masterphil
Goto Top

Erneuerung IT-Infrastruktur mit IT-Sicherheit im KMU Bereich

Moin,

wir ziehen demnächst mit ca 100 Mann (Tendenz steigend) in ein neues Gebäude und möchte da auch die IT-Infrastruktur erneuern. Mit dabei sind vershiedene Abteilungen (Produktion / Forschung / Vertrieb etc.). Wir haben mit einem neuen IT-Dienstleister ein Konzept erarbeitet - ich gebe mal nachfolgend ein paar Details.

IST-Bestand (durch alten IT-Dienstleister):

- keine Firewall
- 8 VMs auf HyperV
- SBS2011 / Exchange 2010
- Terminalserver für die CRM Software
- Server nicht redundant
- keine VLANs
- alte Octopus TK-Anlage


SOLL (Konzept neuer IT-Dienstleister):
(Die GF legt Wert auf IT-Sicherheit - trotzdem musste ein gewisses Budget eingehalten werden!):

- VLANs für die verschiedenen Abteilungen
(Abteilungen wie oben, Telefonie, Firewall/Internet, Server, Management etc.)
- L3 Switch für das VLAN Routing / ACLs zum Regeln des Inter-VLAN-Routing (Client nur zum Server, nicht Client-Client etc.)
- L3 Switch wird redundant / gestackt und alle Etagen Switche jeweils angebunden mit 10 GBit/s Uplink
- WatchGuard UTM für Gateway Security / Mail Security etc.
- DLP über die WatchGuard ist wichtig
- Migration auf Server 2k19 inkl. Exchange (evtl auch 2k16) Support läuft ja gleich aus, aber der 2k19 braucht gefühlt 500 GB RAM face-big-smile
- "Light" Redundanz durch Replica mit Veeam auf den alten Server (Cluster passte nicht ins Budget)
- neue IP TK-Anlage kommt in VLAN
- LTE Fallback für Internetausfall
- Monitoring der Server / PatchManagement Clients+Server etc.
- NAC für dynamische VLANs, 802.1x etc. ist ggf. später mal geplant - aktuell aus Kostengründen aber verworfen worden
- Wir wurden auch auf Szenarien beraten, wie Dataleaks durch ICMP Tunneling (Abfließen von Daten über ICMP)


Was wir (Intern) noch nicht geklärt haben:

- Die bisherige Domain heißt "buero.local" - finde ich etwas...naja...
Wenn wir die anpassen, müssten wir ja eine Cross-Forest-Migration machen oder einmal alles neu aufsetzten mit Exchange Migration etc.

- Macht es Sinn, VLAN ACLs so anzulegen, dass vom Client zum Server z. B. nur SMB / SQL funktioniert oder ist das zu viel des guten? Setzt man ACLs standardmäßig so, dass Any Allow vom Client zum Server funktioniert, und Any Deny von Client zu Client oder Client zu Druckern oder Client zu Managemtn-VLAN etc.

Was meint ihr zu dem geplanten Konzept? Bitte nicht vergessen, dass auch nur ein begrenztes Budget zur Verfügung steht und wir das o. g. anhand der Kosten ausgearbeitet haben...bevor jetzt jemand basht warum wir keine separaten Appliances für DLP, IDS/IPS etc verwenden face-big-smile

Grüße

Content-ID: 420804

Url: https://administrator.de/contentid/420804

Ausgedruckt am: 22.11.2024 um 14:11 Uhr

certifiedit.net
certifiedit.net 22.02.2019 um 17:23:34 Uhr
Goto Top
Hallo Phil,

vertraust du dem Dienstleister oder seiner Kompetenz nicht? Dann wechsel Ihn, ansonsten sprech mit Ihm ab, was du noch nicht gut findest.

Bringt nichts ein "Konzept", wenn man die paar Zeilen ohne genaueres zu wissen auseinander zu nehmen und nur (ggf. falsche) Zweifel zu sähen.

Viele Grüße
MasterPhil
MasterPhil 22.02.2019 aktualisiert um 17:32:49 Uhr
Goto Top
Zitat von @certifiedit.net:

Hallo Phil,

vertraust du dem Dienstleister oder seiner Kompetenz nicht? Dann wechsel Ihn, ansonsten sprech mit Ihm ab, was du noch nicht gut findest.

Bringt nichts ein "Konzept", wenn man die paar Zeilen ohne genaueres zu wissen auseinander zu nehmen und nur (ggf. falsche) Zweifel zu sähen.

Viele Grüße

Geht mir hier nicht um Zweifel zu sähen oder der Kompetenz nicht zu vertrauen. Der alte Dienstleister hat das ganze eher mies betreut (sieht man denke ich an IST vs SOLL), daher haben wir einen neuen gesucht, der uns ein Konzept erstellt hat. Zusammen haben wir dann das o. g. als grobes Konzept ausgeabeitet (geht ja jetzt nicht direkt um die Details wie die Firewall einzurichten ist etc.) Mir geht es auch nur um ein Detailkonzept mit welche IP-Range, welcher Virenschutz etc sondern um eine Richtung.

Wir wissen ja selbst was wir wollen, es geht jetzt nur um ein paar Meinungen einzuholen (So erwachsen sind wir dann um zu entscheiden, ob wir ggf etwas anpassen oder ob das so "OK" ist face-wink ) Wir sprechen dann auch alles mit dem neuen Dienstleister ab.

Deshalb freue ich mich auf Anregungen / Kommentare.
certifiedit.net
certifiedit.net 22.02.2019 um 17:31:45 Uhr
Goto Top
Irgendwie schon, aber wie gesagt, wenn das nicht passt, müsste man eher dem neuen Dienstleister mit Know How über die Schulter schauen, da es sonst nicht besser wird - wenn man das wünscht, es gibt da immer die Diskrepanz zwischen "perfekt haben " und "gerade so ein Minimum bezahlen" wollen.

Also wenn der Dienstleister das befriedigt: Feuer frei!

Ansonsten könnte ich einwerfen: Andere Firewall, finde die Sophos besser. (hilft dir das, wechselst du jetzt zu mir? face-wink ) denke du verstehst, worauf es hinaus läuft...
MasterPhil
MasterPhil 22.02.2019 um 17:54:18 Uhr
Goto Top
Ansonsten könnte ich einwerfen: Andere Firewall, finde die Sophos besser. (hilft dir das, wechselst du jetzt zu mir? face-wink ) denke du verstehst, worauf es hinaus läuft...

Nein face-big-smile

Wenn ich Bechtle hole, weiß ich auch nicht ob dir mir die eine Firewall nur hinstellen mit Any-Any und dann feuer Frei - deshalb schaue ich gerne noch einmal selbst über das System und hole mir Meinungen ein. Das Know How habe ich auch definitv - nur bin ich nicht allwissend.

"Gerade so ein Minimum" will auch keiner bezahlen, trotzdem gibt es Budgets face-smile
maretz
maretz 22.02.2019 um 17:57:22 Uhr
Goto Top
Moin,

ich denke mal das hängt auch davon ab was ihr selbst machen könnt / wollt. Denn du möchtest da natürlich was aufsetzen was schon etwas komplexer ist. Wenn "heute" der Kollege kommt hängt der sich halt "irgendwo ran" und schon kann der arbeiten. Hast du div. VLANs musst du schauen (das wäre jetzt nur ein Beispiel!). Könnt ihr selbst schnell nen Port anpassen - kein Ding... Was aber wenn nicht weil euer Laden eben nur normale Office-Leute hat? Dann bist du bei jedem Request darauf angewiesen wie schnell der Provider reagiert.

Daher ist es schwer zu sagen ob das Konzept gut oder schlecht ist - es muss eben zu euch passen. Es kann durchaus ein gutes und valides Konzept sein das ich auch heute noch nen Netz mit 100 Leuten ohne Firewall betreibe. Wenn der "Kunde" eben die Firewall eh nicht bedienen kann aber selbst die Hoheit drüber haben will steht die dann so oder so auf "Any-Any" -> und ist nur nen Lufterwärmer.

Machen redundante Switches Sinn? Auch da ist die Frage wie siehts dahinter aus: Hängen beide an derselben Sicherung bringt es dir generell wenig. Da wäre nen einzelner Switch mit red. Netzteil ggf. die bessere Wahl - je nachdem wie lang die Downtime so sein darf. Auch hier geht es "von-bis" - und je mehr Geld umso besser die Verfügbarkeit (meistens). Was aber wenn dein Dienstleister dir jetzt zwar redundante Switches anbietet - aber vom Hersteller $Chinaböller_Hersteller_Hier_Eintragen?

Von daher ist es schwer nur mit nen paar Zeilen zu gucken ob so ein Konzept passt ohne die Firma zu kennen... Klar kann man irgendwas sagen - aber es macht eben einen Unterschied ob eure "Forschungsabteilung" jetzt schaut ob die Werbung vor 50 Jahren mehr blautöne als die Werbung heute enthalten hat ODER ob ihr grad zufällig die Forschung für thermo-nukleare Waffen für das US-Millitär durchführt....
MasterPhil
MasterPhil 22.02.2019 um 18:22:05 Uhr
Goto Top
Was aber wenn nicht weil euer Laden eben nur normale Office-Leute hat? Dann bist du bei jedem Request darauf angewiesen wie schnell der Provider reagiert.

Wir könnten auch nur Hardware beziehen und alles selbst einrichten (Firewall / VLAN) etc und auch selbst warten - das steht noch nicht fest inwieweit wir was abgeben oder selbst machen.

Es kann durchaus ein gutes und valides Konzept sein das ich auch heute noch nen Netz mit 100 Leuten ohne Firewall betreibe.

Netze ohne Firewall (SPI) halte ich für nicht sicher - gerade in der heutigen Zeit. Was wenn z. B. Port 465/587/25 nach außen für Clients frei sind und zur Spam Schleuder werden?

Daher ist es schwer zu sagen ob das Konzept gut oder schlecht ist - es muss eben zu euch passen.

Ich meine schon dass es gewisse Standards gibt, die man bei einer Gewissen Größe haben sollte (Handwerker Meier mit 2 PCs wird keine VLANs benötigen...)

Machen redundante Switches Sinn?

Meine ich auch ja - unabhängig von der Sicherung. Es kann ja eine Hardware ausfallen / ein Port etc - fällt der L3 Switch aus, ist das gesamte Netz inkl. Telefonie tot. Ein Tag Ausfall wäre eher suboptimal....

$Chinaböller_Hersteller_Hier_Eintragen?

Netgear M4300 oder Cisco
(Bitte jetzt nicht Netgear auf den Billig-Ruf verurteilen und mal die Specs/Protokolle mit Cisco / Extreme etc vergleichen)

aber es macht eben einen Unterschied ob eure "Forschungsabteilung" jetzt schaut ob die Werbung vor 50 Jahren mehr blautöne als die Werbung heute enthalten hat ODER ob ihr grad zufällig die Forschung für thermo-nukleare Waffen für das US-Millitär durchführt....

Die Forschung hat schon schützenswertes...deshalb wird die Forschung (die PCs) auch nicht ins Internet angebunden bzw darf nur auf diverse Seiten zugreifen und ist im VLAN isoliert
certifiedit.net
certifiedit.net 22.02.2019 um 18:52:22 Uhr
Goto Top
"Gerade so ein Minimum" will auch keiner bezahlen, trotzdem gibt es Budgets

Wenn dem so ist, dann order(!) dir einen zweiten Dienstleister der die Arbeit des ersten prüft - das wäre fundiert, aber entsprechend nieder zu legen, ansonsten bringt dir das nichts, beim Namen Netgear (und den Ansprüchen) klappen bei mir (und vielen anderen) wohl die Hände über dem Kopf zusammen. Aber, "dein" Netz, bzw deine Verantwortung. Hier im Forum bist du aber mit jeder Antwort mehr fehl am Platz.
MasterPhil
MasterPhil 22.02.2019 aktualisiert um 19:07:09 Uhr
Goto Top
Was macht einen Netgear WESENTLICH schlechter als z. B. einen Cisco, sodass ich ihn nicht bei 100 Mann einsetzen kann oder dass bei Netgear viele die Hände über dem Kopf zusammen schlagen? Da würde mich mal Details interessieren.
certifiedit.net
certifiedit.net 22.02.2019 um 19:10:50 Uhr
Goto Top
Kennst du die Forensuche? Nutze Sie, bitte.
St-Andreas
St-Andreas 22.02.2019 um 20:21:56 Uhr
Goto Top
Grundsätzlich fängt das schon ganz gut an, sagt aber nichts über die Umsetzung aus und daran scheitert es dann häufig.

Mich irritieren so Sätze wie "DLP über die Watchguard ist wichtig".
DLP ist oftmals sinnvoll und wichtig, aber warum bindest Du das an einen Hersteller? Was bietet Watchguard hier was andere nicht bieten?

Zum Thema Netgear ... kommt das von Euch oder vom Dienstleister?

Irgendwie klingt das ganze wie eine Runde aus dem Bullshitbingovertriebsmeeting.
Sorry.
certifiedit.net
certifiedit.net 22.02.2019 um 20:24:26 Uhr
Goto Top
Vermutlich hab ich genau danach <Bullshitbingovertriebsmeeting> gesucht. Danke.
Th0mKa
Th0mKa 23.02.2019 um 15:11:53 Uhr
Goto Top
Zitat von @MasterPhil:

Wir könnten auch nur Hardware beziehen und alles selbst einrichten (Firewall / VLAN) etc und auch selbst warten - das steht noch nicht fest inwieweit wir was abgeben oder selbst machen.
Könnt ihr das wirklich in Gänze?
Netze ohne Firewall (SPI) halte ich für nicht sicher - gerade in der heutigen Zeit. Was wenn z. B. Port 465/587/25 nach außen für Clients frei sind und zur Spam Schleuder werden?
Dann wirst du den infizierten Rechner wohl finden und neu installieren. Es ist ja aber auch gar nicht definiert das diese Ports automatisch durch den Einsatz von Firewalls geperrt werden.
Ich meine schon dass es gewisse Standards gibt, die man bei einer Gewissen Größe haben sollte (Handwerker Meier mit 2 PCs wird keine VLANs benötigen...)
Nein, die Anforderungen richten sich nach Schutzbdarfs- und Verfügbarkeitsklassen, idelaerweise in Anlehnung an die BSI Standards, deiner Anwendungen, nicht nach der Größe Firma.
Meine ich auch ja - unabhängig von der Sicherung. Es kann ja eine Hardware ausfallen / ein Port etc - fällt der L3 Switch aus, ist das gesamte Netz inkl. Telefonie tot. Ein Tag Ausfall wäre eher suboptimal....
Bei zwei Switchen hast du statistisch häufiger einen Geräteausfall als bei einem, auch hier ist das Gesamtdesign entscheidend.
(Bitte jetzt nicht Netgear auf den Billig-Ruf verurteilen und mal die Specs/Protokolle mit Cisco / Extreme etc vergleichen)
Specs sind nur die halbe Miete, es gibt schon einen Grund warum trotz höherem Preis Cisco und Extreme in den RZ dieser Welt werkeln und nicht Netgear.

/Thomas
Globetrotter
Globetrotter 23.02.2019 um 22:19:11 Uhr
Goto Top
Hi..
Nur mal so nebenbei.. Wie sieht denn das Budget aus ?
Habt Ihr schon Angebote vom neuen Dienstleister bekommen? Arbeitet dieser nach DGSVO, arbeitet Ihr danach ?
Von Bechtle und Co würde ich eher mal die Finger lassen und einen nehmen der auch wirklich was kann - kann teurer aber erheblich besser werden!
Nehmt Euch ZEIT!!! - Überlegt was Ihr haben wollt! Die IT muss untereinander auch funktionieren.. SBS für 100 Mann ? eher unwahrscheinlich... Ihr müsst auf jeden Fall einen ganzen Batzen Geld und ZEIT! in die Hand nehmen... Lasst Euch Referenzen vorlegen und fragt auch die Referenzen...
Wie die Domain bisher heisst ist wurscht...

Gruss Globe!