enrixk
Goto Top

Zwickmühle bei Netzwerkplanung

Hallo,

im Unternehmen A gibt es die Abteilungen Marketin, Einkauf, Vertrieb. Die MitarbeiterInnen der einzelnen Abteilungen arbeiten auf servergespeicherten Windows-Profilen. Die Heimatverzeichnisse werden über eine Ordnerumleitung auf einem Fileserver abgelegt. Ein Domain-Controller verwaltet die Zugriffsberechtigungen. Abteilungsinterne Freigaben sind über SMB vorhanden. Alle Abteilungen und auch die Server befinden sich in einem gemeinsamen Netz.

Nun sollen aus Sicherheitsgründen die drei Abteilungen voneinander abgeschirmt und einzelnen VLANs zugewiesen werden.

Würdet ihr ...

a) die Server in ein eigenes VLAN stecken und den Zugriff auf Dienste wie LDAP, SMB etc. über Firewall-Regeln steuern, oder
b) jeder Abteilung einen separaten Fileserver und Domain-Controller im jeweiligen VLAN spendieren.

Für mich macht a) in punkto Sicherheit nicht besonders viel Sinn, weil ja nach wie vor alle Abteilungen auf denselben Fileserver zugreifen. Gäbe es einen kompromitierten Benutzer mit weitreichenden Zugriffsberechtigungen wäre der Schaden groß.
Aber auch b) ist für mich nicht gerade eine optimale Lösung, weil pro Abteilungen mindestens zwei neue Server angeschaft und verwaltet werden werden müssen.

Content-Key: 1338069032

Url: https://administrator.de/contentid/1338069032

Printed on: March 27, 2023 at 18:03 o'clock

Member: nEmEsIs
nEmEsIs Oct 03, 2021 at 05:35:00 (UTC)
Goto Top
Hi

Ist das eine Hausaufgabe ?

Definiere mal "Sicherheitsgründen"?

Mit freundlichen Grüßen Nemesis
Member: JoeDevlin
JoeDevlin Oct 03, 2021 at 05:40:51 (UTC)
Goto Top
Also Variante b) würde ich nicht wählen, wenn das Argument einzig die Sicherheit ist.

Grundsätzlich kannst du mit entsprechenden NTFS-Berechtigungen die Abteilungen auf Dateisystembasis auf einem Fileserver sauber voneinander trennen. Im Falle von Ransomware würden nur die jeweiligen berechtigen Daten je Anwender betroffen sein. Alternativ, wenn das wirklich erforderlich ist, kannst du drei Fileserver installieren und den Zugriff je VLAN steuern. Das macht aber natürlich nur Sinn, wenn auf den Server wirklich nur abteilungsintern zugegriffen wird.
Member: Enrixk
Enrixk Oct 03, 2021 updated at 05:52:07 (UTC)
Goto Top
Mit Sicherheitsgründen meine ich folgendes: In jeder Abteilung gibt es Benutzer, die umfangreichere Zugriffsberechtigungen haben als andere wie z. B. der Abteilungsleiter. Dieser könnte z. B. Schreib und Lesezugriff auf alle abteilungsinternen Ordnerfreigaben haben. Würde sein Gerät kompromittiert, wäre der Schaden vermutlich sehr groß.

Mich schreckt es ein bisschen ab, wenn ich daran denke, jeder Abteilung einen eigenen Domain-Controller und Fileserver zu spendieren. Der Verwaltungsaufwand wäre ja enorm hoch.

Hintergrund der Frage ist keine Hausaufgabe. Ich habe aber aber Unterlagen im Rahmen meiner Umschulung bekommen, in denen steht, dass VLANs leicht zu verwalten sind und die Sicherheit erhöhen.

In Punkto Sicherheit habe ich allerdings hier im Forum schon eine Frage gestellt, die hinreichend diskutiert worden ist.
Member: StefanKittel
StefanKittel Oct 03, 2021 updated at 05:51:37 (UTC)
Goto Top
Moin,

das ist eine Prinzipfrage.

Wenn Du zentraler Du IT designst ergeben sich folgende Punkte:
- Die Gesamtsicherheit steigt
- Aber wenn ein Hacker sich einschleicht verlierst Du das ganze Netzwerk.
- VLAN verhindert, dass gehackte Computer auf andere Computer überspringen können

Wenn Du die Netzwerke vollständig trennst ergeben sich folgende Punkte:
- Erhöhter Aufwand bei der Verwaltung
- Erhöhte Sicherheit
- Erhöhte Kosten

Dein B wird selten eingesetzt.

Stefan
Member: JoeDevlin
JoeDevlin Oct 03, 2021 at 05:52:15 (UTC)
Goto Top
Zitat von @Enrixk:
Dieser könnte z. B. Schreib und Lesezugriff auf alle abteilungsinternen Ordnerfreigaben haben. Würde sein Gerät kompromittiert, wäre der Schaden vermutlich sehr groß.

Was würde sich durch einen eigenen DC und Fileserver ändern?
Mitglied: 148656
148656 Oct 03, 2021 updated at 06:49:40 (UTC)
Goto Top
Ey Kramba, warum einfach wenn's auch kompliziert geht? face-big-smile
Das Eine, hat mit dem anderen nix am Hut. An der Stelle, zumindest. Alles in Allem, gehört es Zueinander face-wink Weil Sie sich ergänzen. Gerade Heute.

Du hast mein Wochenende zurückgesetzt.
Schönen Feiertag (Tag der Deutschen Einheit 2021) face-smile

C.C.
Member: MysticFoxDE
Solution MysticFoxDE Oct 03, 2021 at 07:32:42 (UTC)
Goto Top
Moin Enrixk,

... in denen steht, dass VLANs leicht zu verwalten sind und die Sicherheit erhöhen.

Der ist echt gut. ­čśé­čĄú­čśé­čĄú

Zu der ursprünglichen Frage, A und nur A.
B ist innerhalb derselben Organisation ein absoluter Blödsinn.

Beste Grüsse aus BaWü

Alex
Member: Enrixk
Enrixk Oct 03, 2021 at 07:43:16 (UTC)
Goto Top
Vielleicht muss ich meine Frage anders stellen.

Könnte man nicht - wenn es ausschließlich um Sicherheit geht - auch gleich auf VLANs verzichten, weil ja über NTFS-Berechtigungen alle Zugriffsberechtigungen für Gruppen etc. gesteuert werden?

Anders ausgedrückt: Ist es vor dem Hintergrund der Datensicherheit sinnvoll, ein Netz, in dem die Zugriffsberechtigungen aller Benutzer bereits über NTFS geregelt sind, in VLANs zu unterteilen?
Member: maretz
maretz Oct 03, 2021 at 07:47:26 (UTC)
Goto Top
Die Frage kann man nicht so einfach beantworten da es von der Umgebung abhängt. Klar - alle arbeiten auf demselben FS und das kann schief gehen (Ausfall des Servers z.B, oder der von dir genannte Fall das jemand mit höheren Rechten absichtlich oder unabsichtlich einen Schaden macht). Da helfen mehrere Fileserver aber auch nicht wenn z.B. der Admin Unsinn macht und dank Domänen-Konzept auf allen FSen Vollzugriff hat(te). Ein VLAN an sich machts aber auch nicht sicherer wenn die Regeln dazwischen nicht sauber stehen. Stell dir die übliche Firewall mit "Permit any 2 any" vor, da ist die FW nur zur Lufterwärmung gut.

Dann kommt es eben drauf an - sitzen pro Abteilung z.B. 2-3 Leute wäre der Wartungsaufwand für die Server natürlich unverhältnismässig hoch. Du musst ja Verzeichnisrechte setzen, Server patchen, Möglichkeiten für nen Austausch unter den Abteilungen schaffen,... Hast du aber pro Abteilung 100 oder 1000ende Leute sitzen dann wird nen einzelner Server (oder ein zentraler) vermutlich unübersichtlich und langsam werden. Da würdest du sogar mit ziemlicher Sicherheit BEIDES haben - VLANs und unterschiedliche Server, das schließt sich ja auch nicht aus...

Daher ist auch ein "generelles" "absoluter Blödsinn" einfach nur Blödsinn, es hängt eben immer von den Anforderungen ab. Und oft genug gibts auch noch Mischbetriebe bei denen z.B. die Perso noch ne eigene Ablage bekommt die auch vom Admin nich so einfach eingesehen werden kann (ohne das der das illegal umgeht - klar kann der das, DAS is hier nich die Frage).
Mitglied: 148656
148656 Oct 03, 2021 at 08:44:12 (UTC)
Goto Top
Zitat von @Enrixk:
...
Hintergrund der Frage ist keine Hausaufgabe. Ich habe aber aber Unterlagen im Rahmen meiner Umschulung bekommen,...
Umschulung zu Was? Und ist die Umschulung abgeschlossen?

Zitat von @Enrixk:

Vielleicht muss ich meine Frage anders stellen.

Könnte man nicht - wenn es ausschließlich um Sicherheit geht - auch gleich auf VLANs verzichten, weil ja über NTFS-Berechtigungen alle Zugriffsberechtigungen für Gruppen etc. gesteuert werden?
Nein, für Sicherheit ist beides förderlich.
Ein Sicherheitsgurt, verhindert keinen Unfall. face-sad

Anders ausgedrückt: Ist es vor dem Hintergrund der Datensicherheit sinnvoll, ein Netz, in dem die Zugriffsberechtigungen aller Benutzer bereits über NTFS geregelt sind, in VLANs zu unterteilen?

Sag's zwar Ungern, aber es kommt auf die Größe an. *Prost* face-wink
Member: Lochkartenstanzer
Lochkartenstanzer Oct 03, 2021 at 09:08:43 (UTC)
Goto Top
Zitat von @Enrixk:

Mit Sicherheitsgründen meine ich folgendes: In jeder Abteilung gibt es Benutzer, die umfangreichere Zugriffsberechtigungen haben als andere wie z. B. der Abteilungsleiter. Dieser könnte z. B. Schreib und Lesezugriff auf alle abteilungsinternen Ordnerfreigaben haben. Würde sein Gerät kompromittiert, wäre der Schaden vermutlich sehr groß.

Der Abteilungsleiter hat diesen Zugriff doch auch, wenn die Server getrennt sind. Oder sind die Berechtigungen nicht ordentlich gesetzt, daß er "Fremdgehen" kann?

So gesehen ist das kein Argument für die Trennung.

lks
Member: anteNope
anteNope Oct 03, 2021 updated at 12:12:23 (UTC)
Goto Top
Hallo,
Anders ausgedrückt: Ist es vor dem Hintergrund der Datensicherheit sinnvoll, ein Netz, in dem die Zugriffsberechtigungen aller Benutzer bereits über NTFS geregelt sind, in VLANs zu unterteilen?

Eine ordentliche, klare, NTFS-Berechtigungsstruktur ist das Wichtigste. Und die darf natürlich nicht aufgeweicht werden wenn Person X "da jetzt unbedingt gerade Zugriff braucht". Manche machen ja auch unterschiedliche Netzlaufwerke für die Abteilungen, was m.M. nach absoluter Schwachsinn ist. Man gewinnt nichts und die Leute haben nachher 10 Netzlaufwerke auf dem Computer verbunden. Macht nur Arbeit / Stress. ¯\(°_o)/¯

Ich mache immer eine zentrale Netzwerkfreigabe und arbeite ab dort mit Unterordnern und entsprechend gesetzten NTFS-Rechten. Schattenkopien und Sicherungen dazu und gut ist.

Mit VLAN trennst du ggf. das Sicherungsziel vom Rest ab (wenn nicht direkt angebunden) oder isolierst irgendwelche Industriemaschinen mit uralten Systemen vom restlichen Netzwerk.

Wenn die Abteilungen so groß sind, dass die eh eigene Server brauchen, klar warum dann nicht auch mit VLANs.
Member: MysticFoxDE
MysticFoxDE Oct 03, 2021 updated at 13:06:27 (UTC)
Goto Top
Moin Maretz,

Daher ist auch ein "generelles" "absoluter Blödsinn" einfach nur Blödsinn, es hängt eben immer von den Anforderungen ab.

Die Anforderung ist innerhalb eines Unternehmens welches in unterschiedliche aber untereinander nicht unabhängige Abteilungen gegliedert ist, für mehr Sicherheit zu sorgen.
Dafür wie in B vorgeschlagen die Organisationsstruktur dieses Unternehmens in drei autarke IT-Strukturen zu splitten ohne dabei über A zu gehen, ist schlichtweg ein Blödsinn.

Beste Grüsse aus BaWü

Alex
Member: Enrixk
Enrixk Oct 03, 2021 at 13:42:55 (UTC)
Goto Top
Vielen Dank erstmal fürs Mitdenken!

Wenn man z. B. ein Gast-LAN einrichten möchte, dann kann ich das Argument ganz gut verstehen, VLANs trügen zu mehr Sicherheit bei. Man will schließlich nicht unbedingt, dass sich potentielle Angreifer in demselben Netzwerk tummeln, wo sich auch die Mitarbeiter und Server befinden.

Wenn die Abteilungen Marketin, Einkauf und Vertrieb ein eigenes VLAN bekommen sollen und man dies mit dem Argument Datensicherheit begründet, kann ich das nicht nachvollziehen, weil man den Zugriff auf abteilungsinterne und abteilungsübergreifende Ressourcen wie oben erwähnt sehr gut über NTFS-Berechtigungen regeln kann. Ein besseres Argument wäre an dieser Stelle, dass sich durch VLANs natürlich die Performance aufgrund kleiner Broadcast-Domänen verbessert.
Member: MysticFoxDE
Solution MysticFoxDE Oct 03, 2021 updated at 17:01:12 (UTC)
Goto Top
Moin Enrixk,

VLANs trügen zu mehr Sicherheit bei.

Wenn VLAN's untereinander nur geroutet sind ja.
Wenn du jedoch VLAN's im Rahmen einer richtigen Netzsegmentierung verwendest, sprich mit einer anständigen FireWall (incl. AV, IPS, ATP & Co. KG) zwischen den VLAN's und auch nur das per Regel freigegeben tust, was benötigt wird, dann erreichst du damit durchaus auch einen spürbaren Sicherheitszugewinn. Jedoch musst du für die Realisierung einer solchen Lösung, einiges an Kompetenz und auch Zeit einplanen und nicht nur für die Realisierung sondern auch für den späteren Betrieb.

Wenn die Abteilungen Marketin, Einkauf und Vertrieb ein eigenes VLAN bekommen sollen und man dies mit dem Argument Datensicherheit begründet, kann ich das nicht nachvollziehen, weil man den Zugriff auf abteilungsinterne und abteilungsübergreifende Ressourcen wie oben erwähnt sehr gut über NTFS-Berechtigungen regeln kann.

Solange der Angreifer keinen privilegierten User erwischt oder sich nicht die entsprechenden Rechte verschaffen kann, dann ja. Der Fairness halber muss ich jedoch zugeben, dass NTFS-Berechtigungen alleine, einen erfahrenen Angreifer nur eine sehr begrenzte Zeit (1-60 Minuten) aufhalten werden.

Ein besseres Argument wäre an dieser Stelle, dass sich durch VLANs natürlich die Performance aufgrund kleiner Broadcast-Domänen verbessert.

Wenn du vorher für deine 200 Clients ein /16 oder gar ein /8 Netz gehabt hast, dann vielleicht, ansonsten ist dieses Argument eher mit Vorsicht zu geniessen.

Beste Grüsse aus BaWü

Alex
Member: Enrixk
Enrixk Oct 03, 2021 at 17:18:19 (UTC)
Goto Top
Danke Alex für deine kompetente Rückmeldung!