17
Getrennte Netzwerke zusammenlegen
Hallo Forum,
ich würde gerne mal eure Meinung zu folgendem Problem hören:
Ich habe die Administration eines sehr desolaten Firmennetzwerks übernommen. Ca. 90 Teilnehmer, getrennt in zwei physikalisch getrennte Netze (Büro und Maschinen) aber gleichem IP-Nummern-Bereich. Keine oder abgeschaltete Virenscanner. Keine Updates. Keine Datensicherung. Teilweise XP-Clients mit SP2. Nur das Büronetz hat Zugang zum Internet. Allerdings wurden beide Netze des Öfteren mit einem Kabel einfach verbunden (meist in der Nachtschicht...., aber auch um den Clients zeitweise Internetzugang zu geben wegen Updates der CAD-Software). Wie verseucht das Netzt mit Viren ist, kann sich wahrscheinlich jeder vorstellen.
Das Büronetz mit ca. 35 Rechnern hat jetzt einen SBS2011, jeder Clients bekommt seine Updates, hat eine Firewall und einen Virenscanner. Internetzugang nur über Proxy.
Jetzt geht es ans Maschinennetz. Die Trennung der Netzte wurde gemacht, um das Maschinennetz von Viren frei zu halten. Schöner Ansatz, aber leider nicht praktikabel.
Mein Vorschlag wäre jetzt, die beiden Netze zusammenzulegen, die Clients auch in die SBS-Domäne aufzunehmen und den gleichen Zustand herzustellen, wie im Büronetz. An dem Netz hängen aber auch CNC-Maschinen mit unterschiedlichsten Steuerungen. Darunter Windows 2000-Rechner. Auf diesen Maschinen kann ich keinen Virenscanner installieren. Die Maschinen müssen aber ans Netz, da direkt Daten ausgetauscht werden müssen.
Was würdet ihr machen? Zusammenlegen oder getrennt lassen? Oder gibt’s noch weitere Möglichkeiten? Bin für alle Ideen offen.
Danke euch!
VG
Thomas
ich würde gerne mal eure Meinung zu folgendem Problem hören:
Ich habe die Administration eines sehr desolaten Firmennetzwerks übernommen. Ca. 90 Teilnehmer, getrennt in zwei physikalisch getrennte Netze (Büro und Maschinen) aber gleichem IP-Nummern-Bereich. Keine oder abgeschaltete Virenscanner. Keine Updates. Keine Datensicherung. Teilweise XP-Clients mit SP2. Nur das Büronetz hat Zugang zum Internet. Allerdings wurden beide Netze des Öfteren mit einem Kabel einfach verbunden (meist in der Nachtschicht...., aber auch um den Clients zeitweise Internetzugang zu geben wegen Updates der CAD-Software). Wie verseucht das Netzt mit Viren ist, kann sich wahrscheinlich jeder vorstellen.
Das Büronetz mit ca. 35 Rechnern hat jetzt einen SBS2011, jeder Clients bekommt seine Updates, hat eine Firewall und einen Virenscanner. Internetzugang nur über Proxy.
Jetzt geht es ans Maschinennetz. Die Trennung der Netzte wurde gemacht, um das Maschinennetz von Viren frei zu halten. Schöner Ansatz, aber leider nicht praktikabel.
Mein Vorschlag wäre jetzt, die beiden Netze zusammenzulegen, die Clients auch in die SBS-Domäne aufzunehmen und den gleichen Zustand herzustellen, wie im Büronetz. An dem Netz hängen aber auch CNC-Maschinen mit unterschiedlichsten Steuerungen. Darunter Windows 2000-Rechner. Auf diesen Maschinen kann ich keinen Virenscanner installieren. Die Maschinen müssen aber ans Netz, da direkt Daten ausgetauscht werden müssen.
Was würdet ihr machen? Zusammenlegen oder getrennt lassen? Oder gibt’s noch weitere Möglichkeiten? Bin für alle Ideen offen.
Danke euch!
VG
Thomas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 191580
Url: https://administrator.de/contentid/191580
Printed on: April 25, 2024 at 09:04 o'clock
17 Comments
Latest comment
Moin,
Best Practice in so einem Fall ist üblicherweise eine Firewall mit contentfilter zwischen den Netzen.
Auf keine Fall hängt man ein Produktionsnetz mit Maschinen direkt in ein Büronetz. Insbesodnere weil die Produktionsmaschinen meist veraltete Software udn Betribessystem haben, wenn die teilweise 10 und Mehr Jahre laufen. (wfw und msdos sind da durchaus immer noch anzutreffen).
lks
Best Practice in so einem Fall ist üblicherweise eine Firewall mit contentfilter zwischen den Netzen.
Auf keine Fall hängt man ein Produktionsnetz mit Maschinen direkt in ein Büronetz. Insbesodnere weil die Produktionsmaschinen meist veraltete Software udn Betribessystem haben, wenn die teilweise 10 und Mehr Jahre laufen. (wfw und msdos sind da durchaus immer noch anzutreffen).
lks
Hallo,
wie wäre es mit einer gepflegten Netzwerkstruktur mit VLAN's, unterschiedlichen IP Ranges, managebaren Switchen und einer Firewall die die entsprechenden Zugriffsregeln der Netze / VLAN's hat?
brammer
wie wäre es mit einer gepflegten Netzwerkstruktur mit VLAN's, unterschiedlichen IP Ranges, managebaren Switchen und einer Firewall die die entsprechenden Zugriffsregeln der Netze / VLAN's hat?
brammer
Hallo Lochkartenstanzer,
danke für deine schnelle Antwort.
Was gibt es da für Produkte, die man einsetzten könnte?
VG
Thomas
danke für deine schnelle Antwort.
Zitat von @Lochkartenstanzer:
Best Practice in so einem Fall ist üblicherweise eine Firewall mit contentfilter zwischen den Netzen.
Dann könnte man die Clients mit ins Büronetz nehmen und nur die Maschinen hinter der Firewall lassen?Best Practice in so einem Fall ist üblicherweise eine Firewall mit contentfilter zwischen den Netzen.
Was gibt es da für Produkte, die man einsetzten könnte?
VG
Thomas
Hallo tweyhr3156,
zusätzlich zu dem was lks und brammer geschrieben haben, sollten auch Virenscanner angeschafft werden die von einem Server aus gemanagt werden können und eine Lösung zur Update -und Softwareverteilung wie WSUS angeschafft werden. Vor allem auch die Server mit Virenschutz versorgen!
- Wenn die Virenscanner auf den CAD Workstations während der Arbeit abgestellt werden, entweder die Workstations upgraden das sie die Last tragen oder zwei mal die Woche einen kompletten Scann des Rechners machen.
- Bei vielen Virenfunden wird Dir gar nichts anderes übrig bleiben, als die gesamten Office PC´s, Workstations, Server und NAS Speicher ab zu scannen, sonst bekommst Du da nie einen Grund rein!
- Die CNC Maschinen nebst Steuerung in ein VLAN, die Office PC´s in ein VLAN, die CAD Workstations in ein VLAN und die Server und NAS Speicher in ein VLAN!
- Ich denke es wird sehr schwer werden wenn dort Nachts Leute tun und lassen was sie wollen und der
Chef nur zu schaut, dann hast Du bald wieder den jetzigen ist Zusatnd und hast Dir den Arxxxx umsonst aufgerissen oder die liebe Mühe war vergebens!!! Also da solltest Du mit dem Chef auch einmal sprechen,
dass es ohne seine Hilfe eben nicht geht, denn das dort niemand gewusst hat was dort vor sich geht glaube ich wohl auch weniger.
Gruß
Dobby
Bei der Firewall vielleicht gleich auf ein UTM Gerät umsteigen z.B. Sophos UTM320 oder Netgear UTM50
oder irgend etwas in diese Richtung!
zusätzlich zu dem was lks und brammer geschrieben haben, sollten auch Virenscanner angeschafft werden die von einem Server aus gemanagt werden können und eine Lösung zur Update -und Softwareverteilung wie WSUS angeschafft werden. Vor allem auch die Server mit Virenschutz versorgen!
- Wenn die Virenscanner auf den CAD Workstations während der Arbeit abgestellt werden, entweder die Workstations upgraden das sie die Last tragen oder zwei mal die Woche einen kompletten Scann des Rechners machen.
- Bei vielen Virenfunden wird Dir gar nichts anderes übrig bleiben, als die gesamten Office PC´s, Workstations, Server und NAS Speicher ab zu scannen, sonst bekommst Du da nie einen Grund rein!
- Die CNC Maschinen nebst Steuerung in ein VLAN, die Office PC´s in ein VLAN, die CAD Workstations in ein VLAN und die Server und NAS Speicher in ein VLAN!
- Ich denke es wird sehr schwer werden wenn dort Nachts Leute tun und lassen was sie wollen und der
Chef nur zu schaut, dann hast Du bald wieder den jetzigen ist Zusatnd und hast Dir den Arxxxx umsonst aufgerissen oder die liebe Mühe war vergebens!!! Also da solltest Du mit dem Chef auch einmal sprechen,
dass es ohne seine Hilfe eben nicht geht, denn das dort niemand gewusst hat was dort vor sich geht glaube ich wohl auch weniger.
Gruß
Dobby
Bei der Firewall vielleicht gleich auf ein UTM Gerät umsteigen z.B. Sophos UTM320 oder Netgear UTM50
oder irgend etwas in diese Richtung!
Zitat von @brammer:
Hallo,
wie wäre es mit einer gepflegten Netzwerkstruktur mit VLAN's, unterschiedlichen IP Ranges, managebaren Switchen und
einer Firewall die die entsprechenden Zugriffsregeln der Netze / VLAN's hat?
brammer
Hallo,
wie wäre es mit einer gepflegten Netzwerkstruktur mit VLAN's, unterschiedlichen IP Ranges, managebaren Switchen und
einer Firewall die die entsprechenden Zugriffsregeln der Netze / VLAN's hat?
brammer
Hallo Brammer,
das wäre sicher die sauberste Lösung. Nur ist es so, dass in der Firma 24/7 produziert wird. Ich würde da nur sehr ungern anfangen, die gesamte Netzwerkstruktur umzubauen. Außerdem bin ich mir nicht so sicher, ob überhaupt jemand weiß, wie man den Steuerungen neue IPs zuweist. Handbücher sind Mangelware und der Support größenteils ausgelaufen.
VG
Thomas
Zitat von @tweyhr3156:
Außerdem bin ich mir nicht so sicher, ob überhaupt jemand
weiß, wie man den Steuerungen neue IPs zuweist. Handbücher sind Mangelware und der Support größenteils
ausgelaufen.
Außerdem bin ich mir nicht so sicher, ob überhaupt jemand
weiß, wie man den Steuerungen neue IPs zuweist. Handbücher sind Mangelware und der Support größenteils
ausgelaufen.
Deswegen stellst Du auch das Büronetz um und nicht das Maschinennetz.
lks
Hallo,
Und laufen soll es auch noch 24/7/365? Aber machen kann man nichts oder nur wenig!
Dobby
das wäre sicher die sauberste Lösung. Nur ist es so, dass in der Firma 24/7 produziert wird. Ich würde > da nur sehr ungern anfangen, die gesamte Netzwerkstruktur umzubauen.
Schon klar aber einmal richtigen Grund dort rein zu bringen wäre von Vorteil und arbeiten die denn auch am Sonntag?Außerdem bin ich mir nicht so sicher, ob überhaupt jemand weiß, wie man den Steuerungen neue IPs
zuweist. Handbücher sind Mangelware und der Support größenteils ausgelaufen.
Keine Dokumentation zum Netzwerk? Aber alles hübsch mit Viren verseucht!zuweist. Handbücher sind Mangelware und der Support größenteils ausgelaufen.
Und laufen soll es auch noch 24/7/365? Aber machen kann man nichts oder nur wenig!
VG
Thomas
GrußThomas
Dobby
Zitat von @108012:
Hallo tweyhr3156,
zusätzlich zu dem was lks und brammer geschrieben haben, sollten auch Virenscanner angeschafft werden die von einem Server
aus gemanagt werden können und eine Lösung zur Update -und Softwareverteilung wie WSUS angeschafft werden. Vor allem
auch die Server mit Virenschutz versorgen!
Hallo tweyhr3156,
zusätzlich zu dem was lks und brammer geschrieben haben, sollten auch Virenscanner angeschafft werden die von einem Server
aus gemanagt werden können und eine Lösung zur Update -und Softwareverteilung wie WSUS angeschafft werden. Vor allem
auch die Server mit Virenschutz versorgen!
Hallo Dobby,
auf den Büroclients und dem Server läuft der TrendMicro Worry-Free Business Security Advanced. Außerdem läuft der SBS2011 mit WSUS. Auch neue Software wird über den Server verteilt. Die User haben nur noch Benutzerrechte und können den Virenscaner/Virewall auch nicht mehr abschalten.
- Wenn die Virenscanner auf den CAD Workstations während der Arbeit abgestellt werden, entweder die Workstations upgraden das sie die Last tragen oder zwei mal die Woche einen kompletten Scann des Rechners machen.
Wenn ich die CAD-Workstations in die SBS-Domäne aufnehme, sollte das Problem gelöst sein.- Bei vielen Virenfunden wird Dir gar nichts anderes übrig bleiben, als die gesamten Office PC´s, Workstations, Server
und NAS Speicher ab zu scannen, sonst bekommst Du da nie einen Grund rein!
Im Bürobereich hatte nach nach dem Ausrollen des Virenscanners innerhalb einer Stunde 190 Funde. Die haben sich jetzt auf 0 reduziert. Ein gutes Ergebnis denke ich und NAS Speicher ab zu scannen, sonst bekommst Du da nie einen Grund rein!
- Ich denke es wird sehr schwer werden wenn dort Nachts Leute tun und lassen was sie wollen und der
Chef nur zu schaut, dann hast Du bald wieder den jetzigen ist Zusatnd und hast Dir den Arxxxx umsonst aufgerissen oder die liebe Mühe war vergebens!!! Also da solltest Du mit dem Chef auch einmal sprechen,
dass es ohne seine Hilfe eben nicht geht, denn das dort niemand gewusst hat was dort vor sich geht glaube ich wohl auch weniger.
Ich drücks mal so aus: Man war/ist sehr blauäugig von Seiten der GL. Ich hatte mit einem Geschäftsführer auch schon ein Gespräch deswegen. Er ist aus allen Wolken gefallen, wie ich ihm erzählt habe, was da Nachts so in dem Netzt los ist. Auch dass das Netzt voll ist mit Viren war für ihn neu. Zum Glück hat der letzte Admnin die Reißleine gezogen und aufgegeben.Chef nur zu schaut, dann hast Du bald wieder den jetzigen ist Zusatnd und hast Dir den Arxxxx umsonst aufgerissen oder die liebe Mühe war vergebens!!! Also da solltest Du mit dem Chef auch einmal sprechen,
dass es ohne seine Hilfe eben nicht geht, denn das dort niemand gewusst hat was dort vor sich geht glaube ich wohl auch weniger.
VG
Thomas
Zitat von @108012:
Schon klar aber einmal richtigen Grund dort rein zu bringen wäre von Vorteil und arbeiten die denn auch am Sonntag?
Zur Zeit ja. Es kann natürlich sein, dass sich das wieder ändert, sobald die Auftragslage wieder runter geht.Schon klar aber einmal richtigen Grund dort rein zu bringen wäre von Vorteil und arbeiten die denn auch am Sonntag?
Ich werde jetzt mal ein Konzept ausarbeiten und das Vorstellen. Den Grund liefern die Mitarbeiter schon selbst. Spätestens wenns im Maschinennetz kracht, weil Viren eine Maschine befallen haben oder Daten weg sind.
Keine Dokumentation zum Netzwerk? Aber alles hübsch mit Viren verseucht!
Und laufen soll es auch noch 24/7/365? Aber machen kann man nichts oder nur wenig!
Keine Dokumentation zum Netzwerk! Nix! Neue IP-Nummern wurden vergeben, in dem sie angepingt wurde. Antwortet niemand, war sie frei. In dem Netz wurde einfach nichts gemacht. Immer nur mal schnell was drangebastelt und fertig wars. Das rächt sich jetzt natürlich.Und laufen soll es auch noch 24/7/365? Aber machen kann man nichts oder nur wenig!
VG
Thomas
Hi Thomas,
trenne und verbinde die Netze doch über eine schöne Firewall. Da kannst du mittels der Rechtevergabe alles regeln, was dir wichtig erscheint.
Nimm eine externe Appliance oder eine getrennte Maschine mit zwei oder drei NICs.
Gruß
Netman
trenne und verbinde die Netze doch über eine schöne Firewall. Da kannst du mittels der Rechtevergabe alles regeln, was dir wichtig erscheint.
Nimm eine externe Appliance oder eine getrennte Maschine mit zwei oder drei NICs.
Gruß
Netman
Zitat von @tweyhr3156:
Keine Dokumentation zum Netzwerk! Nix! Neue IP-Nummern wurden vergeben, in dem sie angepingt wurde. Antwortet niemand, war sie
frei. In dem Netz wurde einfach nichts gemacht. Immer nur mal schnell was drangebastelt und fertig wars. Das rächt sich jetzt
natürlich.
Keine Dokumentation zum Netzwerk! Nix! Neue IP-Nummern wurden vergeben, in dem sie angepingt wurde. Antwortet niemand, war sie
frei. In dem Netz wurde einfach nichts gemacht. Immer nur mal schnell was drangebastelt und fertig wars. Das rächt sich jetzt
natürlich.
Dann fang an zu dokumentieren. Benutzte Ip-Adressen lassen sich ganz gut mit arpwatch u.ä. dokumentieren. Da sammelt sich dann nach un nach einiges an und man sieht auch, ob es kollisionen gibt, die ansonsten nicht auffallen, weil die geräte selten zur gleichen zeit an sind.
lks
Zitat von @MrNetman:
Nimm eine externe Appliance oder eine getrennte Maschine mit zwei oder drei NICs.
Nimm eine externe Appliance oder eine getrennte Maschine mit zwei oder drei NICs.
Dobby hat weiter oben Sophos UTM320 oder Netgear UTM50 genannt. Die werde ich mir mal anschauen.
VG
Thomas
dann fang an zu dekomentieren. Benutzte Ip-Adressen lassen sich ganz gut mit arpwatch u.ä. dokumentieren. Da sammelt sich
dann nach un nach einiges an und man sieht auch, ob es kollisionen gibt, die ansonsten nicht auffallen, weil die geräte
selten zur gleichen zeit an sind.
Ist alles schon passiert. Ich benutze netscan. Damit bekomm ich zwar nur eine Momentanaufnahme der IPs, aber besser als nichts. Arpwatch gibts anscheinend nur für Linux dann nach un nach einiges an und man sieht auch, ob es kollisionen gibt, die ansonsten nicht auffallen, weil die geräte
selten zur gleichen zeit an sind.
VG
Thomas
Hallo tweyhr3156,
hol Dir mal den Mac Scanner von ColaSoft, der listet Dir alles auf, IP + MAC + Hostname + Hersteller
und das noch in einem Rutsch!
Das mit den Sophos oder Netgaer Geräten ist nur Makulatur, Hauptsache ist doch die UTM Klasse, denn wenn das Nachts so weiter gehen sollte, dann hast Du wenigstens ein bisschen mehr Schutz in Punkto Viren!!!!!
Ich weiß ja auch nicht was für ein "Core Switch" vorhanden ist, also von der Routing Performance und
Erkennung von Viren sollten die beiden schon so in dem Bereich liegen, denn Ihr habt 35 PC´s und einen Server und vielleicht noch mehr, das ist für uns hier noch offen! Klar wenn Du einen Layer 3 Switch hast
kann das ja auch kleiner ausfallen mit den UTM´s aber bitte nicht sehr viel.
Gruß
Dobby
hol Dir mal den Mac Scanner von ColaSoft, der listet Dir alles auf, IP + MAC + Hostname + Hersteller
und das noch in einem Rutsch!
Das mit den Sophos oder Netgaer Geräten ist nur Makulatur, Hauptsache ist doch die UTM Klasse, denn wenn das Nachts so weiter gehen sollte, dann hast Du wenigstens ein bisschen mehr Schutz in Punkto Viren!!!!!
Ich weiß ja auch nicht was für ein "Core Switch" vorhanden ist, also von der Routing Performance und
Erkennung von Viren sollten die beiden schon so in dem Bereich liegen, denn Ihr habt 35 PC´s und einen Server und vielleicht noch mehr, das ist für uns hier noch offen! Klar wenn Du einen Layer 3 Switch hast
kann das ja auch kleiner ausfallen mit den UTM´s aber bitte nicht sehr viel.
Gruß
Dobby
Hallo,
nun, den Produktionsbereich kannst du ja beim Umbau erstmal ausklammern, aber die Verwaltung kannst du ja schon mal in ein sauberes Netz umbauen.
Wenn deine PLC's so alt sind das keine Dokumentation oder Projektierung existiert, sprechen dia dann überhaupt schon TCP/IP?
Denn eine S5 zum Beispiel kann eigentlich kein TCP/IP verstehen...
brammer
nun, den Produktionsbereich kannst du ja beim Umbau erstmal ausklammern, aber die Verwaltung kannst du ja schon mal in ein sauberes Netz umbauen.
Wenn deine PLC's so alt sind das keine Dokumentation oder Projektierung existiert, sprechen dia dann überhaupt schon TCP/IP?
Denn eine S5 zum Beispiel kann eigentlich kein TCP/IP verstehen...
brammer
Wenn deine PLC's so alt sind das keine Dokumentation oder Projektierung existiert, sprechen dia dann überhaupt schon
TCP/IP?
Denn eine S5 zum Beispiel kann eigentlich kein TCP/IP verstehen...
jetzt machst du mir Angst. Da hast du natürlich recht. D.h. ich muss erst mal die ganzen Steuerungen anschauen und prüfen, ob die TCP/IP können. Wenn nicht, müssen die CAD-Rechner mit den Maschinen in einem Netz bleiben und ich brauche eine Anbindung per Firewall ans Büronetz.TCP/IP?
Denn eine S5 zum Beispiel kann eigentlich kein TCP/IP verstehen...
nun, den Produktionsbereich kannst du ja beim Umbau erstmal ausklammern, aber die Verwaltung kannst du ja schon mal in ein sauberes Netz umbauen.
Die Verwaltung läuft ja schon sauber. Da ist jetzt alles top. Virenscanner, Updates, Firewalls auf jedem Rechner. Keine Adminrechte mehr für User. Eigene Windows-Domäne. Internetzugang nur über Proxy. Nur kein eigenes Subnetz.VG
Thomas
Wenns nichts kosten darf kannst du einen Blick hierauf werfen:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Auch ein preiswerter Router mit Access Listen Funktion wäre eine Alternative zur Kopplung beider Netze:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router --> "Routing ohne Server"
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Auch ein preiswerter Router mit Access Listen Funktion wäre eine Alternative zur Kopplung beider Netze:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router --> "Routing ohne Server"
