bluusky
Goto Top

Überarbeitung eines bestehenden Netzwerkes

Hallo zusammen,

hier sind ein paar Informationen, bevor ich meine Fragen stelle:

- Das ist mein erster Beitrag hier, also weist mich gerne darauf hin, falls ich irgendetwas falsch mache.
- Ich bin kein IT-Spezialist, sondern eher ein IT-Allrounder.
- Meine praktische Erfahrung als Systemadministrator erstreckt sich momentan über etwa ein Jahr

Zu unserem Unternehmen:

- Ich arbeite in einer Bildungseinrichtung, in der verschiedene Kurse angeboten werden.
- Wir verfügen über ein ESX System (VM-Ware, zwei Hosts), das per Veeam auf einem Backup-Server gesichert wird.
- Die Kursteilnehmer sind manchmal nur einige Tage hier und manchmal auch Monate.
- Festangestellte Mitarbeiter sind in einer Domäne und können auf Netzwerkfreigaben und Netzwerkdrucker zugreifen.
- Auch Kursteilnehmer, die sich ebenfalls (mit gleichbleibenden Zugangsdaten) an der Domäne anmelden, können auf Netzwerkfreigaben zugreifen.
- Teilweise gibt es eigene, unabhängige Netzwerke inklusive Server (kein Backup, keine Redundanz) und Domäne in einzelnen Kursräumen (Inselnetzwerke mit Internetzugang).

Meine Fragen:

- Wie kann ich in so einer Art Netzwerk die IT-Sicherheit gewährleisten? Ich bin ein bisschen unsicher, weil in dem Moment, in dem ein Teilnehmer und ein Angestellter auf die gleiche Freigabe zugreifen können, eine Schadsoftware auch einen Weg finden kann, oder?
- Ist es sinnvoll, dass die User auf den gleichen Fileserver wie die Angestellten zugreifen können (auch wenn es unterschiedliche Freigaben sind)?
- Welche Fragen muss ich mir stellen bzw. euch beantworten, um dieses Netzwerk aufzuräumen bzw. neu zu strukturieren?

Wo ich anfangen kann:

Die Clients in einem Kursraum, der eine eigene Domäne und einen eigenen Server (kein Backup, keine Redundanz) hat, sollen ausgetauscht werden. Wie kann ich hier möglichst sinnvoll vorgehen?

Vielen Dank im Voraus für eure Hilfe!

Michael face-smile

Content-Key: 93101011824

Url: https://administrator.de/contentid/93101011824

Printed on: February 29, 2024 at 22:02 o'clock

Member: erikro
erikro Dec 07, 2023 at 10:53:42 (UTC)
Goto Top
Moin,

ich war selbst ca. 25 Jahre für verschiedene Schulungsunternehmen als Dozent und freiberuflicher Admin tätig.

Zitat von @bluusky:
- Festangestellte Mitarbeiter sind in einer Domäne und können auf Netzwerkfreigaben und Netzwerkdrucker zugreifen.
- Auch Kursteilnehmer, die sich ebenfalls (mit gleichbleibenden Zugangsdaten) an der Domäne anmelden, können auf Netzwerkfreigaben zugreifen.

Das ist hoffentlich nicht dieselbe Domain. Das ist nämlich verboten (Trennungsgebot). Schulungsnetz und Verwaltungsnetz müssen physisch voneinander getrennt sein und ein Zugriff von einem auf das andere Netz darf nicht möglich sein. Das lässt sich über VLANs realisieren.

Gleichbleibende Zugangsdaten sind auch eher kritisch anzusehen (Datenschutz). Besser wäre es für jeden TN einen eigenen User einzurichten und diesen dann nach dem Kurs komplett wieder aus dem System zu entfernen. Sowas lässt sich ohne viel Aufwand per Skript automatisieren.

- Teilweise gibt es eigene, unabhängige Netzwerke inklusive Server (kein Backup, keine Redundanz) und Domäne in einzelnen Kursräumen (Inselnetzwerke mit Internetzugang).

So sollte das bei allen Kursrechnern sein. Wobei das natürlich auch ein großes Netz für alle Räume sein kann.

- Wie kann ich in so einer Art Netzwerk die IT-Sicherheit gewährleisten? Ich bin ein bisschen unsicher, weil in dem Moment, in dem ein Teilnehmer und ein Angestellter auf die gleiche Freigabe zugreifen können, eine Schadsoftware auch einen Weg finden kann, oder?

Einer der Gründe, warum das verboten ist.

- Ist es sinnvoll, dass die User auf den gleichen Fileserver wie die Angestellten zugreifen können (auch wenn es unterschiedliche Freigaben sind)?

Nein.

- Welche Fragen muss ich mir stellen bzw. euch beantworten, um dieses Netzwerk aufzuräumen bzw. neu zu strukturieren?

Alle. face-wink

Wo ich anfangen kann:

Die Clients in einem Kursraum, der eine eigene Domäne und einen eigenen Server (kein Backup, keine Redundanz) hat, sollen ausgetauscht werden. Wie kann ich hier möglichst sinnvoll vorgehen?

Bestand aufnehmen. Bedarf evaluieren. Markt beobachten und dann günstig kaufen. Mehr kann ich dazu nicht sagen, ohne zu wissen, was denn da für wen geschult werden soll.

Liebe Grüße

Erik
Member: bluusky
bluusky Dec 08, 2023 at 07:32:30 (UTC)
Goto Top
Hi Erik,

tausend Dank für deine ausführliche Antwort! <3

Ich kommentiere einfach mal chronologisch:

Das ist hoffentlich nicht dieselbe Domain. Das ist nämlich verboten (Trennungsgebot). Schulungsnetz und Verwaltungsnetz müssen physisch voneinander getrennt sein und ein Zugriff von einem auf das andere Netz darf nicht möglich sein. Das lässt sich über VLANs realisieren.
Doch, in einem Fall ist es schon so (vor meiner Zeit konfiguriert) und ich habe eben irgendwie ein schlechtes Bauchgefühl, das so in der Breite zu konfigurieren. Kannst du mir eine Quelle für dieses Trennungsgebot nennen? Das würde mir in der Argumentation nach oben helfen.

Gleichbleibende Zugangsdaten sind auch eher kritisch anzusehen (Datenschutz). Besser wäre es für jeden TN einen eigenen User einzurichten und diesen dann nach dem Kurs komplett wieder aus dem System zu entfernen. Sowas lässt sich ohne viel Aufwand per Skript automatisieren.
Kannst du das etwas genauer erklären? Wie würde ich die Zugangsdaten an die User verteilen?

- Teilweise gibt es eigene, unabhängige Netzwerke inklusive Server (kein Backup, keine Redundanz) und Domäne in einzelnen Kursräumen (Inselnetzwerke mit Internetzugang).
So sollte das bei allen Kursrechnern sein. Wobei das natürlich auch ein großes Netz für alle Räume sein kann.
Wie kann ich den Server hierfür abbilden? Darf der auf dem gleichen ESX wie unser Verwaltungs-FS laufen? Wenn ich dich richtig verstanden habe, ist ja nur wichtig, dass die VLANs keinerlei Verbindung untereinander haben, oder?

- Ist es sinnvoll, dass die User auf den gleichen Fileserver wie die Angestellten zugreifen können (auch wenn es unterschiedliche Freigaben sind)?
Nein.
Wie kann ich es den Ausbildern dann ermöglichen, die Daten auf dem Teilnehmer-FS zu verwalten? Separate Rechner? Und muss ich den Rechnern feste IPs zuweisen, sodass sie den Client nicht einfach an einen Port des jeweils anderen VLANs anschließen können?

Bestand aufnehmen. Bedarf evaluieren. Markt beobachten und dann günstig kaufen. Mehr kann ich dazu nicht sagen, ohne zu wissen, was denn da für wen geschult werden soll.
Die Hardware ist schon vorhanden. Es geht mir darum, das Netzwerk Schritt für Schritt besser zu machen. Also keine unsicheren oder unerlaubten Strukturen aufbaue.

Liebe Grüße

Michael face-smile
Member: erikro
erikro Dec 08, 2023 at 08:52:26 (UTC)
Goto Top
Moin,

Zitat von @bluusky:
Doch, in einem Fall ist es schon so (vor meiner Zeit konfiguriert) und ich habe eben irgendwie ein schlechtes Bauchgefühl, das so in der Breite zu konfigurieren. Kannst du mir eine Quelle für dieses Trennungsgebot nennen? Das würde mir in der Argumentation nach oben helfen.

Das Trennungsgebot ist eine Forderung des Datenschutzes. Früher war das §9 BDSG. Das steht auch irgendwo in der DSGVO. Kurz gesagt: Daten, die für verschiedene Zwecke erhoben werden, müssen auch getrennt verarbeitet werden.


Gleichbleibende Zugangsdaten sind auch eher kritisch anzusehen (Datenschutz). Besser wäre es für jeden TN einen eigenen User einzurichten und diesen dann nach dem Kurs komplett wieder aus dem System zu entfernen. Sowas lässt sich ohne viel Aufwand per Skript automatisieren.
Kannst du das etwas genauer erklären? Wie würde ich die Zugangsdaten an die User verteilen?

Zu Kursbeginn erhält jeder ein Zettelchen mit Username und Passwort vom Dozenten. face-wink Wie man User mittels Skript aus einer CSV erzeugt, findest Du millionenfach im Netz. Grober Workflow:

Verwaltung stellt der IT eine CSV mit Namen der TN und Kursnummer/-art zur Verfügung.
IT erstellt mittels PS-Skript eine entsprechende OU und darin die entsprechenden User mit Ablaufdatum "Kursende".
Username und PW werden ausgedruckt (auch Teil des Skripts) und am ersten Tag verteilt.

BTW: Wir haben die TN immer schriftlich mitgeteilt, dass evtl. auf dem System gespeicherte Daten nach Kursende gelöscht werden und dass keine Garantie übernommen wird, dass Dateien, die mitgenommen werden, virenfrei sind.

- Ist es sinnvoll, dass die User auf den gleichen Fileserver wie die Angestellten zugreifen können (auch wenn es unterschiedliche Freigaben sind)?
Nein.
Wie kann ich es den Ausbildern dann ermöglichen, die Daten auf dem Teilnehmer-FS zu verwalten? Separate Rechner? Und muss ich den Rechnern feste IPs zuweisen, sodass sie den Client nicht einfach an einen Port des jeweils anderen VLANs anschließen können?

Die Dozenten bekommen natürlich einen festen Account im Schulungsnetz mit entsprechenden Rechten. Wenn nun ein Festangestellter auch die Rolle eines Dozenten übernehmen kann, dann gibt es halt auf beiden Systemen Rechte. Wie das konkret realisiert werden kann, hängt von den Bedürfnissen ab. Denkbar wäre z. B. ein Hop-Server, mit dem man sich mit dem Schulungsnetz aus dem Verwaltungsnetz heraus verbinden kann. Oder eben zwei PCs am Arbeitsplatz. Oder, oder, oder ... face-wink

Liebe Grüße

Erik