2K8 - Getrennte Netze - Umstrukturierung

[Poet 10]

Hallo zusammen,

 

da ich noch Azubi bin und ich mich doch etwas weiter bilden möchte, als das Spezifische in der Firma, strukturiere ich gerade das Firmennetz etwas um.

Allerdings hab ich vorab noch einige Fragen.

 

Ziel des ganzen ist das Trennen des Werkbanknetzes vom Firmennetz. Untereinander darf bis auf 2 Ausnahmen keine Kommunikation zugelassen werden.

1. Der Fileserver im Firmennetz (Diverse Software und Treiber per Netzfreigabe) muss im Werkbanknetz erreichbar sein.

2. Internetverbindung in beiden Netzen.

 

Hier einmal die Zielkonfiguration:

 

 

Zur Verfügung stehen Server 2003 & R2 oder Server 2008

Der Server ist mit Raid 1 und 2 Netzwerkkarten ausgestattet und von der Leistung her ausreichend. Drauf laufen soll später ein 2. Fileserver, DHCP und DNS für das Werkbanknetz.

 

Ich habe bereits einiges Versucht, bin aber bisher immer daran gescheitert die Netze komplett zu trennen und das Internet/den Fileserver trotzdem durch den Gateway zu lassen.

 

Hier nun erstmal meine ersten Fragen:

Ist es überhaupt so möglich, wie ich es mir vorstelle?

Welchen Gateway/DNS muss der DHCP im Werkbanknetz zuweisen?

Was ist der unterschied zwischen Ein- und Ausgehendem Filter der 1. und 2. Netzwerkkarte.

Liege ich richtig damit, dass ich lieber kein NAT nutzen sollte?

 

Ich bin für erste Hilfestellung dankbar.

 

LG

Chris

[lefg 276]

Hallo Poet, herzlich Willkommen am Board,

 

Die Ziel einer Netztrennung ist so in Wirklichkeit nicht erreichbar, denn, LAN 1 wird benutzt zur Durchleitung der Clients von LAN 2 an der Fileserver und den Internetrouter.

 

Ich empfehle, ändere das Konzept!

 

Eine - einfache - Möglichkeit, den Internetrouter und den Fileserver mit zwei Interfaces auszustatten.

 

Beispiel:

Router Interface 1: 192.168.0.1/24

Router Interface 2: 192.168.1.1/24

Server Interface 1: 192.168.0.10/24

Server Interface 2: 192.168.1.10/24

 

Der DCHP und DNS sind entsprechend einzurichten.

 

Eine Durchleitung wäre ein Irrweg.

 

Wozu soll das Werkbanknetz denn überhaupt vom "Firmennetz" getrennt, was soll damit erreicht werden?

 

Gruß

 

Edgar

[Poet 10]

Hallo und Danke für die erste Antwort,

 

Leider kann ich die Adressen der LANs nicht ändern, da wir Überregional über VPN mit einer anderen Zweigstelle verbunden sind und das so beibehalten werden soll. Das Werkbanknetz muss ebenfalls beibehalten werden, da die Komplette Konfiguration der Kundensystem dort statt findet und diese so beim Kunden einfach aufgestellt werden.

 

Im Werkbanknetz laufen Server mit dem gleichen Namen wie im Firmennetz. Zudem soll so ein zusätzlicher schutz vor Viren u.ä. gewährleistet werden, wenn z.b. ein verseuchter Rechner vom Kunden zwingend ins Netz gestellt werden muss.

 

Dazu kommt noch, dass der Router ein LanCom Hardware Router ist, den ich nicht mit einer 2. Schnittstelle ausrüsten kann.

 

Wäre es evtl. möglich das Werkbanknetz mit einem anderen Subnetz zu betreiben?

 

Gruß

Chris

[lefg 276]

......Zudem soll so ein zusätzlicher schutz vor Viren u.ä. gewährleistet werden, wenn z.b. ein verseuchter Rechner vom Kunden zwingend ins Netz gestellt werden muss. ...

Solche eine Netzwerktrennung - wie auch imnmer - schützt nicht vor Infektionen, Befall. Was Du da vorhast, des bringt keine "zusätzliiche" Sicherheit; es gibt nämlich keine zusätzliche Sicherheit. Entweder ist ein System sicher eingerichtet oder nicht. Schutz beginnt an der Einrichtung der Workstation, an Nutzung und richtiger Konfiguration deren Schutzmechanismen wie Firewall und Virenscanner, am Stand der Sicherheitsupdates.

 

Für Sichheit wird ein ganzheitliche Konzept benötigt, kein Flickwerk oder Improvisation.

 

Für die Sicherheit ist die "Netzwerktrennung" dieser Art kein Argument, die Trennung ist nämlich nur scheinbar, denn, die Rechner des Netzes 100 senden doch Pakete an und durch das Netz 200, die Paktete werden geroutet umgesetzt von 100 nach 200, das gilt auch umgekehrt. Ein Teilnehmer aus 100 kann ja schliesslich auf den Server in 200 zugreifen und auf den Internetrouter.

 

Bei uns gibt es eine sichere Trennung, diese beginnt schon mit getrennten Internetroutern, getrennte Server, getrennte Switches, getrennte physikalische Netze. Weiter kann niemand mit einem USB-Stick, einer USB-Festplatte aus dem Werkbanknetz ins Verwaltungsnetz wechseln, den Con****er verbreiten.

 

Die von mir in #2 genannten Adressen sind Beispiele, man kann ja bei 100 und 200 bleiben.

 

Falls man nun - warum auch immer - die Trennung nur auf IP-Segmentebene vornehmen will, dann kann man schauen, ob der Router am LAN-Interface mit zwei Adressen konfigurierbar ist, das des Windowsservers ist es auf jeden Fall.

bearbeitet 23. April 2010 von lefg

[Poet 10]

Solche eine Netzwerktrennung - wie auch imnmer - schützt nicht vor Infektionen, Befall. Was Du da vorhast, des bringt keine "zusätzliiche" Sicherheit; es gibt nämlich keine zusätzliche Sicherheit. Entweder ist ein System sicher eingerichtet oder nicht. Schutz beginnt an der Einrichtung der Workstation, an Nutzung und richtiger Konfiguration deren Schutzmechanismen wie Firewall und Virenscanner, am Stand der Sicherheitsupdates.

 

Die Systeme hier sind soweit sicher, nur wenn solche sachen wie Gestern mit McAfee auftreten und gerade eine Virenschleuder hier steht, wäre das eine 2. Barriere. Link zum Heise Artikel

 

Dazu kommen noch Datenbanken auf den Servern, die unter anderem Medizinische Patientendaten enthalten und von den Mitarbeitern hier nicht eingesehen werden dürfen. Die Server im Werkbanknetz haben Statische IPs ohne DNS und Gateway und sind momentan nur während der Grundinstallation im Firmennetz. Danach wird alles mit USB Medien gemacht und das Stresst auf die Dauer.

[lefg 276]

.....Wäre es evtl. möglich das Werkbanknetz mit einem anderen Subnetz zu betreiben?......

Wie ist die Frage denn zu verstehen? das Netz 192.168.100.x ist doch ein anderes Subnetz als 192.168.201.x.

[Poet 10]

Ich meinte Netzwerkmaske nicht subnetz, entschuldige.

[lefg 276]

Beschreibe mir das mal genauer, was wird im Firmen- und was im Werkbanknetz gemacht? Was wird an den Werkbänken hergestellt, bearbeitet?

 

Ich ahne es wohl schon, habe den Eindruck, Du begibst dich auf dünnes Eis. Was meint denn der Chef, der Betriebsleiter dazu?

[Poet 10]

Ich versuch das mal Grob zu erklären:

 

Firmennetz:

Normales arbeiten wie z.b. Angebote, Rechnungswesen, Buchhaltung usw.

 

Werkbanknetz:

Vorbereiten von Kundensystemen, die dann 1:1 zum Kunden "gestellt" werden. Reparatur von Kundenrechnern u.ä.

 

 

Der Betriebsleiter hat keinerlei Ahnung von IT. Ich hab im moment recht wenig zu tun, daher versuche ich die vorhandenen Arbeitsabläufe zu Optimieren und da kam mir eben die Idee die Netze zu trennen und nicht immer (sobald patientendaten eingespielt werden) mit USB platten zu hantieren.

Rechtlich gesehen ist das mit den Daten nicht relevant und es würde auch mit einem Netz gehen, nur möchte die Geschäftsleitung nicht, dass Mitarbeiter ausserhalb der IT-Abteilung auf solche Daten zugreifen können. Der ISP über den wir Laufen ist ein Spezieller ISP für Medizinische Internetzugänge, also auch aus seiten Internet ist rechtlich gesehen alles im Grünen bereich.

[lefg 276]

.....Ich habe bereits einiges Versucht, bin aber bisher immer daran gescheitert die Netze komplett zu trennen und das Internet/den Fileserver trotzdem durch den Gateway zu lassen......

Ich ahne natürlich das Problem der Konfigaration.

 

Nehmen wir mal den Client 192.168.100.100, was ist bei dem als Gateway eingetragen? Wahrscheinlich doch die 192.168.100.1. Oder?

 

Von dem Recher aus pingen wir mal den Server, den 192.168.201.150. Der Ping kommt auch beim server an, das ist mit Wireshark feststellbar. Wohin soll der Server denn aber die Antwort senden, kennt der Server das Netz 192.168.100.x, ist dafür eine Route einegstellt? Bei Server erhält ein datagramm aus einem anderen Netz, er muss doch wissen, an welches gateway er die Antwort senden soll; am Server ist doch wohl sehr wahrscheinlich der Inetrouter als Gateway eingetragen, oder?

 

Prinziell kann man am Server eine Route konfigurieren, als Satz heisst das: Zum Erreichen des Netzes 192.168.100.0 benutze das Gateway 192.168.201.17; dafür ist der Befehl Route zu verwenden!

[Poet 10]

Nehmen wir mal den Client 192.168.100.100, was ist bei dem als Gateway eingetragen? Wahrscheinlich doch die 192.168.100.1. Oder?

 

Im ersten Posting war genau das meine Frage. Bisher hab ichs wie du schon sagtest mit der 100.1 versucht.

 

Von dem Recher aus pingen wir mal den Server, den 192.168.201.150. Der Ping kommt auch beim server an, das ist mit Wireshark feststellbar. Wohin soll der Server denn aber die Antwort senden, kennt der Server das Netz 192.168.100.x, ist dafür eine Route einegstellt?

Bei Server erhält ein datagramm aus einem anderen Netz, er muss doch wissen, an welches gateway er die Antwort senden soll; am Server ist doch wohl sehr wahrscheinlich der Inetrouter als Gateway eingetragen, oder?

 

 

Dem Fileserver habe ich die 192.168.201.178 als Sekundären DNS gegeben also die Adresse des Gateways. Die Kommunikation zwischen Fileserver<->Werkbank und Internet<->Werkbank klappt. Nur kann man anscheinend keine kompletten Subnetze ausschliessen, sodass die anderen PCs in 201.x keine Verbindung bekommen. Sobald ich nur die beiden Verbindungen zulasse werden ja auch das Internet komplett ausgeschlossen.

[lefg 276]

Nun, Du siehst, das nicht so einfach, man kann an solchen Dingen wohl basteln und es auch so hinbekommen. Ich habe sowas mal gemacht, es denn sein lassen, zu aufwändig, kostete zuviel Zeit und Geld.

[lefg 276]

....Dem Fileserver habe ich die 192.168.201.178 als Sekundären DNS gegeben also die Adresse des Gateways.

Arbeitet denn ein DNS auf dem Router zwischen den Netzen und falls ja, was sollte der bewirken?

[Poet 10]

Arbeitet denn ein DNS auf dem Router zwischen den Netzen und falls ja, was sollte der bewirken?

 

Ich habe "Testweise" mal den DNS eingerichtet, weil ich gehofft hab, dass dann der Fileserver ansprechbar ist bzw antworten kann. Soweit scheint das ja auch geklappt zu haben. Nur durch die Sekundäre DNS eintragung im WAN-Router leitet der nun alle Firmenpakete ins Werkbanknetz und nicht wie gewünscht nur den Internetverkehr. Daraufhin hab ich versucht das Komplette 201.x Subnetz bis auf WAN-Router und Fileserver zu Sperren. nur ist es mit "Boardmitteln" anscheinend nicht möglich subnetze zu sperren, sondern nur alles bis auf die regeln, womit dann wiederum keine Internetverbindungen durch kommen.

[lefg 276]

Ich habe "Testweise" mal den DNS eingerichtet, weil ich gehofft hab, dass dann der Fileserver ansprechbar ist bzw antworten kann..

Hm, sag mal, weisst Du was (ein) DNS ist, wofür der gut?

 

Soweit scheint das ja auch geklappt zu haben. Nur durch die Sekundäre DNS eintragung im WAN-Router leitet der nun alle Firmenpakete ins Werkbanknetz und nicht wie gewünscht nur den Internetverkehr.

Es scheint, das ist scheinbar.

 

Daraufhin hab ich versucht das Komplette 201.x Subnetz bis auf WAN-Router und Fileserver zu Sperren. nur ist es mit "Boardmitteln" anscheinend nicht möglich subnetze zu sperren, sondern nur alles bis auf die regeln, womit dann wiederum keine Internetverbindungen durch kommen

Solche Versuche sind so zum Scheitern verurteilt.

 

Bist Du sicher, ist dein Chef sicher, dass Du reif bist für ein produktives Firmennetz, wäre ein Labornetz nicht besser erstmal zum Üben?

 

Ich denke, es fehlt da am Grundlagen TCP/IP, Routing und einiges mehr. Nun, ich habe zwei Vorschläge gemacht, zwei mögliche Szenaria.

 

Auch wird ein Zugriffsschutz auf (Windows)Server anders geregelt als durch Sperren von Netzen. In diesem Fall musst man doch von 100 an den Server und ins Internet "durch" Netz 201, oder?

 

Habe ich möglicherweise etwas nicht verstanden?