da ich noch Azubi bin und ich mich doch etwas weiter bilden möchte, als das Spezifische in der Firma, strukturiere ich gerade das Firmennetz etwas um.
Allerdings hab ich vorab noch einige Fragen.
Ziel des ganzen ist das Trennen des Werkbanknetzes vom Firmennetz. Untereinander darf bis auf 2 Ausnahmen keine Kommunikation zugelassen werden.
1. Der Fileserver im Firmennetz (Diverse Software und Treiber per Netzfreigabe) muss im Werkbanknetz erreichbar sein.
2. Internetverbindung in beiden Netzen.
Hier einmal die Zielkonfiguration:
Zur Verfügung stehen Server 2003 & R2 oder Server 2008
Der Server ist mit Raid 1 und 2 Netzwerkkarten ausgestattet und von der Leistung her ausreichend. Drauf laufen soll später ein 2. Fileserver, DHCP und DNS für das Werkbanknetz.
Ich habe bereits einiges Versucht, bin aber bisher immer daran gescheitert die Netze komplett zu trennen und das Internet/den Fileserver trotzdem durch den Gateway zu lassen.
Hier nun erstmal meine ersten Fragen:
Ist es überhaupt so möglich, wie ich es mir vorstelle?
Welchen Gateway/DNS muss der DHCP im Werkbanknetz zuweisen?
Was ist der unterschied zwischen Ein- und Ausgehendem Filter der 1. und 2. Netzwerkkarte.
Liege ich richtig damit, dass ich lieber kein NAT nutzen sollte?
Die Ziel einer Netztrennung ist so in Wirklichkeit nicht erreichbar, denn, LAN 1 wird benutzt zur Durchleitung der Clients von LAN 2 an der Fileserver und den Internetrouter.
Ich empfehle, ändere das Konzept!
Eine - einfache - Möglichkeit, den Internetrouter und den Fileserver mit zwei Interfaces auszustatten.
Beispiel:
Router Interface 1: 192.168.0.1/24
Router Interface 2: 192.168.1.1/24
Server Interface 1: 192.168.0.10/24
Server Interface 2: 192.168.1.10/24
Der DCHP und DNS sind entsprechend einzurichten.
Eine Durchleitung wäre ein Irrweg.
Wozu soll das Werkbanknetz denn überhaupt vom "Firmennetz" getrennt, was soll damit erreicht werden?
Leider kann ich die Adressen der LANs nicht ändern, da wir Überregional über VPN mit einer anderen Zweigstelle verbunden sind und das so beibehalten werden soll. Das Werkbanknetz muss ebenfalls beibehalten werden, da die Komplette Konfiguration der Kundensystem dort statt findet und diese so beim Kunden einfach aufgestellt werden.
Im Werkbanknetz laufen Server mit dem gleichen Namen wie im Firmennetz. Zudem soll so ein zusätzlicher schutz vor Viren u.ä. gewährleistet werden, wenn z.b. ein verseuchter Rechner vom Kunden zwingend ins Netz gestellt werden muss.
Dazu kommt noch, dass der Router ein LanCom Hardware Router ist, den ich nicht mit einer 2. Schnittstelle ausrüsten kann.
Wäre es evtl. möglich das Werkbanknetz mit einem anderen Subnetz zu betreiben?
......Zudem soll so ein zusätzlicher schutz vor Viren u.ä. gewährleistet werden, wenn z.b. ein verseuchter Rechner vom Kunden zwingend ins Netz gestellt werden muss. ...
Solche eine Netzwerktrennung - wie auch imnmer - schützt nicht vor Infektionen, Befall. Was Du da vorhast, des bringt keine "zusätzliiche" Sicherheit; es gibt nämlich keine zusätzliche Sicherheit. Entweder ist ein System sicher eingerichtet oder nicht. Schutz beginnt an der Einrichtung der Workstation, an Nutzung und richtiger Konfiguration deren Schutzmechanismen wie Firewall und Virenscanner, am Stand der Sicherheitsupdates.
Für Sichheit wird ein ganzheitliche Konzept benötigt, kein Flickwerk oder Improvisation.
Für die Sicherheit ist die "Netzwerktrennung" dieser Art kein Argument, die Trennung ist nämlich nur scheinbar, denn, die Rechner des Netzes 100 senden doch Pakete an und durch das Netz 200, die Paktete werden geroutet umgesetzt von 100 nach 200, das gilt auch umgekehrt. Ein Teilnehmer aus 100 kann ja schliesslich auf den Server in 200 zugreifen und auf den Internetrouter.
Bei uns gibt es eine sichere Trennung, diese beginnt schon mit getrennten Internetroutern, getrennte Server, getrennte Switches, getrennte physikalische Netze. Weiter kann niemand mit einem USB-Stick, einer USB-Festplatte aus dem Werkbanknetz ins Verwaltungsnetz wechseln, den Con****er verbreiten.
Die von mir in #2 genannten Adressen sind Beispiele, man kann ja bei 100 und 200 bleiben.
Falls man nun - warum auch immer - die Trennung nur auf IP-Segmentebene vornehmen will, dann kann man schauen, ob der Router am LAN-Interface mit zwei Adressen konfigurierbar ist, das des Windowsservers ist es auf jeden Fall.
Solche eine Netzwerktrennung - wie auch imnmer - schützt nicht vor Infektionen, Befall. Was Du da vorhast, des bringt keine "zusätzliiche" Sicherheit; es gibt nämlich keine zusätzliche Sicherheit. Entweder ist ein System sicher eingerichtet oder nicht. Schutz beginnt an der Einrichtung der Workstation, an Nutzung und richtiger Konfiguration deren Schutzmechanismen wie Firewall und Virenscanner, am Stand der Sicherheitsupdates.
Die Systeme hier sind soweit sicher, nur wenn solche sachen wie Gestern mit McAfee auftreten und gerade eine Virenschleuder hier steht, wäre das eine 2. Barriere. Link zum Heise Artikel
Dazu kommen noch Datenbanken auf den Servern, die unter anderem Medizinische Patientendaten enthalten und von den Mitarbeitern hier nicht eingesehen werden dürfen. Die Server im Werkbanknetz haben Statische IPs ohne DNS und Gateway und sind momentan nur während der Grundinstallation im Firmennetz. Danach wird alles mit USB Medien gemacht und das Stresst auf die Dauer.
Firmennetz:
Normales arbeiten wie z.b. Angebote, Rechnungswesen, Buchhaltung usw.
Werkbanknetz:
Vorbereiten von Kundensystemen, die dann 1:1 zum Kunden "gestellt" werden. Reparatur von Kundenrechnern u.ä.
Der Betriebsleiter hat keinerlei Ahnung von IT. Ich hab im moment recht wenig zu tun, daher versuche ich die vorhandenen Arbeitsabläufe zu Optimieren und da kam mir eben die Idee die Netze zu trennen und nicht immer (sobald patientendaten eingespielt werden) mit USB platten zu hantieren.
Rechtlich gesehen ist das mit den Daten nicht relevant und es würde auch mit einem Netz gehen, nur möchte die Geschäftsleitung nicht, dass Mitarbeiter ausserhalb der IT-Abteilung auf solche Daten zugreifen können. Der ISP über den wir Laufen ist ein Spezieller ISP für Medizinische Internetzugänge, also auch aus seiten Internet ist rechtlich gesehen alles im Grünen bereich.
.....Ich habe bereits einiges Versucht, bin aber bisher immer daran gescheitert die Netze komplett zu trennen und das Internet/den Fileserver trotzdem durch den Gateway zu lassen......
Ich ahne natürlich das Problem der Konfigaration.
Nehmen wir mal den Client 192.168.100.100, was ist bei dem als Gateway eingetragen? Wahrscheinlich doch die 192.168.100.1. Oder?
Von dem Recher aus pingen wir mal den Server, den 192.168.201.150. Der Ping kommt auch beim server an, das ist mit Wireshark feststellbar. Wohin soll der Server denn aber die Antwort senden, kennt der Server das Netz 192.168.100.x, ist dafür eine Route einegstellt? Bei Server erhält ein datagramm aus einem anderen Netz, er muss doch wissen, an welches gateway er die Antwort senden soll; am Server ist doch wohl sehr wahrscheinlich der Inetrouter als Gateway eingetragen, oder?
Prinziell kann man am Server eine Route konfigurieren, als Satz heisst das: Zum Erreichen des Netzes 192.168.100.0 benutze das Gateway 192.168.201.17; dafür ist der Befehl Route zu verwenden!
