zugriffe zwischen den Netzen ermöglichen.

Jeder größere Hersteller bietet dir Produkte hierfür.

Alterantiv auch Open Source: http://www.ipcop.orf, http://www.ipcop-forum.de


Die zentrale Verbindung der Netze bringt dir weitere Vorteile: Kontrolle der Internetverbindung, Proxy, VPN, usw


Gruß
Mitglied: dog
dog 07.02.2010 um 18:40:17 Uhr
Goto Top
Vergiss die Idee.
Keine getrennte HW und "ein Netz kompromitiert, soll keine Auswirkungen auf die anderen haben" schließt sich meistens schon gegenseitig aus.

Für gemeinsame Resourcen lässt sich da noch was mit Firewalls und Routing machen...

Grüße

Max
Mitglied: n.o.b.o.d.y
n.o.b.o.d.y 07.02.2010 um 18:52:24 Uhr
Goto Top
Hallo,

die Anforderung in sich wiederspricht sich doch schon, Netze solle isoliert sein, aber simpler Datenaustausch soll gehen. Was ist das denn für eine Forderung?

Was man machen könnte, ist mit VLANs arbeiten, und z.B. aus dem Entwicklernetz den Zugriff auf Mail und Inet nur über Terminalserver zulassen. Aber schon für Filetransfer mußt Du schon Scheunentore öffnen.
Mitglied: numpsy
numpsy 07.02.2010 um 19:00:53 Uhr
Goto Top
Das mit den VLANs sehe ich auch als Alternative zur physikalischer Trennung. @all? Warum nicht wirklich logisch trennen! Nachteile?

"Entwicklernetz den Zugriff auf Mail und Inet nur über Terminalserver zulassen." An so etwas habe ich auch gedacht. @all? Was sind Vorteile/Nachteile daran?

"Aber schon für Filetransfer mußt Du schon Scheunentore öffnen." Datenaustausch muss irgendwie gewährleistet werden zwischen den Netzen! @all? Was ich nicht verstehe, das kann doch auch sicher gestaltet werden? Was heisst Scheunentore öffnen? Warum? Und wie kann man es praktikabel lösen?
Mitglied: 2hard4you
2hard4you 07.02.2010 um 19:12:29 Uhr
Goto Top
Moin,

Datenaustausch heißt auch, daß Programme auf das jeweils andere Netz zugreifen können - damit ist das kompromittiert....

Gruß

24
Mitglied: numpsy
numpsy 07.02.2010 um 19:14:23 Uhr
Goto Top
Zitat von @numpsy:
Das mit den VLANs sehe ich auch als Alternative zur physikalischer Trennung. @all? Warum nicht wirklich logisch trennen!
Nachteile?

"Entwicklernetz den Zugriff auf Mail und Inet nur über Terminalserver zulassen." An so etwas habe ich auch gedacht.
@all? Was sind Vorteile/Nachteile daran?

"Aber schon für Filetransfer mußt Du schon Scheunentore öffnen." Datenaustausch muss irgendwie
gewährleistet werden zwischen den Netzen! @all? Was ich nicht verstehe, das kann doch auch sicher gestaltet werden? Was
heisst Scheunentore öffnen? Warum? Und wie kann man es praktikabel lösen?

nein ich will keine Datenzugriff von expliziten Programmen zulassen - das war auch keine Anforderung (siehe oben). Ich will nur Datenaustausch - Dateien, Ordner kopieren! Das verstehe ich unter Datenaustausch! Dokumente, Daten, etc mit Inhalt von A nach B kopieren?!
Mitglied: 2hard4you
2hard4you 07.02.2010 um 19:25:27 Uhr
Goto Top
Zitat von @numpsy:
> Zitat von @numpsy:
> ----

nein ich will keine Datenzugriff von expliziten Programmen zulassen - das war auch keine Anforderung (siehe oben). Ich will nur
Datenaustausch - Dateien, Ordner kopieren! Das verstehe ich unter Datenaustausch! Dokumente, Daten, etc mit Inhalt von A nach B
kopieren?!

Und Du benötigst zum Kopieren kein Programm? Du schiebst die Bits per Hand??

24
Mitglied: numpsy
numpsy 07.02.2010 um 19:28:56 Uhr
Goto Top
Zitat von @numpsy:
Das mit den VLANs sehe ich auch als Alternative zur physikalischer Trennung. @all? Warum nicht wirklich logisch trennen!
Nachteile?

"Entwicklernetz den Zugriff auf Mail und Inet nur über Terminalserver zulassen." An so etwas habe ich auch gedacht.
@all? Was sind Vorteile/Nachteile daran?

"Aber schon für Filetransfer mußt Du schon Scheunentore öffnen." Datenaustausch muss irgendwie
gewährleistet werden zwischen den Netzen! @all? Was ich nicht verstehe, das kann doch auch sicher gestaltet werden? Was
heisst Scheunentore öffnen? Warum? Und wie kann man es praktikabel lösen?

Diese Antwort ist für mich ungenügend! Ich kann auch sagen ein Netz ist unsicher, wenn eine Firewalleinstellung der VLANs falsch ist oder eine Route beidseitig geschaltet ist etc.

Es geht mir um ein paar Details oder Ansätze!

Wegen Datenaustausch muss es doch Möglichkeiten geben. Auch über nen TServer, mit Signierung der Files oder Logging? @all Ist das möglich, praktikabel? andere Ideen?
Mitglied: 2hard4you
2hard4you 07.02.2010 um 19:36:10 Uhr
Goto Top
Deine Negation ist sehr fragwürdig

Du möchtest Mail aus verschiedenen Netzen in einem Exchange behandeln, siehst aber nicht die Gefahr, wenn eine infizierte Mail den Exchange kompromittiert

und genauso kommen Deine Einwände rüber...

Gruß

24
Mitglied: numpsy
numpsy 07.02.2010 um 19:41:51 Uhr
Goto Top
Zitat von @numpsy:
> Zitat von @numpsy:
> ----
> Das mit den VLANs sehe ich auch als Alternative zur physikalischer Trennung. @all? Warum nicht wirklich logisch trennen!
> Nachteile?
>
> "Entwicklernetz den Zugriff auf Mail und Inet nur über Terminalserver zulassen." An so etwas habe ich auch
gedacht.
> @all? Was sind Vorteile/Nachteile daran?
>
> "Aber schon für Filetransfer mußt Du schon Scheunentore öffnen." Datenaustausch muss irgendwie
> gewährleistet werden zwischen den Netzen! @all? Was ich nicht verstehe, das kann doch auch sicher gestaltet werden? Was
> heisst Scheunentore öffnen? Warum? Und wie kann man es praktikabel lösen?

Diese Antwort ist für mich ungenügend! Ich kann auch sagen ein Netz ist unsicher, wenn eine Firewalleinstellung der
VLANs falsch ist oder eine Route beidseitig geschaltet ist etc.

Es geht mir um ein paar Details oder Ansätze!

Wegen Datenaustausch muss es doch Möglichkeiten geben. Auch über nen TServer, mit Signierung der Files oder Logging?
@all Ist das möglich, praktikabel? andere Ideen?

Wie gesagt solche Gefahren und Ansätze sind hilfreich. Deswegen die Diskussion. Klar. wenn der Exchange infiziert ist, wirds problematisch. SPOF

Aber gibts Lösungen, um die Netze abzusichern. Best-Practices oder denkbare und praktikable Möglichkeiten? Weitere zu berücksichtigende Massnahmen?
Mitglied: 2hard4you
2hard4you 07.02.2010 um 19:47:58 Uhr
Goto Top
ja, infizierte Datei



24

Tausch die mal aus
Mitglied: numpsy
numpsy 07.02.2010 um 19:50:27 Uhr
Goto Top
@all: andere Ideen und Ansätze oder Lösungen zur Ausgangsproblematik?
Mitglied: 2hard4you
2hard4you 07.02.2010 um 19:54:08 Uhr
Goto Top
Jop

best practice sind getrennte Netze, getrennte Hardware, keine interner Datenaustausch etc.

auch wenn man sich etwas so sehr wünscht, heißt es noch lange nicht, daß es funktioniert...

Gruß

24
Mitglied: numpsy
numpsy 07.02.2010 um 19:54:50 Uhr
Goto Top
Zitat von @numpsy:
@all: andere Ideen und Ansätze oder Lösungen zur Ausgangsproblematik?
bzw. den Anforderungen - umgesetzt in eine maximal praktikable bzw. nutzbare Lösung - wenn auch nur theoretisch?
Mitglied: laster
laster 07.02.2010 um 20:47:50 Uhr
Goto Top
Hallo numpsy,

wie schon im ersten Kommentar von StingerMAC geschrieben - und selbst schon in Firmen umgesetzt:
3 Netze => 3 Zonen an der Firewall (z.B. SonicWALL) dazwischen Regeln für die Kommunikation der Netze mit der WeitenWüstenWelt und untereinander.
Aktuelle FW können auch Applikationen 'regeln'.
Man sollte aber wissen, die theoretischen Forderungen nach absoluter Sicherheit, werden in der Praxis (zumindest Wochen nach der Umsetzung) nicht so streng benötigt.
Setze so viel um wie nötig, und das so einfach wie möglich face-smile

vG LS
Mitglied: numpsy
numpsy 07.02.2010 um 20:56:43 Uhr
Goto Top
Evntl etwas konkreter zu dem "was" "wie" umgesetzt wurde oder wo es Probleme gab - wo Kompromisse eingegangen wurden?
Mitglied: 2hard4you
2hard4you 07.02.2010 um 21:54:58 Uhr
Goto Top
selbst bei best praktice werden nach einiger Zeit Kompromisse eingegangen, wenn verschiedene Netze unpraktisch werden, werden Brücken geschaffen - sei es per Netzkopplung, oder USB-Stick - CD - DVD etc...

24
Mitglied: n.o.b.o.d.y
n.o.b.o.d.y 08.02.2010 um 06:50:11 Uhr
Goto Top
Hallo,

was wir dir zu sagen versuchen, ist dass deine Forderung, die du umsetzen sollst, unmöglich ist. Wir können dir aber nur weiterhelfen, wenn die die Anforderungen an die Realität anpasst. Das kannst aber nur du tun, da wir natürlich deine Umgebung nicht kennen.
Hier kannst und wirst Du erst wieder Hilfe erwarten können, wenn die Anpassung erfolgt ist.
Mitglied: maretz
maretz 08.02.2010 um 08:20:03 Uhr
Goto Top
Also unabhängig davon ob es wirklich SINN macht würde ich das ggf. über verschiedene IP-Adressräume regeln. Nur der Server (und ggf. der Proxy) kennt alle Adressräume, alle Arbeitsstationen kennen nur den eigenen Raum.

Auf dem Server dann verschiedene Freigaben einrichten - so das man mit der Berechtigung für "Entwicklernetz" eben nicht an die Freigaben für "GL" kommt. Es gibt dann nur eine Freigabe ("Transfer") auf die alle zugreiffen dürfen. Dies ist der zentrale Austauschpunkt.

Ob das dann Sinn macht ist ne andere Frage - aber zumindest die grundlegenden Dinge kannst du so schon abfangen...
Mitglied: mike55
mike55 08.02.2010 um 08:31:57 Uhr
Goto Top
Sorry. Nicht alles gelesen.

Gelöscht.
Mitglied: distelpfluecker
distelpfluecker 08.02.2010 um 10:44:50 Uhr
Goto Top
Wir regeln das über vLan's! Aktuelle Switche und Firewalls lassen sich heutzutage prima konfigurieren. Wenn klar (und entsprechend dokumentiert) ist, wer wo hin darf, die passenden LOG-Einträge geschalten sind, werden keine Scheunentore aufgemacht und evtl. Mißbrauch läßt sich nachvollziehen.

Aus meiner Sicht gilt aber nach wie vor: Datensicherheit beginnt bereits mit der Sensibilisierung der MitarbeiterInnen - denn ein arglos verwendeter USB-Stick kann ggf. das ausgeklügelste Sicherheitskonzept wert- und sinnlos machen ...!

Grüße
Micha
Mitglied: pxxsxx
pxxsxx 08.02.2010 um 11:06:46 Uhr
Goto Top
Hallo,
Stichwort DMZ: http://de.wikipedia.org/wiki/Demilitarized_Zone

mein Lösungsansatz in deinem Fall wäre folgender:
über VLAN die Netze trennen + 1 für die DMZ
benötigte Adressbereiche anlegen + 1 für die DMZ
Einen Router aufsetzen, der Zugriff auf alle Netze hat.
Ich kann hier pfsense empfehlen http://www.pfsense.com kostet nix und kann viel.
Diesen Router konfigurierst du so, dass Routing nur zwischen dem DMZ-Netz und dem aktuellen Netz stattfindet. Routing zwischen den Clientnetzen ist in deinem Fall zu unterbinden.

Datenaustausch und Zugriff von allen Netzen auf die Server ist dabei gegeben, genauso wie auch der Internetzugang über die DMZ.

In der Theorie könntest du das ganze auch ohne DMZ, nur mit dual homed Servern machen... Da würd ich aber nicht zu raten.

Gruß
Peter