öffentliche IP Adressen

[Fitzel 10]

Servus.....

 

folgende Frage.

Ich habe nächste Woche einen Aussentermin bei einem " schwierigen Admin"

Da meine Kollegen mich bereits gewarnt haben folgende Fragen im Vorfeld:

 

Warum setzt ein Unternehmen mit ca 60 Clients öffentliche IP Adressen für "normale Clients"ein.

Laut dem Admin (mit einem arroganten Lächeln) sei dies sicherer als Private IPs zu verwenden. Er sei nicht so dumm wie die anderen

Die Umgebung hat ne Astaro Firewall, Avira.......usw.Alles an einem Standort

4 Windows 2003 Server, 1 ADS.....

 

Danke für die Hilfe

[Schnicks84 10]

hmm wieso sollte das sicherer sein?

 

Die Clients sind doch dann direkt aus dem WAN erreichbar?! Es geschieht vorher keine Filterung durch eine Firewall oder Spam Box oder der gleichen.

[GuentherH 61]

Die Clients sind doch dann direkt aus dem WAN erreichbar?!

 

Nein, sind sie nicht. Sie sind ja hinter der Firewall und damit nach extern nicht sichtbar. Der Kollege wird sich wahrscheinlich denken, wenn ein externer Zugriff erfolgen sollte, dann geht er immer auf die tatsächliche Öffentliche Adresse und nie auf seine.

 

Ob die Denkweise stimmt, wage ich zu bezweifeln und über die unangenehmen Seiteneffekte die durch so ein Konstrukt auftauchen, brauchen wir gar nicht zu reden und würde auch keinen Sinn machen. Jemand der von so einer Idee überzeugt ist, lässt sich erst dann davon abbringen, wenn er deswegen einmal auf die Nase fällt.

 

Vor einigen Jahren wurde ich einmal zu einem derartigen Fall gerufen. Da wollte ein Mailserver partout mit einem Rechner von HP kommunizieren, weil er glaubte im gleichen Netz wie der Rechner von HP zu sein ;)

 

LG Günther

[Fitzel 10]

Hallo Schnicks84

 

der Kollege hat Guenther hat Recht.....

Ich habe keine Ahnung warum der das macht. Der Kunde jedoch ist sehr wichtig

 

 

der Admin greift auch nicht über VPN auf die Server / Netzwerk zu, sondern über

Teamviewer......

 

Da das Unternehmen stark expandiert fehlen natürlich demnächst einige IPs....

 

für weitere Infos....Danke

[Schnicks84 10]

upps das habe ich übersehen, klar dann sind die Clients nicht direkt aus dem WAN erreichbar.

[s.k. 11]

Hi,

 

Vor einigen Jahren wurde ich einmal zu einem derartigen Fall gerufen. Da wollte ein Mailserver partout mit einem Rechner von HP kommunizieren, weil er glaubte im gleichen Netz wie der Rechner von HP zu sein ;)

Es gibt immer wieder Admins, die aus purer Unwissenheit im LAN öffentliche IP-Adressen verwenden, die ihnen nicht gehören. Hierauf deutet im vorliegenden Fall aber nichts hin.

 

 

Warum setzt ein Unternehmen mit ca 60 Clients öffentliche IP Adressen für "normale Clients"ein.

Laut dem Admin (mit einem arroganten Lächeln) sei dies sicherer als Private IPs zu verwenden. Er sei nicht so dumm wie die anderen

Wenn das "seine" Adressen sind, spricht nichts dagegen. NAT und "private" IP-Adressen sind doch schließlich nur eine Krücke aufgrund der Adressknappheit bei IPv4!

Es hat seinen Charme, auch im internen Netz weltweit exklusive und eindeutige IP-Adressen zu verwenden. Bei IPv6 wird auch wieder so gearbeitet werden. Gerade wenn man häufig Netze von Dritten anbinden muss, geht einem das Hinundhergenatte ziemlich auf die Mozartkugeln. Nur kommt man aus dieser Nummer solange nicht vollständig raus, bis jeder Beteiligte exklusive Adressen im LAN verwendet.

Wenn dem Admin bzw. dem Unternehmen für die tatsächtlichen und angenommenen Vorteile die damit verbundenen Kosten Wert sind, ist das ihre Sache. Einen Sicherheitsgewinn (aber auch einen Sicherheitsverlust) kann ich hierin jedoch nicht entdecken. Jedes vernünftige Sicherheitskonzept sieht ohnehin vor, dass weder von WAN nach LAN noch von LAN nach WAN eine direkte Kommunikation möglich ist. Nach der reinen Lehre läuft das immer über dualhomed ALGs.

 

 

der Admin greift auch nicht über VPN auf die Server / Netzwerk zu, sondern über Teamviewer......

Scheint wirklich ein besonders schlauer zu sein. :rolleyes:

 

 

Gruß

sk

[Gast Christian R]

Laut dem Admin (mit einem arroganten Lächeln) sei dies sicherer als Private IPs zu verwenden. Er sei nicht so dumm wie die anderen

 

Exakt das gleiche unsinnige Argument hatte ich bereits vor mehreren Jahren von einem internen Systemadministrator gehört.

 

Die Folge war dann, dass die Buchhaltung kein Onlinebanking der Vereins- und Westbank aufrufen konnte, weil zufällig genau die das gleiche Netz nutzten.

[lefg 276]

Ich meine, nur keine Diskussion darüber anfangen, auf das eigentliche Thema konzentrieren!

 

Bei der alten AEG-Telefunken gab es es im Service ein internes Motto: Wie der Kunde es wünscht, ..... . ;)

 

Und falls der Gast den Schaum im Glas unten haben will, dann wird das gemacht. :D

[NorbertFe 1.827]

Es hat seinen Charme, auch im internen Netz weltweit exklusive und eindeutige IP-Adressen zu verwenden.

 

Welchen denn genau? ;) Ausser dass deine Firewall nicht mehr NAT-ten muß?

Ich mein im Endeffekt führt das zwangsläufig zu Split-DNS (was bei manchen sowieso vollkommen am Know How scheitert, da bis heute noch mit Hosts- Dateien gearbeitet wird). Der einzige Vorteil wäre, dass ich meinen Client direkt mit public IP von extern ansprechen könnte, aber wer will das schon, bzw. welche Dienste bietet so ein Client denn normalerweise nach extern an?

 

Bei IPv6 wird auch wieder so gearbeitet werden.

 

Vielleicht ja auch der Grund, warum es derzeit noch nicht wirklich stark verbreitet ist? ;)

 

angenommenen Vorteile die damit verbundenen Kosten Wert sind, ist das ihre Sache. Einen Sicherheitsgewinn (aber auch einen Sicherheitsverlust) kann ich hierin jedoch nicht entdecken. Jedes vernünftige Sicherheitskonzept sieht ohnehin vor, dass weder von WAN nach LAN noch von LAN nach WAN eine direkte Kommunikation möglich ist. Nach der reinen Lehre läuft das immer über dualhomed ALGs.

 

Genau.

 

Bye

Norbert

[s.k. 11]

Exakt das gleiche unsinnige Argument hatte ich bereits vor mehreren Jahren von einem internen Systemadministrator gehört. Die Folge war dann, dass die Buchhaltung kein Onlinebanking der Vereins- und Westbank aufrufen konnte, weil zufällig genau die das gleiche Netz nutzten.

Wo bitte steht denn im Eröffnungsposting, dass der Admin fremde Adressen verwendet?

Nirgends! In Juristenkreisen nennt man soetwas eine Sachverhaltsquetsche...

 

 

Welchen denn genau? ;)

Wo ich handfeste Vorteile sehe, habe ich in meinem ersten Posting erwähnt.

 

 

Der einzige Vorteil wäre, dass ich meinen Client direkt mit public IP von extern ansprechen könnte, aber wer will das schon, bzw. welche Dienste bietet so ein Client denn normalerweise nach extern an?

Deshalb hatte ich dieses "Argument" ja gerade nicht angeführt.

 

 

Ich mein im Endeffekt führt das zwangsläufig zu Split-DNS

Dass Server intern wie extern unter der selben IP-Adresse zu erreichen wären, führt Deiner Meinung nach zu Split-DNS?

Seltsame Argumentation! Darüber solltest Du vielleicht nochmal genauer nachdenken... ;)

 

 

Gruß

sk

[NorbertFe 1.827]

Wo ich handfeste Vorteile sehe, habe ich in meinem ersten Posting erwähnt.

 

Ich sehe nur einen und der war der hinsichtlich VPN Connections. Aber ok, wenn das schon alle sind? Ansonsten erklärs mir doch genauer, damit ich hier nicht "dumm" sterben muß. ;)

 

 

Dass Server intern wie extern unter der selben IP-Adresse zu erreichen wären, führt Deiner Meinung nach zu Split-DNS?

 

Ich sprach nicht von Servern, also bitte nicht den Sachverhalt verdrehen. ;)

 

Seltsame Argumentation! Darüber solltest Du vielleicht nochmal genauer nachdenken... ;)

 

Also bei mir heißen die Server im "Allgemeinen" intern anders als extern (und ich spreche Server im Allgemeinen per DNS Namen an und merk mir nicht die IP ;)). Ist das bei dir nicht so? Von Clients mal abgesehen, da ich die nicht nach extern stelle.

 

Bye

Norbert

[s.k. 11]

Ich sehe nur einen und der war der hinsichtlich VPN Connections. Aber ok, wenn das schon alle sind? Ansonsten erklärs mir doch genauer, damit ich hier nicht "dumm" sterben muß.

Es geht mir nicht nur um das Thema VPN-Verbindungen, sondern allgemein um die Kopplung mit Netzen Dritter (Vertragspartner, Behörden etc.). Was macht man, wenn sich die Adressräume der Zielnetze untereinander oder auch mit eigenen IP-Netzen überschneiden? Man manipuliert die Namensauflösung und macht Destination-NAT sowie ggf. auch Source-NAT. Eigentlich simple Konfigurationen werden so unnötig kompliziert und dokumentationsbedürftig! Zumal das Ganze an seine Grenzen stößt, wenn NAT-unfriendly Protokolle zum Einsatz kommen (also insbesondere solche, die im Payload die Original-IPs mit übertragen). Wenig lustig ist soetwas auch, wenn man mehrere Wege zu den Fremdnetzen hat und daher eigentlich mit dynamischen Routingsprotokollen arbeiten möchte. Diese Sorgen hätte man nicht, wenn alle beteiligten Netze überschneidungsfrei - also eindeutig - adressiert wären. Im Small-Business-Umfeld mag das ja selten ein Problem sein - für andere hingegen schon.

 

Ich sprach nicht von Servern, also bitte nicht den Sachverhalt verdrehen.

Ja ich habe zu Deinen Gunsten bereits angenommen, dass Du nicht Clients, sondern Server meinst. Andersrum wäre das noch abstruser!

Zur Erinnerung:

Auf meinen Hinweis hin, dass es aufgrund des oben genannten Grundes vorteilhaft wäre, auch im LAN weltweit eindeutige IP-Adressen zu verwenden, hattest Du eingewandt, dass dies "zwangsläufig zu Split-DNS" führt.

Mir erschließt sich jedoch nicht, inwieweit das eine das andere zwingend bedingt bzw. warum dies das Erfordernis einer Split-DNS-Konfiguration gegenüber den jetzigen Anwendungsfällen erhöhen sollte.

Split-DNS ist regelmäßig dann erforderlich, wenn man mind. 2 DNS-Zonen mit unterschiedlichen Inhalten aber gleichem Namensraum benötigt. Dafür gibt es insbesondere zwei Gründe:

1) gleiche Namen müssen in unterschiedliche IP-Adressen aufgelöst werden

2) in einer Zone soll nur eine Teilmenge der anderen Zone enthalten sein (id.R. aufgrund von Geheimhaltungserwägungen)

 

Also bei mir heißen die Server im "Allgemeinen" intern anders als extern (und ich spreche Server im Allgemeinen per DNS Namen an und merk mir nicht die IP ).

Ist das bei dir nicht so? Von Clients mal abgesehen, da ich die nicht nach extern stelle.

Das ist bei den von mir betreuten Netzen auch so - zumal interne Systeme (wie der Name schon sagt) ohnehin nicht (direkt) öffentlich erreichbar sind. Aber was hat das mit der hier behandelten Frage zu tun?

Die Kernfrage war:

Warum ist Deiner Meinung nach über die jetzigen Anwendungsfälle hinaus zwingend Split-DNS erforderlich, wenn man im LAN weltweit eindeutige Adressen verwendet?

 

Gruß

sk

[NorbertFe 1.827]

Danke, aber das meinte ich mit VPN Verbindungen. ;) Standortverbindungen zwischen "Vertragspartnern" usw. kein Client VPN (wobei auch das zum Problem werden kann).

 

Split-DNS ist regelmäßig dann erforderlich, wenn man mind. 2 DNS-Zonen mit unterschiedlichen Inhalten aber gleichem Namensraum benötigt. Dafür gibt es insbesondere zwei Gründe:

1) gleiche Namen müssen in unterschiedliche IP-Adressen aufgelöst werden

2) in einer Zone soll nur eine Teilmenge der anderen Zone enthalten sein (id.R. aufgrund von Geheimhaltungserwägungen)

 

2. ist der Grund, den ich meinte. Aber du hast Recht, ich liege falsch mit meiner Aussage.

 

Bye

Norbert

[Fitzel 10]

Servus.....

 

erstmal Danke für euren Infos.....

Der Admin bleibt dabei:

Öffentliche IPs demnächst ca 70

Zugriff von zuhause aus nur über Teamviewer

Kein Handy ( + Kein Funktelefon " Schnurrlos")in der Firma.......ist kein Witz (!!!)

 

Fairerweise hat das Untenehmen nur von 4 (!!!) Arbeitsplätzen aus die Möglichkeit raus aus aus dem LAn zu kommen. Ich habe es auch erst nicht geglaubt

[iDiddi 27]

Na gut, wenn die Daten für die Firma so schützenswert sind, dass sie diese Restriktionen in Kauf nehmen.

 

Aber dann verstehe ich nicht, wieso die eine Fernzugriffs-Software von einem Anbieter einsetzen, über dessen Server alle Kommunikation läuft, der sich aber nicht in die Karten gucken lässt. Sprich: Man vertraut diese scheinbar hochsensiblen Daten einer Fremdfirma an, anstatt einen eigenen, sicheren Fernzugriff zu implementieren.