Netzwerkdesign / IT-Umgebung im Unternehmen

[schwarzweiß]

Hallo zusammen,

aus Gründen der Diskretion würde ich in diesem Thread auf bestimmte Angaben verzichten. Das betrifft auch meine Position und berufliche Angaben.
Relevante Informationen (IP) werden in anonymisierter Form wiedergeben.

Ich bin in einem Unternehmen tätig, deren Netzwerkdesign / IT-Umgebung ich persönlich für bedenklich halte.
Mit einem IP Scanner habe ich in dem Bereich 192.168.178.0 - 255 folgenden Sachverhalt vorgefunden.

Im Netzwerk wurden mir alle Systeme angezeigt.

• Serverhost (alle Netzwerkports), es gibt nur einen physikalischen Server.
• Alle VMs
• Switche
• USV
• IP-Telefone + TK-Anlage
• WLAN Access Points
• Drucker
• Kamera
• Zeiterfassungsterminal
• Notebooks (50+), inkl. meins, alle mit lokalen Adminrechten für die Anwender.
• etc...

Die IP-Adressen lauten alle 192.168.178.x
Die Subnetzmaske auf meinem Notebook ist 255.255.255.0 (DHCP)

Eine Firewall hängt auch noch mit dran und erscheint auch im Scan.

 

Wie ist eure Meinung dazu?

VG, schwarzweiß

[RAM_Rakete]

Ganz schön was los in dem 24er von der Fritzbox

[allesweg]

Klingt nach einer konsitenten IT-Landschaft.

[Tratos]

Bisschen Grafisch aufbereiten und dann gibt das eine schöne Grafische Übersicht der IT-Landschaft.

Der Verantwortliche Admin sofern es einen gibt wird dazu schon sein Konzept getroffen haben.

Was intern sichtbar ist hat aber nochmal einen anderen Stellenwert, als das was von außen sichtbar ist.

Aber natürlich sollte es zu einem Cyber-Angriff auf das Unternehmen kommen, und das ganze System zerschossen oder Verschlüsselt werden kann das schon existenz bedrohend werden für das Unternehmen, wenn hier keine Backup Strategie vorliegt und alle Administrative Rechte haben.

Allerdings ist das Sache des Geschäftsführers des Unternehmens wie er sein Unternehmen leitet und welche Personen er wie mit Aufgaben betraut.

 

 

[Gast]

Hälst du deine Position und beruflichen Angaben geheim, weil du eigentlich ITler bist und dich mit so einer Frage hier fachlich ins Aus katapultierst? 

Wenn du ITler bist/sein willst und nicht erkennst, dass hier offensichtlich jemand einfach alle Netzwerkkomponenten an eine Fritzbox ohne weitere Konfiguration gehängt hast, würde ich mir einen neuen Job suchen in einem anderen Bereich. 

Wenn du in diesem Unternehmen nicht für die IT verantwortlich bist, dann würde ich mir schnell ein anderes Unternehmen suchen. 

vor 1 Minute schrieb Tratos:

Bisschen Grafisch aufbereiten und dann gibt das eine schöne Grafische Übersicht der IT-Landschaft.

Einfach die "Mesh Übersicht" in der FritzBox öffnen 😄

[Tratos]

vor 6 Minuten schrieb FIDP:

Einfach die "Mesh Übersicht" in der FritzBox öffnen 😄

Stimmt, das Teil suchen gehen, unten steht dann das Passwort dran. Wurde warscheinlich auch nicht geändert.

Sieht aber auf meinem Unifi Controller auch so aus, da werden mir auch alle Switche sowie APs, in ner schönen Topologie angezeigt.

Aber die hängen halt alle an einem MGM-Port so das nur der Controller wirklich über die VLAN-Adresse jedes Switch im Netz erreicht.

 

Aber wir wissen jetzt zu wenig über die eingesetzte Hardware, aber wenn die Fritzbox den DHCP macht für 50+ Geräte Respekt das es da noch zu keinem Pufferüberlauf gekommen ist und der die IPs zerwürfelt hat.

 

[Maniska]

Schön ist anders, und das gehört dringen überarbeitet und segmentiert, aber dass man so was bei einem KMU oder kleiner vorfindet ist leider keine Seltenheit.

Dass Netzwerkendgeräte (physikalisch und virtuell) auf ICMP antworten ist per se weder schlimm noch bedenklich. Dass sie auf Nachfrage (was beim Scan ja passiert) ihre offenen Ports zugeben ist auch erst mal nicht schlimm.

Auf den ersten Blick finde ich an der Liste am Bedenklichsten dass man einfach so auf IP Kameras zugreifen kann (Datenschutz) und dass User mit lokalen Adminrechten unterwegs sind.

Solange die Kommunikation im Netzwerk verschlüsselt erfolgt (wovon ich an der Stelle aber nicht ausgehe!) und für die zentralen Systeme (Server, Netzwerkkomponenten) gute Kennwörter verwendet werden (wovon ich auch nicht ausgehe!) ist das "nur" unschön.

Bei den Switchen reden wir aber schon von richtigen Switchen und nicht von "Mehrfachsteckern für Netzwerk" oder?

 

Ob das jetzt wirklich eine Fritte ist, oder aus Anonymisierungsgründen ein 08/15 /24 Netz angegeben wurde wissen wir nicht. Es gibt genug (vor allem produzierende) Unternehmen die noch mit einem flachen /16 -/21 unterwegs sind weil sie das Thema Netzwerksegmentierung recht weit unten auf ihrer Prioliste haben.

[FISI-I]

vor 2 Stunden schrieb FIDP:

Hälst du deine Position und beruflichen Angaben geheim, weil du eigentlich ITler bist und dich mit so einer Frage hier fachlich ins Aus katapultierst? 

Wenn du ITler bist/sein willst und nicht erkennst, dass hier offensichtlich jemand einfach alle Netzwerkkomponenten an eine Fritzbox ohne weitere Konfiguration gehängt hast, würde ich mir einen neuen Job suchen in einem anderen Bereich.

Warum muss man immer gleich mit dem Vorschlaghammer draufhauen? Erst eine vage Annahme treffen und dann aufgrund dieser zuschlagen. Wieder so typisch.

Er hat sich doch hier geäussert, dass er die Netzwerkstruktur für bedenklich hält. Da ist dann wohl eher anzunehmen, dass er nicht der Verursacher ist und selbst wenn, wer will sich denn hier aufschwingen, den Bertungsguru über andere zu geben?

@TE

Auf den ersten Blick ist das Ganze eher weit erntfernt von einer Netzwerkstruktur und sollte dem Verantwortlichen auch mal deutlich gemacht werden, insbesondere sollte man nach der Grundlage fragen, wie dieses entstanden ist. Ich weiß nicht warum, aber mir schwebt die Antwort "historisch gewachsen" vor den Augen. Und genau hier muss man ansetzen, die Historie aufzuarbeiten.

[SR2021]

vor 10 Stunden schrieb schwarzweiß:

• Serverhost (alle Netzwerkports), es gibt nur einen physikalischen Server.
• Alle VMs

Zumindest der Backup Server sollte zusätzliches Blech sein und optimalerweise in einer anderen Domäne / Netz hängen.

Der Rest ist jetzt erstmal nicht ungewöhnlich, auch wenn es natürlich bessere Optionen gibt das Ganze aufzubauen.

Bearbeitet 13. Oktober 2023 von SR2021

[allesweg]

vor 8 Minuten schrieb SR2021:

Zumindest der Backup Server

was?

Das ganze klingt nach einem gewachsenen Unternehmen, welches keinerlei IT-Risikobewusstsein hat. Lass mich raten: ein Geschäftsführer, der nie mit größeren IT-Abteilungen in Kontakt kam?

[Maniska]

vor 17 Minuten schrieb SR2021:

Zumindest der Backup Server sollte zusätzliches Blech sein und optimalerweise in einer anderen Domäne / Netz hängen.

Wenn /falls es in dem Konstrukt überhaupt einen Backupserver gibt

vor 2 Stunden schrieb FIDP:

Wenn du ITler bist/sein willst und nicht erkennst, dass hier offensichtlich jemand einfach alle Netzwerkkomponenten an eine Fritzbox ohne weitere Konfiguration gehängt hast, würde ich mir einen neuen Job suchen in einem anderen Bereich.

Ok Sherlock, Butter bei die Fische, wie kommst du zu der felsenfesten Überzeugung dass das definitiv nur ein umkonfiguriertes Netz hinter eine FritzBox sein kann? Wegen dem 192.168.178.0/24 dass der TE zu Anonymisierungszwecken genutzt hat?

@TE

Wie gesagt, hier ist dringend Bedarf zur Überarbeitung, aber als frisch dort angefangener IT-ler würde ich das ausarbeiten und mit meinem Chef reden was davon wie mit welchen Kosten verbessert werden muss, sollte und kann (in der Reihenfolge).

Als Chef dem das zugetragen wurde/aufgefallen ist würde ich mit meiner IT reden, dass da was aufgefallen ist, ich das gerne "in schön" hätte und nachfragen was sie dafür von mir benötigen. Es kann ja sein, dass die IT das schon lange auf dem Schirm hat, aber weder das Personal noch das Geld dafür da war, weil "läuft ja". Anschließend für nächstes Jahr ein Projekt "Umbau Netzwerk" budgetieren und mir im Zweifelsfall einen DL zur Unterstützung ranholen.

Nicht immer wenn solche Konstrukte vorgefunden werden ist der faule unfähige IT-ler schuld, manchmal ist es auch eine Mischung aus Historie, "läuft doch", kein Geld und keine Zeit.

[DPR]

Hi wie meine Vorredner zu dem Thema würde ich auch sagen, dass das kein schönes Netzkonzept ist. Wenn du dafür zuständig bist, würde ich schleunigst dafür sorgen, dass du das segmentierst und auseinander ziehst. 

Es kann nicht sein, dass Server und User in einem Netz sind - gerade bei kritischen Produktionsdaten. Du hast auch gerade durch User ein erheblliches Sicherheitsrisiko. 

Ein Netzkonzept könnte so aussehen (angehangen). Wir gehen mal davon aus, dass der Router in dem 178er Netz eine Fritzbox ist. Ist aber auch völlig egal. Wir nutzen das einfach als DMZ, da wir bei solchen Geräten wie der Fritzbox was Vlans etc. angeht sehr eingeschränkt sind um das mal vorsichtig zu formulieren. Dahinter baust du dann deine Infrastruktur hinter der Firewall auf. Die Firewall sollte dann natürlich in dein DMZ Netz beim externen Zugriff natten. 

Das ist natürlich nur eine Idee wie ich das hier aufgemalt habe. Grundsätzlich gilt aber: Segmentiere dein Netz so stark es eben geht - natürlich solange der administrative Aufwand noch zu händeln ist. Ich hab hier auch bewusst nur L2 Netze angegeben (Vlan Trennung). Auf Layer 3 sind dir da natürlich alle Möglichkeiten offen. 

Liebe Grüße

fachinformatiker_net.pdf

[Bitjunkie78]

Interessanter Einblick.

Das hier alles ohne weitere Segmentierung in einer BC Domain hängt, ist schon bedenklich.

Und das du einfach alles so erreichst und Scannen kannst, hängt hoffentlich an einer Firewall-Freischaltung für deinen Client 🙂

Hier sollte dringend eine Risikobewertung der Situation an deinen Chef gehen.

Klare Zonierung, unterschiedliche VLANs und vernünftiges Intervlan-Routing am besten noch über die FW. Natürlich kostet das etwas Geld aber unterm Strich bietet es euch einen klaren Mehrwert. Ich würde deinem Chef anz herz legen, das er alles auf ein stabiles und sicheres Netzwerk setzen sollte.

Meine Vorredner zeigen ja per LAN-Design-Guide-Zeichnung wie so etwas aussehen könnte. 

Das ganze dann schön Dokumentiert und mit einem Monitoring versehen macht es gleich viel mehr Spaß.