Clients in unterschiedliche Netze einteilen

[Mr. Wulffs 10]

Hallo.

 

Wir haben insgesamt ca. 40 Clients mit Windows XP Prof. und drei Abteilungen: Sekretariat, Werkstatt, Administratoren. Darunter haben wir noch einen File-Server.

 

Alle Rechner im Netzwerk haben Zugang ins Internet.

 

Ich möchte das Netzwerk wie folgt aufteilen, so dass die Clients nur in den jeweiligen Abteilungen sich "verständigen" können bzw. Daten untereinander austauschen können. Ich will mit dieser Aufteilung den Broadcast-Sturm mindern und die Sicherheit gewährleisten, dass z.B. die Abteilung Werkstatt nicht auf die PC´s vom Sekretariat zugreifen können.

 

Auf dem File-Server jedoch, müssen alle Abteilungen zugreifen können.

 

Wie kann ich das realisieren?

 

Zur besseren Verständnis habe ich noch eine Zeichnung erstellt.

 

Gruß

Mr. Wulffs

 

[IThome 10]

z.B. mit 3 Netzwerkkarten im Server bei abgeschaltetem Routing oder besser mit einerm Router, der die entsprechende Anzahl an Schnittstellen hat. Mit VLANs könnte man sowas auch machen ...

[Mr. Wulffs 10]

OK. Also mit drei oder mehreren Netzwerkkarten (eine Netzwerkkarte pro Netz) könnte ich dann alle Abteilungen in unterschiedliche Netze aufteilen, richtig?

Ist es dann trotzdem möglich, dass alle Abteilungen gemeinsam auf den File-Server zugreifen können? Denn der soll ja ebenfalls im anderen Netz sich befinden.

[IThome 10]

Er hätte jeweils eine Adresse aus den Bereichen, also mehrere. Soll er nur eine haben, dann via Router oder VLAN ...

[lefg 276]

Falls es bei solch wenigen Rechner zu einer Netzlast durch Broadcast kommt, dann stimmt etwas grundsätzlich nicht. Woher stammt der der Broadcast Storm? Falls die Interfaces einzelner Clients tatsächler fehlerhaft einen Storm auslösen, dann ist dort der Ursache nachzugehen, weiter sind geeignete Switches zu wählen; ich habe die Geschichte hinter mir.

 

Eine Unterteilung in Subnet also zum Gewährleisten der Sicherheit? Das versehe ich mit einem Fragezeichen. Wer ist in dem Netz denn Sicherheitsdiensanbieter, handelt es sich um Arbeitsgruppen oder um eine Domäne? Bei 40 Rechnern ist eine Domäne angebracht.

 

Wie Ithome schon schrieb, VLAN ist eine Lösung zum Abschotten.

 

Die Rechner eines VLANS haben keinen Kontakt mit anderen, mit geeignetem Gerät können Schnittmengen gebildet werden.

 

Mit VLAN schotten wir die Buchhaltung von anderen ab, es ist aber nur eine zusätzliche Sicherheitsmaßname, eher eine formale. Im Normalfall kann eine gut administrieret Domäe alles zu gewährleisten. Da brauchen keine Clients untereinander zu kommunizieren, die Daten sind auf dem Server, die Clients benötigen untereinader keinen Zugriff, die Firewalls sind aktiviert, RDP für die Administration freigegeben. Was braucht man noch?

[tomdiver 11]

Hallo Mr. Wulffs,

 

bei uns arbeiten wir in der Domäne mit VLAN Switchen - wäre für dein Szenario echt ne überdenkenswerte Alternative - hat den Vorteil, das du eventuellen Zugang von einer in die nächste Abteilung mit ein paar Einstellungen am Switch regulieren kannst ohne die Netzwerkeinstellungen insgesamt anfassen zu müssen

 

MfG

tomdiver

[Mr. Wulffs 10]

Morgen!

 

- Wir haben ca. 40 Clients.

 

- Aber diese Clients befinden sich nicht in einer Domäne. Das wurde aus politischen Gründen abgelehnt.

 

- Der Grund ist, warum ich die drei Abteilungen in drei unterschiedliche Netze einteilen möchte, ist zu einem gegen Broadcast-Storm, Sniffing -so dass die eine Abteilung nicht in die andere Sniffen kann und damit die eine Abteilung nicht in die andere Abteilung mit den Rechnern kommunizieren kann

[lefg 276]

Weisst Du wirklich, was ein Broadcaststorm ist?

 

Solche "politischen" Entscheidungen werden meist geboren aus Unkenntnis der Entscheider über die die Materie. Ein Schergenadmin ist da machlos.

 

Besteht tatsächlich die Möglichkeit, da benutzt in der Firma jemand einen Sniffer und versucht die anderen Abteilungen auszuspionieren? Mit einer Domäne ware der Einsatz eines Sniffers auf einem Abteilungsrechner einfach verhindern. Sniffen setzt aber auch Zugriff des sniffenden Rechners auf einen Datenstrom voraus, bei der Verwendung von Switches als Netzwerkgerät ist das aber doch nicht wirklich effektiv möglich, sniffen könnte man nur den Broadcast. Zum Sniffen müsste an einem technisch geeignetem und strategisch positioniertem Switch ein Mirrorport konfiguriert werden.

[Mr. Wulffs 10]

Das Problem ist noch zusätzlich dass die Anwender alle Admin-Rechte auf ihren Clients haben. Ich habe mich schon darüber aufgeregt, aber unser Oberhäuptling (Chef) sagt nunmal dass die anderen Adminrechte brauchen.

 

Auch wenn man Switches im Netzwerk nutzt, es gibt trotzdem Tools womit man auch in einem geswitchten Netzwerk sniffen kann ohne die Nutzung eines Mirror-Ports.

 

Auch wenn die anderen Mitarbeiter vertrauen unter sich haben.... ich habe jedenfalls gar keinen Vertrauen zu den Anwender.

 

Deswegen will ich jedes Risiko -egal ob sehr Geringes oder Großes- ausschließen.

[lefg 276]

.....Auch wenn man Switches im Netzwerk nutzt, es gibt trotzdem Tools womit man auch in einem geswitchten Netzwerk sniffen kann ohne die Nutzung eines Mirror-Ports. ....

Das interessiert mich, kannst Du das näher beschreiben, das Funktionsprinzip?

 

Nun, wenn der Chef das meintmit Nichtdomäne und Adminrechten, dann ist es sein Bier, seine Verantwortung.

 

Man kann natürlich mehrer Interfaces in den Server bauen; aber, jemand, der über einen Switch hinweg sniffen kann ohne Mirrorport, der wird wohl auch die FW des Servers knacken, das Routing aktivieren oder einen Bot installieren können.

 

Ich schätze, da braucht jede Abteilung wohl ein eigenes physiklisches Netz mit eigenem Server und Internetzugang. Was aber, wenn der Sniffer dort ansetzt? :)

[hforster 10]

Hi

 

Geht ganz einfach (man in the middle) mit ettercap (ARP Poisoning)

 

 

have a nice day

[lefg 276]

MIM, dazu benötigt ein Täter Zugang zur Infrastruktur, ein Mitarbeiter einer Abteilung müsste (s)einen Rechner unauffällig in die Leitungen der anderen Abteilung einschleifen.

 

Bei uns haben Mitarbeiter "ihre" Netzwerkdose im Brüstungskanal oder im Bodertank, zu mehr haben sie keinen Zugang. Nicht mal die Mitarbeiter der zentralen IT unserer Firma könnten sowas bauen, Vieraugenprinzip.

[hforster 10]

Hi

 

Nein er muss nichts einschleifen, er muss nur im gleichen vlan sein.

Dann lenkt er durch ARP Poisoning pakete die an sein Opfer gehen sollten zu sich um und schon ist er man in the middle

 

have a nice day

[lefg 276]

Und wie bekommt er die Pakete auf seine Leitung, auf seinen Port des Switches, wo ist der Ansatzpunkt?

 

ARP Poisoning

ARP Poisoning ist eine Technik für Man in the Middle Attacken in geswitchten Netzwerken. Dazu wird der ARP-Cache des Opfers durch gefälschte ARP-Packete vergiftet und so Daten zum Angreifer umgeleitet. Diese Technik wird auch als ARP Spoofing bezeichnet.

 

Das bekannteste Tool für ARP Poisoning ist ettercap.

 

Und wie wird ein korrekt konfigurierter Client (einer Domäne) vergiftet?

[IThome 10]

Morgen!

 

- Wir haben ca. 40 Clients.

 

- Aber diese Clients befinden sich nicht in einer Domäne. Das wurde aus politischen Gründen abgelehnt.

Eine 40 Knoten Arbeitsgruppe, na diese politischen Gründe würden mich echt mal interessieren :D

- Der Grund ist, warum ich die drei Abteilungen in drei unterschiedliche Netze einteilen möchte, ist zu einem gegen Broadcast-Storm, Sniffing -so dass die eine Abteilung nicht in die andere Sniffen kann und damit die eine Abteilung nicht in die andere Abteilung mit den Rechnern kommunizieren kann

Dann benutze einen Router oder eine Firewallappliance und richte Filter ein ...