Subnetztrennung sicher?

humpix

Lt. Junior Grade
Registriert
Sep. 2005
Beiträge
319
Hallo Leute,
Ich hab hier eine recht spezielle Situation das ich schützenswerte Rechner und potentionell verseuchte Rechner im gleichen Netzwerk habe. Darauf hab ich auch keinen Einfluss. Physikalisch oder VLAN mäßig bekomm ich die nicht getrennt, lange Geschichte...

Ich könnte allerdings beide Rechnerarten ohne großen Aufwand in 2 Subnetze stellen. Mir ist klar das dass sicher keine perfekte Trennung ist. Aber ich wäre dennoch um den einen oder anderen Gedanken dazu froh.

Ist ein anderes Subnetz schon mal besser als nichts? (In Kombination mit einem guten Schutzprogramm, auf den von mir verwalteten Rechnern)
Oder verwenden Viren, Würmer, etc ohnehin so viele anderen Angriffsvektoren, das es eh keinen Sinn macht das so zu lösen?

LG,
Mathias
 
humpix schrieb:
Physikalisch oder VLAN mäßig bekomm ich die nicht getrennt, lange Geschichte...

Alles andere bringt aber nichts...


martinallnet schrieb:
Das hält wohl höchstens Script-Kiddies ab.

Nein. Gerade die benutzen Tools und sowas wie ein IP Scanner ist Standard.
 
Im Netzwerk wirst du durch Subnetze nicht wirklich etwas erreichen, wer etwas Aufwand betreibt/betreiben lässt wird das Netzwerk nach Adressen Scannen. VLAN's oder physikalische Trennungen wären hier schon angebrachter.
 
Das ist doch auch das was man mit einer DMZ erreichen will. Nur sehr minimalistische und konkret beschriebene Whitelisted Kommunikation erlauben zwischen den beiden Seiten.

Zwei Subnetze ohne jegliches Routing wären ja erst einmal eh voneinander getrennt. Also du meinst vermutlich zwei Subnetze + beide komplett zueinander routen und ohne firewall. Das ist natürlich (grob) fahrlässig in so einem Fall.
 
  • Gefällt mir
Reaktionen: shoKuu
martinallnet schrieb:
Das hält wohl höchstens Script-Kiddies ab.

Womit weit mehr gewonnen ist als man zunächst denkt. Klar hältst du damit nicht professionelle Industriespione oder die NSA auf, aber viele Würmer dürften nicht erstmal die Subnetzmaske ändern. Das heißt, man kann zumindest eine automatische Verbreitung einiger simpler Viren verhindern. Dürfte zumindest mehr bringen als die "gute" Schutzsoftware auf den schützenswerten Rechnern.

Jenachdem wie schützenswert die Daten sind und wie der produktive Einsatz der PCs aussieht, würde ich in so einem Fall über Application Whitelisting nachdenken. Empfehlungen sind allerdings schwer ohne genau die Situation zu kennen.

Smily schrieb:
Wäre eine Router-Kaskade möglich?
Da weiß ich aber zu wenig drüber, um konkret etwas dazu sagen zu können.

Wenn sich die Rechner physikalisch nicht trennen lassen, wohl eher nicht.
 
N1nuzzo schrieb:
wer etwas Aufwand betreibt/betreiben lässt wird das Netzwerk nach Adressen Scannen.

So etwas hat mit Aufwand gar nichts zu tun. Ist die erste Sache die gemacht wird.
 
humpix schrieb:
In Kombination mit einem guten Schutzprogramm, auf den von mir verwalteten Rechnern
Ein Programm wird nicht 'gut' sein.
Stattdessen trenne vollständig User und Admin Account und erlaube keinerlei Installation von Programmen vom User-Account aus. Ich habe das damals als ich mal einen Rechner absichern musste mit Restric'tor gemacht. Der passt die GPO entsprechend an und lässt sich auch leicht wieder rausnehmen die Sperre wenn dann doch mal was installiert werden muss. Dazu der Windows Defender, auf keinen fall Third-Party 'Schutzprogramme'.
Dann verbiete noch jegliche Makros und verwende z.B. Foxit statt Adobe für PDFs. Im Browser die einschlägigen Addons und die Leute müssen geschult werden bezgl. Spear-Phishing.

Dann evaluiere halt, inwiefern die beiden Rechnergruppen miteinander kommunizieren müssen und definiere klare 'Schnittstellen' in Form von erreichbaren Fileshares IP/Port/Applikation etc.
 
Vielen Dank für den Input! Ich würde die Subnetzte zueinander natürlich nicht routen. :)

Um ein wenig auszuholen. Die Problemrechner sind VMs die wir von den Kunden ins Haus bekommen und lokal gestartet werden müssen. Sind Steuerungen (Alte WindowsVMs mit unserer Software) die mehr als einen Bilschrim haben, weshalb das nur mit lokalen VMs lösbar ist. ESXi Server und eigene Netzwerke hatte ich auch schon im Kopf, geht aber in der speziellen Situation nicht. Bei über 100 Mitarbeitern kann ich mich auch nicht drauf verlassen das sie das immer richtig einstellen. (Vlans, usw.) - hab also nur 2 Ideen. Eigene VMware Rechner pro Mitarbeiter verkabelt auf eigenes VLAN (Sprengt das Budget) oder Subnetze per DHCP und PC fix in ein anderes Subnetz...
 
Conqi schrieb:
Womit weit mehr gewonnen ist als man zunächst denkt. Klar hältst du damit nicht professionelle Industriespione oder die NSA auf, aber viele Würmer dürften nicht erstmal die Subnetzmaske ändern. Das heißt, man kann zumindest eine automatische Verbreitung einiger simpler Viren verhindern. Dürfte zumindest mehr bringen als die "gute" Schutzsoftware auf den schützenswerten Rechnern.

Definitiv nein. Ein Virus, der in der Lage ist sich am UAC und Windows-Defender vorbei auszubreiten und dann am simplen Scanning scheitert?
Die Würmer pingen immer das komplette Netzwerk nach eigenem ermessenen ab. Ist ja auch nicht wirklich schwer, sich bruteforcig durchs Netzwerk zu pingen ohne sich vorher die Einstellungen des Adapters reinzuladen.

@TE

Du hast es dir doch im Prinzip selber beantwortet. Genau das, was dir die Möglichkeit nimmt die Netzwerke zu separieren, - die bequeme Interoperabilität - ist gleichzeitig das Einfallstor bzw. der Verbreitungsweg der Schadosoftware. Viren oder legale Software sind beide erstmal nur das, Software. Du suchst nun einen Weg, bei dem Software A weiter vernünftig im Netzwerk kommunizieren kann, Fremdsoftware B jedoch nicht.

Man kann da mit Whitelistening, Firewall freigaben und der GPO arbeiten. Das verhindert dann vllt. 80% der Fälle. Die restlichen 20% sind dann professionelle Viren und Software die sich von sowas nicht wirklich beeindrucken lassen. Da wird als erstes nen Rechner mit erweiterten Berechtigungen und Netzwerkfreigaben gesucht. Am besten gleich nen local admin dazu. Auf dem PC wird dann die komplexe Software geladen, die sich dann auch von dort durchs Netzwerk frisst.

Unsaubere Clients aus dem Netzwerk entfernen. Wenn das nicht geht, hinterfragen warum die Clients überhaupt unsauber sind (nur local admins unterwegs? Wenn ja, warum? Muss das sein? etc.), dann die Netzwerke mit sensiblen und unsensiblen Daten physisch trennen und den Usern Zugriff auf solche Umgebungen höchsten via Citrix, o.ä. erlauben, damit auch ein verseuchter Client dort keinen Unfug anrichten kann.

humpix schrieb:
Bei über 100 Mitarbeitern kann ich mich auch nicht drauf verlassen das sie das immer richtig einstellen. (Vlans, usw.)
Hö? Genau dafür sind doch VM und die GPO da! Die VM werden mit entsprechenden Profilen gebooted, deren detaillierte Netzwerkeinstellungen und Berechtigungen in der GPO hinterlegt sind. Diese werden bei jedem Boot mit abgeglichen. So kannst Du alle Einstellungen aka VLAN, Subnetze, Proxy und Druckerserver zentral aktualisieren und gleichzeitig die Berechtigungen zentral verwalten.

Das mag jetzt etwas provokant klingen, aber kennst Du dich mit dem administrieren von Netzwerken wirklich aus? Ich selbst, kenne nur kleine und mittlere Heimnetzwerke. Würde mich jedoch niemals an eine Firmenumgebung wagen. Stichwort alleine schon Haftung und DSGVO.
 
Zuletzt bearbeitet:
um die Antwort kurz zu machen:
Subnetting bringt dir nur in 2 Fällen was:
1) wahnsinnig großes Netzwerk mit über 253 Rechnern
2) wenn eine physikalische Trennung des Subnetzes vom Restnetz besteht, z.b. über eine Hardware Firewall bzw. ein VLAN über einen Switch.

Falls verseuchte PCs Netzwerkkomponenten nutzen, werden sie wohl nach mehr als nur ihrem aktuellem Subnet Scannen.

falls die Infizierten Clients ans Netz müssen: WLAN USB Stick über ein Gästenetz ... das sollte zumindest jeder halbwegs moderne Router bieten können.
 
humpix schrieb:
Sind Steuerungen (Alte WindowsVMs mit unserer Software) die mehr als einen Bilschrim haben, weshalb das nur mit lokalen VMs lösbar ist.

Äh, das habe ich nicht verstanden. Wieso erfordert ein zweiter Bildschirm eine VM?
Wieso gibt man für jede VM ein physisches Gerät, aka Laptop, aus? Der Sinn einer VM ist ja u.a. dass man dann genau keine teure HW benötigt?
Wieso sind die VM unsauber?oO
Gerade VMs kann / muss man doch mit absoluten doof-rechten ausstatten?

Dein Szenario hört sich für mich eher nach klassischem Citrix-Fall mit ThinClient o.ä. an.
Ggf. habe ich auch was übersehen?
 
Adminrechte haben unsere User nicht, alle sind geschult, PCs haben immer alle Patches drauf, PDF und co ist aus und auch das ganze Rechtekonstruckt auf die Freigaben ist extrem hart.
Arbeite da echt schon recht lange dran. Kaum jemand darf irgendwas. Mach mir da eher um so automatische Sachen Sorgen, die einen Netzscan machen und dann Sambalücken abgreifen (oder was in der Art).

Aber ihr habt meine Frage eigentlich beantwortet - wenn die Dinger das Subnetz erstmal igrnorieren und auf andere Art scannen, macht das natürlich wenig Sinn. Evtl. in ein paar Fällen "besser als nichts" aber ich werd weiter dran hirnen müssen...

Getrennt krieg ich die Dinger leider definitiv nicht, aber ihr habt mich dennoch auf noch eine Idee gebracht.
Ich mach einfach aus dem ganzen Haus einen Wilden Westen, und sperr meine Produktivumgebung ein. Zugriff dann nur noch per Citrix, RDP oder was in der Art - muss ich noch zuende denken :)

Erstmal 1000 Dank an der Stelle!!!
 
  • Gefällt mir
Reaktionen: Sun_set_1
Hold u p ... one second ... VMWARE Virtual Clients? ... VMware kann native über den Hypervisor VLANs ...da braucht man keine Hardware zu ... oder lasst ihr die via VMWARE in der Desktop app auf einem seperatem System laufen?

Und wenn die Verseuchten VMs auf Systemen mit der Desktop app laufen, deaktiviert doch einfach in VMWARE die Netzwerkanbindung oO ... verstehe nicht was da das problem sein sollte
 
Kannst du dir keine echten IT Mitarbeiter leisten und hier im Forum Tipps holen für deine 100 Mann Firma? Finde ich bissel arg...
 
Ja dann mach ne Wild-West Public-Umgebung und Kapsel die ganzen Firmen und Userdaten in einer Standard-Umgebung. Daneben dann nen Proxy und Citrix-Server die das operative Arbeiten in dieser Umgebung erlauben.
 
  • Gefällt mir
Reaktionen: humpix
Sun_set_1, jeder User hat einen PowerPC mit 3 Monitoren. Ist gleichzeitig der "Haus-PC" für Email und co + VMware Station. Die VM die er in Entwicklung nimm ladet er vom physikalischen PC des Kunden über Internet (Konvert der Hardware in eine VM damit wir die dann im Haus haben). Die Dinger sind leider so verknödelt, das wir nicht einfach nur die Config laden können, sonder es muss der komplette Rechner inkl. Druckerconfig, Umgebungspfade, usw. usw. sein - Die Software ist derart speziell das sogar das Windowsbuild genau gleich sein muss. Eigens programierte Echtzeitsysteme und lauter solcher Kram (Nicht meine Entscheidung, ist hald so gewachsen)

Die VM hat dann 2-3 "virtuelle" Bildschirme konfiguriert. Die müssen da sein, damit die Software überhaupt funktioniert, da die Positionen der Fenster hardcodiert sind (Ebenfall eine Sünde der Vergangenheit).

Das ist der einzige Grund warum dezidierte ESXi Server nicht gehen, da die nicht VMs mit mehreren virtuellen Monitoren laufen lassen können.

Ich weiß was ihr jetzt denkt, ich habs nicht verbrochen :)
Ergänzung ()

ryzen- schrieb:
Kannst du dir keine echten IT Mitarbeiter leisten und hier im Forum Tipps holen für deine 100 Mann Firma? Finde ich bissel arg...

Danke für den Beitrag - ich bin die IT, nur leider hald eher Softwaretechniker, nicht Hardcore-Netzwerker. Aber schön das du als Überprofi auf alles eine Antwort hast...
 
Zuletzt bearbeitet:
Zurück
Oben