Entwickler-Netz abschotten : aber wie ohne die zu behindern?

Mitglied: winacker

winacker (Level 1) - Jetzt verbinden

22.02.2021, aktualisiert 15:08 Uhr, 657 Aufrufe, 7 Kommentare

Hallo,
ich habe einige Elektronikentwickler in meinem Netz (W2016 mit 2 ADs, auch als DNS. DHCP macht ein anderer W16).
Die testen dann auch schon mal Embedded-Linux Systeme, die z.B. zur Cloud verbinden müssen und/oder durch die Entwickler-PCs konfiguriert werden.
Also alles möglichst transparent, die suchen sich sonst den Wolf in der grauen Wolke der Linux-Systeme wenn da irgendwas nicht raus darf und nichts davon sagt....

Nun passiert aber letztens: eines der Linux-Systeme, frisch aufgesetzt, will sich als DHCP verdingen. Der Entwickler hat dem flugs in der IPv4-Config einen Maulkorb verpasst.
Leider aber nicht auf den v6 geachtet, der machte munter Werbung für sich.
Ich nutze intern kein v6, daher habe ich das normal auch nicht auf dem Schirm was sich da tut (ich lasse die W16-Server während der Config all das tun was sie meinen tun zu müssen bzgl. v6, bis dato kein Ding).
Kaum macht nun der Linux v6-DHCP, scheint mein Exchange die Idee zu haben sich dort eine neue v6 per DHCP zu besorgen...
Ihr könnt euch nicht vorstellen was ich mir den Wolf gesucht habe warum der Exchange plötzlich zickt; die Events waren voll mit Meldungen die ich noch nie gesehen bz. nicht zuordnen konnte etc.pp.
Erst als ich die Gemeinde angeschrieben habe bzgl. des Exchange-Problems, meldete sich der Entwickler kleinlaut und hat gebeichtet.

Lange Rede: wie bringt man dem Rest-Netz bei, sich nicht um solche Systeme wie temporäre Linuxe zu scheren - ohne die zu isolieren?

Danke Euch
Mitglied: ChriBo
LÖSUNG 22.02.2021 um 15:16 Uhr
Hallo,
geht meiner Meinung nach nur mit Isolation.
Packe die Geräte in eine DMZ, erlaube ggf. den Zugriff alles nach außen (aber nicht in dein LAN).
Erlaube vom LAN (bzw. den Entwickler PCs) Vollzugriff in die DMZ (bzw. die Linux Büchsen.
fertig.

CH
Bitte warten ..
Mitglied: SlainteMhath
LÖSUNG 22.02.2021 um 15:20 Uhr
Moin,

gegen das DHCP-Problem hilft DHCP Snooping. Das müssen aber die Switche oder dein NAC können. (Du sagt leider nichts über dein Netzwerk)

Ansonsten musst du genau definieren, was von Dev-Netz in das "Rest-LAN" darf, dann alles in ein VLAN mit eigenem IP Subnetz packen und per ACL (oder Firewall) nur die gewünschten Pakete durchlassen.

Mutmaßung: 53, 80, 135, 137, 443, 445 je tcp/udp ist ausreichend.

lg,
Slainte
Bitte warten ..
Mitglied: aqui
22.02.2021, aktualisiert um 15:53 Uhr
Ihr könnt euch nicht vorstellen was ich mir den Wolf gesucht habe
Nein, können wir auch nicht, denn ein Netzwerk Admin hätte mit einem Wireshark Trace das in nicht einmal 10 Minuten entdeckt.
Fazit zur Lösung:
Setze die Kollegen in ein eigenes VLAN was in 5 Minuten auf einem VLAN Switch eingerichtet ist und trenne sie mit einem einfachen 20 Euro NAT Router von deinem lokalen Netz.
Die Kollegen können in ihrem Netz dann frei schalten und walten mit welchen IP Adressen sie wollen und über die NAT Firewall alle deine lokalen Resourcen und das Internet erreichen ohbe irgendwelche Auswirkungen.
Fertig ist der Lack und du kannst dich entspannen das es in Zukunft nicht wieder zu solchen Vorkommnissen kommt ! Ohne Isolation ist das doch nicht machbar wie die Kollegen oben auch schon gesagt haben, denn diese Funktionen die zur Störung geführt haben basieren bekanntlich alle auf Layer 2. Du musst also die Layer 2 Broadcast Domains trennen und VLANs sind, wie immer, dafür deine besten Freunde. Wozu hat man Firewalls und NAT Router erfunden wenn nicht dafür...?!
Mit 20 Euro Hardware und 10 Minuten Zeitaufwand ja auch durchaus handhabbar.
Auf solch banale Lösungen kommt man in 5 Minuten doch auch selber ohne ein Administrator Forum. 😉
Bitte warten ..
Mitglied: winacker
22.02.2021 um 15:51 Uhr
Die Komplikation sind die Entwickler-PCs selbst: die müssen sowohl im eigenen Netz frei sein als auch auf die Linux-Büchsen runterkommen.
CH: wenn ich vom LAN aus Vollzugriff in die DMZ erlaube, greift mir doch z.B. der Exchange auch da rein...

Müsste ich dann nicht auf jeden einzelnen Entwickler-PC reduzieren?

Oder: ich sehe die Entwickler als eigenen Strang an meinem Switch und erlaube keinem von ausserhalb dieses Strangs, da rein zu greifen. Damit wäre ich aber noch nicht von vagabundierenden Linuxen geschützt die aus dem Strang heraus versuchen Unsinn zu treiben.

Ich scheue das Thema wie Teufel das Weihwasser, bringt es mir doch garantiert irgendwann, wenn keiner dran denkt, hübsche Effekte...
Bitte warten ..
Mitglied: aqui
LÖSUNG 22.02.2021, aktualisiert um 15:58 Uhr
die müssen sowohl im eigenen Netz frei sein als auch auf die Linux-Büchsen runterkommen.
Wie bereits oben mehrfach gesagt ein kleiner 20 Euro Router zusammen mit VLANs erledigt das alles mit links:
https://www.varia-store.com/de/produkt/97209-mikrotik-routerboard-rb941- ...
Eine alte FritzBox in der Bastelkiste oder jeglicher Breitband Router erledigt das auch.
Für die Grundlagen zu so einem simplen Setup einfach mal lesen, verstehen und machen:
https://administrator.de/tutorial/routing-2-ip-netzen-windows-linux-rout ...
Ist ja nun wahrlich kein Hexenwerk ! ;-) face-wink
Bitte warten ..
Mitglied: tikayevent
22.02.2021 um 17:36 Uhr
Um das DHCP-Problem zu lösen reicht es erstmal, einfach nur einen Router zwischen die Entwicklung und die Produktion zu klemmen. In der Firewall kann man dann das Entwicklungsnetz auf IP-Subnetz-Ebene freigeben, während die Produktion eben über die Firewall gefiltert wird.
Bitte warten ..
Mitglied: aqui
23.02.2021 um 10:20 Uhr
Genau DAS war mit dem 20 Euro Router oben gemeint ! 😉
Bitte warten ..
Heiß diskutierte Inhalte
Windows 10
Windows 7 pro Lizenz nutzen für Windows 10
lukas0209Vor 1 TagFrageWindows 1016 Kommentare

Hallo Community, ich versuche seit einigen Wochen unser Netzwerk von Windows Server 2008 R2 Standard auf Windows Server 2016 Essentials um, welches eine städtische ...

Microsoft
Staatsanwaltschaften verschicken Vorladungen in Sachen Windows 10 Lizenzkeys
kgbornVor 1 TagInformationMicrosoft5 Kommentare

Nur zu Info für die Käufer der eBay-Schnäppchen - neuer Fall Staatsanwaltschaften verschicken Vorladungen in Sachen Windows 10 Lizenzkeys

Router & Routing
Vodafone Kabel: Eigenen Router an den Kabelanschluss oder einen WLAN-Router ohne Modem hinter die Vodafone Station?
gelöst DyingWordsVor 1 TagFrageRouter & Routing8 Kommentare

Hallo zusammen, da wir demnächst in eine Wohnung mit Kabelanschluss von Vodafone einziehen werden, frage ich mich, ob es sinnvoller ist einen eigenen Router ...

Netzwerke
Netzwerklaufwerk - Nur Lesen (Streamen)
CryexXVor 1 TagFrageNetzwerke8 Kommentare

Hallo, ich hab mal ne Frage und hoffe auf Lösung. Mir schießt aktuell keine in den Kopf :( Ich möchte ein Netzlaufwerk freigeben. Auf ...

Linux
Knoppix 9.1 verfügbar
sabinesVor 1 TagInformationLinux6 Kommentare

Klaus Knopper hat eine neue Version zum Download bereitgestellt. Achtung in der Übersicht ist noch die Version 8.6.1 aus 2019 genannt, im Downloadverzeichnis ist ...

Netzwerke
Multi WAN Router
JoergDittVor 1 TagFrageNetzwerke9 Kommentare

Hallo zusammen, folgende Situation wir versorgen ca 150 Refugess in einer Gemeinschaftsunterkunft mit freiem WLAN Aktuell haben wir einen Fritzrouter mit Richtantenne an einer ...

Netzwerke
Wieviel parallel TCP Verbindung zum Datenserver erlauben
gelöst decehakanVor 1 TagFrageNetzwerke4 Kommentare

Hallo Zusammen, ich spiele gerade mit meinem Ubuntu Server mit der Firewall iptables rum und würde gern wissen wieviel man parallele Verbindung zum Datenserver ...

Windows Systemdateien
Windows CE 6.0 Problem
gelöst PepsiDoseVor 1 TagFrageWindows Systemdateien10 Kommentare

Servus, Ich habe letztens ein alten mini. Netbook mobile Computer gefunden (Oder wie die heißen) welches Windows CE 6.0 betreibt. Mein Problem ist, es ...