Geräte im Netzwerk vom Internet 'abschotten'

Ich spreche aus eigener Erfahrung also hoffe ich das es bei dir auf offene Ohren stößt.

Ich selbst (Fachinformatiker) in einem mittelgroßen Unternehmen muss gerade mit der eingliedrung einer neuen Tochter ins Unternehmen kämpfen. Das gekaufte Tochterunternehmen ( 40 Mitarbeiter, eine Halle, ca 20 Maschinen, 10 Arbeitsplätze, 2 Server) ist noch nah vergleichbar mit deinem Szenario. Was wir als IT Abteilung da vorgefunden haben hört sich genau wie deine "Suppenküche" an ( bitte nicht falsch verstehen). Der vorherige "Admin" (war ein Vertriebler) der alles, wie du, nebenbei gemacht hat. Die zwei Server standen im Büro und mit 4 USB festplatten eine Acronis Sicherung. Wenigstens daran wurde gedacht, wenn auch nur halbhertzig. Ein Server war kurz vorm verrecken und keiner hat es bemerkt. Jetzt nach einem halben Jahr bin ich endlich soweit das man es ein "Firmen-Netzwerk" nennen kann. Dies hätte aber erst garnicht soweit kommen müssen. Zurzeit haben wir dort die IP Telefone in einem extra Netzverfrachtet, einen Serverrack gekauft und in einem seperaten Raum gestellt, mit VMware die zwei Server abgelöst und virtualisiert, Veeam Sicherung eingeführt und und und... Ich will eigentlich nur deutlich machen das man für sowas, auch wenn es nur ein kleiner Betrieb ist, schon eine Vollzeitstelle einstellen KANN aber nicht MUSS. Es gibt in der heutigen IT so viele Sachen die bedacht werden müssen, das kannst du nicht nebenbei. Wenn du es nicht nebenbei kannst - wende dich bitte an ein Systemhaus. Das erspart der IT die euch irgendwann übernimmt ein haufen arbeit :)
 
Danke für den Erfahrungsbericht ;)

@7smundsoweiter (wie kommt man auf so nen Usernamen? Zufallsgenerator? ;))
Wie ich schon sagte, IT-Dienstleister können ihre Lösungen mehr oder weniger beliebig skalieren. Vom simplen Netzwerk mit einem NAS und ein paar Clients in 2-3 VLANs bis hin zu komplexen Netzwerken mit Hunderten Clients und dicken Servern. Evtl. findet sich sogar ein Freelancer-Admin, der zB 1x pro Woche reinschaut oder auch nur bei Bedarf. Aber bitte trotzdem ein Profi und nicht der Gamer-Sohn vom Staplerfahrer.

Als Beispiel möchte ich mal unsere Firma skizzieren. Wir haben 30-40 Mitarbeiter und unser Admin ist 2x pro Woche da (ein Freelancer). Im Notfall wird er per Handy kontaktiert und muss dann eben auch zwischendurch vorbeikommen. Zwar haben wir durchaus einen Konzern mit mehreren Hundert Mitarbeitern im Rücken, aber die sitzen am anderen Ende der Republik und haben mit unserem Netzwerk abgesehen von der Standort-Verbindung nichts zu tun. Wenn das Netzwerk einmalig eingerichtet wurde, dreht sich die Wartung weitestgehend nur noch um Backups und sporadisch mal ein paar Fehler am Notebook oder so.
Wenn alle Stricke reißen. .. ... stehen die Mitarbeiter und der Chef .. .. .. bei mir auf der Matte.. Echt doof, wenn man der einzige Informatiker im Haus ist :rolleyes:

Es gab sogar mal Gespräche darüber ob ich nicht komplett die IT übernehmen könnte - ich habe dankend abgelehnt. Die Fähigkeiten hätte ich zwar teilweise schon, aber ich bin als Technischer Informatiker primär auf den unteren Ebenen des Netzwerks unterwegs und habe zB von Windows Server, Sharepoint und was Microsoft sonst noch so verbrochen hat (:p) keinen blassen Schimmer, meine Serverwelt besteht aus Linux. Auch wenn ich also im Netzwerk durchaus fortgeschrittene Kenntnisse habe, bin ich auch nicht für den Posten des IT-Admins geeignet. Firewall und Co sind für mich easy, aber wenn dann mal Lotus Notes streikt oder unser FileServer mit Windows Server schießmichtot abkackt, muss ich auch die Segel streichen...
 
Wahnsinn wie ihr von oben herab spuckt, obwohl ihr eigentlich gar kein Bild von der Situation habt.
Ihr hört "Firma" und das war es dann auch schon.

Ihr braucht euch auch gar nicht weiter "bemühen", denn etwas hilfreiches kommt dabei sowieso nicht raus.
Tschüss sagt der Gamer-Sohn vom Staplerfahrer. :o
 
Was willst du denn hören? Die "Do it yourself" hab ich ja grob umrissen. Aber die anderen haben schon recht. Sowas kann schnell ein Fass ohne Boden werden, vorallem wenn man es richtig richtig machen will.
 
7smjz2n5 schrieb:
Wahnsinn wie ihr von oben herab spuckt, obwohl ihr eigentlich gar kein Bild von der Situation habt.
Aha? Keine Ahnung wer deiner Meinung nach irgendwohin spuckt, aber deine Reaktion erinnert mich an meinen Neffen..

Wie sollen wir denn ein "Bild von der Situation" haben, wenn du sie nicht näher beschreibst und zwischenzeitlich sogar wichtige Infos aus dem Thread entfernst? Ich habe dir eine grobe Lösung vorgestellt wie es zB mit einer Fritzbox halbwegs funktionieren könnte (Stichwort: Kindersicherung). Weiterhin habe ich dich um eine Skizze gebeten was wie wo angeschlossen ist und wohin Verbindungen möglich sein sollen und wohin nicht.

Netzwerk - egal ob vom Profi oder vom Laien - ist keine setup.exe, die man einfach anklickt und dir hier in 3 Sätzen erklären kann was du tun sollst. Gibst du uns keine näheren Infos und gehst nicht auf Fragen und Anregungen ein, dann kann dir auch keiner helfen. Stattdessen gehst du sofort an die Decke, weil hier nun mal naturgemäß erfahrene User unterwegs sind, die mit Netzwerken, die unsachgemäß eingerichtet wurden, schon üble Erfahrungen gemacht haben und davor warnen.

Keiner will dir persönlich etwas Böses, du dagegen wirst von Beitrag zu Beitrag abweisender und trägst selbst am wenigsten zu deinem eigenen Thema bei. Aber gut, mach dein Ding, guck dir ein paar Youtube-Videos an und tippe blind etwas ab. Wenn dann irgendwas passiert, steht dein Chef schließlich bei dir auf der Matte, weil du ihm ja sagtest "kann ich, mach ich".
 
7smjz2n5 schrieb:
Jedes Gerät und jeder PC soll auf das NAS zugreifen können, aber nicht alle sollen Zugriff auf das Internet haben.
Es geht um das (noch nicht wirklich vorhandene) Netzwerk einer kleinen Firma und der Chef möchte dass einige Endgeräte (u.A. produktive Maschinen) aus Sicherheitsgründen vom Internet getrennt sind.

Es geht also nicht darum dass die Geräte nicht ins Internet können, sondern es geht darum dass aus dem Netz kein Schadcode auf die Maschinen kommt. Das hast du natürlich etwas unvorteilhaft formuliert und deswegen auch unpassende Antworten bekommen.

Du schaufelst trotzdem Daten in dieses Netz. Wie stellst du sicher dass diese Daten 100% sauber sind? Da reicht schon wenn ein Mitarbeiter mal den falschen USB Stick irgendwo anklemmt.
Einen vernünftigen Malwareschutz bekommst du heutzutage ohne Online-Updates kaum noch realisiert. Weil wenn du Malware in ein Netz ohne Updates (System und AV) bringst ist das quasi das schlimmste was dir passieren kann, weil die Malware sich dort beliebig austoben kann. Das "vom Internet trennen" kann also unter Umständen auch ganz massive Nachteile haben.

Was du möchtest lässt sich z.B. mit einer Fortigate Firewall realisieren.
Ein Netz fürs LAN, ein Netz für die Maschinen, ein Netz fürs NAS und dann das Routing einrichten.
Hier hast du dann z.B. auch die Option dass die Maschinen bzw. Steuer-PCs z.B. nur zum AV Updateserver verbinden dürfen und sonst nirgends hin.
 
Zurück
Oben