eyetsolutions
Goto Top

Windows und Mac Netzwerk trennen - nötig?

Hallo zusammen,

bei dem Aufbau eines neuen Firmennetzwerks ist von einem externen Dienstleister bis jetzt geplant gewesen Windows und Mac im Netzwerk aus Sicherheitsgründen zu trennen.
Zusätzlich soll auch noch das VOIP Netz getrennt werden.

Konfiguration ist folgende:

Firewall:
- 2x PFSense (Master / Slave)

Switch nach der Firewall:
- 2x Netgear GS748T-500EUS (für Mac und Windows Netz)
- 1x Juniper EX 2200 POE (für VOIP Telefone SNOM)

Es gibt also folgende Netze in der Planung:
- Mac
- Windows
- VOIP

Ich halte so eine Trennung allerdings für unnötig und dass Windows und Mac Clients nicht getrennt werden müssen aus Sicherheitstechnischen Gründen. Hauptargument des Dienstleisters ist dass die Mac Rechner nicht mit den Windows Rechner kommunizieren dürfen, weil die Windows Rechner unsicher sind und bei einem Angriff der Rechner so nicht auf den Mac zugreifen kann.

Gibt es eine Best Practice oder sollte man Windows und Mac und VOIP wirklich trennen?
Dass man VOIP aus Gründen der gesicherten Bandbreite trennt ist ok, allerdings werden wir sowieso auf VOIP direkt am Client umstellen.

Vielen Dank,

Gruß
David

Content-Key: 274701

Url: https://administrator.de/contentid/274701

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 16.06.2015 aktualisiert um 17:32:19 Uhr
Goto Top
Zitat von @eyetSolutions:

Ich halte so eine Trennung allerdings für unnötig und dass Windows und Mac Clients nicht getrennt werden müssen aus
Sicherheitstechnischen Gründen. Hauptargument des Dienstleisters ist dass die Mac Rechner nicht mit den Windows Rechner
kommunizieren dürfen, weil die Windows Rechner unsicher sind und bei einem Angriff der Rechner so nicht auf den Mac zugreifen
kann.

Wechsel den Dienstleister. Er muß schon sehr genau begründen, warum Macs so viel sicherer sein sollen Windows-Rechner. Die sind nämlich genauso löchrig, mindestens wie Schweizer Käse.

Gibt es eine Best Practice oder sollte man Windows und Mac und VOIP wirklich trennen?

VOIP sollte (fast) immer getrennt sein. damit verhindert man ein Mithören/-schneiden von Gesprächen durch PCs oder ein Infiltrieren des PC-Netzwerks durch die Hintertür VOIP-Geräte.

Ansonsten trennt man nicht zwishen MAC und Windows, sondern eher nach organisatorischen und datenschutzrechtlichen Anforderungen.

Also: Wechsel den Dienstleister und such Dir jemand, der sein Handwerk versteht.

lks

PS:

Und was macht der Dienstleister mit Macs, auf denen Bootcamp installiert ist. face-smile
Mitglied: Chonta
Chonta 16.06.2015 um 17:24:16 Uhr
Goto Top
Hallo,

VoIP in ein eigenes VLAN/echtes LAN zu stecken macht allein schon deswgen sinn, damit die Daten nicht einfach itgeschnitten werden können (also sicherheitsaspeckt)
Selbst wenn ihr auf den Clients Softphones einsetzen wollt, spricht nichts gegen eine Trennung.
VoIP muss im Netz auf gleicher Hardware dann auch priorisiert werden oder hat ein eigenes Hardwarenetz.
(Ist halt blöd wenn der Zugriff auf den Fileserver das Telefon zum stottern bringt - )
Macs und Windows trennen wenn alles Firmenrechner sind, wozu?

Gruß

Chonta
Mitglied: eyetSolutions
eyetSolutions 16.06.2015 um 17:45:25 Uhr
Goto Top
Ja das ist genau mein Aspekt, er begründet es so "Das ist sicherer". Weshalb ich diese Aussage natürlich überhaupt nicht gelten lasse face-smile

Wir setzen zu 90 % Windows Rechner ein und auch auf den Mac ist jeweils Bootcamp für Visual Studio Entwicklung installiert (das er durch 2 Lan Kabel an 1 Mac so richtig abtrennen möchte, was aber wahrscheinlich eh nicht funktioniert aus anderen Gründen). Also sehe ich nicht ein dass ich die Mac und Windows Rechner auch noch hardwaretechnisch durchs Netzwerk trenne.

VOIP muss ich trennen und extra absichern, da habt ihr mir hier meine Gedanken nochmal bestätigt.

Aktuell ist es nämlich so dass die Clients über das SNOM VOIP Telefon "weiter gepatched" werden. Also müsste ich bei der Trennung der VOIP Telefone und Clients jeweils 2 Netzwerkdosen benutzen.

Alledings verstehe ich noch nicht so recht wie ich dann VOIP extra absichern kann, wenn ich ja VOIP über den Rechner selbst benutze?
Reicht es wenn ich auf der Firewall Einstellungen vornehme die die Zieladresse des VOIP Servers extra durch Firewall Regeln schützt? Weil eigentlich geht er ja dann über die selbe IP Adresse raus wie der Client?

Danke,
Gruß
David
Mitglied: Vision2015
Vision2015 16.06.2015 um 18:58:26 Uhr
Goto Top
Und was macht der Dienstleister mit Macs, auf denen Bootcamp installiert ist. face-smile

du stellst ja Fragen, türlich bekommt der/die Mac´s einen eigenen DSL- Anschluss... mit Router etc...

lg
Frank
Mitglied: 119944
119944 16.06.2015 aktualisiert um 22:25:33 Uhr
Goto Top
Zitat von @eyetSolutions:
Aktuell ist es nämlich so dass die Clients über das SNOM VOIP Telefon "weiter gepatched" werden. Also
müsste ich bei der Trennung der VOIP Telefone und Clients jeweils 2 Netzwerkdosen benutzen.

Alledings verstehe ich noch nicht so recht wie ich dann VOIP extra absichern kann, wenn ich ja VOIP über den Rechner selbst
benutze?
Reicht es wenn ich auf der Firewall Einstellungen vornehme die die Zieladresse des VOIP Servers extra durch Firewall Regeln
schützt? Weil eigentlich geht er ja dann über die selbe IP Adresse raus wie der Client?
Moin,

du machst dir das viel zu kompliziert.
Bevor du dir 2 Switches holst, hol dir lieber einen Cisco SG300 oder SG200 mit der entsprechenden Anzahl an Ports sowie POE.

Danach erstellst du einfach auf der PfSense und dem Switch 2 VLANs und packst in das eine VLAN untagged deine Clients und in das andere tagged deine VOIP Telefone.
Somit hast du eine Layer 2 Trennung und die Kommunikation zwischen den VLANs kannst du dann bequem in der FW einstellen.

Aber an deiner Stelle würde ich mal hinterfragen ob dein Dienstleister der richtige ist bei solchen Empfehlungen.
Hab hier leider schon einige Pfuscher erlebt...

VG
Val
Mitglied: aqui
aqui 17.06.2015 aktualisiert um 13:47:29 Uhr
Goto Top
Also müsste ich bei der Trennung der VOIP Telefone und Clients jeweils 2 Netzwerkdosen benutzen.
Nein, das ist Blödsinn ! Die VoIP Telefone haben immer einen kleinen embedded Switch meist mit 2 oder 3 Ports.
Der Uplink Port auf dem Switch ist dann tagged und beinhaltet das VoIP Netz und das PC Netz, so das beides über eine Leitung geht. 2 Kabel zu patchen ist also völliger Unsinn.
Das .1q Tagging beinhaltet gleich auch .1p Priority für die VoIP Telefone so das deren Traffic damit gleichzeitig in der Netzinfrastruktur priorisiert wird.
So macht das alles einen Sinn !

Thema Winblows und Mac:
Um wieviele Winblows und wieviel Mac Rechner reden wir denn hier 10 ? pder 100 oder 1000 ?
Bei 10 ist so einen Trennung sicher witzlos. Auch wenn man dem Kollegen LKS etwas wiedersprechen muss das auf die Masse der Angriffe gesehen her OS-X erheblich immuner ist als Windows.
Eine Trennung macht dann Sinn zur Sicherung der Performance. Wenn man davon ausgeht das man so als goldenen Regel max. so um die 150 Endgeräte in einer Layer 2 Broadcast Domain (VLAN) haben sollte würde einen Trennung dann Sinn machen wenn wir hier von 200 oder 500 Endgeräten reden.
Ist das nicht der Fall macht es mehr Sinn nach Funktion zu trennen bzw. zu segmentieren, wie Clients (egal ob Win oder Mac), Server, Drucker, Voice (Telefonie), Internetanbindung.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 17.06.2015 um 17:37:09 Uhr
Goto Top
Zitat von @aqui:

Auch wenn man dem Kollegen LKS etwas wiedersprechen muss das auf die Masse der
Angriffe gesehen her OS-X erheblich immuner ist als Windows.

Die Masse der Angriffe richtet sich gegen Windows-System, da hast Du recht, aber deswegen davon auszugegehn, daß man mit MacOS sicherer ist, ist nur ein Trugschluß. Es sind genug exploits im Umlauf, mit denen man auch Macs infiltrieren kann.

Mehr Sicherheit gewinnt man nciht durch trennen der Mac und windows-netze, sondern eher durch Sensibilisierugn der Mitarbeiter und organisatorische Maßnahmen.

Wie dem auch sei. Jedenfalls ies es eien Schnappsidee, nur deswegen die MacOS udn Windows-rechner zu trennen.

lks
Mitglied: aqui
aqui 17.06.2015 um 17:46:26 Uhr
Goto Top
es sei denn die Anzahl befindet sich je Gruppe im dreistelligen Bereich ?!
Das Fazit zum Security Thema ist richtig.
Mitglied: eyetSolutions
eyetSolutions 18.06.2015 um 14:01:41 Uhr
Goto Top
Zitat von @aqui:

> Also müsste ich bei der Trennung der VOIP Telefone und Clients jeweils 2 Netzwerkdosen benutzen.
Nein, das ist Blödsinn ! Die VoIP Telefone haben immer einen kleinen embedded Switch meist mit 2 oder 3 Ports.
Der Uplink Port auf dem Switch ist dann tagged und beinhaltet das VoIP Netz und das PC Netz, so das beides über eine Leitung
geht. 2 Kabel zu patchen ist also völliger Unsinn.
Das .1q Tagging beinhaltet gleich auch .1p Priority für die VoIP Telefone so das deren Traffic damit gleichzeitig in der
Netzinfrastruktur priorisiert wird.
So macht das alles einen Sinn !

Kannst du das nochmal genauer erklären? Leider verstehe ich dich noch nicht so ganz was du mit .1q Tagging beinhaltet gleich auch .1p Priority meinst?


Zitat von @aqui:

es sei denn die Anzahl befindet sich je Gruppe im dreistelligen Bereich ?!
Das Fazit zum Security Thema ist richtig.

Es handelt sich eben nur um 6 Mac Clients, weshalb es meiner Meinung nach noch mehr Unsinn ist die Clients zu trennen.
Mitglied: aqui
aqui 18.06.2015 aktualisiert um 19:11:58 Uhr
Goto Top
Kannst du das nochmal genauer erklären?
Gerne...guckst du hier, Kapitel "Funktionsweise":
https://de.wikipedia.org/wiki/IEEE_802.1Q
bzw. hier
https://de.wikipedia.org/wiki/IEEE_802.1p
Thema PCP...das erklärt das genau. Layer 2 Priority das immer von VoIP Geräten benutzt wird um Voice zu priorisieren im Netz.

Es handelt sich eben nur um 6 Mac Clients
Da ist in der Tat eine Trennung völliger Blödsinn !