Windows und Mac Netzwerk trennen - nötig?
Hallo zusammen,
bei dem Aufbau eines neuen Firmennetzwerks ist von einem externen Dienstleister bis jetzt geplant gewesen Windows und Mac im Netzwerk aus Sicherheitsgründen zu trennen.
Zusätzlich soll auch noch das VOIP Netz getrennt werden.
Konfiguration ist folgende:
Firewall:
- 2x PFSense (Master / Slave)
Switch nach der Firewall:
- 2x Netgear GS748T-500EUS (für Mac und Windows Netz)
- 1x Juniper EX 2200 POE (für VOIP Telefone SNOM)
Es gibt also folgende Netze in der Planung:
- Mac
- Windows
- VOIP
Ich halte so eine Trennung allerdings für unnötig und dass Windows und Mac Clients nicht getrennt werden müssen aus Sicherheitstechnischen Gründen. Hauptargument des Dienstleisters ist dass die Mac Rechner nicht mit den Windows Rechner kommunizieren dürfen, weil die Windows Rechner unsicher sind und bei einem Angriff der Rechner so nicht auf den Mac zugreifen kann.
Gibt es eine Best Practice oder sollte man Windows und Mac und VOIP wirklich trennen?
Dass man VOIP aus Gründen der gesicherten Bandbreite trennt ist ok, allerdings werden wir sowieso auf VOIP direkt am Client umstellen.
Vielen Dank,
Gruß
David
bei dem Aufbau eines neuen Firmennetzwerks ist von einem externen Dienstleister bis jetzt geplant gewesen Windows und Mac im Netzwerk aus Sicherheitsgründen zu trennen.
Zusätzlich soll auch noch das VOIP Netz getrennt werden.
Konfiguration ist folgende:
Firewall:
- 2x PFSense (Master / Slave)
Switch nach der Firewall:
- 2x Netgear GS748T-500EUS (für Mac und Windows Netz)
- 1x Juniper EX 2200 POE (für VOIP Telefone SNOM)
Es gibt also folgende Netze in der Planung:
- Mac
- Windows
- VOIP
Ich halte so eine Trennung allerdings für unnötig und dass Windows und Mac Clients nicht getrennt werden müssen aus Sicherheitstechnischen Gründen. Hauptargument des Dienstleisters ist dass die Mac Rechner nicht mit den Windows Rechner kommunizieren dürfen, weil die Windows Rechner unsicher sind und bei einem Angriff der Rechner so nicht auf den Mac zugreifen kann.
Gibt es eine Best Practice oder sollte man Windows und Mac und VOIP wirklich trennen?
Dass man VOIP aus Gründen der gesicherten Bandbreite trennt ist ok, allerdings werden wir sowieso auf VOIP direkt am Client umstellen.
Vielen Dank,
Gruß
David
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 274701
Url: https://administrator.de/contentid/274701
Ausgedruckt am: 25.11.2024 um 06:11 Uhr
10 Kommentare
Neuester Kommentar
Zitat von @eyetSolutions:
Ich halte so eine Trennung allerdings für unnötig und dass Windows und Mac Clients nicht getrennt werden müssen aus
Sicherheitstechnischen Gründen. Hauptargument des Dienstleisters ist dass die Mac Rechner nicht mit den Windows Rechner
kommunizieren dürfen, weil die Windows Rechner unsicher sind und bei einem Angriff der Rechner so nicht auf den Mac zugreifen
kann.
Ich halte so eine Trennung allerdings für unnötig und dass Windows und Mac Clients nicht getrennt werden müssen aus
Sicherheitstechnischen Gründen. Hauptargument des Dienstleisters ist dass die Mac Rechner nicht mit den Windows Rechner
kommunizieren dürfen, weil die Windows Rechner unsicher sind und bei einem Angriff der Rechner so nicht auf den Mac zugreifen
kann.
Wechsel den Dienstleister. Er muß schon sehr genau begründen, warum Macs so viel sicherer sein sollen Windows-Rechner. Die sind nämlich genauso löchrig, mindestens wie Schweizer Käse.
Gibt es eine Best Practice oder sollte man Windows und Mac und VOIP wirklich trennen?
VOIP sollte (fast) immer getrennt sein. damit verhindert man ein Mithören/-schneiden von Gesprächen durch PCs oder ein Infiltrieren des PC-Netzwerks durch die Hintertür VOIP-Geräte.
Ansonsten trennt man nicht zwishen MAC und Windows, sondern eher nach organisatorischen und datenschutzrechtlichen Anforderungen.
Also: Wechsel den Dienstleister und such Dir jemand, der sein Handwerk versteht.
lks
PS:
Und was macht der Dienstleister mit Macs, auf denen Bootcamp installiert ist.
Hallo,
VoIP in ein eigenes VLAN/echtes LAN zu stecken macht allein schon deswgen sinn, damit die Daten nicht einfach itgeschnitten werden können (also sicherheitsaspeckt)
Selbst wenn ihr auf den Clients Softphones einsetzen wollt, spricht nichts gegen eine Trennung.
VoIP muss im Netz auf gleicher Hardware dann auch priorisiert werden oder hat ein eigenes Hardwarenetz.
(Ist halt blöd wenn der Zugriff auf den Fileserver das Telefon zum stottern bringt - )
Macs und Windows trennen wenn alles Firmenrechner sind, wozu?
Gruß
Chonta
VoIP in ein eigenes VLAN/echtes LAN zu stecken macht allein schon deswgen sinn, damit die Daten nicht einfach itgeschnitten werden können (also sicherheitsaspeckt)
Selbst wenn ihr auf den Clients Softphones einsetzen wollt, spricht nichts gegen eine Trennung.
VoIP muss im Netz auf gleicher Hardware dann auch priorisiert werden oder hat ein eigenes Hardwarenetz.
(Ist halt blöd wenn der Zugriff auf den Fileserver das Telefon zum stottern bringt - )
Macs und Windows trennen wenn alles Firmenrechner sind, wozu?
Gruß
Chonta
Zitat von @eyetSolutions:
Aktuell ist es nämlich so dass die Clients über das SNOM VOIP Telefon "weiter gepatched" werden. Also
müsste ich bei der Trennung der VOIP Telefone und Clients jeweils 2 Netzwerkdosen benutzen.
Alledings verstehe ich noch nicht so recht wie ich dann VOIP extra absichern kann, wenn ich ja VOIP über den Rechner selbst
benutze?
Reicht es wenn ich auf der Firewall Einstellungen vornehme die die Zieladresse des VOIP Servers extra durch Firewall Regeln
schützt? Weil eigentlich geht er ja dann über die selbe IP Adresse raus wie der Client?
Moin,Aktuell ist es nämlich so dass die Clients über das SNOM VOIP Telefon "weiter gepatched" werden. Also
müsste ich bei der Trennung der VOIP Telefone und Clients jeweils 2 Netzwerkdosen benutzen.
Alledings verstehe ich noch nicht so recht wie ich dann VOIP extra absichern kann, wenn ich ja VOIP über den Rechner selbst
benutze?
Reicht es wenn ich auf der Firewall Einstellungen vornehme die die Zieladresse des VOIP Servers extra durch Firewall Regeln
schützt? Weil eigentlich geht er ja dann über die selbe IP Adresse raus wie der Client?
du machst dir das viel zu kompliziert.
Bevor du dir 2 Switches holst, hol dir lieber einen Cisco SG300 oder SG200 mit der entsprechenden Anzahl an Ports sowie POE.
Danach erstellst du einfach auf der PfSense und dem Switch 2 VLANs und packst in das eine VLAN untagged deine Clients und in das andere tagged deine VOIP Telefone.
Somit hast du eine Layer 2 Trennung und die Kommunikation zwischen den VLANs kannst du dann bequem in der FW einstellen.
Aber an deiner Stelle würde ich mal hinterfragen ob dein Dienstleister der richtige ist bei solchen Empfehlungen.
Hab hier leider schon einige Pfuscher erlebt...
VG
Val
Also müsste ich bei der Trennung der VOIP Telefone und Clients jeweils 2 Netzwerkdosen benutzen.
Nein, das ist Blödsinn ! Die VoIP Telefone haben immer einen kleinen embedded Switch meist mit 2 oder 3 Ports.Der Uplink Port auf dem Switch ist dann tagged und beinhaltet das VoIP Netz und das PC Netz, so das beides über eine Leitung geht. 2 Kabel zu patchen ist also völliger Unsinn.
Das .1q Tagging beinhaltet gleich auch .1p Priority für die VoIP Telefone so das deren Traffic damit gleichzeitig in der Netzinfrastruktur priorisiert wird.
So macht das alles einen Sinn !
Thema Winblows und Mac:
Um wieviele Winblows und wieviel Mac Rechner reden wir denn hier 10 ? pder 100 oder 1000 ?
Bei 10 ist so einen Trennung sicher witzlos. Auch wenn man dem Kollegen LKS etwas wiedersprechen muss das auf die Masse der Angriffe gesehen her OS-X erheblich immuner ist als Windows.
Eine Trennung macht dann Sinn zur Sicherung der Performance. Wenn man davon ausgeht das man so als goldenen Regel max. so um die 150 Endgeräte in einer Layer 2 Broadcast Domain (VLAN) haben sollte würde einen Trennung dann Sinn machen wenn wir hier von 200 oder 500 Endgeräten reden.
Ist das nicht der Fall macht es mehr Sinn nach Funktion zu trennen bzw. zu segmentieren, wie Clients (egal ob Win oder Mac), Server, Drucker, Voice (Telefonie), Internetanbindung.
Zitat von @aqui:
Auch wenn man dem Kollegen LKS etwas wiedersprechen muss das auf die Masse der
Angriffe gesehen her OS-X erheblich immuner ist als Windows.
Auch wenn man dem Kollegen LKS etwas wiedersprechen muss das auf die Masse der
Angriffe gesehen her OS-X erheblich immuner ist als Windows.
Die Masse der Angriffe richtet sich gegen Windows-System, da hast Du recht, aber deswegen davon auszugegehn, daß man mit MacOS sicherer ist, ist nur ein Trugschluß. Es sind genug exploits im Umlauf, mit denen man auch Macs infiltrieren kann.
Mehr Sicherheit gewinnt man nciht durch trennen der Mac und windows-netze, sondern eher durch Sensibilisierugn der Mitarbeiter und organisatorische Maßnahmen.
Wie dem auch sei. Jedenfalls ies es eien Schnappsidee, nur deswegen die MacOS udn Windows-rechner zu trennen.
lks
Kannst du das nochmal genauer erklären?
Gerne...guckst du hier, Kapitel "Funktionsweise":https://de.wikipedia.org/wiki/IEEE_802.1Q
bzw. hier
https://de.wikipedia.org/wiki/IEEE_802.1p
Thema PCP...das erklärt das genau. Layer 2 Priority das immer von VoIP Geräten benutzt wird um Voice zu priorisieren im Netz.
Es handelt sich eben nur um 6 Mac Clients
Da ist in der Tat eine Trennung völliger Blödsinn !