22
Mehrere Firmen Netze parallel isoliert betreiben (Entwicklernetz, Normales Nutzernetz, Geschäftsleitung, etc) und absichern?!
Tja also ich möchte mehrere Netze so aufbaun, das diese isoliert voneinander existieren.
Es soll gewährleistet werden, dass es:
a) keine redundante HW gibt (Mail Exchange, Infrastruktur, etc nur einmal für alle Netze, aber sicher isoliert)
b) die Netze sich nicht gegenseitig gefährden (ein Netz kompromitiert, soll keine Auswirkungen auf die anderen haben)
c) ein Datenaustausch zwischen den Netzen möglich sein.
Wie stelle ich das am besten an? Die Netze haben ja aufgrund ihrer Funktionen und Ihrem Wirkbetrieb unterschiedlich starke Anforderungen (an sensible Daten, an Isolierung, an externen Zugriff auf Inet, usw).
Ich dachte daran viel mit Terminal Servern zu arbeiten bzw durch statische Routen in eine Richtung die Sicherheit zu gewährleisten, das äussere kompromitierte Server nicht innere Server belasten?
Was sind Alternativen? Gibts ein Best-Practice, um ein Firmennetz aufzubauen?
Es soll gewährleistet werden, dass es:
a) keine redundante HW gibt (Mail Exchange, Infrastruktur, etc nur einmal für alle Netze, aber sicher isoliert)
b) die Netze sich nicht gegenseitig gefährden (ein Netz kompromitiert, soll keine Auswirkungen auf die anderen haben)
c) ein Datenaustausch zwischen den Netzen möglich sein.
Wie stelle ich das am besten an? Die Netze haben ja aufgrund ihrer Funktionen und Ihrem Wirkbetrieb unterschiedlich starke Anforderungen (an sensible Daten, an Isolierung, an externen Zugriff auf Inet, usw).
Ich dachte daran viel mit Terminal Servern zu arbeiten bzw durch statische Routen in eine Richtung die Sicherheit zu gewährleisten, das äussere kompromitierte Server nicht innere Server belasten?
Was sind Alternativen? Gibts ein Best-Practice, um ein Firmennetz aufzubauen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 135388
Url: https://administrator.de/contentid/135388
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
22 Kommentare
Neuester Kommentar
Hey,
bau doch einfach 3 physikalisch getrennte Netze auf. Diese verbindest du mit einem Router/Firewall. Dann kannst du auch entsprechende Zugriffe zwischen den Netzen ermöglichen.
Jeder größere Hersteller bietet dir Produkte hierfür.
Alterantiv auch Open Source: http://www.ipcop.orf, http://www.ipcop-forum.de
Die zentrale Verbindung der Netze bringt dir weitere Vorteile: Kontrolle der Internetverbindung, Proxy, VPN, usw
Gruß
bau doch einfach 3 physikalisch getrennte Netze auf. Diese verbindest du mit einem Router/Firewall. Dann kannst du auch entsprechende Zugriffe zwischen den Netzen ermöglichen.
Jeder größere Hersteller bietet dir Produkte hierfür.
Alterantiv auch Open Source: http://www.ipcop.orf, http://www.ipcop-forum.de
Die zentrale Verbindung der Netze bringt dir weitere Vorteile: Kontrolle der Internetverbindung, Proxy, VPN, usw
Gruß
Vergiss die Idee.
Keine getrennte HW und "ein Netz kompromitiert, soll keine Auswirkungen auf die anderen haben" schließt sich meistens schon gegenseitig aus.
Für gemeinsame Resourcen lässt sich da noch was mit Firewalls und Routing machen...
Grüße
Max
Keine getrennte HW und "ein Netz kompromitiert, soll keine Auswirkungen auf die anderen haben" schließt sich meistens schon gegenseitig aus.
Für gemeinsame Resourcen lässt sich da noch was mit Firewalls und Routing machen...
Grüße
Max
Hallo,
die Anforderung in sich wiederspricht sich doch schon, Netze solle isoliert sein, aber simpler Datenaustausch soll gehen. Was ist das denn für eine Forderung?
Was man machen könnte, ist mit VLANs arbeiten, und z.B. aus dem Entwicklernetz den Zugriff auf Mail und Inet nur über Terminalserver zulassen. Aber schon für Filetransfer mußt Du schon Scheunentore öffnen.
die Anforderung in sich wiederspricht sich doch schon, Netze solle isoliert sein, aber simpler Datenaustausch soll gehen. Was ist das denn für eine Forderung?
Was man machen könnte, ist mit VLANs arbeiten, und z.B. aus dem Entwicklernetz den Zugriff auf Mail und Inet nur über Terminalserver zulassen. Aber schon für Filetransfer mußt Du schon Scheunentore öffnen.
Das mit den VLANs sehe ich auch als Alternative zur physikalischer Trennung. @all? Warum nicht wirklich logisch trennen! Nachteile?
"Entwicklernetz den Zugriff auf Mail und Inet nur über Terminalserver zulassen." An so etwas habe ich auch gedacht. @all? Was sind Vorteile/Nachteile daran?
"Aber schon für Filetransfer mußt Du schon Scheunentore öffnen." Datenaustausch muss irgendwie gewährleistet werden zwischen den Netzen! @all? Was ich nicht verstehe, das kann doch auch sicher gestaltet werden? Was heisst Scheunentore öffnen? Warum? Und wie kann man es praktikabel lösen?
"Entwicklernetz den Zugriff auf Mail und Inet nur über Terminalserver zulassen." An so etwas habe ich auch gedacht. @all? Was sind Vorteile/Nachteile daran?
"Aber schon für Filetransfer mußt Du schon Scheunentore öffnen." Datenaustausch muss irgendwie gewährleistet werden zwischen den Netzen! @all? Was ich nicht verstehe, das kann doch auch sicher gestaltet werden? Was heisst Scheunentore öffnen? Warum? Und wie kann man es praktikabel lösen?
Moin,
Datenaustausch heißt auch, daß Programme auf das jeweils andere Netz zugreifen können - damit ist das kompromittiert....
Gruß
24
Datenaustausch heißt auch, daß Programme auf das jeweils andere Netz zugreifen können - damit ist das kompromittiert....
Gruß
24
Zitat von @numpsy:
Das mit den VLANs sehe ich auch als Alternative zur physikalischer Trennung. @all? Warum nicht wirklich logisch trennen!
Nachteile?
"Entwicklernetz den Zugriff auf Mail und Inet nur über Terminalserver zulassen." An so etwas habe ich auch gedacht.
@all? Was sind Vorteile/Nachteile daran?
"Aber schon für Filetransfer mußt Du schon Scheunentore öffnen." Datenaustausch muss irgendwie
gewährleistet werden zwischen den Netzen! @all? Was ich nicht verstehe, das kann doch auch sicher gestaltet werden? Was
heisst Scheunentore öffnen? Warum? Und wie kann man es praktikabel lösen?
Das mit den VLANs sehe ich auch als Alternative zur physikalischer Trennung. @all? Warum nicht wirklich logisch trennen!
Nachteile?
"Entwicklernetz den Zugriff auf Mail und Inet nur über Terminalserver zulassen." An so etwas habe ich auch gedacht.
@all? Was sind Vorteile/Nachteile daran?
"Aber schon für Filetransfer mußt Du schon Scheunentore öffnen." Datenaustausch muss irgendwie
gewährleistet werden zwischen den Netzen! @all? Was ich nicht verstehe, das kann doch auch sicher gestaltet werden? Was
heisst Scheunentore öffnen? Warum? Und wie kann man es praktikabel lösen?
nein ich will keine Datenzugriff von expliziten Programmen zulassen - das war auch keine Anforderung (siehe oben). Ich will nur Datenaustausch - Dateien, Ordner kopieren! Das verstehe ich unter Datenaustausch! Dokumente, Daten, etc mit Inhalt von A nach B kopieren?!
Zitat von @numpsy:
> Zitat von @numpsy:
> ----
nein ich will keine Datenzugriff von expliziten Programmen zulassen - das war auch keine Anforderung (siehe oben). Ich will nur
Datenaustausch - Dateien, Ordner kopieren! Das verstehe ich unter Datenaustausch! Dokumente, Daten, etc mit Inhalt von A nach B
kopieren?!
> Zitat von @numpsy:
> ----
nein ich will keine Datenzugriff von expliziten Programmen zulassen - das war auch keine Anforderung (siehe oben). Ich will nur
Datenaustausch - Dateien, Ordner kopieren! Das verstehe ich unter Datenaustausch! Dokumente, Daten, etc mit Inhalt von A nach B
kopieren?!
Und Du benötigst zum Kopieren kein Programm? Du schiebst die Bits per Hand??
24
Zitat von @numpsy:
Das mit den VLANs sehe ich auch als Alternative zur physikalischer Trennung. @all? Warum nicht wirklich logisch trennen!
Nachteile?
"Entwicklernetz den Zugriff auf Mail und Inet nur über Terminalserver zulassen." An so etwas habe ich auch gedacht.
@all? Was sind Vorteile/Nachteile daran?
"Aber schon für Filetransfer mußt Du schon Scheunentore öffnen." Datenaustausch muss irgendwie
gewährleistet werden zwischen den Netzen! @all? Was ich nicht verstehe, das kann doch auch sicher gestaltet werden? Was
heisst Scheunentore öffnen? Warum? Und wie kann man es praktikabel lösen?
Das mit den VLANs sehe ich auch als Alternative zur physikalischer Trennung. @all? Warum nicht wirklich logisch trennen!
Nachteile?
"Entwicklernetz den Zugriff auf Mail und Inet nur über Terminalserver zulassen." An so etwas habe ich auch gedacht.
@all? Was sind Vorteile/Nachteile daran?
"Aber schon für Filetransfer mußt Du schon Scheunentore öffnen." Datenaustausch muss irgendwie
gewährleistet werden zwischen den Netzen! @all? Was ich nicht verstehe, das kann doch auch sicher gestaltet werden? Was
heisst Scheunentore öffnen? Warum? Und wie kann man es praktikabel lösen?
Diese Antwort ist für mich ungenügend! Ich kann auch sagen ein Netz ist unsicher, wenn eine Firewalleinstellung der VLANs falsch ist oder eine Route beidseitig geschaltet ist etc.
Es geht mir um ein paar Details oder Ansätze!
Wegen Datenaustausch muss es doch Möglichkeiten geben. Auch über nen TServer, mit Signierung der Files oder Logging? @all Ist das möglich, praktikabel? andere Ideen?
Deine Negation ist sehr fragwürdig
Du möchtest Mail aus verschiedenen Netzen in einem Exchange behandeln, siehst aber nicht die Gefahr, wenn eine infizierte Mail den Exchange kompromittiert
und genauso kommen Deine Einwände rüber...
Gruß
24
Du möchtest Mail aus verschiedenen Netzen in einem Exchange behandeln, siehst aber nicht die Gefahr, wenn eine infizierte Mail den Exchange kompromittiert
und genauso kommen Deine Einwände rüber...
Gruß
24
Zitat von @numpsy:
> Zitat von @numpsy:
> ----
> Das mit den VLANs sehe ich auch als Alternative zur physikalischer Trennung. @all? Warum nicht wirklich logisch trennen!
> Nachteile?
>
> "Entwicklernetz den Zugriff auf Mail und Inet nur über Terminalserver zulassen." An so etwas habe ich auch
gedacht.
> @all? Was sind Vorteile/Nachteile daran?
>
> "Aber schon für Filetransfer mußt Du schon Scheunentore öffnen." Datenaustausch muss irgendwie
> gewährleistet werden zwischen den Netzen! @all? Was ich nicht verstehe, das kann doch auch sicher gestaltet werden? Was
> heisst Scheunentore öffnen? Warum? Und wie kann man es praktikabel lösen?
Diese Antwort ist für mich ungenügend! Ich kann auch sagen ein Netz ist unsicher, wenn eine Firewalleinstellung der
VLANs falsch ist oder eine Route beidseitig geschaltet ist etc.
Es geht mir um ein paar Details oder Ansätze!
Wegen Datenaustausch muss es doch Möglichkeiten geben. Auch über nen TServer, mit Signierung der Files oder Logging?
@all Ist das möglich, praktikabel? andere Ideen?
> Zitat von @numpsy:
> ----
> Das mit den VLANs sehe ich auch als Alternative zur physikalischer Trennung. @all? Warum nicht wirklich logisch trennen!
> Nachteile?
>
> "Entwicklernetz den Zugriff auf Mail und Inet nur über Terminalserver zulassen." An so etwas habe ich auch
gedacht.
> @all? Was sind Vorteile/Nachteile daran?
>
> "Aber schon für Filetransfer mußt Du schon Scheunentore öffnen." Datenaustausch muss irgendwie
> gewährleistet werden zwischen den Netzen! @all? Was ich nicht verstehe, das kann doch auch sicher gestaltet werden? Was
> heisst Scheunentore öffnen? Warum? Und wie kann man es praktikabel lösen?
Diese Antwort ist für mich ungenügend! Ich kann auch sagen ein Netz ist unsicher, wenn eine Firewalleinstellung der
VLANs falsch ist oder eine Route beidseitig geschaltet ist etc.
Es geht mir um ein paar Details oder Ansätze!
Wegen Datenaustausch muss es doch Möglichkeiten geben. Auch über nen TServer, mit Signierung der Files oder Logging?
@all Ist das möglich, praktikabel? andere Ideen?
Wie gesagt solche Gefahren und Ansätze sind hilfreich. Deswegen die Diskussion. Klar. wenn der Exchange infiziert ist, wirds problematisch. SPOF
Aber gibts Lösungen, um die Netze abzusichern. Best-Practices oder denkbare und praktikable Möglichkeiten? Weitere zu berücksichtigende Massnahmen?
ja, infizierte Datei
24
Tausch die mal aus
24
Tausch die mal aus
@all: andere Ideen und Ansätze oder Lösungen zur Ausgangsproblematik?
Jop
best practice sind getrennte Netze, getrennte Hardware, keine interner Datenaustausch etc.
auch wenn man sich etwas so sehr wünscht, heißt es noch lange nicht, daß es funktioniert...
Gruß
24
best practice sind getrennte Netze, getrennte Hardware, keine interner Datenaustausch etc.
auch wenn man sich etwas so sehr wünscht, heißt es noch lange nicht, daß es funktioniert...
Gruß
24
bzw. den Anforderungen - umgesetzt in eine maximal praktikable bzw. nutzbare Lösung - wenn auch nur theoretisch?
Hallo numpsy,
wie schon im ersten Kommentar von StingerMAC geschrieben - und selbst schon in Firmen umgesetzt:
3 Netze => 3 Zonen an der Firewall (z.B. SonicWALL) dazwischen Regeln für die Kommunikation der Netze mit der WeitenWüstenWelt und untereinander.
Aktuelle FW können auch Applikationen 'regeln'.
Man sollte aber wissen, die theoretischen Forderungen nach absoluter Sicherheit, werden in der Praxis (zumindest Wochen nach der Umsetzung) nicht so streng benötigt.
Setze so viel um wie nötig, und das so einfach wie möglich
vG LS
wie schon im ersten Kommentar von StingerMAC geschrieben - und selbst schon in Firmen umgesetzt:
3 Netze => 3 Zonen an der Firewall (z.B. SonicWALL) dazwischen Regeln für die Kommunikation der Netze mit der WeitenWüstenWelt und untereinander.
Aktuelle FW können auch Applikationen 'regeln'.
Man sollte aber wissen, die theoretischen Forderungen nach absoluter Sicherheit, werden in der Praxis (zumindest Wochen nach der Umsetzung) nicht so streng benötigt.
Setze so viel um wie nötig, und das so einfach wie möglich
vG LS
Evntl etwas konkreter zu dem "was" "wie" umgesetzt wurde oder wo es Probleme gab - wo Kompromisse eingegangen wurden?
selbst bei best praktice werden nach einiger Zeit Kompromisse eingegangen, wenn verschiedene Netze unpraktisch werden, werden Brücken geschaffen - sei es per Netzkopplung, oder USB-Stick - CD - DVD etc...
24
24
Hallo,
was wir dir zu sagen versuchen, ist dass deine Forderung, die du umsetzen sollst, unmöglich ist. Wir können dir aber nur weiterhelfen, wenn die die Anforderungen an die Realität anpasst. Das kannst aber nur du tun, da wir natürlich deine Umgebung nicht kennen.
Hier kannst und wirst Du erst wieder Hilfe erwarten können, wenn die Anpassung erfolgt ist.
was wir dir zu sagen versuchen, ist dass deine Forderung, die du umsetzen sollst, unmöglich ist. Wir können dir aber nur weiterhelfen, wenn die die Anforderungen an die Realität anpasst. Das kannst aber nur du tun, da wir natürlich deine Umgebung nicht kennen.
Hier kannst und wirst Du erst wieder Hilfe erwarten können, wenn die Anpassung erfolgt ist.
Also unabhängig davon ob es wirklich SINN macht würde ich das ggf. über verschiedene IP-Adressräume regeln. Nur der Server (und ggf. der Proxy) kennt alle Adressräume, alle Arbeitsstationen kennen nur den eigenen Raum.
Auf dem Server dann verschiedene Freigaben einrichten - so das man mit der Berechtigung für "Entwicklernetz" eben nicht an die Freigaben für "GL" kommt. Es gibt dann nur eine Freigabe ("Transfer") auf die alle zugreiffen dürfen. Dies ist der zentrale Austauschpunkt.
Ob das dann Sinn macht ist ne andere Frage - aber zumindest die grundlegenden Dinge kannst du so schon abfangen...
Auf dem Server dann verschiedene Freigaben einrichten - so das man mit der Berechtigung für "Entwicklernetz" eben nicht an die Freigaben für "GL" kommt. Es gibt dann nur eine Freigabe ("Transfer") auf die alle zugreiffen dürfen. Dies ist der zentrale Austauschpunkt.
Ob das dann Sinn macht ist ne andere Frage - aber zumindest die grundlegenden Dinge kannst du so schon abfangen...
Sorry. Nicht alles gelesen.
Gelöscht.
Gelöscht.
Wir regeln das über vLan's! Aktuelle Switche und Firewalls lassen sich heutzutage prima konfigurieren. Wenn klar (und entsprechend dokumentiert) ist, wer wo hin darf, die passenden LOG-Einträge geschalten sind, werden keine Scheunentore aufgemacht und evtl. Mißbrauch läßt sich nachvollziehen.
Aus meiner Sicht gilt aber nach wie vor: Datensicherheit beginnt bereits mit der Sensibilisierung der MitarbeiterInnen - denn ein arglos verwendeter USB-Stick kann ggf. das ausgeklügelste Sicherheitskonzept wert- und sinnlos machen ...!
Grüße
Micha
Aus meiner Sicht gilt aber nach wie vor: Datensicherheit beginnt bereits mit der Sensibilisierung der MitarbeiterInnen - denn ein arglos verwendeter USB-Stick kann ggf. das ausgeklügelste Sicherheitskonzept wert- und sinnlos machen ...!
Grüße
Micha
Hallo,
Stichwort DMZ: http://de.wikipedia.org/wiki/Demilitarized_Zone
mein Lösungsansatz in deinem Fall wäre folgender:
über VLAN die Netze trennen + 1 für die DMZ
benötigte Adressbereiche anlegen + 1 für die DMZ
Einen Router aufsetzen, der Zugriff auf alle Netze hat.
Ich kann hier pfsense empfehlen http://www.pfsense.com kostet nix und kann viel.
Diesen Router konfigurierst du so, dass Routing nur zwischen dem DMZ-Netz und dem aktuellen Netz stattfindet. Routing zwischen den Clientnetzen ist in deinem Fall zu unterbinden.
Datenaustausch und Zugriff von allen Netzen auf die Server ist dabei gegeben, genauso wie auch der Internetzugang über die DMZ.
In der Theorie könntest du das ganze auch ohne DMZ, nur mit dual homed Servern machen... Da würd ich aber nicht zu raten.
Gruß
Peter
Stichwort DMZ: http://de.wikipedia.org/wiki/Demilitarized_Zone
mein Lösungsansatz in deinem Fall wäre folgender:
über VLAN die Netze trennen + 1 für die DMZ
benötigte Adressbereiche anlegen + 1 für die DMZ
Einen Router aufsetzen, der Zugriff auf alle Netze hat.
Ich kann hier pfsense empfehlen http://www.pfsense.com kostet nix und kann viel.
Diesen Router konfigurierst du so, dass Routing nur zwischen dem DMZ-Netz und dem aktuellen Netz stattfindet. Routing zwischen den Clientnetzen ist in deinem Fall zu unterbinden.
Datenaustausch und Zugriff von allen Netzen auf die Server ist dabei gegeben, genauso wie auch der Internetzugang über die DMZ.
In der Theorie könntest du das ganze auch ohne DMZ, nur mit dual homed Servern machen... Da würd ich aber nicht zu raten.
Gruß
Peter
