Sichere Einrichtung eines Admin-Netzwerks für IT-Teams
Hallo zusammen,
ich freue mich auf eure Vorschläge. Uns beschäftigt die Frage, wie wir am besten und einfachsten ein sicheres Admin-Netzwerk für unsere IT-Administratoren einführen können.
Unser Team besteht aus drei Gruppen - Netzwerk, Server und Support - und jedes Team hat spezifische Aufgaben im Hinblick auf Berechtigungen. Jeder Administrator verfügt über zwei AD-Konten: ein persönliches und ein administratives. Derzeit sind alle PCs im gleichen Netzwerk, was potenzielle Sicherheitsrisiken birgt, da es Vollzugriff auf andere Netze ermöglicht.
Unser Netzwerkteam benötigt externen Support von Herstellern, zum Beispiel für die Firewall, der über Videokonferenzen erfolgen muss.
Wir suchen nun nach Möglichkeiten, eine sichere Umgebung für alle IT-Teams einzuführen, sodass jedes Team seine Aufgaben erfüllen kann, aber das Admin-Netzwerk dennoch geschützt bleibt. Habt ihr Vorschläge?
Es wurde bereits der Vorschlag gemacht, auf einen zentralen Rechner, ein sogenanntes Admincenter, zuzugreifen und von dort aus auf die anderen Komponenten zuzugreifen. Allerdings sind wir uns bewusst, dass dies keine ideale Lösung ist. Daher sind wir offen für alternative Ideen und Expertenratschläge.
Vielen Dank im Voraus für eure Unterstützung!
Danti
ich freue mich auf eure Vorschläge. Uns beschäftigt die Frage, wie wir am besten und einfachsten ein sicheres Admin-Netzwerk für unsere IT-Administratoren einführen können.
Unser Team besteht aus drei Gruppen - Netzwerk, Server und Support - und jedes Team hat spezifische Aufgaben im Hinblick auf Berechtigungen. Jeder Administrator verfügt über zwei AD-Konten: ein persönliches und ein administratives. Derzeit sind alle PCs im gleichen Netzwerk, was potenzielle Sicherheitsrisiken birgt, da es Vollzugriff auf andere Netze ermöglicht.
Unser Netzwerkteam benötigt externen Support von Herstellern, zum Beispiel für die Firewall, der über Videokonferenzen erfolgen muss.
Wir suchen nun nach Möglichkeiten, eine sichere Umgebung für alle IT-Teams einzuführen, sodass jedes Team seine Aufgaben erfüllen kann, aber das Admin-Netzwerk dennoch geschützt bleibt. Habt ihr Vorschläge?
Es wurde bereits der Vorschlag gemacht, auf einen zentralen Rechner, ein sogenanntes Admincenter, zuzugreifen und von dort aus auf die anderen Komponenten zuzugreifen. Allerdings sind wir uns bewusst, dass dies keine ideale Lösung ist. Daher sind wir offen für alternative Ideen und Expertenratschläge.
Vielen Dank im Voraus für eure Unterstützung!
Danti
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 8014251647
Url: https://administrator.de/contentid/8014251647
Ausgedruckt am: 25.11.2024 um 22:11 Uhr
10 Kommentare
Neuester Kommentar
Moin,
Gruß,
Dani
Wir suchen nun nach Möglichkeiten, eine sichere Umgebung für alle IT-Teams einzuführen, sodass jedes Team seine Aufgaben erfüllen kann, aber das Admin-Netzwerk dennoch geschützt bleibt. Habt ihr Vorschläge?
Bitte die Suche benutzen. Wird hier monatlich diskutiert...Daher sind wir offen für alternative Ideen und Expertenratschläge.
Für letzteres würde ich dir ein IT-Systemhaus ans Herz legen. Weil einfach so wird das niemand planen, abschätzen, ggf. umsetzen und dokumentieren. Denn mit einem simplen Jump-Hosts es heute nicht mehr getan. Das sollte schon ein ausgeklügeltes Konzept sein. Auch ein Befall solcher geschützten Umgebungen kann nicht ausgeschlossen werden und daher sind auch DR Konzepte oder ein wilder ITler als Szenarien zu berücksichtigen.Gruß,
Dani
Hi.
Nun, grob gesagt klingt das für mich si, das euer Wunsch mit multiplen VLANs zusammen mit einer guten Firewall zum Ziel führen kann...
Server, Switche, Router sowie Clients und Admin-Netz in separate VLANs ...
... wie weit man Applikations-Server und DB-Server z.B. noch weiter absichert durch verschiedene VLANs ist Geschmacksache ...
Eine Firewall verhindert, das User-Clients administrative Tasks ausführen können - durch Filterung von Ports und Protokollen zwischen den VLANs ...
Die Trennung administrativer R
Tasks durch Admins könnte man über Jump-Hosts realisieren, wobei hier auch eine VM jeweils auf den Admin-PCs, die in einem administrativen VLAN arbeitet während der Host nur Zugriff im User-Client-VLAN hat ...
Mindestens natürlich nur administrative Aktivitäten mit RunAs ausführen ...
Nun, grob gesagt klingt das für mich si, das euer Wunsch mit multiplen VLANs zusammen mit einer guten Firewall zum Ziel führen kann...
Server, Switche, Router sowie Clients und Admin-Netz in separate VLANs ...
... wie weit man Applikations-Server und DB-Server z.B. noch weiter absichert durch verschiedene VLANs ist Geschmacksache ...
Eine Firewall verhindert, das User-Clients administrative Tasks ausführen können - durch Filterung von Ports und Protokollen zwischen den VLANs ...
Die Trennung administrativer R
Tasks durch Admins könnte man über Jump-Hosts realisieren, wobei hier auch eine VM jeweils auf den Admin-PCs, die in einem administrativen VLAN arbeitet während der Host nur Zugriff im User-Client-VLAN hat ...
Mindestens natürlich nur administrative Aktivitäten mit RunAs ausführen ...
Moin...
deine Frage ist in etwa so, du rufst beim Doc an, und sagst, ich habe schmerzen, schauen sie mal hier
natürlich kannst du mit Firewall / VLANs usw. viel erreichen, aber ohne deine Netzwerk Umgebung gesehen zu haben,
wird das nix.
was für Sicherheits Hardware steht zur verfügung, wie ist euer Konzept, und was muss genau wie geschützt werden?
wie hoch ist euer Budget dafür?
Sicherheit besteht aus mehr als VLANs und Firewall!
ich würde dir raten, jemand Externen ins Haus zu Bestellen, der sich das mal anschaut, und entsprechend ein Konzept erstellt.
Frank
deine Frage ist in etwa so, du rufst beim Doc an, und sagst, ich habe schmerzen, schauen sie mal hier
natürlich kannst du mit Firewall / VLANs usw. viel erreichen, aber ohne deine Netzwerk Umgebung gesehen zu haben,
wird das nix.
was für Sicherheits Hardware steht zur verfügung, wie ist euer Konzept, und was muss genau wie geschützt werden?
wie hoch ist euer Budget dafür?
Sicherheit besteht aus mehr als VLANs und Firewall!
ich würde dir raten, jemand Externen ins Haus zu Bestellen, der sich das mal anschaut, und entsprechend ein Konzept erstellt.
Frank
Ich schmeiß mal noch ein Buzzword mit rein "Network Access Control" (oder auch 802.1X). Damit kann regelbasiert der Zugriff von Geräten und Usern auf das Netzwerk erfolgen. Dies sichert dann auch evtl. "falsch" konfigurierte Switch-Ports, die ein "geschütztes" VLAN exponieren würden. Möglich wird das durch eine dynamische VLAN Zuordnung.
Setzt dich mit dem Tier-Modell auseinander.
www.msxfaq.de/windows/sicherheit/tier_012_security.htm
www.msxfaq.de/windows/sicherheit/tier_012_security.htm
Hallo,
Tier Straegie für die Admins Account ( 3 Account für jeden) + Management VLAN usw.
Die Tier Strategie klingt am Anfang kompliziert, aber ist es letztendlich nicht und bringt einen enormen Sicherheitsgewinn.
Die Geräte müssen sich bei uns an den Edge Switches alle via Radius am NAC (Network Access Control) authentifizieren
Tier Straegie für die Admins Account ( 3 Account für jeden) + Management VLAN usw.
Die Tier Strategie klingt am Anfang kompliziert, aber ist es letztendlich nicht und bringt einen enormen Sicherheitsgewinn.
Die Geräte müssen sich bei uns an den Edge Switches alle via Radius am NAC (Network Access Control) authentifizieren
Moin,
du solltest als erstes wirklich ein Konzept erarbeiten. Dabei kann dir ein DL sicher helfen.
Dabei sollte auch das Ziel genau definiert werden. Wir können hier wirklich viele Vorschläge machen, aber helfen wird dir das so nicht.
Solltest du keinen Anfang finden, empfehle ich dir eine Strukturierte Umgebung erstmal parallel aufzubauen und nach und nach zu überführen.
Bspw. kannst du, soweit dann vorhanden, die Clients aus deinem Prod Netz migrieren.
Gruß
Spirit
du solltest als erstes wirklich ein Konzept erarbeiten. Dabei kann dir ein DL sicher helfen.
Dabei sollte auch das Ziel genau definiert werden. Wir können hier wirklich viele Vorschläge machen, aber helfen wird dir das so nicht.
Solltest du keinen Anfang finden, empfehle ich dir eine Strukturierte Umgebung erstmal parallel aufzubauen und nach und nach zu überführen.
Bspw. kannst du, soweit dann vorhanden, die Clients aus deinem Prod Netz migrieren.
Gruß
Spirit
Naja, eine Aufteilung in vLANs ist doch erstmal recht problemlos zu bewerkstelligen. Da stellt sich vorwiegend die Frage, wie Du das strukturell trennst (nach Abteilungen, nach Gerätschaften, nach Zugriffsgruppen, usw. )
Damit passiert ja erstmal nix. Die Trennung mit ggfs. Schmerzen erfolgt dann ja erst mit Hilfe der Firewall zwischen diesen vLANs.
Je nachdem wie Du die vLANs erstellt hast (z.B. portbasiert) stellt sich anschließend die Frage, was passiert, wenn da andere (vor allem fremde) Gerätschaften dran hängen. D.h. Du überlegst Dir, auf welcher Basis diese vLAN-Zuteilung erfolgt z.B. Gerätebezogen (MAC-Adresse) oder (besser) Userbezogen (z.B. oben genanntes 802.1X), was ne DB nach sich zieht mit den Zuordnungen und die dann wohl sinnvoller Weise mit dem AD kommunizieren müsste.
Das sind doch alles Punkte, die hier häufig diskutiert werden, wo man viel aus dem Forum ziehen kann und die dann schon mal die 80% heben lassen. Dann kann man sich ggfs. fürs Feintuning immer noch jemanden reinholen. Wenn ich aber lese: IT Team, 3 Gruppen, ... sowas müsste doch aus dem "eigenen Saft" auch gelöst werden können?! Angeblich bilden sich ITler auch gerne weiter
Damit passiert ja erstmal nix. Die Trennung mit ggfs. Schmerzen erfolgt dann ja erst mit Hilfe der Firewall zwischen diesen vLANs.
Je nachdem wie Du die vLANs erstellt hast (z.B. portbasiert) stellt sich anschließend die Frage, was passiert, wenn da andere (vor allem fremde) Gerätschaften dran hängen. D.h. Du überlegst Dir, auf welcher Basis diese vLAN-Zuteilung erfolgt z.B. Gerätebezogen (MAC-Adresse) oder (besser) Userbezogen (z.B. oben genanntes 802.1X), was ne DB nach sich zieht mit den Zuordnungen und die dann wohl sinnvoller Weise mit dem AD kommunizieren müsste.
Das sind doch alles Punkte, die hier häufig diskutiert werden, wo man viel aus dem Forum ziehen kann und die dann schon mal die 80% heben lassen. Dann kann man sich ggfs. fürs Feintuning immer noch jemanden reinholen. Wenn ich aber lese: IT Team, 3 Gruppen, ... sowas müsste doch aus dem "eigenen Saft" auch gelöst werden können?! Angeblich bilden sich ITler auch gerne weiter
Hallo,
der folgende Link soll dir lediglich nur als ein Beispiel und Angregung dienen. Es ist nur ein kleiner Teil von dem was du zu tun (vor)hast.
www.prosec-networks.com/blog/netztrennung-und-network-access-control/.
Wie schon meine Vorredner vorgeschlagen haben würde ich dir an Herz legen einen DL zu holen die IT-Sicherheit als Hautthema durcharbeiten.
Ich weis nicht wie groß das Unternehmen ist. Aber Stressig wird es dann wenn du jährlich eine IT-Prüfung zwecks der Wirtschaftsprüfung durchmachen musst, und dann noch den Bericht des PEN-Tests vorweisen musst (es wäre unangemessen wenn du dann vor der GF und dem Prüfen Antwort gestehen müsstest). Weiterhin wird es unangenehm wenn du noch jährlich auditiert wirst (jährlich re Zertifizieren und alle 3 Jahre komplett neues Audit)
LG
der folgende Link soll dir lediglich nur als ein Beispiel und Angregung dienen. Es ist nur ein kleiner Teil von dem was du zu tun (vor)hast.
www.prosec-networks.com/blog/netztrennung-und-network-access-control/.
Wie schon meine Vorredner vorgeschlagen haben würde ich dir an Herz legen einen DL zu holen die IT-Sicherheit als Hautthema durcharbeiten.
Ich weis nicht wie groß das Unternehmen ist. Aber Stressig wird es dann wenn du jährlich eine IT-Prüfung zwecks der Wirtschaftsprüfung durchmachen musst, und dann noch den Bericht des PEN-Tests vorweisen musst (es wäre unangemessen wenn du dann vor der GF und dem Prüfen Antwort gestehen müsstest). Weiterhin wird es unangenehm wenn du noch jährlich auditiert wirst (jährlich re Zertifizieren und alle 3 Jahre komplett neues Audit)
LG