daniel776
Jan 19, 2017, updated at 22:12:07 (UTC)
view2720
view8
0
Goto Top

Netztrennung (Firma, Gast) und Datenumzug von File-Server auf NAS

GermansolvedQuestionIT Safety tipsSecurity
Hallo Forum,

ich würde gerne mal eure Meinung zu einer Aufgabenstellung hören, wie Ihr das lösen würdet.

Ist-Zustand:
1 File-Server mit Windows 2008 Server
5 Büro-Clients mit Windows7 Prof.
1 Techniker-Client mit Windows7 Prof.
7 Laptops mit Windows7 Prof. und Windows XP
mind. 4 private Handy´s
1 FritzBox 3272 mit DSL Zugang
48 Port Switch 10/100 mbit ohne VLAN bzw. Http-Konfig

Die Desktop Clients greifen kabelgebunden auf den File-Server über zwei Netzlaufwerke zu. Die privaten Handy´s und die Laptops haben per WLAN eine Anbindung in das Firmennetzwerk. Der Server, die Clients, die Laptops sowie die privaten Handy´s befinden sich im Netz 192.168.100.0. Auf dem File-Server befindet sich eine installation der WaWi mit einer SQL Datenbank. Auf den kabelbebundenen Clients befindet sich ebenfalls eine installation der WaWi. Der Zugriff mit der WaWi erfolgt über ein Netzlaufwerk. Über das gleiche Netzlaufwerk wird auch Datenablage auf den Server realisiert. Auf dem Server läuft KEIN Active Directory, und es sind Benutzerkonten eingerichtet, die auf den Clients gleichlautet eingerichtet sind. Der Techniker Client hat seperate Ordner Freigaben auf dem Server. Über NTFS-Berechtigungen ist dem Techniker Client der Zugriff auf die Ordnerstruktur verwehrt, den die anderen Clients per Netzlaufwerk nutzen.

Kommen wir zum Soll-Zustand bzw. zu dem Zustand, den ich gerne herstellen möchte.

Gastnetz (FritzBox): 192.168.101.0
Im Gastnetz: Der eine Techniker Client, die 7 Laptops, die privaten Handy´s und ein NAS (Synology DS216j)

Fimennetz: 192.168.100.0
Im Firmennetz: Der eine File-Server, die 5 Desktop Clients

Die seperaten Ordner der Techniker wandern auf den NAS, die Laptops der Techniker und der Techniker Client haben ihre Datenablage jetzt auf dem NAS, können das Internet im Gastnetz nutzen und haben keinen Zugriff auf das Firmennetz (gewünscht). Die privaten Handy´s sind ebenfalls vom Firmennetz gekapselt. Haben im Gastnetz aber ebenfalls Zugriff auf das Internet.
Der Zugriff auf den NAS soll mit den Desktop Clients ebenfalls ermöglicht werden. Hierzu wird ein MikroTik Router eingesetzt.

Kleine Zwischenfragen hierzu:
Lässt sich eine Routing Einbahnstraße auch ohne NAT realisieren? Also NUR eine Route von 192.168.100.0 in 192.168.101.0 und nicht von 192.168.101.0 in 192.168.100.0?
Macht das aus reinen Sicherheitsaspketen Designtechnisch Sinn? Falls sich ein kompromittiertes System im Netz 192.168.101.0 befindet bzw. generell der Zugriff auf das Firmennetz unterbunden werden soll. Sicher ist im Firmennetz ein Viren-/Trojanerbefall auch möglich. Weil eMails abgerufen werden und unbeschränkter Internetnutzung möglich ist. Die Nutzer im Firmennetz sind sensiblisiert für dieses Thema. Was bei den Technikern, die Ihren Kompetenzschwerpunkt eher in der Elektrotechnik haben, nicht gegeben ist. Daher der Plan für die grundsätzliche Trennung der Netze.

Wie denkt ihr über diese Lösung? Freue mich über zahlreiche Vorschläge bzw. Anregungen.
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 326887

Url: https://administrator.de/contentid/326887

Printed on: April 26, 2024 at 11:04 o'clock

8 Comments
Latest comment
Goto Top
Member: tikayevent
tikayevent Jan 19, 2017 at 23:26:31 (UTC)
Goto Top
Fritzbox => Tonne
Windows XP verbannen
Bei Windows 7 so langsam mal über eine Aktualisierung nachdenken, Mainstream-Support ist abgelaufen.

Eine ordentliche Firewall besorgen, die mit mehreren Netzen umgehen kann, NAS in eine DMZ (heißt nicht, dass das Ding aus dem Internet erreichbar ist). Vom Gastnetz in die DMZ nur das minimalst nötige erlauben.

Lässt sich eine Routing Einbahnstraße auch ohne NAT realisieren? Also NUR eine Route von 192.168.100.0 in 192.168.101.0 und nicht von 192.168.101.0 in 192.168.100.0?
Nein. Mit einer richtigen Router/einer richtigen Firewall ist es aber nicht nötig, wenn die das Default-Gateway ist.

Wichtig bei der Konstruktion ist, dass auf dem NAS auf eine saubere Trennung geachtet wird und ein ordentlicher Virenschutz mitläuft. Auf den Clients erwarte ich dieses. Da das NAS die einzige Verbindungsstelle zwischen den Netzen ist, wäre hier die einzige Sicherheitslücke (außer es gibt ein Zbus-Problem bei der Umsetzung, insbesondere der der Firewall)

Wenn man es richtig machen will, nimmt man drei Netze für die Clients. Ein Büronetz, ein Technikernetz und eins für verschissene Privattechnik. Letzteres darf ins Internet, mehr nicht, auch kein NAS.
Member: aqui
Solution aqui Jan 20, 2017 at 08:45:40 (UTC)
Goto Top
FB Gastnetz ist ein Witz und nicht sicher ! Wie man ein Gastnetz aufzieht das den Namen auch verdient kannst du hier nachlesen:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Wenn du ein VLAN Umfeld hast und mit MSSID fähigen Accesspoints arbeitest ist das hier eine Lösung:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Member: Daniel776
Daniel776 Jan 22, 2017 updated at 13:05:19 (UTC)
Goto Top
Mahlzeit,

erstmal danke für die Antworten.

Fritzbox => Tonne

Kann ich dazu noch gute Argumente bekommen? Ausser das die FritzBox eher für den Semi-Professionellen Heimanwender gedacht ist. Kann mir jemand etwas zu den Lücken sagen? Oder geht es um die Stabilität? Weil ich muss die Neuanschaffung nicht bezahlen. Dafür brauche ich dann aber gute Argumente die FritzBox zu ersetzen!

Windows XP verbannen

Das ist geplant. WindowsXP wird zumindest durch Windows7 ersetzt, wenn nicht durch Windows8.1 bzw. 10. Soweit das auf den Maschinen möglich ist.

Wichtig bei der Konstruktion ist, dass auf dem NAS auf eine saubere Trennung geachtet wird und ein ordentlicher Virenschutz mitläuft.

Wie ist das genau gemeint? Virenschutz auf dem NAS oder auf den Clients? Auf den Clients läuft ESET Endpoint. Eine Lizenzerweiterung ist bereits für die Laptops geplant.

... außer es gibt ein Zbus-Problem ...

Was ist ein ZBus?

Wenn du ein VLAN Umfeld hast und mit MSSID fähigen Accesspoints arbeitest ist das hier eine Lösung:

48 Port Switch 10/100 mbit ohne VLAN bzw. Http-Konfig

Das würde den Kostenrahmen sprengen denke ich. Mir ist klar, das es eine Investition in die Sicherheit ist und das man daran nicht sparen sollte. Nur der Punkt ist, wie ich eingangs schon erwähnt habe - Ich muss es nicht bezahlen. Deswegen brauche ich gute Argumente dieses Dinge zu ersetzen/einzusetzen.

Was mir allerdings gerade einfällt, ist das noch ein DrayTek Vigor 2925n vorhanden ist. Könnte man diesen Router genauso gut wie ein APU Systemboard mit pfSense in das Netz integrieren?

Allerdings wird man dann nicht darum rum kommen einen VLAN fähigen Switch anzuschaffen, richtig? Wenn der Vigor sich integrieren lässt!?
Member: aqui
aqui Jan 22, 2017 updated at 13:49:27 (UTC)
Goto Top
Dafür brauche ich dann aber gute Argumente die FritzBox zu ersetzen!
Allein die Frage ist schon peinlich genug. Sorry aber du willst eine Unternehmens und Firmennetz auf einer billigen Plate Elaste Box für Heimanwender aufbauen ??
Das muss man wohl nicht mehr weiter kommentieren.
Die Bauteile da drin sind NICHT auf Langlebigkeit ausgelegt, schwaches SoC was nicht skalierbar ist an Firmenanforderungen, Schlechte bzw. nicht anpassbare Firewall, minimales Featureset was dich im Firmenumfeld einschränkt. Die FB supportet nichtmal solche grundlegenden Funktionen wie 802.1q VLAN Support, abschaltbares NAT, Spanning Tree, WLAN nicht MSSID fähig (Gast WLAN), Keine Gäste Einmalpasswort Funktion, Gastnetz vollkommen unsicher usw. usw. Die Liste kann man unendlich fortführen.
Muss sie auch alles nicht supporten denn deren Focus sind ganz klar Heimuser mit minimalsten Anforderungen. Die wenigsten von denen verstehen eh was van IT.
Also ist die Frage doch obsolet und kann man nicht Ernst meinen wenn man seriös was raten will. Nur das die Box bei Oma Grete im Wohnzimmer funktioniert prädestiniert sie nicht automatisch auch für den Firmeneinsatz.
Das Thema Windows XP spricht ja auch schon für sich... face-sad
48 Port Switch 10/100 mbit ohne VLAN bzw. Http-Konfig
Gruselig ! Ein absolutes NoGo für ein Firmennetz. Passt aber in die ganze dilettantische Argumentation von oben, sorry.
Könnte man diesen Router genauso gut wie ein APU Systemboard mit pfSense in das Netz integrieren?
Klares Nein ! Ist vom Featureset so wie VW Golf und Tretroller...vergiss das.
nicht darum rum kommen einen VLAN fähigen Switch anzuschaffen, richtig?
Die ersten weisen und richtigen Worte...
Man fragt sich warum du überhaupt so einen sinnfreinen Thread eröffnest wenn so oder so schon feststeht das kein Budget da ist und du damit alles über Bord werfen willst / musst was nur minimalst sinnvoll ist.
Dann eben Plastikrouter und ungemanagter billigst China Switch für die Infrastruktur. Ist ja völlig egal wenn die ausfällt, Internet und NAS kommt ja aus der Steckdose.
Fazit: Geh zum Blödmarkt und kauf dir deinen Kram zusammen. Funktionieren tut das dann mehr oder minder. Ob du damit aber glücklich wirst, es zukunftsträchtig ist ist eine ganz andere Frage. Letztlich wirft es auch auf dich als Beratenden ein mehr als schlechtes Bild.
Member: Daniel776
Daniel776 Jan 23, 2017 at 00:02:47 (UTC)
Goto Top
Zitat von @aqui:


Allein die Frage ist schon peinlich genug
Das muss man wohl nicht mehr weiter kommentieren.
Das Thema Windows XP spricht ja auch schon für sich... face-sad
Passt aber in die ganze dilettantische Argumentation von oben, sorry.
Man fragt sich warum du überhaupt so einen sinnfreinen Thread eröffnest...
Fazit: Geh zum Blödmarkt und kauf dir deinen Kram zusammen...


HALLO? Ist das ein Forum wo man Fragen stellen kann? Oder nur ein Forum wo Profis und IT-ler unter sich sind?
Ich habe mich erst vor 2 Tagen in das Thema VLAN, 802.1q, Alix/APU Systemboards eingearbeitet. Ich bin eigentlich hier um ergänzend Fragen zu stellen zu dem Thema.


Zitat von @aqui:

48 Port Switch 10/100 mbit ohne VLAN bzw. Http-Konfig
Gruselig ! Ein absolutes NoGo für ein Firmennetz. Passt aber in die ganze dilettantische Argumentation von oben, sorry.

Ich habe den Kauf vor ca. 15 Jahren nicht zu verantworten! Bin aber hier um mich zu informieren warum das Teil ersetzt werden muss. Oder ob es überhaupt ersetzt werden muss. Ich muss das vor einem Unternehmer argumentieren, der nur einen PC und Software benutzt. Den interessieren nur Zahlen und den Zweck. Flache hierachie, keine Bank, kein Fort-Nox und keine 100 Mitarbeiter mit eigener IT-Abteilung. Einfacher Mittelstand! Skalierbarkeit hin oder her. Wenn sich keine großen Veränderungen abzeichnen (Fusion, Standortwechsel, andere Geschossverkabelung, neue Mitarbeiter/weniger Mitarbeiter etc.) Dann muss man schon mal überlegen ob Veränderungen an der IT-Infrastruktur in dem Umfang Sinn machen. In den letzten 10-15 Jahren hat sich nicht viel verändert. Ausser ein neuer Server, neue Clients, neue Betriebsysteme UND eine FritzBox als Übergangslösung .

Zitat von @aqui:
Man fragt sich warum du überhaupt so einen sinnfreinen Thread eröffnest wenn so oder so schon feststeht das kein Budget da ist und du damit
alles über Bord werfen willst / musst was nur minimalst sinnvoll ist.

Das Budget ist nicht das Problem. Es geht eher um die Gründe und um die Argumentation. Aber die hast du mir ja bereits geliefert.

Zitat von @aqui:

Ob du damit aber glücklich wirst, es zukunftsträchtig ist ist eine ganz andere Frage. Letztlich wirft es auch auf dich als Beratenden ein mehr als
schlechtes Bild.

Genau. Deswegen bin ich auch hier. Um zu schauen ob das was ich mir ausgedacht habe zu ändern sich mit dem deckt was Profis denken. Aber ist das schlimm einen anderen Wissensstand zu haben? Muss ich mich deswegen so anfeinden lassen?
Member: IP-PUPPI
IP-PUPPI Jan 24, 2017 at 13:14:51 (UTC)
Goto Top
... na, hast Dich ein wenig "erholt" von der Hilfsbereitschaft der Level5 - "Götter" ? face-smile

Wenn Du willst ... kann Dir helfen ... soweit es mir meine Erfahrungen ermöglichen !

Bis Peter ... wenn Du willst !

ps. male mal was auf ... finde ich besser als zu (er)lesen
Member: Daniel776
Daniel776 Jan 24, 2017 at 19:11:22 (UTC)
Goto Top
Guten Abend allerseits!

Davon werde ich mich wohl nie erholen! Für diesen Empfang als neues Mitglied in diesem Forum.
Ich bin für jede Hilfe dankbar Peter. Ich danke auch den Leuten vor dir für die Tipps. Aber ich finde die Art und Weise an manchen Stellen Fragwürdig. Wie ich dem schon Luft gemacht habe ich Betrag zuvor.

Ich bin leider kein Level 5 Gott. Und ich finde für einen Gott gehört es sich die richtigen Fragen zu stellen! Wie z.B. ist der Server/Router/Switch Raum abgeschlossen? Sprich ist die Möglichkeit der Manipulation gegeben? Ist geplant zu expandieren in nächster Zeit? Oder oder oder.
Was ich damit sagen will ist, dass ich es unmöglich finde jemanden gleich im ersten Thread zu beurteilen oder als dilettạntisch darzustellen, obwohl man überhaupt nicht wissen kann wen man vor sich hat. Jemand der es wissen müsste und voll ausgebildeter Fachinformatiker ist, jemand der vielleicht gerade in der Ausbildung steckt oder jemand der sein Hobby zum Beruf machen möchte. Ein sogenannter Quereinsteiger halt.

So, dann werde ich das jetzt mal nachholen! Ich bin KEIN ausgebildeter IT-ler. Habe aber überdurchschnittlich gute Erfahrung in allen Bereichen. Ob es Netzwerke, Betriebsysteme, Server, Virtualisierung, Active Directory, Scripting oder Entwicklung ist. Von allen etwas. Das hat mit einem 386 und DOS in der Schule angefangen. Hab sogar eine MCSE Schulung gemacht vor etlichen Jahren. Da ich es aber nicht Hauptberuflich betreibe, habe ich gewisse Lücken die geschlossen werden müssen. Gerade bei Neuerungen bzw. neuen Technologien. Und da habe ich mir gedacht. Es kann nicht verkehrt sein sich in einem Forum anzumelden um auf den neusten Stand der Dinge zu kommen. Deswegen habt bitte Verständnis wenn die ein oder andere Frage in euren Augen blöd oder komisch erscheint. Es ist noch kein Meister vom Himmel gefallen.

Peter ich bin dabei ein Netzwerkplan zu erstellen. Wenn ich den fertig habe werde ich ihn hier posten.

Gruß
Member: IP-PUPPI
IP-PUPPI Jan 25, 2017 at 07:38:28 (UTC)
Goto Top
Moin ...

du sprichst mir aus der Seele ...

Einige mit Level 5 haben diesen nur, weil sie bei "jedem" Thema etwas schreiben. Die Punkte, um ein Level höher zu steigen, errechnen sich NICHT aus Inhalt oder der Mühe die sich gegeben wird, sondern rein weg nur, dass sie was "zu sagen" hatten .

Hab es beobachtet ... immer wenn eine neue Frage gestellt wird ... schwupp mal schnell was schreiben ... aber sich nicht weiter drum kümmern. Daran erkennt man die Qualität der Forenmitglieder ... und das Forum selbst. Leider ! Es sind immer die selben ....

Aber kann ich drüber lachen ... denn, es gibt auch wirklich gute Jungs hier.

Wenn Du soweit bist ... melde Dich einfach!
GermansolvedQuestionIT Safety tipsSecurity