16
Zwickmühle bei Netzwerkplanung
Hallo,
im Unternehmen A gibt es die Abteilungen Marketin, Einkauf, Vertrieb. Die MitarbeiterInnen der einzelnen Abteilungen arbeiten auf servergespeicherten Windows-Profilen. Die Heimatverzeichnisse werden über eine Ordnerumleitung auf einem Fileserver abgelegt. Ein Domain-Controller verwaltet die Zugriffsberechtigungen. Abteilungsinterne Freigaben sind über SMB vorhanden. Alle Abteilungen und auch die Server befinden sich in einem gemeinsamen Netz.
Nun sollen aus Sicherheitsgründen die drei Abteilungen voneinander abgeschirmt und einzelnen VLANs zugewiesen werden.
Würdet ihr ...
a) die Server in ein eigenes VLAN stecken und den Zugriff auf Dienste wie LDAP, SMB etc. über Firewall-Regeln steuern, oder
b) jeder Abteilung einen separaten Fileserver und Domain-Controller im jeweiligen VLAN spendieren.
Für mich macht a) in punkto Sicherheit nicht besonders viel Sinn, weil ja nach wie vor alle Abteilungen auf denselben Fileserver zugreifen. Gäbe es einen kompromitierten Benutzer mit weitreichenden Zugriffsberechtigungen wäre der Schaden groß.
Aber auch b) ist für mich nicht gerade eine optimale Lösung, weil pro Abteilungen mindestens zwei neue Server angeschaft und verwaltet werden werden müssen.
im Unternehmen A gibt es die Abteilungen Marketin, Einkauf, Vertrieb. Die MitarbeiterInnen der einzelnen Abteilungen arbeiten auf servergespeicherten Windows-Profilen. Die Heimatverzeichnisse werden über eine Ordnerumleitung auf einem Fileserver abgelegt. Ein Domain-Controller verwaltet die Zugriffsberechtigungen. Abteilungsinterne Freigaben sind über SMB vorhanden. Alle Abteilungen und auch die Server befinden sich in einem gemeinsamen Netz.
Nun sollen aus Sicherheitsgründen die drei Abteilungen voneinander abgeschirmt und einzelnen VLANs zugewiesen werden.
Würdet ihr ...
a) die Server in ein eigenes VLAN stecken und den Zugriff auf Dienste wie LDAP, SMB etc. über Firewall-Regeln steuern, oder
b) jeder Abteilung einen separaten Fileserver und Domain-Controller im jeweiligen VLAN spendieren.
Für mich macht a) in punkto Sicherheit nicht besonders viel Sinn, weil ja nach wie vor alle Abteilungen auf denselben Fileserver zugreifen. Gäbe es einen kompromitierten Benutzer mit weitreichenden Zugriffsberechtigungen wäre der Schaden groß.
Aber auch b) ist für mich nicht gerade eine optimale Lösung, weil pro Abteilungen mindestens zwei neue Server angeschaft und verwaltet werden werden müssen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1338069032
Url: https://administrator.de/contentid/1338069032
Printed on: May 10, 2024 at 11:05 o'clock
16 Comments
Latest comment
Hi
Ist das eine Hausaufgabe ?
Definiere mal "Sicherheitsgründen"?
Mit freundlichen Grüßen Nemesis
Ist das eine Hausaufgabe ?
Definiere mal "Sicherheitsgründen"?
Mit freundlichen Grüßen Nemesis
1
Also Variante b) würde ich nicht wählen, wenn das Argument einzig die Sicherheit ist.
Grundsätzlich kannst du mit entsprechenden NTFS-Berechtigungen die Abteilungen auf Dateisystembasis auf einem Fileserver sauber voneinander trennen. Im Falle von Ransomware würden nur die jeweiligen berechtigen Daten je Anwender betroffen sein. Alternativ, wenn das wirklich erforderlich ist, kannst du drei Fileserver installieren und den Zugriff je VLAN steuern. Das macht aber natürlich nur Sinn, wenn auf den Server wirklich nur abteilungsintern zugegriffen wird.
Grundsätzlich kannst du mit entsprechenden NTFS-Berechtigungen die Abteilungen auf Dateisystembasis auf einem Fileserver sauber voneinander trennen. Im Falle von Ransomware würden nur die jeweiligen berechtigen Daten je Anwender betroffen sein. Alternativ, wenn das wirklich erforderlich ist, kannst du drei Fileserver installieren und den Zugriff je VLAN steuern. Das macht aber natürlich nur Sinn, wenn auf den Server wirklich nur abteilungsintern zugegriffen wird.
Mit Sicherheitsgründen meine ich folgendes: In jeder Abteilung gibt es Benutzer, die umfangreichere Zugriffsberechtigungen haben als andere wie z. B. der Abteilungsleiter. Dieser könnte z. B. Schreib und Lesezugriff auf alle abteilungsinternen Ordnerfreigaben haben. Würde sein Gerät kompromittiert, wäre der Schaden vermutlich sehr groß.
Mich schreckt es ein bisschen ab, wenn ich daran denke, jeder Abteilung einen eigenen Domain-Controller und Fileserver zu spendieren. Der Verwaltungsaufwand wäre ja enorm hoch.
Hintergrund der Frage ist keine Hausaufgabe. Ich habe aber aber Unterlagen im Rahmen meiner Umschulung bekommen, in denen steht, dass VLANs leicht zu verwalten sind und die Sicherheit erhöhen.
In Punkto Sicherheit habe ich allerdings hier im Forum schon eine Frage gestellt, die hinreichend diskutiert worden ist.
Mich schreckt es ein bisschen ab, wenn ich daran denke, jeder Abteilung einen eigenen Domain-Controller und Fileserver zu spendieren. Der Verwaltungsaufwand wäre ja enorm hoch.
Hintergrund der Frage ist keine Hausaufgabe. Ich habe aber aber Unterlagen im Rahmen meiner Umschulung bekommen, in denen steht, dass VLANs leicht zu verwalten sind und die Sicherheit erhöhen.
In Punkto Sicherheit habe ich allerdings hier im Forum schon eine Frage gestellt, die hinreichend diskutiert worden ist.
Moin,
das ist eine Prinzipfrage.
Wenn Du zentraler Du IT designst ergeben sich folgende Punkte:
- Die Gesamtsicherheit steigt
- Aber wenn ein Hacker sich einschleicht verlierst Du das ganze Netzwerk.
- VLAN verhindert, dass gehackte Computer auf andere Computer überspringen können
Wenn Du die Netzwerke vollständig trennst ergeben sich folgende Punkte:
- Erhöhter Aufwand bei der Verwaltung
- Erhöhte Sicherheit
- Erhöhte Kosten
Dein B wird selten eingesetzt.
Stefan
das ist eine Prinzipfrage.
Wenn Du zentraler Du IT designst ergeben sich folgende Punkte:
- Die Gesamtsicherheit steigt
- Aber wenn ein Hacker sich einschleicht verlierst Du das ganze Netzwerk.
- VLAN verhindert, dass gehackte Computer auf andere Computer überspringen können
Wenn Du die Netzwerke vollständig trennst ergeben sich folgende Punkte:
- Erhöhter Aufwand bei der Verwaltung
- Erhöhte Sicherheit
- Erhöhte Kosten
Dein B wird selten eingesetzt.
Stefan
Zitat von @Enrixk:
Dieser könnte z. B. Schreib und Lesezugriff auf alle abteilungsinternen Ordnerfreigaben haben. Würde sein Gerät kompromittiert, wäre der Schaden vermutlich sehr groß.
Dieser könnte z. B. Schreib und Lesezugriff auf alle abteilungsinternen Ordnerfreigaben haben. Würde sein Gerät kompromittiert, wäre der Schaden vermutlich sehr groß.
Was würde sich durch einen eigenen DC und Fileserver ändern?
Ey Kramba, warum einfach wenn's auch kompliziert geht? 
Das Eine, hat mit dem anderen nix am Hut. An der Stelle, zumindest. Alles in Allem, gehört es Zueinander
Weil Sie sich ergänzen. Gerade Heute.
Du hast mein Wochenende zurückgesetzt.
Schönen Feiertag (Tag der Deutschen Einheit 2021)
C.C.
Das Eine, hat mit dem anderen nix am Hut. An der Stelle, zumindest. Alles in Allem, gehört es Zueinander
Weil Sie sich ergänzen. Gerade Heute.Du hast mein Wochenende zurückgesetzt.
Schönen Feiertag (Tag der Deutschen Einheit 2021)
C.C.
Moin Enrixk,
Der ist echt gut. 😂🤣😂🤣
Zu der ursprünglichen Frage, A und nur A.
B ist innerhalb derselben Organisation ein absoluter Blödsinn.
Beste Grüsse aus BaWü
Alex
... in denen steht, dass VLANs leicht zu verwalten sind und die Sicherheit erhöhen.
Der ist echt gut. 😂🤣😂🤣
Zu der ursprünglichen Frage, A und nur A.
B ist innerhalb derselben Organisation ein absoluter Blödsinn.
Beste Grüsse aus BaWü
Alex
Vielleicht muss ich meine Frage anders stellen.
Könnte man nicht - wenn es ausschließlich um Sicherheit geht - auch gleich auf VLANs verzichten, weil ja über NTFS-Berechtigungen alle Zugriffsberechtigungen für Gruppen etc. gesteuert werden?
Anders ausgedrückt: Ist es vor dem Hintergrund der Datensicherheit sinnvoll, ein Netz, in dem die Zugriffsberechtigungen aller Benutzer bereits über NTFS geregelt sind, in VLANs zu unterteilen?
Könnte man nicht - wenn es ausschließlich um Sicherheit geht - auch gleich auf VLANs verzichten, weil ja über NTFS-Berechtigungen alle Zugriffsberechtigungen für Gruppen etc. gesteuert werden?
Anders ausgedrückt: Ist es vor dem Hintergrund der Datensicherheit sinnvoll, ein Netz, in dem die Zugriffsberechtigungen aller Benutzer bereits über NTFS geregelt sind, in VLANs zu unterteilen?
Die Frage kann man nicht so einfach beantworten da es von der Umgebung abhängt. Klar - alle arbeiten auf demselben FS und das kann schief gehen (Ausfall des Servers z.B, oder der von dir genannte Fall das jemand mit höheren Rechten absichtlich oder unabsichtlich einen Schaden macht). Da helfen mehrere Fileserver aber auch nicht wenn z.B. der Admin Unsinn macht und dank Domänen-Konzept auf allen FSen Vollzugriff hat(te). Ein VLAN an sich machts aber auch nicht sicherer wenn die Regeln dazwischen nicht sauber stehen. Stell dir die übliche Firewall mit "Permit any 2 any" vor, da ist die FW nur zur Lufterwärmung gut.
Dann kommt es eben drauf an - sitzen pro Abteilung z.B. 2-3 Leute wäre der Wartungsaufwand für die Server natürlich unverhältnismässig hoch. Du musst ja Verzeichnisrechte setzen, Server patchen, Möglichkeiten für nen Austausch unter den Abteilungen schaffen,... Hast du aber pro Abteilung 100 oder 1000ende Leute sitzen dann wird nen einzelner Server (oder ein zentraler) vermutlich unübersichtlich und langsam werden. Da würdest du sogar mit ziemlicher Sicherheit BEIDES haben - VLANs und unterschiedliche Server, das schließt sich ja auch nicht aus...
Daher ist auch ein "generelles" "absoluter Blödsinn" einfach nur Blödsinn, es hängt eben immer von den Anforderungen ab. Und oft genug gibts auch noch Mischbetriebe bei denen z.B. die Perso noch ne eigene Ablage bekommt die auch vom Admin nich so einfach eingesehen werden kann (ohne das der das illegal umgeht - klar kann der das, DAS is hier nich die Frage).
Dann kommt es eben drauf an - sitzen pro Abteilung z.B. 2-3 Leute wäre der Wartungsaufwand für die Server natürlich unverhältnismässig hoch. Du musst ja Verzeichnisrechte setzen, Server patchen, Möglichkeiten für nen Austausch unter den Abteilungen schaffen,... Hast du aber pro Abteilung 100 oder 1000ende Leute sitzen dann wird nen einzelner Server (oder ein zentraler) vermutlich unübersichtlich und langsam werden. Da würdest du sogar mit ziemlicher Sicherheit BEIDES haben - VLANs und unterschiedliche Server, das schließt sich ja auch nicht aus...
Daher ist auch ein "generelles" "absoluter Blödsinn" einfach nur Blödsinn, es hängt eben immer von den Anforderungen ab. Und oft genug gibts auch noch Mischbetriebe bei denen z.B. die Perso noch ne eigene Ablage bekommt die auch vom Admin nich so einfach eingesehen werden kann (ohne das der das illegal umgeht - klar kann der das, DAS is hier nich die Frage).
Zitat von @Enrixk:
...
Hintergrund der Frage ist keine Hausaufgabe. Ich habe aber aber Unterlagen im Rahmen meiner Umschulung bekommen,...
Umschulung zu Was? Und ist die Umschulung abgeschlossen?...
Hintergrund der Frage ist keine Hausaufgabe. Ich habe aber aber Unterlagen im Rahmen meiner Umschulung bekommen,...
Zitat von @Enrixk:
Vielleicht muss ich meine Frage anders stellen.
Könnte man nicht - wenn es ausschließlich um Sicherheit geht - auch gleich auf VLANs verzichten, weil ja über NTFS-Berechtigungen alle Zugriffsberechtigungen für Gruppen etc. gesteuert werden?
Nein, für Sicherheit ist beides förderlich.Vielleicht muss ich meine Frage anders stellen.
Könnte man nicht - wenn es ausschließlich um Sicherheit geht - auch gleich auf VLANs verzichten, weil ja über NTFS-Berechtigungen alle Zugriffsberechtigungen für Gruppen etc. gesteuert werden?
Ein Sicherheitsgurt, verhindert keinen Unfall.
Anders ausgedrückt: Ist es vor dem Hintergrund der Datensicherheit sinnvoll, ein Netz, in dem die Zugriffsberechtigungen aller Benutzer bereits über NTFS geregelt sind, in VLANs zu unterteilen?
Sag's zwar Ungern, aber es kommt auf die Größe an. *Prost*
Zitat von @Enrixk:
Mit Sicherheitsgründen meine ich folgendes: In jeder Abteilung gibt es Benutzer, die umfangreichere Zugriffsberechtigungen haben als andere wie z. B. der Abteilungsleiter. Dieser könnte z. B. Schreib und Lesezugriff auf alle abteilungsinternen Ordnerfreigaben haben. Würde sein Gerät kompromittiert, wäre der Schaden vermutlich sehr groß.
Mit Sicherheitsgründen meine ich folgendes: In jeder Abteilung gibt es Benutzer, die umfangreichere Zugriffsberechtigungen haben als andere wie z. B. der Abteilungsleiter. Dieser könnte z. B. Schreib und Lesezugriff auf alle abteilungsinternen Ordnerfreigaben haben. Würde sein Gerät kompromittiert, wäre der Schaden vermutlich sehr groß.
Der Abteilungsleiter hat diesen Zugriff doch auch, wenn die Server getrennt sind. Oder sind die Berechtigungen nicht ordentlich gesetzt, daß er "Fremdgehen" kann?
So gesehen ist das kein Argument für die Trennung.
lks
1
Hallo,
Eine ordentliche, klare, NTFS-Berechtigungsstruktur ist das Wichtigste. Und die darf natürlich nicht aufgeweicht werden wenn Person X "da jetzt unbedingt gerade Zugriff braucht". Manche machen ja auch unterschiedliche Netzlaufwerke für die Abteilungen, was m.M. nach absoluter Schwachsinn ist. Man gewinnt nichts und die Leute haben nachher 10 Netzlaufwerke auf dem Computer verbunden. Macht nur Arbeit / Stress. ¯\(°_o)/¯
Ich mache immer eine zentrale Netzwerkfreigabe und arbeite ab dort mit Unterordnern und entsprechend gesetzten NTFS-Rechten. Schattenkopien und Sicherungen dazu und gut ist.
Mit VLAN trennst du ggf. das Sicherungsziel vom Rest ab (wenn nicht direkt angebunden) oder isolierst irgendwelche Industriemaschinen mit uralten Systemen vom restlichen Netzwerk.
Wenn die Abteilungen so groß sind, dass die eh eigene Server brauchen, klar warum dann nicht auch mit VLANs.
Anders ausgedrückt: Ist es vor dem Hintergrund der Datensicherheit sinnvoll, ein Netz, in dem die Zugriffsberechtigungen aller Benutzer bereits über NTFS geregelt sind, in VLANs zu unterteilen?
Eine ordentliche, klare, NTFS-Berechtigungsstruktur ist das Wichtigste. Und die darf natürlich nicht aufgeweicht werden wenn Person X "da jetzt unbedingt gerade Zugriff braucht". Manche machen ja auch unterschiedliche Netzlaufwerke für die Abteilungen, was m.M. nach absoluter Schwachsinn ist. Man gewinnt nichts und die Leute haben nachher 10 Netzlaufwerke auf dem Computer verbunden. Macht nur Arbeit / Stress. ¯\(°_o)/¯
Ich mache immer eine zentrale Netzwerkfreigabe und arbeite ab dort mit Unterordnern und entsprechend gesetzten NTFS-Rechten. Schattenkopien und Sicherungen dazu und gut ist.
Mit VLAN trennst du ggf. das Sicherungsziel vom Rest ab (wenn nicht direkt angebunden) oder isolierst irgendwelche Industriemaschinen mit uralten Systemen vom restlichen Netzwerk.
Wenn die Abteilungen so groß sind, dass die eh eigene Server brauchen, klar warum dann nicht auch mit VLANs.
Moin Maretz,
Die Anforderung ist innerhalb eines Unternehmens welches in unterschiedliche aber untereinander nicht unabhängige Abteilungen gegliedert ist, für mehr Sicherheit zu sorgen.
Dafür wie in B vorgeschlagen die Organisationsstruktur dieses Unternehmens in drei autarke IT-Strukturen zu splitten ohne dabei über A zu gehen, ist schlichtweg ein Blödsinn.
Beste Grüsse aus BaWü
Alex
Daher ist auch ein "generelles" "absoluter Blödsinn" einfach nur Blödsinn, es hängt eben immer von den Anforderungen ab.
Die Anforderung ist innerhalb eines Unternehmens welches in unterschiedliche aber untereinander nicht unabhängige Abteilungen gegliedert ist, für mehr Sicherheit zu sorgen.
Dafür wie in B vorgeschlagen die Organisationsstruktur dieses Unternehmens in drei autarke IT-Strukturen zu splitten ohne dabei über A zu gehen, ist schlichtweg ein Blödsinn.
Beste Grüsse aus BaWü
Alex
Vielen Dank erstmal fürs Mitdenken!
Wenn man z. B. ein Gast-LAN einrichten möchte, dann kann ich das Argument ganz gut verstehen, VLANs trügen zu mehr Sicherheit bei. Man will schließlich nicht unbedingt, dass sich potentielle Angreifer in demselben Netzwerk tummeln, wo sich auch die Mitarbeiter und Server befinden.
Wenn die Abteilungen Marketin, Einkauf und Vertrieb ein eigenes VLAN bekommen sollen und man dies mit dem Argument Datensicherheit begründet, kann ich das nicht nachvollziehen, weil man den Zugriff auf abteilungsinterne und abteilungsübergreifende Ressourcen wie oben erwähnt sehr gut über NTFS-Berechtigungen regeln kann. Ein besseres Argument wäre an dieser Stelle, dass sich durch VLANs natürlich die Performance aufgrund kleiner Broadcast-Domänen verbessert.
Wenn man z. B. ein Gast-LAN einrichten möchte, dann kann ich das Argument ganz gut verstehen, VLANs trügen zu mehr Sicherheit bei. Man will schließlich nicht unbedingt, dass sich potentielle Angreifer in demselben Netzwerk tummeln, wo sich auch die Mitarbeiter und Server befinden.
Wenn die Abteilungen Marketin, Einkauf und Vertrieb ein eigenes VLAN bekommen sollen und man dies mit dem Argument Datensicherheit begründet, kann ich das nicht nachvollziehen, weil man den Zugriff auf abteilungsinterne und abteilungsübergreifende Ressourcen wie oben erwähnt sehr gut über NTFS-Berechtigungen regeln kann. Ein besseres Argument wäre an dieser Stelle, dass sich durch VLANs natürlich die Performance aufgrund kleiner Broadcast-Domänen verbessert.
Moin Enrixk,
Wenn VLAN's untereinander nur geroutet sind ja.
Wenn du jedoch VLAN's im Rahmen einer richtigen Netzsegmentierung verwendest, sprich mit einer anständigen FireWall (incl. AV, IPS, ATP & Co. KG) zwischen den VLAN's und auch nur das per Regel freigegeben tust, was benötigt wird, dann erreichst du damit durchaus auch einen spürbaren Sicherheitszugewinn. Jedoch musst du für die Realisierung einer solchen Lösung, einiges an Kompetenz und auch Zeit einplanen und nicht nur für die Realisierung sondern auch für den späteren Betrieb.
Solange der Angreifer keinen privilegierten User erwischt oder sich nicht die entsprechenden Rechte verschaffen kann, dann ja. Der Fairness halber muss ich jedoch zugeben, dass NTFS-Berechtigungen alleine, einen erfahrenen Angreifer nur eine sehr begrenzte Zeit (1-60 Minuten) aufhalten werden.
Wenn du vorher für deine 200 Clients ein /16 oder gar ein /8 Netz gehabt hast, dann vielleicht, ansonsten ist dieses Argument eher mit Vorsicht zu geniessen.
Beste Grüsse aus BaWü
Alex
VLANs trügen zu mehr Sicherheit bei.
Wenn VLAN's untereinander nur geroutet sind ja.
Wenn du jedoch VLAN's im Rahmen einer richtigen Netzsegmentierung verwendest, sprich mit einer anständigen FireWall (incl. AV, IPS, ATP & Co. KG) zwischen den VLAN's und auch nur das per Regel freigegeben tust, was benötigt wird, dann erreichst du damit durchaus auch einen spürbaren Sicherheitszugewinn. Jedoch musst du für die Realisierung einer solchen Lösung, einiges an Kompetenz und auch Zeit einplanen und nicht nur für die Realisierung sondern auch für den späteren Betrieb.
Wenn die Abteilungen Marketin, Einkauf und Vertrieb ein eigenes VLAN bekommen sollen und man dies mit dem Argument Datensicherheit begründet, kann ich das nicht nachvollziehen, weil man den Zugriff auf abteilungsinterne und abteilungsübergreifende Ressourcen wie oben erwähnt sehr gut über NTFS-Berechtigungen regeln kann.
Solange der Angreifer keinen privilegierten User erwischt oder sich nicht die entsprechenden Rechte verschaffen kann, dann ja. Der Fairness halber muss ich jedoch zugeben, dass NTFS-Berechtigungen alleine, einen erfahrenen Angreifer nur eine sehr begrenzte Zeit (1-60 Minuten) aufhalten werden.
Ein besseres Argument wäre an dieser Stelle, dass sich durch VLANs natürlich die Performance aufgrund kleiner Broadcast-Domänen verbessert.
Wenn du vorher für deine 200 Clients ein /16 oder gar ein /8 Netz gehabt hast, dann vielleicht, ansonsten ist dieses Argument eher mit Vorsicht zu geniessen.
Beste Grüsse aus BaWü
Alex
Danke Alex für deine kompetente Rückmeldung!
