dieananas
Goto Top

Verzweifelte Suche nach einer optimalen Netzwerkkonfiguration (reine Windows-Domäne)

Gesucht ist eine optimale Netzwerkkonfiguration z für 2 Windows-Server, 40 Clients, zwei Kopierer, drei VLANs und zwei Gateways.

Hallo allerseits!

Ich musste mir die letzten Wochen den Kopf zerbrechen, wie ich ein bereits bestehendes und wunderbar laufendes Windows-Netzwerk um ein VLAN erweitern und zugleich das Netzwerk und die beiden Server so gut wie möglich absichern könnte.

Das Netzwerk besteht aus ca. 40 Clients, die z.Z. im selben VLAN und Subnet sitzen.

Darüberhinaus habe ich ein zusätzliches VLAN für zwei Multifunktionskopierer konfiguriert, da ich trotz teurer Druck-/Kopiermanagementlösung feststellen durfte, dass Druckaufträge vom Server ganz normal über den RAW-Port geschickt werden. Somit könnte ein "Angreifer" gratis und protokollfrei drucken. Die Kopiererfirmware unterstützt zwar einen MAC-Filter, aber ich hab mich nach zwei Wochen damit verhudelt, nachdem ich eine Netzwerkkarte ausgetauscht hab, außerdem sind MAC-Adressen bekanntlich einfach zu manipulieren.

Das neue VLAN soll 8 Clients von den anderen trennen, da diese öffentlich zugängliche Clients sind. Allerdings will ich sie weiterhin über die Windows-Domäne verwalten, da sie noch auf diverse Netzwerkfreigaben und dem Netzwerkdruckpool zugreifen müssen. In diesem VLAN werden später noch 6 Notebook-Arbeitsplätze hinzugeschaltet, die ebenfalls öffentlich zugänglich sind und auf die gleichen Netzwerkfreigaben und den Netzwerkdrucker zugreifen müssen.

Nun sitz ich da und grübel, wie ich so etwas lückenhaftes wie eine Windows-Domäne einigermaßen sicher konfigurieren soll. Einfach Ports sperren hilft nicht, gerade wenn die SMB-Ports offen bleiben müssen.

Im Augenblick läuft auf beiden Servern Windows Server 2003 Standard, beide als Domänencontroller eingerichtet. Auf dem "primäre" DC läuft nur Active Directory und DNS, auf dem sekundären läuft Tomcat und zwei weitere Java-basierte Serverdienste für das Druckmanagement. Zudem befinden sich dort die freigegebenen Dateien und die Druckerfreigabe, die von dieser Drucklösung verwaltet wird.

In einigen Wochen sollen die Server auf Windows Server 2008 Standard upgegradet werden. Meine Überlegung war, bei der Gelegenheit den sekundären DC stattdessen als Read-Only DC einzurichten, da dieser an drei VLANs sitzen muss und die Domäne dadurch besonders leicht angreifbar wird. Denn eine Änderung im Active Directory des sekundären DC wird sofort auf das primäre DC repliziert. Besonders fehlertolerant ist das nicht.

Ich kenne Windows Server erst seit 2000, hab aber bei meiner Recherche festgestellt, dass es in der Windows NT-Domänenstruktur Primary DC und Backup DC gab. Gerade die Struktur wäre eigentlich für meine Bedürfnisse ideal, denn bei einem Ausfall des primären DC könnte ich den BDC als PDC hochstufen.

Irgendjemand eine Idee? Einen dritten Server will ich nicht anschaffen, die beiden sind jetzt schon unterfordert.

(Ehrlich gesagt, wäre Samba nicht auf WinNT-Funktionalität beschränkt und wäre die blöde Drucklösung trotz Java nicht auf Windows angewiesen, könnte ich sorgenfrei alles auf einen Linux-Server klatschen.)


Gruß dieananas.


P.S.: Was ich noch vergessen hab: Im Netzwerk sitzen zwei Router, der eine sitzt an einer klassischen T-Online DSL-Anschluss, der andere an einem SDSL-Anschluss zum Uninetzwerk. Es handelt sich also um ein Hochschulnetzwerk einer kleinen HS. face-smile

Content-ID: 128182

Url: https://administrator.de/forum/verzweifelte-suche-nach-einer-optimalen-netzwerkkonfiguration-reine-windows-domaene-128182.html

Ausgedruckt am: 24.12.2024 um 16:12 Uhr

mattin
mattin 29.10.2009 um 08:41:19 Uhr
Goto Top
Hallo dieananas,

es gibt aus meiner Sicht mehrere Lösungsansätze. Vorab: Deine Ansprüche werden sich nicht allein mit der vorhandenen HW / SW umsetzen lassen. Es gibt aber aus meiner Sicht für geringes Geld (HS haben bekanntlich nicht viel davon) Möglichkeiten, "geschützten Verkehr" zu betreiben.

a) Bei den 8 Clients handelt es sich dabei vermutlich um Rechercheplätze. Heisst, sie wollen Dienste nutzen und stellen keine zur Verfügung. Da du MS-Clients hast, könntest du dafür eine SW wie z.B. "Sitekiosk" einsetzen, um nur das zuzulassen, was erlaubt sein soll. Wir haben dies selbst bereits in einer Medieneckke eingesetzt und hat sich überaus gut bewährt (da wären selbst Linuxianer begeistert face-smile). Für öffentliche Einrichtungen wie z.B. eine HS gibt es auch besondere Preise.

b) Einsatz von Stateful Inspection Engines. Sowohl CISCO als auch Watchguard bieten für Fälle wie Deinen ideale Lösungen mit ihren PIX bzw. Fireboxen. Dies sind sehr robuste Maschinen und sind bei ebay teils für einen zweistelligen Betrag zu ersteigern. Sie sind schnell und einfach konfigurierbar und haben den Vorteil, dass sich der Datenverkehr anschaulich mitlesen lässt.

Allgemeines:
- Selbst, wenn du ein eigenes VLAN für deine Clients erstellst, ACLs und MAC-Filter schreibst, bringt dich das nicht weiter. Die Rechner befinden sich in deinen LAN! Das VLAN bringt keine zusätzliche Sicherheit, denn die kommt erst durch die restlichen Maßnahmen.
- Nur der Vollständigkeit halber( da du den Punkt nicht hingeschrieben hast): Die Plätze müssen manipulationssicher aufgebaut werden. Heisst, es darf nicht möglich sein, etwas anderes an diesen Stellen anzuschliessen.

Auch wenn mein Lösungsansatz mit Arbeit verbunden ist hoffe ich, dir zumindest eine Alternative angeboten zu haben. Essentiell ist aber für mich der Irrtum zu glauben, durch ein neues VLAN eine Sicherheit zu erhalten.

Schönen Gruß, mattin
dieananas
dieananas 29.10.2009 um 22:23:52 Uhr
Goto Top
Hallo mattin,

Danke für die rasche Antwort.

Ich lese zum ersten Mal, dass VLANs keinen Sicherheitsgewinn bringen würden. Nicht nur im Internet, sondern auch in Fachbüchern wird empfohlen, dass man als allererstes Netzwerke durch VLAN isolieren soll. Auch das für das Uni-Netzwerk zuständige Rechenzentrum setzt stark auf VLANs, sie trennen sogar einzelne Computerräume voneinander (wir werden vom Rechenzentrum nicht betreut, da wir nicht über eine richtige Anbindung verfügen, deswegen auch der schnöde SDSL-VPN-Anschluss).

Um's auf den Punkt zu bringen: Die Plätze SIND manipulierfähig und da wird sich in naher Zukunft auch nichts ändern. Obendrein durfte ich nicht selten zusehen, wie ganz gewiefte meinen müssen, sie könnten die PCs abstecken und ihr Notebook dranstecken.

Die Clients sind keine reinen Rechercherechner, sie sind eher Internetrechner mit Office. Ich könnte zwar noch groß Softwaresperrlösungen einsetzen, aber die lassen sich ja schnell durch umstecken des Netzwerkkabels umgehen. Wenn die Notebookarbeitsplätze kommen, laufen jegliche softwareseitige Applikationen ad absurdum.

Von MAC-Filtern halte ich persönlich garnichts, ACLs bzw. RADIUS ist mit den Switchs nicht möglich (sind zwar HP ProCurve, aber das Modell mit dem rein statischen VLAN).

Zu den Stateful Inspection Engines: Können diese Dinger vor manipulierten SMB/CIFS-Paketen schützen?

Ich bin auf das zusätzliche VLAN gekommen, da ich geplant hab, dieses durch den Dienst Routing & RAS direkt zum T-DSL-Gateway zu routen...


Gruß dieananas.
mattin
mattin 02.11.2009 um 08:40:50 Uhr
Goto Top
Hi dieananas,

hier kommt noch mal alles in kürzerer Form, da ich eben rausgekickt wurde, als ich meinen Text abgeschickt habe.

Da du hier ein "multi-level-Problem" hast, schreibe ich zu den einzelnen Punkten etwas.

Manipulation der Plätze. Solange du den physischen Zugriff nicht unterbinden kannst, hat der Rest keinen Zweck. Da ihr eine HS seid, habt ihr bestimmt eine eigene Schreinerei. Schnapp dir mal den Meister und zeig ihm dein Problem. Vielleicht kann er dir was bauen. Bei der im letzten Kommentar beschriebenen SW kannst du sämtliche Zugriffe auf Anwendungen frei konfigurieren. Sie stellt dir nicht einfach einen Browser zur Verfügung.

SMB/CIFS von nicht zu überwachenden Rechnern auf dein Produktivnetz zuzulassen, halte ich für - vorsichtig ausgedrückt - bedenkenswert. Wofür die Freigaben notwendig sind, weiss ich nicht. Vielleicht lässt sich das aber anders lösen. Wenn es z.B. nur darum geht, indivduelle Daten auf eure Server zu laden oder von dort zu holen, kann man das auch über andere Dienste machen. Der Simpelste wäre z.B. über einen FTP-account.

Zu den (V)LANs: Subnetze bildest du, um aus einem Großraumbüro mehrere kleinere zu machen. Solange diese über Türen (Gateways) miteinander verbunden sind, hast du keine Daten- u. Manipulationssicherheit. Natürlich ist es auch hier sinnvoll, ein eigenes Subnetz zu bilden. Du strukturierst aber nur dein Netz und minderst die Auswirkungen bei technischen Problemen. In deinen Fachbüchern werden die Gründe stehen, Netze von einander zu trennen und auch der Aufwand, der für die einzelnen Gründe ensteht. Im Fall eurer Computerräume wird die Sicherheit im RZ hergestellt. Vermutlich können sich die Netze noch nicht einmal sehen, geschweige Daten austauschen.

Natürlich gibt es SPIs mit IDS/IPS-Modulen, um dein Netz vor Manipulation zu schützen. Der Markt ist unendlich groß dafür. Lade dir doch mal einen Berater von einem "unabhängigen" Systemhaus ein. Der kostet nichts und du hast mal Jemanden, der von aussen auf eure IT schaut.

Ich kenne dein Problem, aus dem Nichts solche Anforderungen erfüllen zu müssen. Bei deinen o.b. Rahmenbedingungen wird dir das nur mit sehr grossen Kompromissen gelingen. Vielleicht solltest du den IT-Verantwortlichen an das KonTraG und TKG erinnern. Hier kommt man sehr schnell in die persönliche Haftung.

Schönen Gruß, mattin