Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mehrere Firmen Netze parallel isoliert betreiben (Entwicklernetz, Normales Nutzernetz, Geschäftsleitung, etc) und absichern?!

Frage Netzwerke

Mitglied: numpsy

numpsy (Level 1) - Jetzt verbinden

07.02.2010 um 18:13 Uhr, 6147 Aufrufe, 22 Kommentare

Tja also ich möchte mehrere Netze so aufbaun, das diese isoliert voneinander existieren.

Es soll gewährleistet werden, dass es:
a) keine redundante HW gibt (Mail Exchange, Infrastruktur, etc nur einmal für alle Netze, aber sicher isoliert)
b) die Netze sich nicht gegenseitig gefährden (ein Netz kompromitiert, soll keine Auswirkungen auf die anderen haben)
c) ein Datenaustausch zwischen den Netzen möglich sein.

Wie stelle ich das am besten an? Die Netze haben ja aufgrund ihrer Funktionen und Ihrem Wirkbetrieb unterschiedlich starke Anforderungen (an sensible Daten, an Isolierung, an externen Zugriff auf Inet, usw).

Ich dachte daran viel mit Terminal Servern zu arbeiten bzw durch statische Routen in eine Richtung die Sicherheit zu gewährleisten, das äussere kompromitierte Server nicht innere Server belasten?

Was sind Alternativen? Gibts ein Best-Practice, um ein Firmennetz aufzubauen?
Mitglied: kopie0123
07.02.2010 um 18:39 Uhr
Hey,

bau doch einfach 3 physikalisch getrennte Netze auf. Diese verbindest du mit einem Router/Firewall. Dann kannst du auch entsprechende Zugriffe zwischen den Netzen ermöglichen.

Jeder größere Hersteller bietet dir Produkte hierfür.

Alterantiv auch Open Source: http://www.ipcop.orf, http://www.ipcop-forum.de


Die zentrale Verbindung der Netze bringt dir weitere Vorteile: Kontrolle der Internetverbindung, Proxy, VPN, usw


Gruß
Bitte warten ..
Mitglied: dog
07.02.2010 um 18:40 Uhr
Vergiss die Idee.
Keine getrennte HW und "ein Netz kompromitiert, soll keine Auswirkungen auf die anderen haben" schließt sich meistens schon gegenseitig aus.

Für gemeinsame Resourcen lässt sich da noch was mit Firewalls und Routing machen...

Grüße

Max
Bitte warten ..
Mitglied: n.o.b.o.d.y
07.02.2010 um 18:52 Uhr
Hallo,

die Anforderung in sich wiederspricht sich doch schon, Netze solle isoliert sein, aber simpler Datenaustausch soll gehen. Was ist das denn für eine Forderung?

Was man machen könnte, ist mit VLANs arbeiten, und z.B. aus dem Entwicklernetz den Zugriff auf Mail und Inet nur über Terminalserver zulassen. Aber schon für Filetransfer mußt Du schon Scheunentore öffnen.
Bitte warten ..
Mitglied: numpsy
07.02.2010 um 19:00 Uhr
Das mit den VLANs sehe ich auch als Alternative zur physikalischer Trennung. @all? Warum nicht wirklich logisch trennen! Nachteile?

"Entwicklernetz den Zugriff auf Mail und Inet nur über Terminalserver zulassen." An so etwas habe ich auch gedacht. @all? Was sind Vorteile/Nachteile daran?

"Aber schon für Filetransfer mußt Du schon Scheunentore öffnen." Datenaustausch muss irgendwie gewährleistet werden zwischen den Netzen! @all? Was ich nicht verstehe, das kann doch auch sicher gestaltet werden? Was heisst Scheunentore öffnen? Warum? Und wie kann man es praktikabel lösen?
Bitte warten ..
Mitglied: 2hard4you
07.02.2010 um 19:12 Uhr
Moin,

Datenaustausch heißt auch, daß Programme auf das jeweils andere Netz zugreifen können - damit ist das kompromittiert....

Gruß

24
Bitte warten ..
Mitglied: numpsy
07.02.2010 um 19:14 Uhr
Zitat von numpsy:
Das mit den VLANs sehe ich auch als Alternative zur physikalischer Trennung. @all? Warum nicht wirklich logisch trennen!
Nachteile?

"Entwicklernetz den Zugriff auf Mail und Inet nur über Terminalserver zulassen." An so etwas habe ich auch gedacht.
@all? Was sind Vorteile/Nachteile daran?

"Aber schon für Filetransfer mußt Du schon Scheunentore öffnen." Datenaustausch muss irgendwie
gewährleistet werden zwischen den Netzen! @all? Was ich nicht verstehe, das kann doch auch sicher gestaltet werden? Was
heisst Scheunentore öffnen? Warum? Und wie kann man es praktikabel lösen?

nein ich will keine Datenzugriff von expliziten Programmen zulassen - das war auch keine Anforderung (siehe oben). Ich will nur Datenaustausch - Dateien, Ordner kopieren! Das verstehe ich unter Datenaustausch! Dokumente, Daten, etc mit Inhalt von A nach B kopieren?!
Bitte warten ..
Mitglied: 2hard4you
07.02.2010 um 19:25 Uhr
Zitat von numpsy:
> Zitat von numpsy:
> ----

nein ich will keine Datenzugriff von expliziten Programmen zulassen - das war auch keine Anforderung (siehe oben). Ich will nur
Datenaustausch - Dateien, Ordner kopieren! Das verstehe ich unter Datenaustausch! Dokumente, Daten, etc mit Inhalt von A nach B
kopieren?!

Und Du benötigst zum Kopieren kein Programm? Du schiebst die Bits per Hand??

24
Bitte warten ..
Mitglied: numpsy
07.02.2010 um 19:28 Uhr
Zitat von numpsy:
Das mit den VLANs sehe ich auch als Alternative zur physikalischer Trennung. @all? Warum nicht wirklich logisch trennen!
Nachteile?

"Entwicklernetz den Zugriff auf Mail und Inet nur über Terminalserver zulassen." An so etwas habe ich auch gedacht.
@all? Was sind Vorteile/Nachteile daran?

"Aber schon für Filetransfer mußt Du schon Scheunentore öffnen." Datenaustausch muss irgendwie
gewährleistet werden zwischen den Netzen! @all? Was ich nicht verstehe, das kann doch auch sicher gestaltet werden? Was
heisst Scheunentore öffnen? Warum? Und wie kann man es praktikabel lösen?

Diese Antwort ist für mich ungenügend! Ich kann auch sagen ein Netz ist unsicher, wenn eine Firewalleinstellung der VLANs falsch ist oder eine Route beidseitig geschaltet ist etc.

Es geht mir um ein paar Details oder Ansätze!

Wegen Datenaustausch muss es doch Möglichkeiten geben. Auch über nen TServer, mit Signierung der Files oder Logging? @all Ist das möglich, praktikabel? andere Ideen?
Bitte warten ..
Mitglied: 2hard4you
07.02.2010 um 19:36 Uhr
Deine Negation ist sehr fragwürdig

Du möchtest Mail aus verschiedenen Netzen in einem Exchange behandeln, siehst aber nicht die Gefahr, wenn eine infizierte Mail den Exchange kompromittiert

und genauso kommen Deine Einwände rüber...

Gruß

24
Bitte warten ..
Mitglied: numpsy
07.02.2010 um 19:41 Uhr
Zitat von numpsy:
> Zitat von numpsy:
> ----
> Das mit den VLANs sehe ich auch als Alternative zur physikalischer Trennung. @all? Warum nicht wirklich logisch trennen!
> Nachteile?
>
> "Entwicklernetz den Zugriff auf Mail und Inet nur über Terminalserver zulassen." An so etwas habe ich auch
gedacht.
> @all? Was sind Vorteile/Nachteile daran?
>
> "Aber schon für Filetransfer mußt Du schon Scheunentore öffnen." Datenaustausch muss irgendwie
> gewährleistet werden zwischen den Netzen! @all? Was ich nicht verstehe, das kann doch auch sicher gestaltet werden? Was
> heisst Scheunentore öffnen? Warum? Und wie kann man es praktikabel lösen?

Diese Antwort ist für mich ungenügend! Ich kann auch sagen ein Netz ist unsicher, wenn eine Firewalleinstellung der
VLANs falsch ist oder eine Route beidseitig geschaltet ist etc.

Es geht mir um ein paar Details oder Ansätze!

Wegen Datenaustausch muss es doch Möglichkeiten geben. Auch über nen TServer, mit Signierung der Files oder Logging?
@all Ist das möglich, praktikabel? andere Ideen?

Wie gesagt solche Gefahren und Ansätze sind hilfreich. Deswegen die Diskussion. Klar. wenn der Exchange infiziert ist, wirds problematisch. SPOF

Aber gibts Lösungen, um die Netze abzusichern. Best-Practices oder denkbare und praktikable Möglichkeiten? Weitere zu berücksichtigende Massnahmen?
Bitte warten ..
Mitglied: 2hard4you
07.02.2010 um 19:47 Uhr
ja, infizierte Datei



24

Tausch die mal aus
Bitte warten ..
Mitglied: numpsy
07.02.2010 um 19:50 Uhr
@all: andere Ideen und Ansätze oder Lösungen zur Ausgangsproblematik?
Bitte warten ..
Mitglied: 2hard4you
07.02.2010 um 19:54 Uhr
Jop

best practice sind getrennte Netze, getrennte Hardware, keine interner Datenaustausch etc.

auch wenn man sich etwas so sehr wünscht, heißt es noch lange nicht, daß es funktioniert...

Gruß

24
Bitte warten ..
Mitglied: numpsy
07.02.2010 um 19:54 Uhr
Zitat von numpsy:
@all: andere Ideen und Ansätze oder Lösungen zur Ausgangsproblematik?
bzw. den Anforderungen - umgesetzt in eine maximal praktikable bzw. nutzbare Lösung - wenn auch nur theoretisch?
Bitte warten ..
Mitglied: laster
07.02.2010 um 20:47 Uhr
Hallo numpsy,

wie schon im ersten Kommentar von StingerMAC geschrieben - und selbst schon in Firmen umgesetzt:
3 Netze => 3 Zonen an der Firewall (z.B. SonicWALL) dazwischen Regeln für die Kommunikation der Netze mit der WeitenWüstenWelt und untereinander.
Aktuelle FW können auch Applikationen 'regeln'.
Man sollte aber wissen, die theoretischen Forderungen nach absoluter Sicherheit, werden in der Praxis (zumindest Wochen nach der Umsetzung) nicht so streng benötigt.
Setze so viel um wie nötig, und das so einfach wie möglich

vG LS
Bitte warten ..
Mitglied: numpsy
07.02.2010 um 20:56 Uhr
Evntl etwas konkreter zu dem "was" "wie" umgesetzt wurde oder wo es Probleme gab - wo Kompromisse eingegangen wurden?
Bitte warten ..
Mitglied: 2hard4you
07.02.2010 um 21:54 Uhr
selbst bei best praktice werden nach einiger Zeit Kompromisse eingegangen, wenn verschiedene Netze unpraktisch werden, werden Brücken geschaffen - sei es per Netzkopplung, oder USB-Stick - CD - DVD etc...

24
Bitte warten ..
Mitglied: n.o.b.o.d.y
08.02.2010 um 06:50 Uhr
Hallo,

was wir dir zu sagen versuchen, ist dass deine Forderung, die du umsetzen sollst, unmöglich ist. Wir können dir aber nur weiterhelfen, wenn die die Anforderungen an die Realität anpasst. Das kannst aber nur du tun, da wir natürlich deine Umgebung nicht kennen.
Hier kannst und wirst Du erst wieder Hilfe erwarten können, wenn die Anpassung erfolgt ist.
Bitte warten ..
Mitglied: maretz
08.02.2010 um 08:20 Uhr
Also unabhängig davon ob es wirklich SINN macht würde ich das ggf. über verschiedene IP-Adressräume regeln. Nur der Server (und ggf. der Proxy) kennt alle Adressräume, alle Arbeitsstationen kennen nur den eigenen Raum.

Auf dem Server dann verschiedene Freigaben einrichten - so das man mit der Berechtigung für "Entwicklernetz" eben nicht an die Freigaben für "GL" kommt. Es gibt dann nur eine Freigabe ("Transfer") auf die alle zugreiffen dürfen. Dies ist der zentrale Austauschpunkt.

Ob das dann Sinn macht ist ne andere Frage - aber zumindest die grundlegenden Dinge kannst du so schon abfangen...
Bitte warten ..
Mitglied: mike55
08.02.2010 um 08:31 Uhr
Sorry. Nicht alles gelesen.

Gelöscht.
Bitte warten ..
Mitglied: distelpfluecker
08.02.2010 um 10:44 Uhr
Wir regeln das über vLan's! Aktuelle Switche und Firewalls lassen sich heutzutage prima konfigurieren. Wenn klar (und entsprechend dokumentiert) ist, wer wo hin darf, die passenden LOG-Einträge geschalten sind, werden keine Scheunentore aufgemacht und evtl. Mißbrauch läßt sich nachvollziehen.

Aus meiner Sicht gilt aber nach wie vor: Datensicherheit beginnt bereits mit der Sensibilisierung der MitarbeiterInnen - denn ein arglos verwendeter USB-Stick kann ggf. das ausgeklügelste Sicherheitskonzept wert- und sinnlos machen ...!

Grüße
Micha
Bitte warten ..
Mitglied: pxxsxx
08.02.2010 um 11:06 Uhr
Hallo,
Stichwort DMZ: http://de.wikipedia.org/wiki/Demilitarized_Zone

mein Lösungsansatz in deinem Fall wäre folgender:
über VLAN die Netze trennen + 1 für die DMZ
benötigte Adressbereiche anlegen + 1 für die DMZ
Einen Router aufsetzen, der Zugriff auf alle Netze hat.
Ich kann hier pfsense empfehlen http://www.pfsense.com kostet nix und kann viel.
Diesen Router konfigurierst du so, dass Routing nur zwischen dem DMZ-Netz und dem aktuellen Netz stattfindet. Routing zwischen den Clientnetzen ist in deinem Fall zu unterbinden.

Datenaustausch und Zugriff von allen Netzen auf die Server ist dabei gegeben, genauso wie auch der Internetzugang über die DMZ.

In der Theorie könntest du das ganze auch ohne DMZ, nur mit dual homed Servern machen... Da würd ich aber nicht zu raten.

Gruß
Peter
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
2 Terminalserver parallel betreiben (5)

Frage von derSESO zum Thema Windows Server ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...