Netzwerksegmentierung: PCs von DC trennen
Moin,
macht es Sinn in einer kleinen Umgebung PCs von DC(=File/Print-Server) in Segmente zu trennen? (12 PCs / 1DC=File=Print Server)
Danke
Olaf
macht es Sinn in einer kleinen Umgebung PCs von DC(=File/Print-Server) in Segmente zu trennen? (12 PCs / 1DC=File=Print Server)
Danke
Olaf
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4514896451
Url: https://administrator.de/forum/netzwerksegmentierung-pcs-von-dc-trennen-4514896451.html
Ausgedruckt am: 23.12.2024 um 08:12 Uhr
7 Kommentare
Neuester Kommentar
Naaaahmth @RG2525
was auch immer du mit trennen meinst weiß ich nicht. tatsächlich wird das kaum sinnvoll sein, da der DC ständig und immer dazu da ist, Kontrolle auf das netz, alle PCs und User auszuüben. Trennen wird die Kontrolle verhindern.
Kreuzberger
was auch immer du mit trennen meinst weiß ich nicht. tatsächlich wird das kaum sinnvoll sein, da der DC ständig und immer dazu da ist, Kontrolle auf das netz, alle PCs und User auszuüben. Trennen wird die Kontrolle verhindern.
Kreuzberger
viel sinnvoller wäre es du würdest den DC vom File- und Printdienst trennen,
Und wie deployed er dann GPOs? Gar nicht mehr. Keine gute Idee.Ja, ein DC sollte nichts weiter tun als DC sein, da bin ich bei Dir. Nur hat er Port 445 (SMB) eh offen, da richtet es Null Schaden an, wenn er noch als Fileserver genutzt wird, denn das ist er eh schon vorher. Printserver wäre wegen der dort aktiven Treiber dann eher unschön.
Bewerte hier einfach mal ob es Sinn macht: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendi ...
Wenn dein Switch ACL kann ist das auch ein Ansatz.
Wenn dein Switch ACL kann ist das auch ein Ansatz.
Zitat von @kreuzberger:
Naaaahmth @RG2525
was auch immer du mit trennen meinst weiß ich nicht. tatsächlich wird das kaum sinnvoll sein, da der DC ständig und immer dazu da ist, Kontrolle auf das netz, alle PCs und User auszuüben. Trennen wird die Kontrolle verhindern.
Kreuzberger
Naaaahmth @RG2525
was auch immer du mit trennen meinst weiß ich nicht. tatsächlich wird das kaum sinnvoll sein, da der DC ständig und immer dazu da ist, Kontrolle auf das netz, alle PCs und User auszuüben. Trennen wird die Kontrolle verhindern.
Kreuzberger
Die Ansicht ist schon merkwürdig. Gerade DCs gehören zum High-Secure" Bereich bei einer vernünftigen Segmentierung.
Gerade für Audits müssen Server und Clients durch eine Firewall getrennt sein.
Nur so am Rande. Dazu kommt ja in der minimalsten Stufe das Management aller Komponenten in einem eigenen Bereich.
Und ja, dass Ziel des TOs ist hier noch nicht klar. Im Post stehen 0,0 Infos.
Moin,
wenns klein bleiben soll:
Tier-0 Ebene für DCs etablieren
Den Rest irgendwie zusammenwerfen, hauptsache die DCs sind erst mal weggesperrt.
Darüber hinaus:
1. VLAN für DCs
1. VLAN für alle anderen Server
1. VLAN für alle Clients.
Jedes Subnetz kann nur in dem Umfang kommunizieren, wie es für den Betrieb erforderlich ist = Least privledge.
Der Klassiker in solch einem Konstrukt wäre: Alle "Standard-Ports" für die Nutzung eines ADs werden für die darunterliegenden Netze freigegeben.
Bitte darauf achten, welches System eine Verbindung initiiert und dementsprechend auch die Regeln bauen, nicht einfach die benötigten Ports in beide Richtungen öffnen - Ich setze eine "state-of-the-art" stateful Firewall vorraus.
Das beschriebene Setup ist bei weitem nicht perfekt und auch beim möglichen Härtungsgrad ist viel Luft nach oben.
Allerdings sollten deine Mühen in Relation zum erforderlichen Schutzniveau stehen und darüberhinaus, muss das System für dich wartbar bleiben. Eine vollständige Aushärtung erfordert neben Know-how nämlich auch Zeit im späteren Betrieb, da "mal eben schnell" dann nicht mehr funktioniert.
wenns klein bleiben soll:
Tier-0 Ebene für DCs etablieren
Den Rest irgendwie zusammenwerfen, hauptsache die DCs sind erst mal weggesperrt.
Darüber hinaus:
1. VLAN für DCs
1. VLAN für alle anderen Server
1. VLAN für alle Clients.
Jedes Subnetz kann nur in dem Umfang kommunizieren, wie es für den Betrieb erforderlich ist = Least privledge.
Der Klassiker in solch einem Konstrukt wäre: Alle "Standard-Ports" für die Nutzung eines ADs werden für die darunterliegenden Netze freigegeben.
Bitte darauf achten, welches System eine Verbindung initiiert und dementsprechend auch die Regeln bauen, nicht einfach die benötigten Ports in beide Richtungen öffnen - Ich setze eine "state-of-the-art" stateful Firewall vorraus.
Das beschriebene Setup ist bei weitem nicht perfekt und auch beim möglichen Härtungsgrad ist viel Luft nach oben.
Allerdings sollten deine Mühen in Relation zum erforderlichen Schutzniveau stehen und darüberhinaus, muss das System für dich wartbar bleiben. Eine vollständige Aushärtung erfordert neben Know-how nämlich auch Zeit im späteren Betrieb, da "mal eben schnell" dann nicht mehr funktioniert.