Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Getrennte Netzwerke zusammenlegen

Frage Netzwerke Netzwerkgrundlagen

Mitglied: tweyhr3156

tweyhr3156 (Level 1) - Jetzt verbinden

21.09.2012 um 09:17 Uhr, 4792 Aufrufe, 17 Kommentare

Hallo Forum,

ich würde gerne mal eure Meinung zu folgendem Problem hören:
Ich habe die Administration eines sehr desolaten Firmennetzwerks übernommen. Ca. 90 Teilnehmer, getrennt in zwei physikalisch getrennte Netze (Büro und Maschinen) aber gleichem IP-Nummern-Bereich. Keine oder abgeschaltete Virenscanner. Keine Updates. Keine Datensicherung. Teilweise XP-Clients mit SP2. Nur das Büronetz hat Zugang zum Internet. Allerdings wurden beide Netze des Öfteren mit einem Kabel einfach verbunden (meist in der Nachtschicht...., aber auch um den Clients zeitweise Internetzugang zu geben wegen Updates der CAD-Software). Wie verseucht das Netzt mit Viren ist, kann sich wahrscheinlich jeder vorstellen.

Das Büronetz mit ca. 35 Rechnern hat jetzt einen SBS2011, jeder Clients bekommt seine Updates, hat eine Firewall und einen Virenscanner. Internetzugang nur über Proxy.

Jetzt geht es ans Maschinennetz. Die Trennung der Netzte wurde gemacht, um das Maschinennetz von Viren frei zu halten. Schöner Ansatz, aber leider nicht praktikabel.
Mein Vorschlag wäre jetzt, die beiden Netze zusammenzulegen, die Clients auch in die SBS-Domäne aufzunehmen und den gleichen Zustand herzustellen, wie im Büronetz. An dem Netz hängen aber auch CNC-Maschinen mit unterschiedlichsten Steuerungen. Darunter Windows 2000-Rechner. Auf diesen Maschinen kann ich keinen Virenscanner installieren. Die Maschinen müssen aber ans Netz, da direkt Daten ausgetauscht werden müssen.

Was würdet ihr machen? Zusammenlegen oder getrennt lassen? Oder gibt’s noch weitere Möglichkeiten? Bin für alle Ideen offen.

Danke euch!

VG
Thomas

Mitglied: Lochkartenstanzer
21.09.2012, aktualisiert um 09:27 Uhr
Moin,

Best Practice in so einem Fall ist üblicherweise eine Firewall mit contentfilter zwischen den Netzen.


Auf keine Fall hängt man ein Produktionsnetz mit Maschinen direkt in ein Büronetz. Insbesodnere weil die Produktionsmaschinen meist veraltete Software udn Betribessystem haben, wenn die teilweise 10 und Mehr Jahre laufen. (wfw und msdos sind da durchaus immer noch anzutreffen).


lks
Bitte warten ..
Mitglied: brammer
21.09.2012 um 09:34 Uhr
Hallo,

wie wäre es mit einer gepflegten Netzwerkstruktur mit VLAN's, unterschiedlichen IP Ranges, managebaren Switchen und einer Firewall die die entsprechenden Zugriffsregeln der Netze / VLAN's hat?

brammer
Bitte warten ..
Mitglied: tweyhr3156
21.09.2012 um 09:48 Uhr
Hallo Lochkartenstanzer,

danke für deine schnelle Antwort.

Zitat von Lochkartenstanzer:

Best Practice in so einem Fall ist üblicherweise eine Firewall mit contentfilter zwischen den Netzen.
Dann könnte man die Clients mit ins Büronetz nehmen und nur die Maschinen hinter der Firewall lassen?
Was gibt es da für Produkte, die man einsetzten könnte?

VG
Thomas
Bitte warten ..
Mitglied: Dobby
21.09.2012 um 09:57 Uhr
Hallo tweyhr3156,

zusätzlich zu dem was lks und brammer geschrieben haben, sollten auch Virenscanner angeschafft werden die von einem Server aus gemanagt werden können und eine Lösung zur Update -und Softwareverteilung wie WSUS angeschafft werden. Vor allem auch die Server mit Virenschutz versorgen!

- Wenn die Virenscanner auf den CAD Workstations während der Arbeit abgestellt werden, entweder die Workstations upgraden das sie die Last tragen oder zwei mal die Woche einen kompletten Scann des Rechners machen.
- Bei vielen Virenfunden wird Dir gar nichts anderes übrig bleiben, als die gesamten Office PC´s, Workstations, Server und NAS Speicher ab zu scannen, sonst bekommst Du da nie einen Grund rein!
- Die CNC Maschinen nebst Steuerung in ein VLAN, die Office PC´s in ein VLAN, die CAD Workstations in ein VLAN und die Server und NAS Speicher in ein VLAN!
- Ich denke es wird sehr schwer werden wenn dort Nachts Leute tun und lassen was sie wollen und der
Chef nur zu schaut, dann hast Du bald wieder den jetzigen ist Zusatnd und hast Dir den Arxxxx umsonst aufgerissen oder die liebe Mühe war vergebens!!! Also da solltest Du mit dem Chef auch einmal sprechen,
dass es ohne seine Hilfe eben nicht geht, denn das dort niemand gewusst hat was dort vor sich geht glaube ich wohl auch weniger.

Gruß
Dobby

Bei der Firewall vielleicht gleich auf ein UTM Gerät umsteigen z.B. Sophos UTM320 oder Netgear UTM50
oder irgend etwas in diese Richtung!
Bitte warten ..
Mitglied: tweyhr3156
21.09.2012 um 10:00 Uhr
Zitat von brammer:
Hallo,

wie wäre es mit einer gepflegten Netzwerkstruktur mit VLAN's, unterschiedlichen IP Ranges, managebaren Switchen und
einer Firewall die die entsprechenden Zugriffsregeln der Netze / VLAN's hat?

brammer

Hallo Brammer,
das wäre sicher die sauberste Lösung. Nur ist es so, dass in der Firma 24/7 produziert wird. Ich würde da nur sehr ungern anfangen, die gesamte Netzwerkstruktur umzubauen. Außerdem bin ich mir nicht so sicher, ob überhaupt jemand weiß, wie man den Steuerungen neue IPs zuweist. Handbücher sind Mangelware und der Support größenteils ausgelaufen.

VG
Thomas
Bitte warten ..
Mitglied: Lochkartenstanzer
21.09.2012 um 10:06 Uhr
Zitat von tweyhr3156:
Außerdem bin ich mir nicht so sicher, ob überhaupt jemand
weiß, wie man den Steuerungen neue IPs zuweist. Handbücher sind Mangelware und der Support größenteils
ausgelaufen.

Deswegen stellst Du auch das Büronetz um und nicht das Maschinennetz.

lks
Bitte warten ..
Mitglied: Dobby
21.09.2012 um 10:14 Uhr
Hallo,

das wäre sicher die sauberste Lösung. Nur ist es so, dass in der Firma 24/7 produziert wird. Ich würde > da nur sehr ungern anfangen, die gesamte Netzwerkstruktur umzubauen.
Schon klar aber einmal richtigen Grund dort rein zu bringen wäre von Vorteil und arbeiten die denn auch am Sonntag?

Außerdem bin ich mir nicht so sicher, ob überhaupt jemand weiß, wie man den Steuerungen neue IPs
zuweist. Handbücher sind Mangelware und der Support größenteils ausgelaufen.
Keine Dokumentation zum Netzwerk? Aber alles hübsch mit Viren verseucht!
Und laufen soll es auch noch 24/7/365? Aber machen kann man nichts oder nur wenig!

VG
Thomas
Gruß
Dobby
Bitte warten ..
Mitglied: tweyhr3156
21.09.2012 um 10:25 Uhr
Zitat von Dobby:
Hallo tweyhr3156,

zusätzlich zu dem was lks und brammer geschrieben haben, sollten auch Virenscanner angeschafft werden die von einem Server
aus gemanagt werden können und eine Lösung zur Update -und Softwareverteilung wie WSUS angeschafft werden. Vor allem
auch die Server mit Virenschutz versorgen!

Hallo Dobby,

auf den Büroclients und dem Server läuft der TrendMicro Worry-Free Business Security Advanced. Außerdem läuft der SBS2011 mit WSUS. Auch neue Software wird über den Server verteilt. Die User haben nur noch Benutzerrechte und können den Virenscaner/Virewall auch nicht mehr abschalten.


- Wenn die Virenscanner auf den CAD Workstations während der Arbeit abgestellt werden, entweder die Workstations upgraden das sie die Last tragen oder zwei mal die Woche einen kompletten Scann des Rechners machen.
Wenn ich die CAD-Workstations in die SBS-Domäne aufnehme, sollte das Problem gelöst sein.

- Bei vielen Virenfunden wird Dir gar nichts anderes übrig bleiben, als die gesamten Office PC´s, Workstations, Server
und NAS Speicher ab zu scannen, sonst bekommst Du da nie einen Grund rein!
Im Bürobereich hatte nach nach dem Ausrollen des Virenscanners innerhalb einer Stunde 190 Funde. Die haben sich jetzt auf 0 reduziert. Ein gutes Ergebnis denke ich

- Ich denke es wird sehr schwer werden wenn dort Nachts Leute tun und lassen was sie wollen und der
Chef nur zu schaut, dann hast Du bald wieder den jetzigen ist Zusatnd und hast Dir den Arxxxx umsonst aufgerissen oder die liebe Mühe war vergebens!!! Also da solltest Du mit dem Chef auch einmal sprechen,
dass es ohne seine Hilfe eben nicht geht, denn das dort niemand gewusst hat was dort vor sich geht glaube ich wohl auch weniger.
Ich drücks mal so aus: Man war/ist sehr blauäugig von Seiten der GL. Ich hatte mit einem Geschäftsführer auch schon ein Gespräch deswegen. Er ist aus allen Wolken gefallen, wie ich ihm erzählt habe, was da Nachts so in dem Netzt los ist. Auch dass das Netzt voll ist mit Viren war für ihn neu. Zum Glück hat der letzte Admnin die Reißleine gezogen und aufgegeben.

VG
Thomas
Bitte warten ..
Mitglied: tweyhr3156
21.09.2012, aktualisiert um 10:38 Uhr
Zitat von Dobby:
Schon klar aber einmal richtigen Grund dort rein zu bringen wäre von Vorteil und arbeiten die denn auch am Sonntag?
Zur Zeit ja. Es kann natürlich sein, dass sich das wieder ändert, sobald die Auftragslage wieder runter geht.
Ich werde jetzt mal ein Konzept ausarbeiten und das Vorstellen. Den Grund liefern die Mitarbeiter schon selbst. Spätestens wenns im Maschinennetz kracht, weil Viren eine Maschine befallen haben oder Daten weg sind.

Keine Dokumentation zum Netzwerk? Aber alles hübsch mit Viren verseucht!
Und laufen soll es auch noch 24/7/365? Aber machen kann man nichts oder nur wenig!
Keine Dokumentation zum Netzwerk! Nix! Neue IP-Nummern wurden vergeben, in dem sie angepingt wurde. Antwortet niemand, war sie frei. In dem Netz wurde einfach nichts gemacht. Immer nur mal schnell was drangebastelt und fertig wars. Das rächt sich jetzt natürlich.

VG
Thomas
Bitte warten ..
Mitglied: MrNetman
21.09.2012 um 10:42 Uhr
Hi Thomas,
trenne und verbinde die Netze doch über eine schöne Firewall. Da kannst du mittels der Rechtevergabe alles regeln, was dir wichtig erscheint.
Nimm eine externe Appliance oder eine getrennte Maschine mit zwei oder drei NICs.

Gruß
Netman
Bitte warten ..
Mitglied: Lochkartenstanzer
21.09.2012, aktualisiert um 13:21 Uhr
Zitat von tweyhr3156:
Keine Dokumentation zum Netzwerk! Nix! Neue IP-Nummern wurden vergeben, in dem sie angepingt wurde. Antwortet niemand, war sie
frei. In dem Netz wurde einfach nichts gemacht. Immer nur mal schnell was drangebastelt und fertig wars. Das rächt sich jetzt
natürlich.

Dann fang an zu dokumentieren. Benutzte Ip-Adressen lassen sich ganz gut mit arpwatch u.ä. dokumentieren. Da sammelt sich dann nach un nach einiges an und man sieht auch, ob es kollisionen gibt, die ansonsten nicht auffallen, weil die geräte selten zur gleichen zeit an sind.

lks
Bitte warten ..
Mitglied: tweyhr3156
21.09.2012 um 10:51 Uhr
Zitat von MrNetman:
Nimm eine externe Appliance oder eine getrennte Maschine mit zwei oder drei NICs.

Dobby hat weiter oben Sophos UTM320 oder Netgear UTM50 genannt. Die werde ich mir mal anschauen.

VG
Thomas
Bitte warten ..
Mitglied: tweyhr3156
21.09.2012 um 10:55 Uhr
dann fang an zu dekomentieren. Benutzte Ip-Adressen lassen sich ganz gut mit arpwatch u.ä. dokumentieren. Da sammelt sich
dann nach un nach einiges an und man sieht auch, ob es kollisionen gibt, die ansonsten nicht auffallen, weil die geräte
selten zur gleichen zeit an sind.
Ist alles schon passiert. Ich benutze netscan. Damit bekomm ich zwar nur eine Momentanaufnahme der IPs, aber besser als nichts. Arpwatch gibts anscheinend nur für Linux

VG
Thomas
Bitte warten ..
Mitglied: Dobby
21.09.2012 um 11:05 Uhr
Hallo tweyhr3156,

hol Dir mal den Mac Scanner von ColaSoft, der listet Dir alles auf, IP + MAC + Hostname + Hersteller
und das noch in einem Rutsch!

Das mit den Sophos oder Netgaer Geräten ist nur Makulatur, Hauptsache ist doch die UTM Klasse, denn wenn das Nachts so weiter gehen sollte, dann hast Du wenigstens ein bisschen mehr Schutz in Punkto Viren!!!!!

Ich weiß ja auch nicht was für ein "Core Switch" vorhanden ist, also von der Routing Performance und
Erkennung von Viren sollten die beiden schon so in dem Bereich liegen, denn Ihr habt 35 PC´s und einen Server und vielleicht noch mehr, das ist für uns hier noch offen! Klar wenn Du einen Layer 3 Switch hast
kann das ja auch kleiner ausfallen mit den UTM´s aber bitte nicht sehr viel.


Gruß
Dobby
Bitte warten ..
Mitglied: brammer
21.09.2012 um 11:23 Uhr
Hallo,

nun, den Produktionsbereich kannst du ja beim Umbau erstmal ausklammern, aber die Verwaltung kannst du ja schon mal in ein sauberes Netz umbauen.

Wenn deine PLC's so alt sind das keine Dokumentation oder Projektierung existiert, sprechen dia dann überhaupt schon TCP/IP?
Denn eine S5 zum Beispiel kann eigentlich kein TCP/IP verstehen...

brammer
Bitte warten ..
Mitglied: tweyhr3156
21.09.2012 um 14:46 Uhr
Wenn deine PLC's so alt sind das keine Dokumentation oder Projektierung existiert, sprechen dia dann überhaupt schon
TCP/IP?
Denn eine S5 zum Beispiel kann eigentlich kein TCP/IP verstehen...
jetzt machst du mir Angst. Da hast du natürlich recht. D.h. ich muss erst mal die ganzen Steuerungen anschauen und prüfen, ob die TCP/IP können. Wenn nicht, müssen die CAD-Rechner mit den Maschinen in einem Netz bleiben und ich brauche eine Anbindung per Firewall ans Büronetz.

nun, den Produktionsbereich kannst du ja beim Umbau erstmal ausklammern, aber die Verwaltung kannst du ja schon mal in ein sauberes Netz umbauen.
Die Verwaltung läuft ja schon sauber. Da ist jetzt alles top. Virenscanner, Updates, Firewalls auf jedem Rechner. Keine Adminrechte mehr für User. Eigene Windows-Domäne. Internetzugang nur über Proxy. Nur kein eigenes Subnetz.

VG
Thomas
Bitte warten ..
Mitglied: aqui
22.09.2012, aktualisiert um 11:24 Uhr
Wenns nichts kosten darf kannst du einen Blick hierauf werfen:
http://www.administrator.de/contentid/149915
Auch ein preiswerter Router mit Access Listen Funktion wäre eine Alternative zur Kopplung beider Netze:
http://www.administrator.de/contentid/56073 --> "Routing ohne Server"
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Sicherheits-Tools
Anti-Schnüffler-Tool SAMRi10 soll Windows-Netzwerke schützen

Link von AnkhMorpork zum Thema Sicherheits-Tools ...

Virtualisierung
gelöst Interne Netzwerke untereinander kommunizieren lassen (9)

Frage von chelewae zum Thema Virtualisierung ...

Netzwerkgrundlagen
gelöst Aufbau mittlerer bis großer Netzwerke (5)

Frage von MasterPhil zum Thema Netzwerkgrundlagen ...

Netzwerkgrundlagen
Einstieg ins Thema größere Netzwerke (13)

Frage von sponger zum Thema Netzwerkgrundlagen ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...