folgende Frage.
Ich habe nächste Woche einen Aussentermin bei einem " schwierigen Admin"
Da meine Kollegen mich bereits gewarnt haben folgende Fragen im Vorfeld:
Warum setzt ein Unternehmen mit ca 60 Clients öffentliche IP Adressen für "normale Clients"ein.
Laut dem Admin (mit einem arroganten Lächeln) sei dies sicherer als Private IPs zu verwenden. Er sei nicht so dumm wie die anderen
Die Umgebung hat ne Astaro Firewall, Avira.......usw.Alles an einem Standort
4 Windows 2003 Server, 1 ADS.....
Die Clients sind doch dann direkt aus dem WAN erreichbar?!
Nein, sind sie nicht. Sie sind ja hinter der Firewall und damit nach extern nicht sichtbar. Der Kollege wird sich wahrscheinlich denken, wenn ein externer Zugriff erfolgen sollte, dann geht er immer auf die tatsächliche Öffentliche Adresse und nie auf seine.
Ob die Denkweise stimmt, wage ich zu bezweifeln und über die unangenehmen Seiteneffekte die durch so ein Konstrukt auftauchen, brauchen wir gar nicht zu reden und würde auch keinen Sinn machen. Jemand der von so einer Idee überzeugt ist, lässt sich erst dann davon abbringen, wenn er deswegen einmal auf die Nase fällt.
Vor einigen Jahren wurde ich einmal zu einem derartigen Fall gerufen. Da wollte ein Mailserver partout mit einem Rechner von HP kommunizieren, weil er glaubte im gleichen Netz wie der Rechner von HP zu sein
Vor einigen Jahren wurde ich einmal zu einem derartigen Fall gerufen. Da wollte ein Mailserver partout mit einem Rechner von HP kommunizieren, weil er glaubte im gleichen Netz wie der Rechner von HP zu sein
Es gibt immer wieder Admins, die aus purer Unwissenheit im LAN öffentliche IP-Adressen verwenden, die ihnen nicht gehören. Hierauf deutet im vorliegenden Fall aber nichts hin.
Zitat von Fitzel
Warum setzt ein Unternehmen mit ca 60 Clients öffentliche IP Adressen für "normale Clients"ein.
Laut dem Admin (mit einem arroganten Lächeln) sei dies sicherer als Private IPs zu verwenden. Er sei nicht so dumm wie die anderen
Wenn das "seine" Adressen sind, spricht nichts dagegen. NAT und "private" IP-Adressen sind doch schließlich nur eine Krücke aufgrund der Adressknappheit bei IPv4!
Es hat seinen Charme, auch im internen Netz weltweit exklusive und eindeutige IP-Adressen zu verwenden. Bei IPv6 wird auch wieder so gearbeitet werden. Gerade wenn man häufig Netze von Dritten anbinden muss, geht einem das Hinundhergenatte ziemlich auf die Mozartkugeln. Nur kommt man aus dieser Nummer solange nicht vollständig raus, bis jeder Beteiligte exklusive Adressen im LAN verwendet.
Wenn dem Admin bzw. dem Unternehmen für die tatsächtlichen und angenommenen Vorteile die damit verbundenen Kosten Wert sind, ist das ihre Sache. Einen Sicherheitsgewinn (aber auch einen Sicherheitsverlust) kann ich hierin jedoch nicht entdecken. Jedes vernünftige Sicherheitskonzept sieht ohnehin vor, dass weder von WAN nach LAN noch von LAN nach WAN eine direkte Kommunikation möglich ist. Nach der reinen Lehre läuft das immer über dualhomed ALGs.
Zitat von Fitzel
der Admin greift auch nicht über VPN auf die Server / Netzwerk zu, sondern über Teamviewer......
Laut dem Admin (mit einem arroganten Lächeln) sei dies sicherer als Private IPs zu verwenden. Er sei nicht so dumm wie die anderen
Exakt das gleiche unsinnige Argument hatte ich bereits vor mehreren Jahren von einem internen Systemadministrator gehört.
Die Folge war dann, dass die Buchhaltung kein Onlinebanking der Vereins- und Westbank aufrufen konnte, weil zufällig genau die das gleiche Netz nutzten.
Es hat seinen Charme, auch im internen Netz weltweit exklusive und eindeutige IP-Adressen zu verwenden.
Welchen denn genau? Ausser dass deine Firewall nicht mehr NAT-ten muß?
Ich mein im Endeffekt führt das zwangsläufig zu Split-DNS (was bei manchen sowieso vollkommen am Know How scheitert, da bis heute noch mit Hosts- Dateien gearbeitet wird). Der einzige Vorteil wäre, dass ich meinen Client direkt mit public IP von extern ansprechen könnte, aber wer will das schon, bzw. welche Dienste bietet so ein Client denn normalerweise nach extern an?
Bei IPv6 wird auch wieder so gearbeitet werden.
Vielleicht ja auch der Grund, warum es derzeit noch nicht wirklich stark verbreitet ist?
angenommenen Vorteile die damit verbundenen Kosten Wert sind, ist das ihre Sache. Einen Sicherheitsgewinn (aber auch einen Sicherheitsverlust) kann ich hierin jedoch nicht entdecken. Jedes vernünftige Sicherheitskonzept sieht ohnehin vor, dass weder von WAN nach LAN noch von LAN nach WAN eine direkte Kommunikation möglich ist. Nach der reinen Lehre läuft das immer über dualhomed ALGs.
Exakt das gleiche unsinnige Argument hatte ich bereits vor mehreren Jahren von einem internen Systemadministrator gehört. Die Folge war dann, dass die Buchhaltung kein Onlinebanking der Vereins- und Westbank aufrufen konnte, weil zufällig genau die das gleiche Netz nutzten.
Wo bitte steht denn im Eröffnungsposting, dass der Admin fremde Adressen verwendet?
Nirgends! In Juristenkreisen nennt man soetwas eine Sachverhaltsquetsche...
Zitat von NorbertFe
Welchen denn genau?
Wo ich handfeste Vorteile sehe, habe ich in meinem ersten Posting erwähnt.
Zitat von NorbertFe
Der einzige Vorteil wäre, dass ich meinen Client direkt mit public IP von extern ansprechen könnte, aber wer will das schon, bzw. welche Dienste bietet so ein Client denn normalerweise nach extern an?
Deshalb hatte ich dieses "Argument" ja gerade nicht angeführt.
Zitat von NorbertFe
Ich mein im Endeffekt führt das zwangsläufig zu Split-DNS
Dass Server intern wie extern unter der selben IP-Adresse zu erreichen wären, führt Deiner Meinung nach zu Split-DNS?
Seltsame Argumentation! Darüber solltest Du vielleicht nochmal genauer nachdenken...
öffentliche IP Adressen
