dantiuli
Goto Top

Sichere Einrichtung eines Admin-Netzwerks für IT-Teams

Hallo zusammen,

ich freue mich auf eure Vorschläge. Uns beschäftigt die Frage, wie wir am besten und einfachsten ein sicheres Admin-Netzwerk für unsere IT-Administratoren einführen können.

Unser Team besteht aus drei Gruppen - Netzwerk, Server und Support - und jedes Team hat spezifische Aufgaben im Hinblick auf Berechtigungen. Jeder Administrator verfügt über zwei AD-Konten: ein persönliches und ein administratives. Derzeit sind alle PCs im gleichen Netzwerk, was potenzielle Sicherheitsrisiken birgt, da es Vollzugriff auf andere Netze ermöglicht.

Unser Netzwerkteam benötigt externen Support von Herstellern, zum Beispiel für die Firewall, der über Videokonferenzen erfolgen muss.

Wir suchen nun nach Möglichkeiten, eine sichere Umgebung für alle IT-Teams einzuführen, sodass jedes Team seine Aufgaben erfüllen kann, aber das Admin-Netzwerk dennoch geschützt bleibt. Habt ihr Vorschläge?

Es wurde bereits der Vorschlag gemacht, auf einen zentralen Rechner, ein sogenanntes Admincenter, zuzugreifen und von dort aus auf die anderen Komponenten zuzugreifen. Allerdings sind wir uns bewusst, dass dies keine ideale Lösung ist. Daher sind wir offen für alternative Ideen und Expertenratschläge.

Vielen Dank im Voraus für eure Unterstützung!

Danti

Content-ID: 8014251647

Url: https://administrator.de/contentid/8014251647

Ausgedruckt am: 25.11.2024 um 22:11 Uhr

Dani
Dani 31.07.2023 um 22:48:28 Uhr
Goto Top
Moin,
Wir suchen nun nach Möglichkeiten, eine sichere Umgebung für alle IT-Teams einzuführen, sodass jedes Team seine Aufgaben erfüllen kann, aber das Admin-Netzwerk dennoch geschützt bleibt. Habt ihr Vorschläge?
Bitte die Suche benutzen. Wird hier monatlich diskutiert...

Daher sind wir offen für alternative Ideen und Expertenratschläge.
Für letzteres würde ich dir ein IT-Systemhaus ans Herz legen. Weil einfach so wird das niemand planen, abschätzen, ggf. umsetzen und dokumentieren. Denn mit einem simplen Jump-Hosts es heute nicht mehr getan. Das sollte schon ein ausgeklügeltes Konzept sein. Auch ein Befall solcher geschützten Umgebungen kann nicht ausgeschlossen werden und daher sind auch DR Konzepte oder ein wilder ITler als Szenarien zu berücksichtigen.


Gruß,
Dani
MirkoKR
MirkoKR 31.07.2023 um 23:12:50 Uhr
Goto Top
Hi.

Nun, grob gesagt klingt das für mich si, das euer Wunsch mit multiplen VLANs zusammen mit einer guten Firewall zum Ziel führen kann...

Server, Switche, Router sowie Clients und Admin-Netz in separate VLANs ...

... wie weit man Applikations-Server und DB-Server z.B. noch weiter absichert durch verschiedene VLANs ist Geschmacksache ...

Eine Firewall verhindert, das User-Clients administrative Tasks ausführen können - durch Filterung von Ports und Protokollen zwischen den VLANs ...

Die Trennung administrativer R
Tasks durch Admins könnte man über Jump-Hosts realisieren, wobei hier auch eine VM jeweils auf den Admin-PCs, die in einem administrativen VLAN arbeitet während der Host nur Zugriff im User-Client-VLAN hat ...

Mindestens natürlich nur administrative Aktivitäten mit RunAs ausführen ...
Vision2015
Vision2015 01.08.2023 um 08:01:28 Uhr
Goto Top
Moin...

deine Frage ist in etwa so, du rufst beim Doc an, und sagst, ich habe schmerzen, schauen sie mal hier face-smile
natürlich kannst du mit Firewall / VLANs usw. viel erreichen, aber ohne deine Netzwerk Umgebung gesehen zu haben,
wird das nix.
was für Sicherheits Hardware steht zur verfügung, wie ist euer Konzept, und was muss genau wie geschützt werden?
wie hoch ist euer Budget dafür?
Sicherheit besteht aus mehr als VLANs und Firewall!
ich würde dir raten, jemand Externen ins Haus zu Bestellen, der sich das mal anschaut, und entsprechend ein Konzept erstellt.

Frank
DerMaddin
DerMaddin 01.08.2023 um 08:20:36 Uhr
Goto Top
Ich schmeiß mal noch ein Buzzword mit rein "Network Access Control" (oder auch 802.1X). Damit kann regelbasiert der Zugriff von Geräten und Usern auf das Netzwerk erfolgen. Dies sichert dann auch evtl. "falsch" konfigurierte Switch-Ports, die ein "geschütztes" VLAN exponieren würden. Möglich wird das durch eine dynamische VLAN Zuordnung.
elix2k
elix2k 01.08.2023 um 09:01:54 Uhr
Goto Top
Setzt dich mit dem Tier-Modell auseinander.
www.msxfaq.de/windows/sicherheit/tier_012_security.htm
tech-flare
tech-flare 01.08.2023 aktualisiert um 09:20:31 Uhr
Goto Top
Hallo,

Tier Straegie für die Admins Account ( 3 Account für jeden) + Management VLAN usw.

Die Tier Strategie klingt am Anfang kompliziert, aber ist es letztendlich nicht und bringt einen enormen Sicherheitsgewinn.


Die Geräte müssen sich bei uns an den Edge Switches alle via Radius am NAC (Network Access Control) authentifizieren
Kelbur
Kelbur 01.08.2023 um 09:40:43 Uhr
Goto Top
Tier Strategie wurde ja schon gesagt dazu aber halt auch da ihr in 3 Teams arbeitet, die Admins möglich weit einschränken. Ein Server Admin braucht andere Berechtigungen als ein Netzwerk Admin und Domän Admin braucht man eh nur sehr selten.
Spirit-of-Eli
Spirit-of-Eli 01.08.2023 um 10:22:54 Uhr
Goto Top
Moin,

du solltest als erstes wirklich ein Konzept erarbeiten. Dabei kann dir ein DL sicher helfen.
Dabei sollte auch das Ziel genau definiert werden. Wir können hier wirklich viele Vorschläge machen, aber helfen wird dir das so nicht.

Solltest du keinen Anfang finden, empfehle ich dir eine Strukturierte Umgebung erstmal parallel aufzubauen und nach und nach zu überführen.
Bspw. kannst du, soweit dann vorhanden, die Clients aus deinem Prod Netz migrieren.

Gruß
Spirit
Visucius
Visucius 01.08.2023 aktualisiert um 12:14:31 Uhr
Goto Top
Naja, eine Aufteilung in vLANs ist doch erstmal recht problemlos zu bewerkstelligen. Da stellt sich vorwiegend die Frage, wie Du das strukturell trennst (nach Abteilungen, nach Gerätschaften, nach Zugriffsgruppen, usw. )

Damit passiert ja erstmal nix. Die Trennung mit ggfs. Schmerzen erfolgt dann ja erst mit Hilfe der Firewall zwischen diesen vLANs.

Je nachdem wie Du die vLANs erstellt hast (z.B. portbasiert) stellt sich anschließend die Frage, was passiert, wenn da andere (vor allem fremde) Gerätschaften dran hängen. D.h. Du überlegst Dir, auf welcher Basis diese vLAN-Zuteilung erfolgt z.B. Gerätebezogen (MAC-Adresse) oder (besser) Userbezogen (z.B. oben genanntes 802.1X), was ne DB nach sich zieht mit den Zuordnungen und die dann wohl sinnvoller Weise mit dem AD kommunizieren müsste.

Das sind doch alles Punkte, die hier häufig diskutiert werden, wo man viel aus dem Forum ziehen kann und die dann schon mal die 80% heben lassen. Dann kann man sich ggfs. fürs Feintuning immer noch jemanden reinholen. Wenn ich aber lese: IT Team, 3 Gruppen, ... sowas müsste doch aus dem "eigenen Saft" auch gelöst werden können?! Angeblich bilden sich ITler auch gerne weiter face-wink
O.Gensch
O.Gensch 01.08.2023 aktualisiert um 22:39:02 Uhr
Goto Top
Hallo,

der folgende Link soll dir lediglich nur als ein Beispiel und Angregung dienen. Es ist nur ein kleiner Teil von dem was du zu tun (vor)hast.
www.prosec-networks.com/blog/netztrennung-und-network-access-control/.

Wie schon meine Vorredner vorgeschlagen haben würde ich dir an Herz legen einen DL zu holen die IT-Sicherheit als Hautthema durcharbeiten.

Ich weis nicht wie groß das Unternehmen ist. Aber Stressig wird es dann wenn du jährlich eine IT-Prüfung zwecks der Wirtschaftsprüfung durchmachen musst, und dann noch den Bericht des PEN-Tests vorweisen musst (es wäre unangemessen wenn du dann vor der GF und dem Prüfen Antwort gestehen müsstest). Weiterhin wird es unangenehm wenn du noch jährlich auditiert wirst (jährlich re Zertifizieren und alle 3 Jahre komplett neues Audit)


LG