36
Sichere getrennte Subnetze für den Kleinbetrieb schaffen?
Hallo zusammen,
vorab zu mir: Ich bin neu im Forum – das hier ist mein erster Beitrag
Ursprünglich habe ich Wirtschaftsinformatik studiert, bin also nicht völlig fachfremd. Relativ schnell bin ich aber eher in den Bereich Marketing gerutscht, weswegen ich auch leider noch nicht oder nicht mehr so richtig in der Materie bin.
Aktuell bin ich in einem kleinen bis mittelständischen Schreinereibetrieb tätig und kümmere mich dort größtenteils um Marketing und Verkauf, und nebenbei (bislang braucht es hier auch keine zusätzliche Person) eben um die IT im Haus.
Der Betrieb ist in den letzten Jahren immer mehr gewachsen; insbesondere sind digitale Kassencomputer und auch vernetzte Maschinen hinzugekommen, die natürlich auch alle mit in das Firmennetz gewandert sind.
Dazu kommt, dass alle Mitarbeiter z. T. auch mit privaten Geräten im Netzwerk sind (was sie auf jeden Fall auch weiter können sollen, zumal es bei uns kein wirklich funktionierendes Mobilfunknetz gibt).
Im Lauf der Zeit hat sich deshalb leider eingeschlichen, dass sich sämtliche Endgeräte mehr oder weniger im gleichen Netz befinden. Alles hängt momentan ganz seiden an einem Router.
Ich möchte nun als Projekt für die nächsten Monate das Firmennetzwerk gerne einmal komplett umkrempeln – es soll vor allem natürlich auch zur Sicherheit des Netzwerks beitragen.
Als Basis hatte ich überlegt, hinter den Router einen Windows Server zu hängen, der zum einen eine Active Directory bereitstellt, und zum anderen als DHCP-Server die Geräte in die verschiedenen Subnetze verteilt.
Falls nötig, hatte ich auch überlegt, eine zusätzliche Firewall noch zwischenzuschalten.
Da ich ohnehin von vorne beginnen muss, hatte ich überlegt, die Netze direkt etwas großzügiger zu trennen:
172.16.0.0 \24 -> Netzwerk für Router bzw. Administration
172.16.1.0 \24 -> Rechner und Smartphones im internen LAN und WLAN (Büro)
172.16.2.0 \24 -> Private Rechner und Smartphones von den Mitarbeitern im LAN und WLAN (Büro und Werkstatt)
172.16.3.0 \24 -> (vorerst als Reserve)
172.16.4.0 \24 -> Maschinen in der Werkstatt
172.16.5.0 \24 -> Kassen-Computer
172.16.6.0 \24 -> VoIP-Telefone (diese werden an eine Anlage in der Cloud angeschlossen)
Geräte, die sich am Gast-WLAN anmelden, sollen ganz automatisch in ein Netzwerk gebracht werden, das zwar Internetzugriff zulässt, aber von den anderen Netzen wirklich vollständig abgeschirmt ist, z. B.
172.16.254.0 \24 -> Alle Geräte im Gast-WLAN
(es wäre aber natürlich auch kein Problem, wenn der IP-Adressbereich dann ein ganz anderer sein müsste)
Das Ziel ist (logischerweise), dass die Geräte untereinander erstmal nicht miteinander kommunizieren können, sondern nur (wo nötig) ihrerseits über den Router eine Verbindung zum Internet bekommen.
Natürlich müsste man aber von einigen Rechnern aus (oder eben z. B. vom 0er-Subnetz) auf alle Geräte zugreifen können, um bei Bedarf bspw. in die Konfigurationsoberflächen der Maschinen oder der Telefone zu kommen.
An diesem Punkt bin ich dann aber mit meinen bisherigen Überlegungen "stecken geblieben".
Wäre der Zugriff auf ein anderes Subnetz dann intern via VPN besser oder sollten evtl. ein oder zwei "Admin-Rechner" direkt ins richtige Subnetz eingetragen werden?
Viele Geräte werden natürlich mit einer fixen IP eingetragen, aber gerade im WLAN ist eine Verbindung mit einer dynamisch zugewiesenen IP relativ wichtig, um es unkompliziert zu halten.
Lässt sich das Vorhaben mit einem einzelnen DHCP-Server ohne größere Probleme so umsetzen, dass dann alle Geräte auch automatisch im richtigen Subnetz landen?
Was ist eure Meinung dazu? Ist eine Aufteilung in dieser Weise sinnvoll und einigermaßen sicher – oder würdet ihr mir eine andere Vorgehensweise empfehlen?
Wie oben schon beschrieben: Es ist kein Riesen-Betrieb und ich bin zum Glück zumindest kein blutiger Anfänger – daher würde ich externe Firmen o. ä. gerne vorerst rauslassen.
Für eure Antworten und euer Verständnis schon jetzt ganz lieben Dank
usr001
vorab zu mir: Ich bin neu im Forum – das hier ist mein erster Beitrag
Ursprünglich habe ich Wirtschaftsinformatik studiert, bin also nicht völlig fachfremd. Relativ schnell bin ich aber eher in den Bereich Marketing gerutscht, weswegen ich auch leider noch nicht oder nicht mehr so richtig in der Materie bin.
Aktuell bin ich in einem kleinen bis mittelständischen Schreinereibetrieb tätig und kümmere mich dort größtenteils um Marketing und Verkauf, und nebenbei (bislang braucht es hier auch keine zusätzliche Person) eben um die IT im Haus.
Der Betrieb ist in den letzten Jahren immer mehr gewachsen; insbesondere sind digitale Kassencomputer und auch vernetzte Maschinen hinzugekommen, die natürlich auch alle mit in das Firmennetz gewandert sind.
Dazu kommt, dass alle Mitarbeiter z. T. auch mit privaten Geräten im Netzwerk sind (was sie auf jeden Fall auch weiter können sollen, zumal es bei uns kein wirklich funktionierendes Mobilfunknetz gibt).
Im Lauf der Zeit hat sich deshalb leider eingeschlichen, dass sich sämtliche Endgeräte mehr oder weniger im gleichen Netz befinden. Alles hängt momentan ganz seiden an einem Router.
Ich möchte nun als Projekt für die nächsten Monate das Firmennetzwerk gerne einmal komplett umkrempeln – es soll vor allem natürlich auch zur Sicherheit des Netzwerks beitragen.
Als Basis hatte ich überlegt, hinter den Router einen Windows Server zu hängen, der zum einen eine Active Directory bereitstellt, und zum anderen als DHCP-Server die Geräte in die verschiedenen Subnetze verteilt.
Falls nötig, hatte ich auch überlegt, eine zusätzliche Firewall noch zwischenzuschalten.
Da ich ohnehin von vorne beginnen muss, hatte ich überlegt, die Netze direkt etwas großzügiger zu trennen:
172.16.0.0 \24 -> Netzwerk für Router bzw. Administration
172.16.1.0 \24 -> Rechner und Smartphones im internen LAN und WLAN (Büro)
172.16.2.0 \24 -> Private Rechner und Smartphones von den Mitarbeitern im LAN und WLAN (Büro und Werkstatt)
172.16.3.0 \24 -> (vorerst als Reserve)
172.16.4.0 \24 -> Maschinen in der Werkstatt
172.16.5.0 \24 -> Kassen-Computer
172.16.6.0 \24 -> VoIP-Telefone (diese werden an eine Anlage in der Cloud angeschlossen)
Geräte, die sich am Gast-WLAN anmelden, sollen ganz automatisch in ein Netzwerk gebracht werden, das zwar Internetzugriff zulässt, aber von den anderen Netzen wirklich vollständig abgeschirmt ist, z. B.
172.16.254.0 \24 -> Alle Geräte im Gast-WLAN
(es wäre aber natürlich auch kein Problem, wenn der IP-Adressbereich dann ein ganz anderer sein müsste)
Das Ziel ist (logischerweise), dass die Geräte untereinander erstmal nicht miteinander kommunizieren können, sondern nur (wo nötig) ihrerseits über den Router eine Verbindung zum Internet bekommen.
Natürlich müsste man aber von einigen Rechnern aus (oder eben z. B. vom 0er-Subnetz) auf alle Geräte zugreifen können, um bei Bedarf bspw. in die Konfigurationsoberflächen der Maschinen oder der Telefone zu kommen.
An diesem Punkt bin ich dann aber mit meinen bisherigen Überlegungen "stecken geblieben".
Wäre der Zugriff auf ein anderes Subnetz dann intern via VPN besser oder sollten evtl. ein oder zwei "Admin-Rechner" direkt ins richtige Subnetz eingetragen werden?
Viele Geräte werden natürlich mit einer fixen IP eingetragen, aber gerade im WLAN ist eine Verbindung mit einer dynamisch zugewiesenen IP relativ wichtig, um es unkompliziert zu halten.
Lässt sich das Vorhaben mit einem einzelnen DHCP-Server ohne größere Probleme so umsetzen, dass dann alle Geräte auch automatisch im richtigen Subnetz landen?
Was ist eure Meinung dazu? Ist eine Aufteilung in dieser Weise sinnvoll und einigermaßen sicher – oder würdet ihr mir eine andere Vorgehensweise empfehlen?
Wie oben schon beschrieben: Es ist kein Riesen-Betrieb und ich bin zum Glück zumindest kein blutiger Anfänger – daher würde ich externe Firmen o. ä. gerne vorerst rauslassen.
Für eure Antworten und euer Verständnis schon jetzt ganz lieben Dank
usr001
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 12491124057
Url: https://administrator.de/contentid/12491124057
Printed on: May 2, 2024 at 18:05 o'clock
36 Comments
Latest comment
Natürlich ist das alles so umsetzbar. Aber ob du das mit deiner Qualifikation und deinem verfügbaren Zeitvolumen umsetzen kannst, halte ich für mindestens diskussionswürdig.
Ich bin auch in einem mittelständischen Unternehmen (ca. 50 MA) für die IT zuständig. Etwa 50-60% der Zeit, der Rest E-Technik und SPS-Programmierung. Also auch nicht ganz "artfremd"
Aber ich habe auch 40 Jahre Berufserfahrung.
Trotzdem setzen wir auf externe Dienstleister: zB. wird der Support für ERP durch einen Dienstleister realisiert. Dort diene ich dann nur als "qualifizierter Ansprechpartner".
Jürgen
Ich bin auch in einem mittelständischen Unternehmen (ca. 50 MA) für die IT zuständig. Etwa 50-60% der Zeit, der Rest E-Technik und SPS-Programmierung. Also auch nicht ganz "artfremd"
Aber ich habe auch 40 Jahre Berufserfahrung.
Trotzdem setzen wir auf externe Dienstleister: zB. wird der Support für ERP durch einen Dienstleister realisiert. Dort diene ich dann nur als "qualifizierter Ansprechpartner".
Jürgen
Moin,
ich gehe vorerst mal bewusst nicht auf die konkreten Fragen ein, da noch Eckdaten fehlen, um das ganze beurteilen zu können.
- Schreib doch bitte mal etwas zur Betriebsgrösse (Anzahl Mitarbeiter, PCs/Arbeitsplätze, Drucker, Telefone, Maschinen usw. - gern auch mit Wqachtumsprognose)
- Welche Netzwerkhardware ist vorhanden (Switche, Router usw.)?
- Was für eine Internetanbindung habt ihr (xDSL, Glasfaser, (TV-)Kabel, ...)?
- Gibt es eine strukturierte Verkabelung mit ausreichend Dosen oder gibt es Wilwuchs mit Unterverteilungsswitches?
Ich finde in einem Kleinbetrieb 7 bzw. 8 VLANs/Subnetze (und dann auch noch 24er Subnetze) schon recht sportlich, vor allem, da Du es unkompliziert halten möchtest. Das erhöht die Komplexität ungemein.
Eine Firewall/Router (bspw. xSense) dürfte wohl Pflicht sein.
Aber mal ganz ehrlich - ist nicht böse gemeint - glaubst Du, dass Du das alles administrieren kannst neben Deinem eigentlichen Aufgabengebiet?
Gruß
cykes
ich gehe vorerst mal bewusst nicht auf die konkreten Fragen ein, da noch Eckdaten fehlen, um das ganze beurteilen zu können.
- Schreib doch bitte mal etwas zur Betriebsgrösse (Anzahl Mitarbeiter, PCs/Arbeitsplätze, Drucker, Telefone, Maschinen usw. - gern auch mit Wqachtumsprognose)
- Welche Netzwerkhardware ist vorhanden (Switche, Router usw.)?
- Was für eine Internetanbindung habt ihr (xDSL, Glasfaser, (TV-)Kabel, ...)?
- Gibt es eine strukturierte Verkabelung mit ausreichend Dosen oder gibt es Wilwuchs mit Unterverteilungsswitches?
Ich finde in einem Kleinbetrieb 7 bzw. 8 VLANs/Subnetze (und dann auch noch 24er Subnetze) schon recht sportlich, vor allem, da Du es unkompliziert halten möchtest. Das erhöht die Komplexität ungemein.
Eine Firewall/Router (bspw. xSense) dürfte wohl Pflicht sein.
Aber mal ganz ehrlich - ist nicht böse gemeint - glaubst Du, dass Du das alles administrieren kannst neben Deinem eigentlichen Aufgabengebiet?
Gruß
cykes
Hi,
zusätzlich zu der Aussage von chiefteddy (Der ich mich anschließe)
Würde ich an deiner Stelle noch mal eine Ebene hoch gehen. Sinnvollerweise sollten wir zwischen IT und OT unterscheiden Unterschiede IT / OT
Im Bestcase hast du zwei (physikalische) Netzwerke, heißt eigene Switch, Access Point etc. Infrastruktur für IT und noch mal dasselbe für OT.
Da zwischen gibts eine Firewall und die regelt die hoffentlich sehr wenigen Zugriffswege und Möglichkeiten!
Jetzt wird aber vermutlich solch eine harte Trennung nicht in eurem Budget sein, und vermutlich auch nicht ganz eurem Schutzbedarf gerecht, daher sowas ähnliches in "virtuell".
Für alles was "OT" ist sollte es ein eigenen Netzbereich geben (würde mal schätzen ein /16 sollte für jetzt und die nächsten Jahre reichen)
Im OT Bereich kannst Du deine obige Segmentierung gleich noch mal anwenden, nur dieses mal nur im Bezug auf die dortigen Systeme.
Die Trennung IT / OT findet dann "nur" auf VLAN Ebene statt, zusätzlich sollten die VLANs über eine zentrale Firewall geroutet werden. Ich kann dir nicht genau sagen, was du dort einstellen solltest / musst, da ich deine / eure Umstände nicht kenne.
Grundlegend will man verhindern, dass ein Angriff / Infektion aus der IT bzw. Verwaltungsnetze im allgemeinen, auf die OT übergreifen, welche eure Produktion und somit Wertschöpfung stoppen würden.
Umgekehrt darf ein aber auch aus dem OT kein Angriff auf IT bzw. Verwaltungsnetze möglich sein.
Zweiteres ist aber eher unwahrscheinlich. Am Ende des Tages gehts immer darum deine Handlungsfähigkeit als Unternehmen zu bewahren.
zusätzlich zu der Aussage von chiefteddy (Der ich mich anschließe)
Würde ich an deiner Stelle noch mal eine Ebene hoch gehen. Sinnvollerweise sollten wir zwischen IT und OT unterscheiden Unterschiede IT / OT
Im Bestcase hast du zwei (physikalische) Netzwerke, heißt eigene Switch, Access Point etc. Infrastruktur für IT und noch mal dasselbe für OT.
Da zwischen gibts eine Firewall und die regelt die hoffentlich sehr wenigen Zugriffswege und Möglichkeiten!
Jetzt wird aber vermutlich solch eine harte Trennung nicht in eurem Budget sein, und vermutlich auch nicht ganz eurem Schutzbedarf gerecht, daher sowas ähnliches in "virtuell".
Für alles was "OT" ist sollte es ein eigenen Netzbereich geben (würde mal schätzen ein /16 sollte für jetzt und die nächsten Jahre reichen)
Im OT Bereich kannst Du deine obige Segmentierung gleich noch mal anwenden, nur dieses mal nur im Bezug auf die dortigen Systeme.
Die Trennung IT / OT findet dann "nur" auf VLAN Ebene statt, zusätzlich sollten die VLANs über eine zentrale Firewall geroutet werden. Ich kann dir nicht genau sagen, was du dort einstellen solltest / musst, da ich deine / eure Umstände nicht kenne.
Grundlegend will man verhindern, dass ein Angriff / Infektion aus der IT bzw. Verwaltungsnetze im allgemeinen, auf die OT übergreifen, welche eure Produktion und somit Wertschöpfung stoppen würden.
Umgekehrt darf ein aber auch aus dem OT kein Angriff auf IT bzw. Verwaltungsnetze möglich sein.
Zweiteres ist aber eher unwahrscheinlich. Am Ende des Tages gehts immer darum deine Handlungsfähigkeit als Unternehmen zu bewahren.
Hallo @cykes,
zunächst Danke für die Rückfragen
Der Betrieb hat aktuell 45 Mitarbeiter, davon 9 im Büro, 5 LKW-Fahrer und der Rest in der Werkstatt.
In der Verwaltung sind insgesamt 12 PCs plus 2 Kassen-Rechner im Einsatz und plus 3 Drucker. In der Werkstatt sind es 2 feste PCs und 4 mobile Notebooks. Aktuell ans Netz angeboten sind insgesamt 8 Maschinen.
Telefone sind über das ganze Betriebsgelände mit Tischtelefonen, Wandtelefonen, Mobilteilen usw. insgesamt 40 Stück verteilt (die Mobilteile werden über eine snom Multicell-Konfiguration mit 6 snom M900-Basisstationen am Laufen gehalten, alle anderen Telefone sind bereits IP und deshalb per LAN angebunden).
Als Anlage haben wir eine Asterisk-Anlage auf einem unserer vServer am Laufen, mit der habe ich vor ca. 1,5 Jahren unsere alte ISDN-Anlage abgelöst.
Als Router ist aktuell tatsächlich "nur" eine FritzBox im Einsatz.
Über das Betriebsgelände sind dann vier 24-Port Switche verteilt.
Internet läuft komplett über eine 1000 MBit-Leitung über Vodafone Kabel.
Wie oben beschrieben: Es gibt vier 24 Port-Switches, darunter kommen dann keine weiteren Unterverteilungen mehr. Die Switches habe ich damals nach Gebäudebereichen installiert.
Ich fass es auch gar nicht böse auf, das ist natürlich eine riesen Aufgabe. Die letzten Jahre hatte ich wegen unserer beiden Kinder nur eine 50%-Stelle. Jetzt sind sie langsam groß genug und ich kann wieder auf Vollzeit fahren. Somit käme ich zeitlich auf jeden Fall klar.
An und für sich habe ich auch gar keinen Zeitdruck; würde das Netzwerk so lang wie möglich parallel aufbauen und erst, wenn es so weit ist, dann quasi switchen.
Aber: Ich habe offen gestanden schon etwas Respekt vor dem Projekt – es soll ja schließlich auch mal ohne mich oder nach mir reibungslos weiter funktionieren und nachhaltig richtig aufgebaut sein.
Wenn ich mit etwas Zeit ein gutes und sinnvoll funktionierendes Netz aufbauen kann, dann hätte ich gar kein Problem damit, mich auch tiefer damit zu befassen.
Lieben Gruß
usr001
zunächst Danke für die Rückfragen
- Schreib doch bitte mal etwas zur Betriebsgrösse (Anzahl Mitarbeiter, PCs/Arbeitsplätze, Drucker, Telefone, Maschinen usw. - gern auch mit Wqachtumsprognose)
Der Betrieb hat aktuell 45 Mitarbeiter, davon 9 im Büro, 5 LKW-Fahrer und der Rest in der Werkstatt.
In der Verwaltung sind insgesamt 12 PCs plus 2 Kassen-Rechner im Einsatz und plus 3 Drucker. In der Werkstatt sind es 2 feste PCs und 4 mobile Notebooks. Aktuell ans Netz angeboten sind insgesamt 8 Maschinen.
Telefone sind über das ganze Betriebsgelände mit Tischtelefonen, Wandtelefonen, Mobilteilen usw. insgesamt 40 Stück verteilt (die Mobilteile werden über eine snom Multicell-Konfiguration mit 6 snom M900-Basisstationen am Laufen gehalten, alle anderen Telefone sind bereits IP und deshalb per LAN angebunden).
Als Anlage haben wir eine Asterisk-Anlage auf einem unserer vServer am Laufen, mit der habe ich vor ca. 1,5 Jahren unsere alte ISDN-Anlage abgelöst.
- Welche Netzwerkhardware ist vorhanden (Switche, Router usw.)?
Als Router ist aktuell tatsächlich "nur" eine FritzBox im Einsatz.
Über das Betriebsgelände sind dann vier 24-Port Switche verteilt.
- Was für eine Internetanbindung habt ihr (xDSL, Glasfaser, (TV-)Kabel, ...)?
Internet läuft komplett über eine 1000 MBit-Leitung über Vodafone Kabel.
- Gibt es eine strukturierte Verkabelung mit ausreichend Dosen oder gibt es Wilwuchs mit Unterverteilungsswitches?
Wie oben beschrieben: Es gibt vier 24 Port-Switches, darunter kommen dann keine weiteren Unterverteilungen mehr. Die Switches habe ich damals nach Gebäudebereichen installiert.
Aber mal ganz ehrlich - ist nicht böse gemeint - glaubst Du, dass Du das alles administrieren kannst neben Deinem eigentlichen Aufgabengebiet?
Ich fass es auch gar nicht böse auf, das ist natürlich eine riesen Aufgabe. Die letzten Jahre hatte ich wegen unserer beiden Kinder nur eine 50%-Stelle. Jetzt sind sie langsam groß genug und ich kann wieder auf Vollzeit fahren. Somit käme ich zeitlich auf jeden Fall klar.
An und für sich habe ich auch gar keinen Zeitdruck; würde das Netzwerk so lang wie möglich parallel aufbauen und erst, wenn es so weit ist, dann quasi switchen.
Aber: Ich habe offen gestanden schon etwas Respekt vor dem Projekt – es soll ja schließlich auch mal ohne mich oder nach mir reibungslos weiter funktionieren und nachhaltig richtig aufgebaut sein.
Wenn ich mit etwas Zeit ein gutes und sinnvoll funktionierendes Netz aufbauen kann, dann hätte ich gar kein Problem damit, mich auch tiefer damit zu befassen.
Lieben Gruß
usr001
Hallo cloudrakete,
Auch Dir vielen lieben Dank für deine Ausführungen, das leuchtet ein :D
Im Prinzip ist diese IT / OT-Trennung genau das, was ich möchte – einfach verhindern, dass ein Angriff z. B. über einen klassichen Mailtrojaner möglicherweise Auswirkungen auf die Maschinen in der Werkstatt haben kann.
Ich werde mich damit einmal genauer auseinandersetzen.
Grunddesigns für eine solche, immer sinvolle Segmentierung der Netze findest du in den folgenden Forentutorials:
Bevor du loslegst wäre es sinnvoll eins dieser Basisdesigns als Grundlage auszuwählen.
Ohne deine bestehende HW Ausstattung genau zu kennen, Kollege @cykes hat es schon gesagt, ist aber ein zielgerichteter Lösungsansatz eher Kristallkugelei.
Bevor du loslegst wäre es sinnvoll eins dieser Basisdesigns als Grundlage auszuwählen.
Ohne deine bestehende HW Ausstattung genau zu kennen, Kollege @cykes hat es schon gesagt, ist aber ein zielgerichteter Lösungsansatz eher Kristallkugelei.
2
Moin,
kommt halt immer drauf an.
Im Idealfall, von der Sicherheitsseite her, steckt jedes Gerät in einem eigenen VLAN und kommuniziert über eine Firewall nur genau mit den IPs/Hosts über genau die Ports die benötigt werden.
Das ist eine Frage des Aufwandes, der Möglichkeiten, des Budgets und der Zeit.
Deshalb packt man eher Gruppen von Geräten mit gleichen Regeln in VLANs.
Jede Überlegung die Du Dir machst ist besser als keine.
Stefan
kommt halt immer drauf an.
Im Idealfall, von der Sicherheitsseite her, steckt jedes Gerät in einem eigenen VLAN und kommuniziert über eine Firewall nur genau mit den IPs/Hosts über genau die Ports die benötigt werden.
Das ist eine Frage des Aufwandes, der Möglichkeiten, des Budgets und der Zeit.
Deshalb packt man eher Gruppen von Geräten mit gleichen Regeln in VLANs.
Jede Überlegung die Du Dir machst ist besser als keine.
Stefan
Moin,
ich würde das ganze mal anders angehen: Wieviel Zeit hast du denn für die Umsetzung um dich wirklich NUR darauf zu konzentrieren? Denn du wirst ja vermutlich noch nicht die grosse Erfahrung haben (woher auch) - und dann willst du nicht allein da stehen und alle 2-3 Minuten die Kollegen hinter dir die auch noch druck machen wanns denn wieder geht.
WAS ich aber ebenfalls machen würde: Im zweifelsfall mittels ein paar accesspoints oder sonstwas die privat-geräte vom Firmennetz trennen. Das geht für nen paar Euros - wenn aber ein Gerät nen Virus in Netz bringt hast du sonst Geburtstag! Den Rest nur mit guter Planung und vorallem ner klaren Ansage vom Chef wie das Zeitlich geregelt werden soll...
ich würde das ganze mal anders angehen: Wieviel Zeit hast du denn für die Umsetzung um dich wirklich NUR darauf zu konzentrieren? Denn du wirst ja vermutlich noch nicht die grosse Erfahrung haben (woher auch) - und dann willst du nicht allein da stehen und alle 2-3 Minuten die Kollegen hinter dir die auch noch druck machen wanns denn wieder geht.
WAS ich aber ebenfalls machen würde: Im zweifelsfall mittels ein paar accesspoints oder sonstwas die privat-geräte vom Firmennetz trennen. Das geht für nen paar Euros - wenn aber ein Gerät nen Virus in Netz bringt hast du sonst Geburtstag! Den Rest nur mit guter Planung und vorallem ner klaren Ansage vom Chef wie das Zeitlich geregelt werden soll...
Ich würde da auch eher "klein" beginnen.
Als erstes alles Private in ein Gast-Netz. Private Rechner von Mitarbeitern haben eher gar nix im Betrieb zu suchen, aber oke. Behandeln würde ich die als Fremde. Kann man ja auch über die Fritzbox regeln.
Kommt aber auch drauf an was du unter "Dazu kommt, dass alle Mitarbeiter z. T. auch mit privaten Geräten im Netzwerk sind" verstehst. Greifen die auf Programme/Daten zu oder nutzen die nur die Internet-Verbindung?
Den Telefonie-Gedöns würde ich auch in ein separates Netz hängen.
Insgesamt stellt sich dann die Frage, ob die betriebseigenen Clients tatsächlich in unterschiedlichen Netzen/VLANs sein müssen. Gibt es dafür wichtige Gründe oder ist es nur so ein Wunsch, weils vielleicht hübscher aussieht? Und was sagt die Geschäftsleitung dazu? Egal, wie man das macht, es kostet immer Geld. Geld, das man in die Hand nehmen muss um Geräte zu kaufen aber auch Zeit, die in dem Fall du dafür aufwenden musst und evtl. andere Aufgaben dafür zwangsläufig in den Hintergrund schiebst.
Über die Anforderungen, die Microsoft zukünftig stellen wird, brauchen wir ja nicht reden, da nicht wirklich das Thema hier. Sollte man aber auch immer ein bisschen im Hinterkopf halten.
Als erstes alles Private in ein Gast-Netz. Private Rechner von Mitarbeitern haben eher gar nix im Betrieb zu suchen, aber oke. Behandeln würde ich die als Fremde. Kann man ja auch über die Fritzbox regeln.
Kommt aber auch drauf an was du unter "Dazu kommt, dass alle Mitarbeiter z. T. auch mit privaten Geräten im Netzwerk sind" verstehst. Greifen die auf Programme/Daten zu oder nutzen die nur die Internet-Verbindung?
Den Telefonie-Gedöns würde ich auch in ein separates Netz hängen.
Insgesamt stellt sich dann die Frage, ob die betriebseigenen Clients tatsächlich in unterschiedlichen Netzen/VLANs sein müssen. Gibt es dafür wichtige Gründe oder ist es nur so ein Wunsch, weils vielleicht hübscher aussieht? Und was sagt die Geschäftsleitung dazu? Egal, wie man das macht, es kostet immer Geld. Geld, das man in die Hand nehmen muss um Geräte zu kaufen aber auch Zeit, die in dem Fall du dafür aufwenden musst und evtl. andere Aufgaben dafür zwangsläufig in den Hintergrund schiebst.
Über die Anforderungen, die Microsoft zukünftig stellen wird, brauchen wir ja nicht reden, da nicht wirklich das Thema hier. Sollte man aber auch immer ein bisschen im Hinterkopf halten.
Naja - wenn da auf privaten Geräten auch Programme usw. der Firma laufen dann ist es am Ende eh einfach: Wenn der Chef das zulässt braucht man sich um VLANs usw. ganz einfach keine Gedanken machen. Auch das ist nicht das Ende der Welt - ich würde da allerdings den Chef freundlich mit ner Mail auf die Risiken hinweisen (mit ner Kopie an meinen privaten Mail-Account!) und auch deutlich machen das es nicht böse gemeint ist sondern lediglich meiner Absicherung dient WENN was passiert ("Cover my A.."-Technik).
Aber soweit man private Geräte mit Firma da mischt ist der Rest eben überflüssig. Gib das WLAN-Passwort fürs "Office"-Netz an die Mitarbeiter und bitte die darum ihr privates Geräte auf ein zweites Netz mit nem anderem Passwort zu bringen -> was wird passieren? Allein durch Bequemlichkeit geht eh wieder alles ins Office-Netz (weil MA xyz grad das andere Passwort vergessen hatte,....). Und du willst vermutlich nicht sämtliche privatgeräte der Mitarbeiter verwalten... Daher bleibt nur entweder wirklich trennen ODER gar nicht erst die Zeit verschwenden... Bei externen Diensten ist es halt was anderes - auch da liegts eher am Chef ob der akzeptiert das die zB. aufm OneDrive/OwnCloud/whatever auch mit privaten Geräten zugreifen dürfen...
Aber soweit man private Geräte mit Firma da mischt ist der Rest eben überflüssig. Gib das WLAN-Passwort fürs "Office"-Netz an die Mitarbeiter und bitte die darum ihr privates Geräte auf ein zweites Netz mit nem anderem Passwort zu bringen -> was wird passieren? Allein durch Bequemlichkeit geht eh wieder alles ins Office-Netz (weil MA xyz grad das andere Passwort vergessen hatte,....). Und du willst vermutlich nicht sämtliche privatgeräte der Mitarbeiter verwalten... Daher bleibt nur entweder wirklich trennen ODER gar nicht erst die Zeit verschwenden... Bei externen Diensten ist es halt was anderes - auch da liegts eher am Chef ob der akzeptiert das die zB. aufm OneDrive/OwnCloud/whatever auch mit privaten Geräten zugreifen dürfen...
Hallo,
Du schreibst Du willst einen Windows Server hinstellen, habt ihr denn keinen?
Nicht jede Firma braucht einen Windows-Server und zentrale Benutzerverwaltung;=) Manchmal reicht auch ein NAS. Exchange ist heute eh nicht mehr OnPremise bei Windows.
Die Netzwerktrennung könnte man z.B. problemlos mit einem Lancom Router machen, oder man behält den vorhanden Router und stellt eine Firewall hin.
Klar kann man das richtig groß aufziehen, aber die Frage ist dann wer betreut das ganze. Und stehen Kosten und Nutzen in einem guten Verhältnis zueinander. Weniger ist manchmal mehr.
Du schreibst Du willst einen Windows Server hinstellen, habt ihr denn keinen?
Nicht jede Firma braucht einen Windows-Server und zentrale Benutzerverwaltung;=) Manchmal reicht auch ein NAS. Exchange ist heute eh nicht mehr OnPremise bei Windows.
Die Netzwerktrennung könnte man z.B. problemlos mit einem Lancom Router machen, oder man behält den vorhanden Router und stellt eine Firewall hin.
Klar kann man das richtig groß aufziehen, aber die Frage ist dann wer betreut das ganze. Und stehen Kosten und Nutzen in einem guten Verhältnis zueinander. Weniger ist manchmal mehr.
Moin,
zu den Switches bräuchten wir noch Hersteller & Modell, damit man das vernünftig beurteilen kann und wie die untereinander vernetzt sind (Glas, Kupfer oder ...).
Nochmal kurz zu Deinem Eingangsposting: Es gibt bisher kein Active Directory? Das willst Du dann auch noch aufbauen?
Gruß
cykes
zu den Switches bräuchten wir noch Hersteller & Modell, damit man das vernünftig beurteilen kann und wie die untereinander vernetzt sind (Glas, Kupfer oder ...).
An und für sich habe ich auch gar keinen Zeitdruck; würde das Netzwerk so lang wie möglich parallel aufbauen und erst, wenn es so weit ist, dann quasi switchen.
Den parallelen (Test-)Aufbau stellst Du Dir auch ein wenig zu einfach vor. Gerade wenn es um bspw. die VLAN- oder die Firewall-Konfiguration geht.Nochmal kurz zu Deinem Eingangsposting: Es gibt bisher kein Active Directory? Das willst Du dann auch noch aufbauen?
Gruß
cykes
Im Idealfall, von der Sicherheitsseite her, steckt jedes Gerät in einem eigenen VLAN und kommuniziert über eine Firewall nur genau mit den IPs/Hosts über genau die Ports die benötigt werden.
Solch' ein VLAN Konzept ist Unsinn. Wenn man eine Any zu Any Kommunikation innerhalb eines VLANs unterbinden will dann löst man sowas immer über das Feature Private VLANs bzw. Isolated VLANs aber niemals mit so einem unsinnigen Konzept.Wie sollte sowas z.B. bei 500 und mehr Endgeräten skalieren?!
Den parallelen (Test-)Aufbau stellst Du Dir auch ein wenig zu einfach vor.
Der ist aber dennoch sehr einfach und problemlos und kann man im laufenden Betrieb parallel machen.- Das bestehende Altnetz betreibt man in einem eigenen VLAN und konfiguriert nebenher die geplante VLAN Infrastruktur.
- Dann migriert man sukzessive die Endgeräte Schritt für Schritt aus dem Altnetz in die neuen VLANs. Diese Vorgehensweise hat sogar den Vorteil das man dies im laufenden Betrieb dann sogar gleich verifizieren und auf Funktion prüfen kann. Geht was schief steckt man zurück und fixt den Fehler.
Der ist aber dennoch sehr einfach und problemlos und kann man im laufenden Betrieb parallel machen.
War vielleicht etwas unpräzise formuliert. Es benötigt aber eine gute Planung und entsprechende Switches (die wir ja noch nicht kennen).
Absolut richtig! 👍
Eine gute Planung ist bekanntlich die halbe Migration. Richtige HW vorausgesetzt.
Aber solche allgemeinen Binsenweisheiten kennt der TO als IT Profi ja sicher auch selber... 😉
Eine gute Planung ist bekanntlich die halbe Migration. Richtige HW vorausgesetzt.
Aber solche allgemeinen Binsenweisheiten kennt der TO als IT Profi ja sicher auch selber... 😉
Usr001
Bevor du Freizeit für deine Planung opferst kläre doch zuerst ob die GF ein Budget xxx.xx € für dein Vorhaben frei gibt.
SSL / RDP ist ebenfalls ein denkbarer Ansatz für private Endgeräte
VG
Pitsec
Bevor du Freizeit für deine Planung opferst kläre doch zuerst ob die GF ein Budget xxx.xx € für dein Vorhaben frei gibt.
SSL / RDP ist ebenfalls ein denkbarer Ansatz für private Endgeräte
VG
Pitsec
Moin,
Die Trennungs-Linien an sich musst Du Dir überlegen. Die einen trennen Clients von Servern, andere Client/Server-Gruppen, der nächste funktionale Geschäftsbereiche von einander. Hängt auch ein wenig davon ab, was Deine HW (Switche) können. Bedenke dabei, dass der Regelaufwand viel kleiner ist und weniger Probleme verursacht (z.B: mdns), wenn alle Geräte eines Arbeitsbereichs im gleichen vLAN sind. Du reduzierst damit auch die Fehlerquellen im laufenden Betrieb.
https://www.youtube.com/watch?v=88lApTLm-_s
Schau Dir den mal an. Die Art und Weise, wie er das Setup dann in weiteren Folgen an Hand von Cisco erläutert, wird Dir auch bei anderen Herstellern unterkommen.
Grundsätzlich dazu: vLAN ist erstmal nur eine Erweiterung des Protokolls. Nur vLAN-fähige Switche können die Pakete überhaupt verarbeiten. Über IP-Adressen sind Geräte dann aber immer noch über vLAN-Grenzen hinweg ansprechbar/routbar. Erst die Firewall zwischen den vLANs "sichert" bzw. trennt das dann!
Und Bedenke, dass die "Performance" der Firewall dann eher weniger von der Provider-Bandbreite, sondern auch von der gewünschten vLAN-übgreifenden Performance (ggfs. Client/Server) definiert wird!
Persönlich würde ich wie folgt vorgehen:
Ne gebrauchte Sophos mit ohne Lizenz für 200(?) EUR, idealerweise schon mit SFP-Ports und darauf OPNsense als Firewall und zentraler "Netzwerk-Verwalter". Das hinter die Fritze hängen und daran die vLANs einrichten - parallel zum vorhandenen Setup und dann nach und nach "umstecken". Und später dann ggfs. die Fritze gegen Modem ersetzen.
PPS: Plane evtl. noch ein LTE-Fallback ein. Die Telekom hat da SIM-Tarife, die nur im "Failure-Fall" Kosten verursachen.
hinter den Router einen Windows Server zu hängen, der zum einen eine Active Directory bereitstellt, und zum anderen als DHCP-Server die Geräte in die verschiedenen Subnetze verteilt.
Du meinst als Honeypot und SinglePoint of Failure? Das wäre ungefähr das letzte was ich machen würde. Alleine schon aus Wartungs- und Lizenzgründen, würde ich das versuchen zu umschiffen. Wenn Directory, was in der Größe ja durchaus Sinn macht, dann gibts dafür auch andere Möglichkeiten (Synology, Univention, usw.)etwas großzügiger zu trennen:
Ich würde da nicht mit 24er Netzen arbeiten, sondern mit 26ern starten. Zudem nicht 172.16 .... sondern etwas höher. Die Start und Endpunkte der Privaten IPs dürften häufiger im Einsatz sein, was ggfs. später mit VPNs Probleme verursacht. Das Gäste-Wifi mit einem ganz anderen IP-Bereich zu versorgen ist bestimmt keine üble Idee.Die Trennungs-Linien an sich musst Du Dir überlegen. Die einen trennen Clients von Servern, andere Client/Server-Gruppen, der nächste funktionale Geschäftsbereiche von einander. Hängt auch ein wenig davon ab, was Deine HW (Switche) können. Bedenke dabei, dass der Regelaufwand viel kleiner ist und weniger Probleme verursacht (z.B: mdns), wenn alle Geräte eines Arbeitsbereichs im gleichen vLAN sind. Du reduzierst damit auch die Fehlerquellen im laufenden Betrieb.
auf alle Geräte zugreifen können, um bei Bedarf bspw. in die Konfigurationsoberflächen der Maschinen oder der Telefone zu kommen.
Mgmnt-vLAN. Alternativ legst Du Dir z.B. nen vLAN-Trunk ins Büro mit nem vLAN-fähigen Switch und steckst bei Bedarf einfach um. Damit hast Du keinen "Master", der wenn gehacked, alle Trennungen übern Haufen schmeißtnatürlich mit einer fixen IP eingetragen,
Achte schon jetzt (vorher) darauf, dass die Fritze die (fixen) IP-Adressen Deiner HW vergibt und das nicht auf den Druckern, Scannern, "Servern", usw. manuell konfiguriert ist. Das erleichtert später den Umstieg enorm! Auch, wenn Du z.B. mal testweise ein Gerät in ein vLAN ziehst um zu sehen ob das wie geplant funktioniert.mit einem einzelnen DHCP-Server
Natürlich nicht, Du brauchst für jedes vLAN einen DNS und einen DHCP ... UND eine Firewall aber das kann natürlich in einer HW umgesetzt werden. Üblicher Weise in einer Firewall. Zum Verständnis:https://www.youtube.com/watch?v=88lApTLm-_s
Schau Dir den mal an. Die Art und Weise, wie er das Setup dann in weiteren Folgen an Hand von Cisco erläutert, wird Dir auch bei anderen Herstellern unterkommen.
Grundsätzlich dazu: vLAN ist erstmal nur eine Erweiterung des Protokolls. Nur vLAN-fähige Switche können die Pakete überhaupt verarbeiten. Über IP-Adressen sind Geräte dann aber immer noch über vLAN-Grenzen hinweg ansprechbar/routbar. Erst die Firewall zwischen den vLANs "sichert" bzw. trennt das dann!
Und Bedenke, dass die "Performance" der Firewall dann eher weniger von der Provider-Bandbreite, sondern auch von der gewünschten vLAN-übgreifenden Performance (ggfs. Client/Server) definiert wird!
würde ich externe Firmen o. ä. gerne vorerst rauslassen.
Nachvollziehbar, ist auch managebar und auch kein Hexenwerk. Wenn Du die Asterisk am fliegen ist das alles lösbar Persönlich würde ich wie folgt vorgehen:
Ne gebrauchte Sophos mit ohne Lizenz für 200(?) EUR, idealerweise schon mit SFP-Ports und darauf OPNsense als Firewall und zentraler "Netzwerk-Verwalter". Das hinter die Fritze hängen und daran die vLANs einrichten - parallel zum vorhandenen Setup und dann nach und nach "umstecken". Und später dann ggfs. die Fritze gegen Modem ersetzen.
PPS: Plane evtl. noch ein LTE-Fallback ein. Die Telekom hat da SIM-Tarife, die nur im "Failure-Fall" Kosten verursachen.
1Du brauchst für jedes vLAN einen DNS und einen DHCP
Sorry, aber das das so nicht ganz richtig und in einem Firmenumfeld auch kontraproduktiv ist, weisst du als alter IT Hase aber selber auch besser. Vielleicht auch missverständlich gedrückt aus...?!Sowas sollte immer zentralisiert sein. Ob mit oder ohne Redundanz ist sicher eine Frage der Größe und DHCP Relay (ip helper) ist hier wie immer dein Freund.
1
Du schreibst Ihr seid ein kleines bis mittelgroßes Unternehmen mit 45 Mann/Frau... und werdet in Zukunft sicher größer werden.
- Ein AD macht hier auf jeden Fall schon Sinn! (2x MS AD über Hyper-V)
- Ein einzelner Router ist eigentlich ziemlich riskant!
- Segmentierung ist heute Standard! empfehlenswert z.B.: VLAN für Drucker, VoiP Telefon, Clients (GF, Innendienst, AD, Buchhaltung etc.)
Die Frage ist, wie viel Geld gibt dir der Chef für die Umsetzung?!
- Ein AD macht hier auf jeden Fall schon Sinn! (2x MS AD über Hyper-V)
- Ein einzelner Router ist eigentlich ziemlich riskant!
- Segmentierung ist heute Standard! empfehlenswert z.B.: VLAN für Drucker, VoiP Telefon, Clients (GF, Innendienst, AD, Buchhaltung etc.)
Die Frage ist, wie viel Geld gibt dir der Chef für die Umsetzung?!
1Vielleicht auch missverständlich gedrückt aus...?!
Bestimmt - aber Du hast das ja jetzt "gerade gerückt" Du schreibst Ihr seid ein kleines bis mittelgroßes Unternehmen mit 45 Mann/Frau... und werdet in Zukunft sicher größer werden.
20 Computer, 8 Maschinen und 3 Drucker, 1 Asterisk. Ob in dem Land noch was "größer" wird, muss man wohl abwarten und hängt auch davon ab, ob ausgerechnet die Verwaltung wachsen muss Und natürlich kann man jeden Rechner in ein eigenes vLAN packen – aber obs das bringt?! Lass Ihn doch mit erstmal wenigen vLANs starten und dann ggfs. weiter segmentieren.
1Zitat von @Visucius:
Und natürlich kann man jeden Rechner in ein eigenes vLAN packen – aber obs das bringt?! Lass Ihn doch mit erstmal wenigen vLANs starten und dann ggfs. weiter segmentieren.
Und natürlich kann man jeden Rechner in ein eigenes vLAN packen – aber obs das bringt?! Lass Ihn doch mit erstmal wenigen vLANs starten und dann ggfs. weiter segmentieren.
Nicht falsch verstehen, natürlich sollte nicht jeder Client ein eigenes vLAN haben, das ist Quatsch!
Mir ging es um eine klare Kategoriesegmentierung, die heute aus Sicherheitsgründen aus gutem Grund Standard sein sollte.
1
Das hängt ja davon ab, wer wie zusammenarbeitet und ob man da unbedingt dazwischengrätschen will. So nen vLAN ist ja auch kein 100% Schutz vor jeder Unbill.
Wenn man sich üblicher Weise ansieht, über wen sowas "reingetragen" wird, würde ich aber auch eine Trennung zwischen Buchhaltung, Vertrieb und Werkstatt andenken (und natürlich der "privaten" Geräte). So, dass Teilbereiche im Fall des Falles auch weiterarbeiten können. Meinst Du das mit "Kategoriesegmentierung"?
Wenn man sich üblicher Weise ansieht, über wen sowas "reingetragen" wird, würde ich aber auch eine Trennung zwischen Buchhaltung, Vertrieb und Werkstatt andenken (und natürlich der "privaten" Geräte). So, dass Teilbereiche im Fall des Falles auch weiterarbeiten können. Meinst Du das mit "Kategoriesegmentierung"?
Ist ja schon viel richtiges geschrieben worden, aber kommt mir alles recht theoretisch vor.
In der Praxis deinen Angreifer über das sogenannte "tötliche Trio" (Active directory, Ms office, Outlook) ein. *das* musst Du also sichern. Wenn du ein AD für Geräte nutzt, kommt ein Angreifer über den Domain Controller dann eh überall ran! Nützt damit imho in der Praxis alles nichts, es sei denn, es dient nur einer Zertifizierung und Sicherheit ist egal.
Ansonsten brauchst Du zuerst Microsoft unabhängige Sicherheit für die Maschinen. Das Windows darf da nicht ran kommen, denn dann kommt auch der Trojaner ran, egal, ob es ein vlan gibt oder nicht. Er kommt vielleicht sogar auf den Switch und kann ihn konfigurieren.
Das ist schwierig und aufwändig, zb muss das Maschinen-Netz getrennt sind (hat es ad DHCP, ist es nicht getrennt). Vermutlich müssen aber Leute von Office Netz darauf zugreifen können und das ist ein Problem. Technisch müssten die eigene Geräte dafür kriegen, aber das ist m.E. nach nicht praxistauglich.
Die Netze physikalisch trennen (eigene Kabel) ist mit strukturierter Verkabelung meist einfach, dann je einen Switch auf Firewall. Zum Administrieren zwei Laptops ohne Windows, ohne ad, ohne Mail. Am besten ohne freies Internet oder nicht nutzen.
Dann nimm keine 24er Netze, sondern mehr, 22er vielleicht, hast ja genug Platz. Gästenetz nimm 192.168.178.0, das erkennt dann jeder als Gast und hat schön andere IPs, das hilft im Wireshark.
Ist nicht Deine Frage, aber dennoch: fang mit den Backups an.
Gibt es eine Möglichkeit, dass dein Arbeitsplatzrechner die Backups verschlüsselt könnte? Bestimmt gibt es die. Und so machen das Angreifer. Der häufige Angriff mit ransom ware verschlüsselt einfach alles, versuche zunächst, dich davon zu schützen. Dazu brauchst du ad unabhängige Server, die die Daten holen und nicht freigegeben, zb ein Linux, was eine Windows Share mountet und die Backups kopiert.
Denke dran, du musst dich*gegen den Domain Admin schützen*, denn soweit kommt der Angreifer rein, wenn er will.
In der Praxis deinen Angreifer über das sogenannte "tötliche Trio" (Active directory, Ms office, Outlook) ein. *das* musst Du also sichern. Wenn du ein AD für Geräte nutzt, kommt ein Angreifer über den Domain Controller dann eh überall ran! Nützt damit imho in der Praxis alles nichts, es sei denn, es dient nur einer Zertifizierung und Sicherheit ist egal.
Ansonsten brauchst Du zuerst Microsoft unabhängige Sicherheit für die Maschinen. Das Windows darf da nicht ran kommen, denn dann kommt auch der Trojaner ran, egal, ob es ein vlan gibt oder nicht. Er kommt vielleicht sogar auf den Switch und kann ihn konfigurieren.
Das ist schwierig und aufwändig, zb muss das Maschinen-Netz getrennt sind (hat es ad DHCP, ist es nicht getrennt). Vermutlich müssen aber Leute von Office Netz darauf zugreifen können und das ist ein Problem. Technisch müssten die eigene Geräte dafür kriegen, aber das ist m.E. nach nicht praxistauglich.
Die Netze physikalisch trennen (eigene Kabel) ist mit strukturierter Verkabelung meist einfach, dann je einen Switch auf Firewall. Zum Administrieren zwei Laptops ohne Windows, ohne ad, ohne Mail. Am besten ohne freies Internet oder nicht nutzen.
Dann nimm keine 24er Netze, sondern mehr, 22er vielleicht, hast ja genug Platz. Gästenetz nimm 192.168.178.0, das erkennt dann jeder als Gast und hat schön andere IPs, das hilft im Wireshark.
Ist nicht Deine Frage, aber dennoch: fang mit den Backups an.
Gibt es eine Möglichkeit, dass dein Arbeitsplatzrechner die Backups verschlüsselt könnte? Bestimmt gibt es die. Und so machen das Angreifer. Der häufige Angriff mit ransom ware verschlüsselt einfach alles, versuche zunächst, dich davon zu schützen. Dazu brauchst du ad unabhängige Server, die die Daten holen und nicht freigegeben, zb ein Linux, was eine Windows Share mountet und die Backups kopiert.
Denke dran, du musst dich*gegen den Domain Admin schützen*, denn soweit kommt der Angreifer rein, wenn er will.
1
Nicht alles ist über VLans zu erbringen. Die größte Herausforderung sind eh die Anwender. Vor allem,wenn diese gewohnt sind ihre privaten Endgeräte ins Netz zu hängen .
Die Anwenderakzeptanz zerschlägt manch Vorhaben
Die Anwenderakzeptanz zerschlägt manch Vorhaben
Dann nimm keine 24er Netze, sondern mehr, 22er vielleicht, hast ja genug Platz.
Bei sowas bekommt ein Netzwerker aber krause Nackenhaare... 🤔Gut solange du mit einem /22er Prefix die goldenen maximalen ~150 Clients in einer Layer 2 Broadcast Domain nicht überschreitest ist das OK. Andernfalls ein NoGo!
Gästenetz nimm 192.168.178.0, das erkennt dann jeder als Gast und hat schön andere IPs
Oha, schon wieder so ein Gruseltipp. Und dann kommt der Gast der ein VPN aufmacht was auch mit einer Fritzbox betrieben wird.Das das ein ziemlich sinnfreier und auch kontraproduktiver Addressierungstip ist kannst du u.a. hier nachlesen.
Da der TO keinerlei Feedback mehr gibt hat er wohl eh schon den Überblick oder das Interesse an einer zielführenden Lösung verloren.
How can I mark a post as solved?
Zitat von @Snagless:
Hallo,
Du schreibst Du willst einen Windows Server hinstellen, habt ihr denn keinen?
Nicht jede Firma braucht einen Windows-Server und zentrale Benutzerverwaltung;=) Manchmal reicht auch ein NAS. Exchange ist heute eh nicht mehr OnPremise bei Windows.
Was ist das denn für ein Satz?Hallo,
Du schreibst Du willst einen Windows Server hinstellen, habt ihr denn keinen?
Nicht jede Firma braucht einen Windows-Server und zentrale Benutzerverwaltung;=) Manchmal reicht auch ein NAS. Exchange ist heute eh nicht mehr OnPremise bei Windows.
Microsoft möchte, dass alle ein Online-Exchange-Account nutzen, bietet jedoch trotzdem OnPremise Exchange Server an.
Ich betreue Handwerksbetriebe mit 10 Clients, die einen eigenen Exchange-Server einsetzen
Hat aber nix mit dem Thema zu tun.
2
Hallo zusammen,
zunächst – WOW! – vielen lieben Dank für die zahlreichen hilfreichen Infos, Links und Kommentare. Das hat mir alles in allem schon sehr weitergeholfen.
Ich war heute den ganzen Tag privat unterwegs, unser Ältester ist in die Schule gekommen. Daher erstmal keine Rückmeldung von mir.
Danke an @cykes, @aqui, @StefanKittel, @maretz, @kpunkt, @Snagless, @Visucius und alle anderen für euren Input.
Ich werde auf jeden Fall sehen, dass die privaten Geräte so schnell wie möglich raus kommen; das hat mir bisher ohnehin am meisten Bauchschmerzen bereitet. Die Geräte müssen nicht auf die Maschinen zugreifen, sondern nur ins Internet kommen. Ich hätte sie allenfalls in ein extra Netz genommen, dass sie vielleicht an die Drucker rankommen – aber wenn nicht, ist das jetzt nicht übertrieben tragisch.
Auch nochmal zur Klarstellung: Es ist wie gesagt ein kleiner bis mittelständischer Betrieb, mit dem Fokus auf dem Handwerk. Es muss natürlich aber auch technisch alles irgendwie funktionieren. Der Seniorchef der Firma und seine Frau lassen mir da sowieso absolut freie Hand, sie verstehen beide nichts von der Materie; auch der Junior ist Schreiner und kein Techniker.
Ich werde also definitiv die Zeit bekommen, die ich brauchen werde. Daran soll es nicht scheitern ;)
Es muss nicht morgen umgesetzt sein; lieber ist mir, wenn es in einem Jahr oder anderthalb steht und dann einigermaßen sinnvoll und nachhaltig funktioniert.
Vom Budget her sollte logischerweise alles im Rahmen bleiben – aber gegen die eine oder andere Ausgabe hat niemand im Betrieb was, wenn sie nachvollziehbar notwendig ist. Mal in Zahlen gesprochen: Ich denke, bis etwa 4-5.000 € hab ich keine Probleme durchzubekommen.
Noch eine Info am Rande: Eine AD ist tatsächlich schon vorhanden, wird aber nur ganz rudimentär genutzt. Die Mails laufen auch längst online über Office 365.
Ich werde mich auch nochmal tiefer mit euren Antworten beschäftigen :D
Dennoch schon jetzt tausend Dank!
zunächst – WOW! – vielen lieben Dank für die zahlreichen hilfreichen Infos, Links und Kommentare. Das hat mir alles in allem schon sehr weitergeholfen.
Ich war heute den ganzen Tag privat unterwegs, unser Ältester ist in die Schule gekommen. Daher erstmal keine Rückmeldung von mir.
Danke an @cykes, @aqui, @StefanKittel, @maretz, @kpunkt, @Snagless, @Visucius und alle anderen für euren Input.
Ich werde auf jeden Fall sehen, dass die privaten Geräte so schnell wie möglich raus kommen; das hat mir bisher ohnehin am meisten Bauchschmerzen bereitet. Die Geräte müssen nicht auf die Maschinen zugreifen, sondern nur ins Internet kommen. Ich hätte sie allenfalls in ein extra Netz genommen, dass sie vielleicht an die Drucker rankommen – aber wenn nicht, ist das jetzt nicht übertrieben tragisch.
Auch nochmal zur Klarstellung: Es ist wie gesagt ein kleiner bis mittelständischer Betrieb, mit dem Fokus auf dem Handwerk. Es muss natürlich aber auch technisch alles irgendwie funktionieren. Der Seniorchef der Firma und seine Frau lassen mir da sowieso absolut freie Hand, sie verstehen beide nichts von der Materie; auch der Junior ist Schreiner und kein Techniker.
Ich werde also definitiv die Zeit bekommen, die ich brauchen werde. Daran soll es nicht scheitern ;)
Es muss nicht morgen umgesetzt sein; lieber ist mir, wenn es in einem Jahr oder anderthalb steht und dann einigermaßen sinnvoll und nachhaltig funktioniert.
Vom Budget her sollte logischerweise alles im Rahmen bleiben – aber gegen die eine oder andere Ausgabe hat niemand im Betrieb was, wenn sie nachvollziehbar notwendig ist. Mal in Zahlen gesprochen: Ich denke, bis etwa 4-5.000 € hab ich keine Probleme durchzubekommen.
Noch eine Info am Rande: Eine AD ist tatsächlich schon vorhanden, wird aber nur ganz rudimentär genutzt. Die Mails laufen auch längst online über Office 365.
Ich werde mich auch nochmal tiefer mit euren Antworten beschäftigen :D
Dennoch schon jetzt tausend Dank!
Eine AD ist tatsächlich schon vorhanden, wird aber nur ganz rudimentär genutzt. Die Mails laufen auch längst online über Office 365.
Dann überlege Dir ob Du überhaupt lokal - noch einen - AD betreiben möchtest. Klar hat das Vorteile - aber doch eher nicht bei der Firmengröße. Für die oben genannte lokale Linux-Alternative "Univention" gäbe es meines Wissens auch einen Adapter für den Abgleich 365/Univention. Wenn gewünscht.Die Geräte müssen nicht auf die Maschinen zugreifen, sondern nur ins Internet kommen.
Na, dann pack die doch einfach in das Gäste-Netzwerk. KISS!1
Das mit den privaten Geräten kannst du ja schon mit der Fritzbox abhandeln.
Was ihr da aber vorher machen solltet (eigentlich müsst) ist eine Vereinbarung zur Internetnutzung klöppeln. Dabei dann auch noch gleich festlegen, dass auf privatn Geräten nix vom Betrieb und auf betrieblichen Geräten nix Privates zu suchen haben. Das dann in die Personalakte von jedem.
Es erleichtert die Sache ungemein, wenn ihr die private Internetnutzung untersagt. Kann man ja auch stillschweigend tolerieren.
Bin da auch bei @Visucius. Da ist die Frage, ob ihr noch ein AD vor Ort braucht oder wollt. Ich persönlich würds fast haben wollen, aber das ist jetzt nur aus dem Bauch raus.
Ansonsten mal in einen Router investieren, damit du die Fritzbox ablösen kannst.
Und dann nach belieben Netzwerke trennen. Da halt überlegen, wie kleinteilig das sein muss.
Ohne es zu kennen, würde ich da mal Telefonie abtrennen und auch die Maschinen. Den Rest würde ich jetzt mal komplett in einem Netz lassen.
Was ihr da aber vorher machen solltet (eigentlich müsst) ist eine Vereinbarung zur Internetnutzung klöppeln. Dabei dann auch noch gleich festlegen, dass auf privatn Geräten nix vom Betrieb und auf betrieblichen Geräten nix Privates zu suchen haben. Das dann in die Personalakte von jedem.
Es erleichtert die Sache ungemein, wenn ihr die private Internetnutzung untersagt. Kann man ja auch stillschweigend tolerieren.
Bin da auch bei @Visucius. Da ist die Frage, ob ihr noch ein AD vor Ort braucht oder wollt. Ich persönlich würds fast haben wollen, aber das ist jetzt nur aus dem Bauch raus.
Ansonsten mal in einen Router investieren, damit du die Fritzbox ablösen kannst.
Und dann nach belieben Netzwerke trennen. Da halt überlegen, wie kleinteilig das sein muss.
Ohne es zu kennen, würde ich da mal Telefonie abtrennen und auch die Maschinen. Den Rest würde ich jetzt mal komplett in einem Netz lassen.
Zitat von @kpunkt:
Das mit den privaten Geräten kannst du ja schon mit der Fritzbox abhandeln.
Was ihr da aber vorher machen solltet (eigentlich müsst) ist eine Vereinbarung zur Internetnutzung klöppeln. Dabei dann auch noch gleich festlegen, dass auf privatn Geräten nix vom Betrieb und auf betrieblichen Geräten nix Privates zu suchen haben. Das dann in die Personalakte von jedem.
Es erleichtert die Sache ungemein, wenn ihr die private Internetnutzung untersagt. Kann man ja auch stillschweigend tolerieren.
Das mit den privaten Geräten kannst du ja schon mit der Fritzbox abhandeln.
Was ihr da aber vorher machen solltet (eigentlich müsst) ist eine Vereinbarung zur Internetnutzung klöppeln. Dabei dann auch noch gleich festlegen, dass auf privatn Geräten nix vom Betrieb und auf betrieblichen Geräten nix Privates zu suchen haben. Das dann in die Personalakte von jedem.
Es erleichtert die Sache ungemein, wenn ihr die private Internetnutzung untersagt. Kann man ja auch stillschweigend tolerieren.
Ähm - nein? wenn du solche Vereinbarungen machst und es dann einfach eh nicht beachtest kann dir das schnell auch zum Strick werden:
a) Weil du deinem Chef beim Streit ne 1A-Möglichkeit für ne Abmahnung praktisch auf den Tisch legst
b) Weil die Mitarbeiter sich dann damit rausreden können das es ja allgemein bekannt war das es trotzdem gemacht werden darf und du es schwer hast du irgendwas durchzusetzen
c) Weil du auch den Mitarbeitern gegenüber dich wie nen Ar... verhälst. Wie soll ein MA denn jetzt wissen was er/sie darf und was nicht? Das eine wird unterschrieben und keiner kümmert sich drum, das nächste da steht plötzlich jemand hinter der Tür mit ner Warning...
Von daher die Geräte in nen eigenes Netz packen - ok... wenn man ne Vereinbarung wg. privater Nutzung machen will - auch ok, nur DANN eben auch richtig... Oder man spart sich die Zeit ganz, aber unterschreiben und dann einfach "weggucken" ist die dümmste aller Lösungen.
2
Es geht hier um den Betrieb und nicht um die Sonderwünsche der Mitarbeiter.
Wenn du als Firma gerne als Teledienstanbieter auftreten, sämtliche Verbindungen überprüfen und absichern willst, dann bitte. Hindert dich keiner dran.
Mach wie du willst, aber nimm dir am besten einen Anwalt. Denn da machst du ein Fass ohne Boden auf.
Wenn du als Firma gerne als Teledienstanbieter auftreten, sämtliche Verbindungen überprüfen und absichern willst, dann bitte. Hindert dich keiner dran.
Mach wie du willst, aber nimm dir am besten einen Anwalt. Denn da machst du ein Fass ohne Boden auf.
2
Ihr habt schon recht, mit privaten Geräten ist es natürlich immer so eine Sache.
Hintergrund ist einfach der, dass es bei uns im Ort kaum Mobilempfang gibt – d. h. um private Mails, WhatsApps oder auch Anrufe / SMS via WLAN-Call zu bekommen oder rauszuschicken (in der Mittagspause oder sicher auch hier und da mal während der Arbeitszeit, das wird bei uns auch ohne zu zögern toleriert, wenn die sonstige Leistung eines MAs passt), muss eben irgendeine Form von W-LAN da sein.
Da finde ich die Lösung mit dem Gastnetz bisher die brauchbarste
Meine Sorge wäre sonst, dass eben die Mails über den Firmenrechner gecheckt werden, was ja sicherheitstechnisch ein größeres Sicherheitsproblem wäre, als die Geräte im Gastnetz.
Ich mach mir da auch ehrlich gesagt wenig Gedanken, dass ich das allen einigermaßen verklickern kann. Die meisten der Mitarbeiter kenne ich seit weiß Gott wie vielen Jahren. 100% Sicherheit gibt es natürlich nicht – aber wenn man sich drauf einigt, dass die Mitarbeiter private Geräte nur im Gastnetz betreiben dürfen, ist das denke ich doch auch i. O.
Was man dann schriftlich vereinbart, ist aber – da habt ihr auch recht – nochmal eine andere Geschichte.
Da tendiere ich eher dazu, die Nutzung offiziell zu untersagen. Dabei geht es ja dann eigentlich um das interne Netz.
Hintergrund ist einfach der, dass es bei uns im Ort kaum Mobilempfang gibt – d. h. um private Mails, WhatsApps oder auch Anrufe / SMS via WLAN-Call zu bekommen oder rauszuschicken (in der Mittagspause oder sicher auch hier und da mal während der Arbeitszeit, das wird bei uns auch ohne zu zögern toleriert, wenn die sonstige Leistung eines MAs passt), muss eben irgendeine Form von W-LAN da sein.
Da finde ich die Lösung mit dem Gastnetz bisher die brauchbarste
Meine Sorge wäre sonst, dass eben die Mails über den Firmenrechner gecheckt werden, was ja sicherheitstechnisch ein größeres Sicherheitsproblem wäre, als die Geräte im Gastnetz.
Ich mach mir da auch ehrlich gesagt wenig Gedanken, dass ich das allen einigermaßen verklickern kann. Die meisten der Mitarbeiter kenne ich seit weiß Gott wie vielen Jahren. 100% Sicherheit gibt es natürlich nicht – aber wenn man sich drauf einigt, dass die Mitarbeiter private Geräte nur im Gastnetz betreiben dürfen, ist das denke ich doch auch i. O.
Was man dann schriftlich vereinbart, ist aber – da habt ihr auch recht – nochmal eine andere Geschichte.
Da tendiere ich eher dazu, die Nutzung offiziell zu untersagen. Dabei geht es ja dann eigentlich um das interne Netz.
Habt ihr einen Datenschutzbeauftragten?
https://www.mein-datenschutzbeauftragter.de/bestellung-datenschutzbeauft ...
https://www.mein-datenschutzbeauftragter.de/bestellung-datenschutzbeauft ...
Geil. Hat mal wieder jemand zu MA-freundlich gedacht.
Gibts da niemanden von der „Zentralverwaltung“, der den mal zurechtstutzt?
Läuft! 😂🤡
Gibts da niemanden von der „Zentralverwaltung“, der den mal zurechtstutzt?
Läuft! 😂🤡
Vodafone hat doch IPv6, warum dann noch mit IPv4 arbeiten?
1
Wenn es das war bitte nicht vergessen deinen Thread hier als erledigt zu markieren!
