Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke

Mehrere Firmen Netze parallel isoliert betreiben (Entwicklernetz, Normales Nutzernetz, Geschäftsleitung, etc) und absichern?!

Mitglied: numpsy

numpsy (Level 1) - Jetzt verbinden

07.02.2010 um 18:13 Uhr, 6209 Aufrufe, 22 Kommentare

Tja also ich möchte mehrere Netze so aufbaun, das diese isoliert voneinander existieren.

Es soll gewährleistet werden, dass es:
a) keine redundante HW gibt (Mail Exchange, Infrastruktur, etc nur einmal für alle Netze, aber sicher isoliert)
b) die Netze sich nicht gegenseitig gefährden (ein Netz kompromitiert, soll keine Auswirkungen auf die anderen haben)
c) ein Datenaustausch zwischen den Netzen möglich sein.

Wie stelle ich das am besten an? Die Netze haben ja aufgrund ihrer Funktionen und Ihrem Wirkbetrieb unterschiedlich starke Anforderungen (an sensible Daten, an Isolierung, an externen Zugriff auf Inet, usw).

Ich dachte daran viel mit Terminal Servern zu arbeiten bzw durch statische Routen in eine Richtung die Sicherheit zu gewährleisten, das äussere kompromitierte Server nicht innere Server belasten?

Was sind Alternativen? Gibts ein Best-Practice, um ein Firmennetz aufzubauen?
Mitglied: kopie0123
07.02.2010 um 18:39 Uhr
Hey,

bau doch einfach 3 physikalisch getrennte Netze auf. Diese verbindest du mit einem Router/Firewall. Dann kannst du auch entsprechende Zugriffe zwischen den Netzen ermöglichen.

Jeder größere Hersteller bietet dir Produkte hierfür.

Alterantiv auch Open Source: http://www.ipcop.orf, http://www.ipcop-forum.de


Die zentrale Verbindung der Netze bringt dir weitere Vorteile: Kontrolle der Internetverbindung, Proxy, VPN, usw


Gruß
Bitte warten ..
Mitglied: dog
07.02.2010 um 18:40 Uhr
Vergiss die Idee.
Keine getrennte HW und "ein Netz kompromitiert, soll keine Auswirkungen auf die anderen haben" schließt sich meistens schon gegenseitig aus.

Für gemeinsame Resourcen lässt sich da noch was mit Firewalls und Routing machen...

Grüße

Max
Bitte warten ..
Mitglied: n.o.b.o.d.y
07.02.2010 um 18:52 Uhr
Hallo,

die Anforderung in sich wiederspricht sich doch schon, Netze solle isoliert sein, aber simpler Datenaustausch soll gehen. Was ist das denn für eine Forderung?

Was man machen könnte, ist mit VLANs arbeiten, und z.B. aus dem Entwicklernetz den Zugriff auf Mail und Inet nur über Terminalserver zulassen. Aber schon für Filetransfer mußt Du schon Scheunentore öffnen.
Bitte warten ..
Mitglied: numpsy
07.02.2010 um 19:00 Uhr
Das mit den VLANs sehe ich auch als Alternative zur physikalischer Trennung. @all? Warum nicht wirklich logisch trennen! Nachteile?

"Entwicklernetz den Zugriff auf Mail und Inet nur über Terminalserver zulassen." An so etwas habe ich auch gedacht. @all? Was sind Vorteile/Nachteile daran?

"Aber schon für Filetransfer mußt Du schon Scheunentore öffnen." Datenaustausch muss irgendwie gewährleistet werden zwischen den Netzen! @all? Was ich nicht verstehe, das kann doch auch sicher gestaltet werden? Was heisst Scheunentore öffnen? Warum? Und wie kann man es praktikabel lösen?
Bitte warten ..
Mitglied: 2hard4you
07.02.2010 um 19:12 Uhr
Moin,

Datenaustausch heißt auch, daß Programme auf das jeweils andere Netz zugreifen können - damit ist das kompromittiert....

Gruß

24
Bitte warten ..
Mitglied: numpsy
07.02.2010 um 19:14 Uhr
Zitat von numpsy:
Das mit den VLANs sehe ich auch als Alternative zur physikalischer Trennung. @all? Warum nicht wirklich logisch trennen!
Nachteile?

"Entwicklernetz den Zugriff auf Mail und Inet nur über Terminalserver zulassen." An so etwas habe ich auch gedacht.
@all? Was sind Vorteile/Nachteile daran?

"Aber schon für Filetransfer mußt Du schon Scheunentore öffnen." Datenaustausch muss irgendwie
gewährleistet werden zwischen den Netzen! @all? Was ich nicht verstehe, das kann doch auch sicher gestaltet werden? Was
heisst Scheunentore öffnen? Warum? Und wie kann man es praktikabel lösen?

nein ich will keine Datenzugriff von expliziten Programmen zulassen - das war auch keine Anforderung (siehe oben). Ich will nur Datenaustausch - Dateien, Ordner kopieren! Das verstehe ich unter Datenaustausch! Dokumente, Daten, etc mit Inhalt von A nach B kopieren?!
Bitte warten ..
Mitglied: 2hard4you
07.02.2010 um 19:25 Uhr
Zitat von numpsy:
> Zitat von numpsy:
> ----

nein ich will keine Datenzugriff von expliziten Programmen zulassen - das war auch keine Anforderung (siehe oben). Ich will nur
Datenaustausch - Dateien, Ordner kopieren! Das verstehe ich unter Datenaustausch! Dokumente, Daten, etc mit Inhalt von A nach B
kopieren?!

Und Du benötigst zum Kopieren kein Programm? Du schiebst die Bits per Hand??

24
Bitte warten ..
Mitglied: numpsy
07.02.2010 um 19:28 Uhr
Zitat von numpsy:
Das mit den VLANs sehe ich auch als Alternative zur physikalischer Trennung. @all? Warum nicht wirklich logisch trennen!
Nachteile?

"Entwicklernetz den Zugriff auf Mail und Inet nur über Terminalserver zulassen." An so etwas habe ich auch gedacht.
@all? Was sind Vorteile/Nachteile daran?

"Aber schon für Filetransfer mußt Du schon Scheunentore öffnen." Datenaustausch muss irgendwie
gewährleistet werden zwischen den Netzen! @all? Was ich nicht verstehe, das kann doch auch sicher gestaltet werden? Was
heisst Scheunentore öffnen? Warum? Und wie kann man es praktikabel lösen?

Diese Antwort ist für mich ungenügend! Ich kann auch sagen ein Netz ist unsicher, wenn eine Firewalleinstellung der VLANs falsch ist oder eine Route beidseitig geschaltet ist etc.

Es geht mir um ein paar Details oder Ansätze!

Wegen Datenaustausch muss es doch Möglichkeiten geben. Auch über nen TServer, mit Signierung der Files oder Logging? @all Ist das möglich, praktikabel? andere Ideen?
Bitte warten ..
Mitglied: 2hard4you
07.02.2010 um 19:36 Uhr
Deine Negation ist sehr fragwürdig

Du möchtest Mail aus verschiedenen Netzen in einem Exchange behandeln, siehst aber nicht die Gefahr, wenn eine infizierte Mail den Exchange kompromittiert

und genauso kommen Deine Einwände rüber...

Gruß

24
Bitte warten ..
Mitglied: numpsy
07.02.2010 um 19:41 Uhr
Zitat von numpsy:
> Zitat von numpsy:
> ----
> Das mit den VLANs sehe ich auch als Alternative zur physikalischer Trennung. @all? Warum nicht wirklich logisch trennen!
> Nachteile?
>
> "Entwicklernetz den Zugriff auf Mail und Inet nur über Terminalserver zulassen." An so etwas habe ich auch
gedacht.
> @all? Was sind Vorteile/Nachteile daran?
>
> "Aber schon für Filetransfer mußt Du schon Scheunentore öffnen." Datenaustausch muss irgendwie
> gewährleistet werden zwischen den Netzen! @all? Was ich nicht verstehe, das kann doch auch sicher gestaltet werden? Was
> heisst Scheunentore öffnen? Warum? Und wie kann man es praktikabel lösen?

Diese Antwort ist für mich ungenügend! Ich kann auch sagen ein Netz ist unsicher, wenn eine Firewalleinstellung der
VLANs falsch ist oder eine Route beidseitig geschaltet ist etc.

Es geht mir um ein paar Details oder Ansätze!

Wegen Datenaustausch muss es doch Möglichkeiten geben. Auch über nen TServer, mit Signierung der Files oder Logging?
@all Ist das möglich, praktikabel? andere Ideen?

Wie gesagt solche Gefahren und Ansätze sind hilfreich. Deswegen die Diskussion. Klar. wenn der Exchange infiziert ist, wirds problematisch. SPOF

Aber gibts Lösungen, um die Netze abzusichern. Best-Practices oder denkbare und praktikable Möglichkeiten? Weitere zu berücksichtigende Massnahmen?
Bitte warten ..
Mitglied: 2hard4you
07.02.2010 um 19:47 Uhr
ja, infizierte Datei



24

Tausch die mal aus
Bitte warten ..
Mitglied: numpsy
07.02.2010 um 19:50 Uhr
@all: andere Ideen und Ansätze oder Lösungen zur Ausgangsproblematik?
Bitte warten ..
Mitglied: 2hard4you
07.02.2010 um 19:54 Uhr
Jop

best practice sind getrennte Netze, getrennte Hardware, keine interner Datenaustausch etc.

auch wenn man sich etwas so sehr wünscht, heißt es noch lange nicht, daß es funktioniert...

Gruß

24
Bitte warten ..
Mitglied: numpsy
07.02.2010 um 19:54 Uhr
Zitat von numpsy:
@all: andere Ideen und Ansätze oder Lösungen zur Ausgangsproblematik?
bzw. den Anforderungen - umgesetzt in eine maximal praktikable bzw. nutzbare Lösung - wenn auch nur theoretisch?
Bitte warten ..
Mitglied: laster
07.02.2010 um 20:47 Uhr
Hallo numpsy,

wie schon im ersten Kommentar von StingerMAC geschrieben - und selbst schon in Firmen umgesetzt:
3 Netze => 3 Zonen an der Firewall (z.B. SonicWALL) dazwischen Regeln für die Kommunikation der Netze mit der WeitenWüstenWelt und untereinander.
Aktuelle FW können auch Applikationen 'regeln'.
Man sollte aber wissen, die theoretischen Forderungen nach absoluter Sicherheit, werden in der Praxis (zumindest Wochen nach der Umsetzung) nicht so streng benötigt.
Setze so viel um wie nötig, und das so einfach wie möglich

vG LS
Bitte warten ..
Mitglied: numpsy
07.02.2010 um 20:56 Uhr
Evntl etwas konkreter zu dem "was" "wie" umgesetzt wurde oder wo es Probleme gab - wo Kompromisse eingegangen wurden?
Bitte warten ..
Mitglied: 2hard4you
07.02.2010 um 21:54 Uhr
selbst bei best praktice werden nach einiger Zeit Kompromisse eingegangen, wenn verschiedene Netze unpraktisch werden, werden Brücken geschaffen - sei es per Netzkopplung, oder USB-Stick - CD - DVD etc...

24
Bitte warten ..
Mitglied: n.o.b.o.d.y
08.02.2010 um 06:50 Uhr
Hallo,

was wir dir zu sagen versuchen, ist dass deine Forderung, die du umsetzen sollst, unmöglich ist. Wir können dir aber nur weiterhelfen, wenn die die Anforderungen an die Realität anpasst. Das kannst aber nur du tun, da wir natürlich deine Umgebung nicht kennen.
Hier kannst und wirst Du erst wieder Hilfe erwarten können, wenn die Anpassung erfolgt ist.
Bitte warten ..
Mitglied: maretz
08.02.2010 um 08:20 Uhr
Also unabhängig davon ob es wirklich SINN macht würde ich das ggf. über verschiedene IP-Adressräume regeln. Nur der Server (und ggf. der Proxy) kennt alle Adressräume, alle Arbeitsstationen kennen nur den eigenen Raum.

Auf dem Server dann verschiedene Freigaben einrichten - so das man mit der Berechtigung für "Entwicklernetz" eben nicht an die Freigaben für "GL" kommt. Es gibt dann nur eine Freigabe ("Transfer") auf die alle zugreiffen dürfen. Dies ist der zentrale Austauschpunkt.

Ob das dann Sinn macht ist ne andere Frage - aber zumindest die grundlegenden Dinge kannst du so schon abfangen...
Bitte warten ..
Mitglied: mike55
08.02.2010 um 08:31 Uhr
Sorry. Nicht alles gelesen.

Gelöscht.
Bitte warten ..
Mitglied: distelpfluecker
08.02.2010 um 10:44 Uhr
Wir regeln das über vLan's! Aktuelle Switche und Firewalls lassen sich heutzutage prima konfigurieren. Wenn klar (und entsprechend dokumentiert) ist, wer wo hin darf, die passenden LOG-Einträge geschalten sind, werden keine Scheunentore aufgemacht und evtl. Mißbrauch läßt sich nachvollziehen.

Aus meiner Sicht gilt aber nach wie vor: Datensicherheit beginnt bereits mit der Sensibilisierung der MitarbeiterInnen - denn ein arglos verwendeter USB-Stick kann ggf. das ausgeklügelste Sicherheitskonzept wert- und sinnlos machen ...!

Grüße
Micha
Bitte warten ..
Mitglied: pxxsxx
08.02.2010 um 11:06 Uhr
Hallo,
Stichwort DMZ: http://de.wikipedia.org/wiki/Demilitarized_Zone

mein Lösungsansatz in deinem Fall wäre folgender:
über VLAN die Netze trennen + 1 für die DMZ
benötigte Adressbereiche anlegen + 1 für die DMZ
Einen Router aufsetzen, der Zugriff auf alle Netze hat.
Ich kann hier pfsense empfehlen http://www.pfsense.com kostet nix und kann viel.
Diesen Router konfigurierst du so, dass Routing nur zwischen dem DMZ-Netz und dem aktuellen Netz stattfindet. Routing zwischen den Clientnetzen ist in deinem Fall zu unterbinden.

Datenaustausch und Zugriff von allen Netzen auf die Server ist dabei gegeben, genauso wie auch der Internetzugang über die DMZ.

In der Theorie könntest du das ganze auch ohne DMZ, nur mit dual homed Servern machen... Da würd ich aber nicht zu raten.

Gruß
Peter
Bitte warten ..
Ähnliche Inhalte
Windows Server
2 Terminalserver parallel betreiben
Frage von derSESOWindows Server5 Kommentare

Hallo! Unser Terminalserver läuft auf MS Windows 2012 R2 (ist auch als Lizenzserver). Jetzt benötigen wir einen zweiten Terminalserver ...

Schulung & Training
1 Lernmanagementsystem für mehrer Firmen
gelöst Frage von M.MarzSchulung & Training5 Kommentare

Hallo zusammen, gibt es die Möglichkeit unterschiedliche Firmen auf ein LMS in dem Fall Moodle laufen zu lassen, ohne ...

Windows Netzwerk
Server zur Performacesteigerung mit 2 Netzwerkkarten parallel an einem Switch betreiben?
Frage von Shorty0902Windows Netzwerk12 Kommentare

Hallo liebe User, da wir viele große Datenmengen im Netzwerk hin und her schicken haben wir uns jetzt Aktuell ...

Router & Routing
PfSense - Captive Portal - Zwei Zonen parallel betreiben
gelöst Frage von KarlNapfRouter & Routing8 Kommentare

Beim Parallelbetrieb von 2 CP-Zonen (LAN und VLAN) taucht im VLAN folgendes Problem auf: - der Login-Bildschirm der VLAN-Zone ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 22 StundenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 1 TagTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 1 TagSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 1 TagSicherheit9 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Sicherheit
Meltdown und Spectre: Die machen uns alle was vor
Information von FrankSicherheit26 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Ubuntu
Ubuntu - Starter für nicht vertrauenswürdige Anwendungen
Frage von adm2015Ubuntu17 Kommentare

Hallo zusammen, Ich verwende derzeit die Ubuntu Versionen 17.10 bzw. im Test 18.04. Ich habe mehrere .desktop Dateien in ...

Windows 10
Automatische daten kopieren, USB zu USB unter Win10 im Hintergrund
Frage von DerEisigeWindows 1016 Kommentare

Hallo Leute, ich bin auf der Suche nach einem Skript, dass von einem USB Stick automatisch nach dem einstecken ...

SAN, NAS, DAS
Hilfe beim Einrichten eines Storages (SAN)
gelöst Frage von Vader666SAN, NAS, DAS15 Kommentare

Hallo Admins! Ich bin in einer kleineren Firma und hatte bisher mit dem Thema SAN nur in meiner Ausbildung ...