Netzwerkstrukturen Server mit und ohne Internetzugriff

Hi

Wenn fähige Admins und fähige GF, dann Variante A oder B
Wenn unfähige Admins dann C
Wenn fähige Admins ohne Durchsetzungsvermögen mit unfähiger GF dann C

Hoffentlich nicht. Zero-Trust ist DAS Go-To was Security angeht. Vertraue niemanden, ist die erste Regel in der IT-Security.

Ob man nun A oder B hat dürfte wohl bei den meisten Firmen bei der GF bzw der Firmenkultur liegen.
Wenn die IT Abteilung fähig ist und sich durchsetzen kann, dann hat so wenig Serverinfrastruktur Internetzugang, bzw der Internetzugang der vorhanden ist, ist genau geregelt.
Sobald mal andere Abteilungen hat die eigene Server nutzen wird es schwer sowas umzusetzen, weil die normalerweise gleich ungefiltertes Internet und Adminrechte wollen.

Es ist halt immer eine Drahtseilakt zwischen Security und Usability

Moin
Ist sie in meinen Augen nicht. Wenn wirklich kein Server eine Internetverbindung hat, wird sich kein Server Updates installieren können. Folglich sind die Server über die Clients die einen Zugriff aufs Internet haben massiv gefährdet.

Frag in deinem Praktikum einfach mal nach, wieso es so ist wie es ist. Was man im Endeffekt einsetzen will ist immer eine Mischung aus Bedarf, Sicherheit, Bequemlichkeit und Aufwand.

Meiner Meinung nach ein klares nein.

Und wozu? Bei uns läuft die Firma ganz gut auch ohne das der Mailserver vom Internet aus erreichbar ist. Dann bekommen die Anwender halt keine Mails aufs Handy, wenn sie nicht arbeiten. Und wenn Sie arbeiten haben Sie ihren Mail-Client offen. Wir kommen ganz gut zurecht, ohne das der Mailserver von extern erreichbar ist.
Wir nutzen darüber hinaus auch eine White-List-Firewall. All unsere Server können ins Internet, allerdings (bis auf den WSUS) nur dann wenn sich der richtige Benutzer anmeldet der sich dann händisch noch einmal gegen die Firewall authentifiziert. Es gibt keinen Grund für den Printserver, Fileserver oder DC sich ständig mit dem Internet zu verbinden, aber es gibt gewisse Notwendigkeiten die es dann doch mal erzwingen.

Nicht ausschließlich. Das ist aber ein Punkt den ich oben in er Mischung meinte. Wenn ich meinen Webserver im Unternehmen stehen habe, dann muss mein Webserver von außen erreichbar sein, der Printserver oder DC aber nicht. Unsere Website wird extern gehostet, also gibt es bei uns keinen Webserver der von außen erreichbar sein muss.


Du wirst auch hier keine auflösende allgemeine Antwort erhalten. Die Frage ist wie ich schon sagte stets:
- Was braucht der Kunde? Ändert sich von Kunde zu Kunde.

- Was ist der Kunde bereit an Aufwand in die Sicherheit zu investieren? Je sicherer das Netzwerk sein soll, desto mehr Aufwand muss man Betreiben. Je mehr Aufwand ich betreibe, desto mehr zeit muss ich da reinstecken. Je mehr Zeit ich reinstecke, desto teurer wird es.

- Was "glaubt" der Kunde kann er seinen Anwendern zumuten? Brauchen die MA wirklich Ihre Mails auf dem Handy? Müssen sie wirklich von allen Rechnern auf allen Websiten surfen können? Warum muss der Admin die Fehlermeldung des DCs im Browser des DCs bei Google eintippen und kann dafür nicht seinen eigenen Rechner nehmen?

Gruß
Doskias

Bis einer mal den USB Stick mit den Urlaubsvideos von zuhause mitbringt....
Solltest du in deinen Praktikas eigentlich gelernt haben ?!
Wie gehst du denn einen Hausbau and oder generell ein Projekt ?
Du definierst die Rahmenbedingungen, erstellst eine Sicherheitspolicy mit den Anforderungen an so ein Netzwerk was mit Datenschutz und GF abgestimmt ist, Desaster Recovery Plan inklusive, bestimmst das Infrastruktur Design und nur mal die einfachsten Sachen zu nennen.
Danach erstellst du ein Pflichtenheft mit einem Zeitplan und setzt es genau so um wie beschlossen.
Das lernt der Azubi doch im ersten Lehrjahr...

Naja - meistens entscheidet sich das doch ganz einfach: Die ITler wollen das gerne so sicher wie möglich machen... der Angestellte will aber so offen wie möglich arbeiten (natürlich darf da trotzdem nichts absemmeln...) - und am Ende wägt der Chef ab was gemacht wird.

Das kommt halt auch auf die Umgebung an - bist du z.B. in speziellen Plätzen wirds eher abgeschirmt. Stell dir mal z.B. ne Ölplattform, nen Schiff oder ggf. die ISS vor. Da willst du weder von der Bandbreite her das Updates automatisch geladen werden NOCH willst du das Risiko z.B. das du nen Space-Shuttle brauchst um da mal nen Server neu zu installieren. Also gibts da halt eher keine Verbindungen...

Andersrum hast du z.B. aufm Schiff ja ggf. auch Gäste - da wirst du also mehrere Zonen haben (müssen) - und dazu noch Crew die 24/7 Zeit hat Sachen auszuprobieren... Dabei kannst du aber auch nich permanent hingehen und Abmahnungen verteilen - das wäre zwar für den ein oder anderen IT das mittel der Wahl aber wird dazu führen das du Probleme bekommst weil die Moral runtergeht UND damit nen Guest-Impact aufkommt. Da werden dir schon Leute erzählen was du darfst und was nicht...

Von daher gibts nur eine Goldene Regel - es muss zum Unternehmen passen...

Moin,

Auch wenn manche es verneinen, daß es eine gibt, die goldene Regel ist:

Das was das Risikomanagement als die beste Variante bewertet.

Und nu? D.h., Du mußt erstmal Risikoabschätzungen machen und schauen, welchen wirtschaftlichen Schaden eventuelle Vorfälle nach sich ziehen können und das gegen etwaige Produktivitätsverluste wegen "unbequemer Sicherheit" abwägen, und dann entscheiden, welche Maßnahmen sinnvoll sind und welche einen mehr kosten als sie einbringen.

Das ist z.B. auch der Grund, warum wir immer noch keine "absolut sicheren" Bankkarten zum Geldabheben haben. Der Schaden, der durch Mißbrauch verursacht wird und den die Banken tragen ist weitaus geringer als die Kosten, die es verursachen würde, um den Mißbrauchsschaden auf fast 0 zu drücken. Es wäre also unwirtschaftlich.

Genauso geht man auch bei Netzwerken und deren Sicherheit vor. Man bewertet, was passieren kann, den möglichen Schaden und den Aufwand, um den Schaden abzuwenden und entscheidet dann, was einem wichtig ist.

Von daher können alle drei Varianten, die du genannt hast, Ihre Berechtigung haben. Auch wenn Variante A von den meisten hier vorgezogen würde.

lks

Du unterstellst hier, daß

• die Clients eine Internetverbindung haben.
• daß Updates absolut notwendig sind.

Bei einem abgeschotteten Netz kann es durchaus sein, daß Updates unerwünscht oder gar verboten sind, um definiertes Verhalten der Systeme zu gewährleisten und um nicht bei jedem Patch des Herstellers mit neuen Problemen konfrontiert zu werden. Insbesondere sind bei manchen Systemen manche gesetzlich notwendigen Zertifizierungen futsch, wenn man ein Update einspielt.

Außerdem kann man Umgebungen bauen, in denen auch die Clients keine Verbindung nach außen haben. Dann muß man nur noch dafür sorgen, daß nicht am Netzwerk vorbei über Datenträger oder Einagabegeräte (Tastaur, Maus) Malware reingetragen wird.

Außerdem gibt es Konzepte, solche abgeschotteten Server über definierte Schnittstellen mit dem "normalen" Firmennetzwerk kommunizieren zu lassen, so daß ein kompromittierter Client nicht allzuviel kaputtmachen kann.

Um solche Sachen zu beurteilen, muß man sich von dem Gedanken lösen, bei Server immer nur an Windows-Server und Active Directory und CIFS zu denken.

lks

Hi LKS,


Ja das ist richtig. Genau das unterstelle ich, denn er schreibt:

Ansonsten schreibst du ja noch:
Alles richtig was du schreibst, aber ich habe aufgehört in Fragen etwas hineininterpretieren zu wollen. Wenn es, wie du beschreibst, besagte Anforderungen geben würde, bzw. diese elfriede bekannt wären, dann wäre es zum einen nicht zu dieser Frage gekommen und zum anderen hätte die Beschreibung zu Firma A anders ausgesehen. So wie die Situation in Firma A beschrieben ist gibt es nur ein Netzwerk.
Wir haben zum Beispiel auch Produktionsnetzwerke, die aus drei Geräten bestehen, die untereinander vernetzt sind, die keinen Internetanschluss haben, weil dort wie du beschreibst kritische Prozesse laufen, die nur auf den OS unterstützt werden. Das führt halt zwangsläufig dazu, dass alte OS im Einsatz sind, die sind dann aber nicht von anderen Rechnern erreichbar. Womit wir wieder bei der Frage des Aufwandes sind was man dem Anwender zumuten kann. Wir haben an einigen dieser Produktions-Dreiecke Kombination von Windows NT4.0, Dos 5.0 und Windows 10. Klar könnte ich den Windows 10 Rechner jetzt mit geeigneten Mitteln sicher oder aber der Anwender bekommt einen zweiten Rechner und ich bleibe bei einer strikten Trennung und erlaube lediglich einen Datenaustausch zwischen den Windows 10 Rechnern mittels eines geeigneten Mediums.

Wichtig ist vor allem wie du schreibst, und was meiner Erfahrung oft viel zu kurz kommt, die Unterbindung des Einsatzes von externen Datenträgern und Eingabegeräten.

Das Problem mit fehlenden Updates würde ich gänzlich nicht unterschätzen.
Wenn da irgendwie trotzdem mal eine Verbindung auftritt (Netzwerk-Konfig falsch, jemand steckt Kabel ein) hat man die A-Karte, speziell bei Windows-Rechnern, die gleich mal ein paar Serverdienste laufen haben.
Ich würde da ne SPI-FW davor machen und gut ist's.

Zu den Zertifizierungen sage ich mal lieber nichts, das ist aus IT-Sicherheit einfach nur ein GAU.

Deswegen laufen die Dinger meist in isolierten Umgebungen -sollten sie zumindest.

lks