rg2525
Goto Top

Netzwerksegmentierung: PCs von DC trennen

Moin,
macht es Sinn in einer kleinen Umgebung PCs von DC(=File/Print-Server) in Segmente zu trennen? (12 PCs / 1DC=File=Print Server)
Danke
Olaf

Content-Key: 4514896451

Url: https://administrator.de/contentid/4514896451

Printed on: May 28, 2024 at 08:05 o'clock

Member: tech-flare
tech-flare Mar 12, 2024 updated at 19:42:18 (UTC)
Goto Top
Hallo,

unter Umständen ja, aber das meiste kannst du mit der Firewall einschränken, viel sinnvoller wäre es du würdest den DC vom File- und Printdienst trennen, denn damit kannst du dir bedeutend mehr einfangen.

Ein DC ist ein DC ist ein DC ist ein DC.

Gruß
Member: kreuzberger
kreuzberger Mar 12, 2024 at 19:41:31 (UTC)
Goto Top
Naaaahmth @RG2525

was auch immer du mit trennen meinst weiß ich nicht. tatsächlich wird das kaum sinnvoll sein, da der DC ständig und immer dazu da ist, Kontrolle auf das netz, alle PCs und User auszuüben. Trennen wird die Kontrolle verhindern.

Kreuzberger
Member: DerWoWusste
DerWoWusste Mar 12, 2024 updated at 20:08:26 (UTC)
Goto Top
viel sinnvoller wäre es du würdest den DC vom File- und Printdienst trennen,
Und wie deployed er dann GPOs? Gar nicht mehr. Keine gute Idee.
Ja, ein DC sollte nichts weiter tun als DC sein, da bin ich bei Dir. Nur hat er Port 445 (SMB) eh offen, da richtet es Null Schaden an, wenn er noch als Fileserver genutzt wird, denn das ist er eh schon vorher. Printserver wäre wegen der dort aktiven Treiber dann eher unschön.
Member: Globetrotter
Globetrotter Mar 12, 2024 at 20:01:37 (UTC)
Goto Top
Hi..
Wenn Du die Netzwerke segmentierst, macht das Sinn.. (LAN/WLAN/FILE/VPN).
Gruss Globe!
Member: nachgefragt
nachgefragt Mar 12, 2024 at 20:14:13 (UTC)
Goto Top
Bewerte hier einfach mal ob es Sinn macht: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendi ...

Wenn dein Switch ACL kann ist das auch ein Ansatz.
Member: Spirit-of-Eli
Spirit-of-Eli Mar 12, 2024 updated at 21:12:09 (UTC)
Goto Top
Zitat von @kreuzberger:

Naaaahmth @RG2525

was auch immer du mit trennen meinst weiß ich nicht. tatsächlich wird das kaum sinnvoll sein, da der DC ständig und immer dazu da ist, Kontrolle auf das netz, alle PCs und User auszuüben. Trennen wird die Kontrolle verhindern.

Kreuzberger

Die Ansicht ist schon merkwürdig. Gerade DCs gehören zum High-Secure" Bereich bei einer vernünftigen Segmentierung.

Gerade für Audits müssen Server und Clients durch eine Firewall getrennt sein.

Nur so am Rande. Dazu kommt ja in der minimalsten Stufe das Management aller Komponenten in einem eigenen Bereich.

Und ja, dass Ziel des TOs ist hier noch nicht klar. Im Post stehen 0,0 Infos.
Member: Cloudrakete
Cloudrakete Mar 12, 2024 at 23:50:25 (UTC)
Goto Top
Moin,

wenns klein bleiben soll:

Tier-0 Ebene für DCs etablieren
Den Rest irgendwie zusammenwerfen, hauptsache die DCs sind erst mal weggesperrt.

Darüber hinaus:

1. VLAN für DCs
1. VLAN für alle anderen Server
1. VLAN für alle Clients.

Jedes Subnetz kann nur in dem Umfang kommunizieren, wie es für den Betrieb erforderlich ist = Least privledge.
Der Klassiker in solch einem Konstrukt wäre: Alle "Standard-Ports" für die Nutzung eines ADs werden für die darunterliegenden Netze freigegeben.
Bitte darauf achten, welches System eine Verbindung initiiert und dementsprechend auch die Regeln bauen, nicht einfach die benötigten Ports in beide Richtungen öffnen - Ich setze eine "state-of-the-art" stateful Firewall vorraus.


Das beschriebene Setup ist bei weitem nicht perfekt und auch beim möglichen Härtungsgrad ist viel Luft nach oben.
Allerdings sollten deine Mühen in Relation zum erforderlichen Schutzniveau stehen und darüberhinaus, muss das System für dich wartbar bleiben. Eine vollständige Aushärtung erfordert neben Know-how nämlich auch Zeit im späteren Betrieb, da "mal eben schnell" dann nicht mehr funktioniert.