ComputerBase Menü
Aktuelles

Subnetztrennung sicher?

@humpix
Ich bin tatsächlich Profi, das Überprofi lassen wir mal weg... nur zur Info, da gibt es immer mehr rechtliches zu bedenken und am Ende bist du der gearschte.
Ich würde mich im Business Bereich NIEMALS hin setzen, für 100 Leute verantwortlich sein das die IT läuft und keine Ahnung zu haben, hier im Forum zu fragen wie man was isoliert.
Das sind Basics, entweder du belegst einen Kurs dafür oder du sagst deinem Chef der soll qualifiziertes Personal dafür bereitstellen, du übernimmst nicht die Verantwortung.
Dir scheint die rechtliche Lage da auch nicht so ganz bewusst zu sein, was machst denn du das System abschießt mit falschen Tipps? Das ist hier keine Fachberatung, sondern Hobby.
 
  • Gefällt mir
Reaktionen: chrigu
Naja, war einfach eine schnelle Idee was ich aus dem machen kann was ich habe - nicht zu Ende gedacht. Und eine gute andere Idee ist ja dann auch rausgekommen, die ich natürlich jetzt komplett profesionell selbst zu ende denke, sauber aufbaue, teste und nochmal teste. Das ist dann mein Part und nicht mehr Hobby - gehört dann auch nicht mehr hier her.

Ich würde sagen, damit hat sich das Thema erledigt. Idee untauglich, andere dafür eine mögliche Variante.
Danke an alle, ihr wart sehr hilfreich!!!
 
humpix schrieb:
Ist ein anderes Subnetz schon mal besser als nichts?
Zum Vergrößern anklicken....

Es ist mindestens so hilfreich wie ein Hinweisschild auf dem Switch anzubringen, dass Viren, Trojaner und sonstige Angreifer doch bitte woanders hin gehen mögen. Als weitere Maßnahme schlage ich Dir vor die Hostnamen um das Präfix "virengeschützt_" zu ergänzen.
 
  • Gefällt mir
Reaktionen: Benzer, ryzen- und chrigu
Die Hostnamen find ich gut :)
Kommt schon Leute, war nur eine Idee, war nicht gut, deshalb die Frage, bin nun klüger, danke dafür und ich machs anders.
 
  • Gefällt mir
Reaktionen: Hayda Ministral
humpix schrieb:
Die VM die er in Entwicklung nimm ladet er vom physikalischen PC des Kunden über Internet (Konvert der Hardware in eine VM damit wir die dann im Haus haben). Die Dinger sind leider so verknödelt, das wir nicht einfach nur die Config laden können, sonder es muss der komplette Rechner inkl. Druckerconfig, Umgebungspfade, usw. usw. sein -
Zum Vergrößern anklicken....

Gemischtes Hack würde sagen:
Sammma, bro! Die Info hät‘ ma ein bisschen früher kommen können :D

Nur um sicherzugehen, dass ich das richtig verstanden habe:
Also ihr emuliert quasi die physischen Kunden-Systeme zur Analyse in einer VM..? Und diese sollen wiederum Internetzugriff haben, jedoch nicht aufs Firmennetzwerk zugreifen können. Aufgrund der Software in eurer Prod-Umgebung, sind jedoch keine größeren Änderungen am Setup möglich. (Hardware technisch übrigens auch nicht, ihr seit da an einem alles-oder nichts Punkt. Da hilft nur Grunderneuerung mit allem drumm und dann. Aber was sagt denn eure Chefetage dazu, dass es keine neuen PowerPC mehr geben wird und die generelle Entwicklung dort defacto zum erliegen kommen wird..?)

Naja, ICH würde sagen, unter den Umständen kann man dem Chef nur zur Anmietung einer zweiten Leitung beim ISP raten. Das sollte ohne Probleme gehen. Dann habt ihr zwei separate und sauber getrennte Internetzugänge. Und die Kosten halten sich da definitiv auch im Rahmen. Die Leitung muss ja nicht sonderlich dick sein und auch inhouse ja höchstens mit nem managed Switch versehen werden.

Wenn da mal nen Drucker-Zugriff, aus der VM zu euch in-house möglich sein soll, dann nimm am besten einen vertrauenswürdigen Cloud Dienst. Azure / OneDrive können afaik die Druckerverwaltung via Internet. Dann können die Mitarbeiter auch mal nen Screenie oder Debug printen, ohne dass eine potenziell verseuchte VM gleich Zugriff aufs Firmennetz hat.


Natürlich gibt’s da auch professionelle Lösungen, bei denen dann auch Citrix und Co beratend zur Seite stehen - aber bei einem Unternehmen eurer Größe, sollte zB die Microsoft 365 Umgebung damit noch sehr gut skalieren.

Aber ggf. haben die Hauptberufler hier noch Ideen?
 
Zuletzt bearbeitet:
Sun_set_1 schrieb:
Also ihr emuliert quasi die physischen Kunden-Systeme zur Analyse in einer VM..? Und diese sollen wiederum Internetzugriff haben, jedoch nicht aufs Firmennetzwerk zugreifen können. Aufgrund der Software in eurer Prod-Umgebung, sind jedoch keine größeren Änderungen am Setup möglich. (Hardware technisch übrigens auch nicht, ihr seit da an einem alles-oder nichts Punkt. Da hilft nur Grunderneuerung mit allem drumm und dann. Aber was sagt denn eure Chefetage dazu, dass es keine neuen PowerPC mehr geben wird und die generelle Entwicklung dort defacto zum erliegen kommen wird..?) ...
Zum Vergrößern anklicken....

Ja das ist so richtig. Also das ich gegen das Setup nichts tun kann ist nicht nur so dahergesagt... Neue PCs gibts natürlich schon alle 5 Jahre, aber nur einen pro Mitarbeiter (Haus-PC und VMware PC in einem)
Die neuen Systeme sind übrigens viel besser und funktionieren nur noch mit Configs - Meine Chefs sind hier schon seit Anfang an im Bilde und da wird / wurde auch daran gearbeitet.
Das wird aber noch 5-10 Jahre gehen bis alle Kunden auf neum Stand sind. Bis dahin muss ich gegen alle Regeln der Kunst mit der Situation umgehen und rausholen was geht.
Die Rechtliche Situation ist auch klar und seit Jahren schriftlich vereinbart.

Ich mauer bisher alles ein was geht und viele Systeme sind schon abgetrennt. Dazu gutes Patchmanagement, Überwachung, usw. Bandbreitenbedingt ist einiges leider noch im PC-VLAN.
Ich muss auch dazusagen das ich bisher keine Probleme hatte, nur schlaf ich hald nicht gut.
Entgegen der Meinung einzelner versteh ich mein Handwerk schon ein bisschen.

Das Subnetz wäre nur noch so eine "verzweifelte" Idee obendrauf gewesen, wohl wissend das das kein 100% Schutz ist. Ich hatte gehofft das es einfach ein bisschen dazu hilft. Da ich mich nicht so sehr mit Viren befasse dachte ich naiverweise die scannen nur im eigenen Subnetz - zumindest die Wald&Wiesen Viren. Ok, das Thema bitte abhaken.

Übrigens an alle Schutzsoftwaregegener - Im Firmenumfeld gibts da schon richtig gute Sachen. ich meine damit nicht einen Avira oder sowas, ich rede da eher von SentinelOne oder vergleichbaren Lösungen. Im Gegensatz zum Standarddefender kann man hier zentral verwalten und gute Analysen fahren. Klar, geht beim Defender auch, aber ich hab hald nur ein Budget X und keine E5 Abos usw. Ich kann mit der IT nicht die Firma finanziell ruinieren, das Zeug kostet so schon mehr als genug.

Zusammengefasst gibts also für mich 3 Lösungen...
  • 5-10 Jahre warten, dann erübrigt sich das von selbst.
  • Mitarbeiter PC inkl. VMs in ein eigenes WildWest-VLAN - onpremises Dienste die noch nicht getrennt sind abkoppeln (VLAN + Citrix oder was in der Art) - muss ich wie gesagt durchdenken, da ich hier Bandbreitenprobleme bekomme. Deshalb ist das auch noch nichts so umgesetzt. Wir haben Budgetbedingt nur Layer2 Switche, weshalb ich dann alles über die Firewall / diverse Router schleusen muss. Aber da brauch ich keine Tipps, mein Netz kenn ich wie meine Hostentasche.
  • Mitarbeiter anweisen die VLANs bei den VMs einzustellen (hab ich wenig vertrauen das es klappt) - ich such da schon ne ganze Weile wie man das bei VMware Workstation per GPO vorgeben kann, finde aber nichts dazu - falls da jemand eine Idee hat wär das die allerschönste Lösung. Hab die Idee eigentlich schon vor Jahren verworfen, aber da hier einige angedeutet haben das es doch gehen soll... Da bin ich echt ganz Ohr!
LG an alle!
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

D
Wie sicher ist Quick Share?
2
Antworten
23
Aufrufe
2.128
Micha-
Micha-
Steve_
  • Gesperrt
Google Drive: Wie sicher ist das alles?
2
Antworten
29
Aufrufe
1.807
Zensai
Zensai
end0fseven
Jellyfin hinter Reverse Proxy Synology sicher?
Antworten
12
Aufrufe
893
end0fseven
end0fseven
C
Arctic Silver 5 auf einem neuen Ryzen sicher?
2
Antworten
30
Aufrufe
2.420
M4CE117
M4CE117
C
Welche Marken sind Sicher?
Antworten
16
Aufrufe
1.405
Cabranium
C
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz