RalphT 15 Geschrieben 9. Januar Melden Geschrieben 9. Januar Moin, bislang war es so, dass ein Windows-Fileserver über die einzige Netzwerkkarte verwaltet wurde. Jetzt soll es so sein, dass nur der normale Datenverkehr (Dateifreigaben etc.) über diese Schnisttstelle laufen soll und die Administration (z.B. RDP oder VNC) über eine sep. Schnittstelle laufen soll. Der Zugriff auf die Administrationsschnittstelle erfolgt über ein anderes LAN. Jetzt einfach eine zusätzliche Netzwerkkarte einbauen, die neue IP-Adresse und Gateway eingeben funktioniert nicht. Zwei Gateways gibt Probleme. Wie könnte man das lösen? Gibt es Server (HP DELL?), die so eine besondere Schnittstelle/Möglichkeit dafür haben?
Nobbyaushb 1.627 Geschrieben 9. Januar Melden Geschrieben 9. Januar Was ist das Ziel der Übung? Weitere LAN Adapter erhöhen die Komplexität bringen aber kein mehr an Sicherheit
RalphT 15 Geschrieben 9. Januar Autor Melden Geschrieben 9. Januar (bearbeitet) Ziel der Übung war/ist eine Vorgabe von einer externer Sicherheitsfirma. Alle Server, also in diesem Falle ESXi und Windows sollen direkt über die zusätzliche Karte administriert werden, sondern seperat. Bei ESXi ist das kein Thema. Nur bei Windows habe ich gerade das Problem. Allerdings muss ich sagen, dass das nicht so direkt hier gesagt wurde. Man hatte eine grobe Netzwerkskizze da gelassen. Ich habe mir diesen eben nochmal genauer angesehen. so 100%tig geht das daraus nicht hervor. Vielleicht sollte ich doch dort nochmal eine Rücksprache halten, wie genau das gemeint ist. bearbeitet 9. Januar von RalphT
teletubbieland 221 Geschrieben 9. Januar Melden Geschrieben 9. Januar Ist es nicht eher so, dass die BMC NIC von dieser Anfroderung betroffen ist?
cj_berlin 1.551 Geschrieben 9. Januar Melden Geschrieben 9. Januar (bearbeitet) Moin, ein zweiter Default Gateway ist Mist und unter Windows auch nicht supported (obwohl technisch möglich). Allerdings kann man spezifische Gateways eintragen (route add -p), so dass der Traffic von und zu den Management PCs über die richtige Schnittstelle läuft. Was unter Windows allerdings nicht ohne weiteres geht, ist, spezifische Protokolle nur auf spezifische Adressen/Schnittstellen zu binden (Ausnahmen wie DNS bestätigen die Regel). Da musst Du mit der Windows Firewall dafür sorgen, dass RDP, VNC, WMI, WSMan, WinRM usw. nur über die Management-Schnittstelle erreichbar sind. Ferner musst Du dafür sorgen, dass die Management-Interfaces sich nicht in das zentrale DNS eintragen. Das bedeutet im Umkehrschluss, dass Du im Management-Netzwerk ein komplett separates DNS brauchst, damit Kerberos weiterhin funktioniert. Alles in allem ein interessanter Ansatz. hört sich aber nach jemandem an, der im Firewall-Zeitalter sozialisiert wurde und versucht, Sicherheit primär über Verkehrsbeziehungen zu regeln... bearbeitet 9. Januar von cj_berlin 1 1
Lian 2.771 Geschrieben 14. Januar Melden Geschrieben 14. Januar Hi, in klassischen on-prem Umgebungen war und ist es üblich, ein separates Administrationsnetzwerk für die Hardwaresteuerung zu nutzen. Also HP iLO, Dell iDRAC, Cisco Switche kann man darüber segregieren. Auch erwähntes BMC zB. - aber da sprechen wir über verschiedene Layer und nicht dasselbe OS...
NilsK 3.089 Geschrieben 16. Januar Melden Geschrieben 16. Januar Moin, Für viele ist diese Trennung immer noch der heilige Gral. Ich finde das immer putzig, wenn gleichzeitig die Windows-Umgebung selbst bestenfalls grundlegend abgesichert ist. Den Angreifer möchte ich sehen, der überhaupt nur darüber nachdenkt, in solchen Netzwerken umständlich die Management-Interfaces anzugreifen. Gruß, Nils
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden