7
Netzwerksegmentierung: PCs von DC trennen
Moin,
macht es Sinn in einer kleinen Umgebung PCs von DC(=File/Print-Server) in Segmente zu trennen? (12 PCs / 1DC=File=Print Server)
Danke
Olaf
macht es Sinn in einer kleinen Umgebung PCs von DC(=File/Print-Server) in Segmente zu trennen? (12 PCs / 1DC=File=Print Server)
Danke
Olaf
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4514896451
Url: https://administrator.de/contentid/4514896451
Printed on: April 27, 2024 at 12:04 o'clock
7 Comments
Latest comment
Hallo,
unter Umständen ja, aber das meiste kannst du mit der Firewall einschränken, viel sinnvoller wäre es du würdest den DC vom File- und Printdienst trennen, denn damit kannst du dir bedeutend mehr einfangen.
Ein DC ist ein DC ist ein DC ist ein DC.
Gruß
unter Umständen ja, aber das meiste kannst du mit der Firewall einschränken, viel sinnvoller wäre es du würdest den DC vom File- und Printdienst trennen, denn damit kannst du dir bedeutend mehr einfangen.
Ein DC ist ein DC ist ein DC ist ein DC.
Gruß
2
Naaaahmth @RG2525
was auch immer du mit trennen meinst weiß ich nicht. tatsächlich wird das kaum sinnvoll sein, da der DC ständig und immer dazu da ist, Kontrolle auf das netz, alle PCs und User auszuüben. Trennen wird die Kontrolle verhindern.
Kreuzberger
was auch immer du mit trennen meinst weiß ich nicht. tatsächlich wird das kaum sinnvoll sein, da der DC ständig und immer dazu da ist, Kontrolle auf das netz, alle PCs und User auszuüben. Trennen wird die Kontrolle verhindern.
Kreuzberger
viel sinnvoller wäre es du würdest den DC vom File- und Printdienst trennen,
Und wie deployed er dann GPOs? Gar nicht mehr. Keine gute Idee.Ja, ein DC sollte nichts weiter tun als DC sein, da bin ich bei Dir. Nur hat er Port 445 (SMB) eh offen, da richtet es Null Schaden an, wenn er noch als Fileserver genutzt wird, denn das ist er eh schon vorher. Printserver wäre wegen der dort aktiven Treiber dann eher unschön.
1
Hi..
Wenn Du die Netzwerke segmentierst, macht das Sinn.. (LAN/WLAN/FILE/VPN).
Gruss Globe!
Wenn Du die Netzwerke segmentierst, macht das Sinn.. (LAN/WLAN/FILE/VPN).
Gruss Globe!
Bewerte hier einfach mal ob es Sinn macht: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendi ...
Wenn dein Switch ACL kann ist das auch ein Ansatz.
Wenn dein Switch ACL kann ist das auch ein Ansatz.
Zitat von @kreuzberger:
Naaaahmth @RG2525
was auch immer du mit trennen meinst weiß ich nicht. tatsächlich wird das kaum sinnvoll sein, da der DC ständig und immer dazu da ist, Kontrolle auf das netz, alle PCs und User auszuüben. Trennen wird die Kontrolle verhindern.
Kreuzberger
Naaaahmth @RG2525
was auch immer du mit trennen meinst weiß ich nicht. tatsächlich wird das kaum sinnvoll sein, da der DC ständig und immer dazu da ist, Kontrolle auf das netz, alle PCs und User auszuüben. Trennen wird die Kontrolle verhindern.
Kreuzberger
Die Ansicht ist schon merkwürdig. Gerade DCs gehören zum High-Secure" Bereich bei einer vernünftigen Segmentierung.
Gerade für Audits müssen Server und Clients durch eine Firewall getrennt sein.
Nur so am Rande. Dazu kommt ja in der minimalsten Stufe das Management aller Komponenten in einem eigenen Bereich.
Und ja, dass Ziel des TOs ist hier noch nicht klar. Im Post stehen 0,0 Infos.
Moin,
wenns klein bleiben soll:
Tier-0 Ebene für DCs etablieren
Den Rest irgendwie zusammenwerfen, hauptsache die DCs sind erst mal weggesperrt.
Darüber hinaus:
1. VLAN für DCs
1. VLAN für alle anderen Server
1. VLAN für alle Clients.
Jedes Subnetz kann nur in dem Umfang kommunizieren, wie es für den Betrieb erforderlich ist = Least privledge.
Der Klassiker in solch einem Konstrukt wäre: Alle "Standard-Ports" für die Nutzung eines ADs werden für die darunterliegenden Netze freigegeben.
Bitte darauf achten, welches System eine Verbindung initiiert und dementsprechend auch die Regeln bauen, nicht einfach die benötigten Ports in beide Richtungen öffnen - Ich setze eine "state-of-the-art" stateful Firewall vorraus.
Das beschriebene Setup ist bei weitem nicht perfekt und auch beim möglichen Härtungsgrad ist viel Luft nach oben.
Allerdings sollten deine Mühen in Relation zum erforderlichen Schutzniveau stehen und darüberhinaus, muss das System für dich wartbar bleiben. Eine vollständige Aushärtung erfordert neben Know-how nämlich auch Zeit im späteren Betrieb, da "mal eben schnell" dann nicht mehr funktioniert.
wenns klein bleiben soll:
Tier-0 Ebene für DCs etablieren
Den Rest irgendwie zusammenwerfen, hauptsache die DCs sind erst mal weggesperrt.
Darüber hinaus:
1. VLAN für DCs
1. VLAN für alle anderen Server
1. VLAN für alle Clients.
Jedes Subnetz kann nur in dem Umfang kommunizieren, wie es für den Betrieb erforderlich ist = Least privledge.
Der Klassiker in solch einem Konstrukt wäre: Alle "Standard-Ports" für die Nutzung eines ADs werden für die darunterliegenden Netze freigegeben.
Bitte darauf achten, welches System eine Verbindung initiiert und dementsprechend auch die Regeln bauen, nicht einfach die benötigten Ports in beide Richtungen öffnen - Ich setze eine "state-of-the-art" stateful Firewall vorraus.
Das beschriebene Setup ist bei weitem nicht perfekt und auch beim möglichen Härtungsgrad ist viel Luft nach oben.
Allerdings sollten deine Mühen in Relation zum erforderlichen Schutzniveau stehen und darüberhinaus, muss das System für dich wartbar bleiben. Eine vollständige Aushärtung erfordert neben Know-how nämlich auch Zeit im späteren Betrieb, da "mal eben schnell" dann nicht mehr funktioniert.
2