Entwickler-Netz abschotten : aber wie ohne die zu behindern?

Mitglied: winacker

winacker (Level 1) - Jetzt verbinden

2021/02/22, aktualisiert 15:08 Uhr, 576 Aufrufe, 7 Kommentare

Hallo,
ich habe einige Elektronikentwickler in meinem Netz (W2016 mit 2 ADs, auch als DNS. DHCP macht ein anderer W16).
Die testen dann auch schon mal Embedded-Linux Systeme, die z.B. zur Cloud verbinden müssen und/oder durch die Entwickler-PCs konfiguriert werden.
Also alles möglichst transparent, die suchen sich sonst den Wolf in der grauen Wolke der Linux-Systeme wenn da irgendwas nicht raus darf und nichts davon sagt....

Nun passiert aber letztens: eines der Linux-Systeme, frisch aufgesetzt, will sich als DHCP verdingen. Der Entwickler hat dem flugs in der IPv4-Config einen Maulkorb verpasst.
Leider aber nicht auf den v6 geachtet, der machte munter Werbung für sich.
Ich nutze intern kein v6, daher habe ich das normal auch nicht auf dem Schirm was sich da tut (ich lasse die W16-Server während der Config all das tun was sie meinen tun zu müssen bzgl. v6, bis dato kein Ding).
Kaum macht nun der Linux v6-DHCP, scheint mein Exchange die Idee zu haben sich dort eine neue v6 per DHCP zu besorgen...
Ihr könnt euch nicht vorstellen was ich mir den Wolf gesucht habe warum der Exchange plötzlich zickt; die Events waren voll mit Meldungen die ich noch nie gesehen bz. nicht zuordnen konnte etc.pp.
Erst als ich die Gemeinde angeschrieben habe bzgl. des Exchange-Problems, meldete sich der Entwickler kleinlaut und hat gebeichtet.

Lange Rede: wie bringt man dem Rest-Netz bei, sich nicht um solche Systeme wie temporäre Linuxe zu scheren - ohne die zu isolieren?

Danke Euch
Mitglied: ChriBo
LÖSUNG 2021/02/22 um 15:16 Uhr
Hallo,
geht meiner Meinung nach nur mit Isolation.
Packe die Geräte in eine DMZ, erlaube ggf. den Zugriff alles nach außen (aber nicht in dein LAN).
Erlaube vom LAN (bzw. den Entwickler PCs) Vollzugriff in die DMZ (bzw. die Linux Büchsen.
fertig.

CH
Bitte warten ..
Mitglied: SlainteMhath
LÖSUNG 2021/02/22 um 15:20 Uhr
Moin,

gegen das DHCP-Problem hilft DHCP Snooping. Das müssen aber die Switche oder dein NAC können. (Du sagt leider nichts über dein Netzwerk)

Ansonsten musst du genau definieren, was von Dev-Netz in das "Rest-LAN" darf, dann alles in ein VLAN mit eigenem IP Subnetz packen und per ACL (oder Firewall) nur die gewünschten Pakete durchlassen.

Mutmaßung: 53, 80, 135, 137, 443, 445 je tcp/udp ist ausreichend.

lg,
Slainte
Bitte warten ..
Mitglied: aqui
2021/02/22, aktualisiert um 15:53 Uhr
Ihr könnt euch nicht vorstellen was ich mir den Wolf gesucht habe
Nein, können wir auch nicht, denn ein Netzwerk Admin hätte mit einem Wireshark Trace das in nicht einmal 10 Minuten entdeckt.
Fazit zur Lösung:
Setze die Kollegen in ein eigenes VLAN was in 5 Minuten auf einem VLAN Switch eingerichtet ist und trenne sie mit einem einfachen 20 Euro NAT Router von deinem lokalen Netz.
Die Kollegen können in ihrem Netz dann frei schalten und walten mit welchen IP Adressen sie wollen und über die NAT Firewall alle deine lokalen Resourcen und das Internet erreichen ohbe irgendwelche Auswirkungen.
Fertig ist der Lack und du kannst dich entspannen das es in Zukunft nicht wieder zu solchen Vorkommnissen kommt ! Ohne Isolation ist das doch nicht machbar wie die Kollegen oben auch schon gesagt haben, denn diese Funktionen die zur Störung geführt haben basieren bekanntlich alle auf Layer 2. Du musst also die Layer 2 Broadcast Domains trennen und VLANs sind, wie immer, dafür deine besten Freunde. Wozu hat man Firewalls und NAT Router erfunden wenn nicht dafür...?!
Mit 20 Euro Hardware und 10 Minuten Zeitaufwand ja auch durchaus handhabbar.
Auf solch banale Lösungen kommt man in 5 Minuten doch auch selber ohne ein Administrator Forum. 😉
Bitte warten ..
Mitglied: winacker
2021/02/22 um 15:51 Uhr
Die Komplikation sind die Entwickler-PCs selbst: die müssen sowohl im eigenen Netz frei sein als auch auf die Linux-Büchsen runterkommen.
CH: wenn ich vom LAN aus Vollzugriff in die DMZ erlaube, greift mir doch z.B. der Exchange auch da rein...

Müsste ich dann nicht auf jeden einzelnen Entwickler-PC reduzieren?

Oder: ich sehe die Entwickler als eigenen Strang an meinem Switch und erlaube keinem von ausserhalb dieses Strangs, da rein zu greifen. Damit wäre ich aber noch nicht von vagabundierenden Linuxen geschützt die aus dem Strang heraus versuchen Unsinn zu treiben.

Ich scheue das Thema wie Teufel das Weihwasser, bringt es mir doch garantiert irgendwann, wenn keiner dran denkt, hübsche Effekte...
Bitte warten ..
Mitglied: aqui
LÖSUNG 2021/02/22, aktualisiert um 15:58 Uhr
die müssen sowohl im eigenen Netz frei sein als auch auf die Linux-Büchsen runterkommen.
Wie bereits oben mehrfach gesagt ein kleiner 20 Euro Router zusammen mit VLANs erledigt das alles mit links:
https://www.varia-store.com/de/produkt/97209-mikrotik-routerboard-rb941- ...
Eine alte FritzBox in der Bastelkiste oder jeglicher Breitband Router erledigt das auch.
Für die Grundlagen zu so einem simplen Setup einfach mal lesen, verstehen und machen:
https://administrator.de/tutorial/routing-2-ip-netzen-windows-linux-rout ...
Ist ja nun wahrlich kein Hexenwerk ! ;-) face-wink
Bitte warten ..
Mitglied: tikayevent
2021/02/22 um 17:36 Uhr
Um das DHCP-Problem zu lösen reicht es erstmal, einfach nur einen Router zwischen die Entwicklung und die Produktion zu klemmen. In der Firewall kann man dann das Entwicklungsnetz auf IP-Subnetz-Ebene freigeben, während die Produktion eben über die Firewall gefiltert wird.
Bitte warten ..
Mitglied: aqui
2021/02/23 um 10:20 Uhr
Genau DAS war mit dem 20 Euro Router oben gemeint ! 😉
Bitte warten ..
Heiß diskutierte Inhalte
Microsoft
Erwerb von M365 Lizenzen, Partner Autorisierung für Azure AD - Globaler Administrator wirklich nötig?
solved Nidavellir1 day agoQuestionMicrosoft4 Comments

Hi zusammen, bitte entschuldigt den etwas sperrigen Titel, aber ein knapperer wollte mir nicht einfallen. :D Wir wollen bei einem Systemhaus M365 Lizenzen (Business ...

LAN, WAN, Wireless
Switch läuft, ist aber nicht erreichbar
solved AndiPee18 hours agoQuestionLAN, WAN, Wireless19 Comments

Hallo zusammen, mein Problemfall einleitend kurz umrissen: Privates Netzwerk Es funktioniert grundsätzlich, allerdings habe ich immer mal ein paar Ausfälle im WLAN-Netzwerk und bin ...

Memory Cards
Welchen USB Stick für Bootstick?
solved dlnkrg1 day agoQuestionMemory Cards6 Comments

Hallo, Ich bin auf der Suche nach USB - Sticks, auf denen ich Linux Ubuntu installieren kann und praktisch als Festplatte für das Betriebssystem ...

Windows Network
Sporadisch kein Netz auf mehreren Win10-Maschinen
Solarflare1 day agoQuestionWindows Network6 Comments

Hallo, ich habe seit Monaten einen eigenartigen Effekt in unserem Windows-Netz. Windows-Domäne mit ca. 100 Maschinen, alle Clients aktuelles Windows 10. Die Maschinen hängen ...

MikroTik RouterOS
Simples VLAN bringt mich zur Verzweiflung
solved Daniel266 hours agoQuestionMikroTik RouterOS25 Comments

Moin, ich bin sehr neu im Mikrotik-Bereich, aber schon dabei, aufzuegeben. Wir verbauen in unserer Hardware Switche von Mikrotik. Bisher waren da Netgear-Teile drin, ...

Windows 7
Userpfad Problem nach Aenderung des Computernamens
Berner1 day agoQuestionWindows 712 Comments

In einem Netzwerk von 9 PCs sind 9 Ersatz-PCs eingebunden, bei denen im Bedarfsfall vor dem Einsatz nur der Computername und die IP-Adresse angepasst ...

VB for Applications
Auf SQL Datenbank schreiben welche Sich im Firmennetzwerk befindet
RSST-SOR1 day agoQuestionVB for Applications12 Comments

Hallo Ich habe ein funktionierendes VBA Makro im EXCEL welches mit: conn.Open "driver={SQL Server};" & _ "server=RSST-OFFICEIII\RSSTSQLSERVER;database=RSSTZeiterfassung;" Daten in die Tabelle schreibt Nun würde ...

Routers & Routing
AVM IPSEC Standortkopplung - (statische?) IP-Adressen im Remote-Netzwerk
solved Nichtsnutz1 day agoQuestionRouters & Routing8 Comments

Hallo ins Forum, hallo aqui, Alle Fritten-Verweigerer und Freunde der Kommandozeile mögen diese Zeilen bitte mit einem überlegenem Lächeln ignorieren: Seit Monaten arbeiten wir ...