Ein paar Gedanken aus meiner Security-Sicht:
Wenn ich dich richtig verstanden habe, dann willst du deinen Internetzugang verteilen und zur Verfügung stellen. Dabei geht es über länger Strecken und Objekte. Ich vermute, dass dieser Zugang neben euren Kunden auch von euch selbst genutzt wird in der Verwaltung/Büro.
Eine Grundfrage ist: Was passiert, wenn XYZ nicht (mehr) funktioniert?
Konkreter, was passiert, wenn ein Kunde nicht mehr ins Internet kann? Was wenn gar kein Kunde mehr ins Internet kann? Was, wenn die Verwaltung von euch nicht mehr ins Internet kommt? Die Frage ist eine Abwandlung der Frage, was sind eure Business-Prozesse.
Eine weitere ist: Wem kannst du vertrauen?
Den Paranoia-Ansatz mal außen vor, wirst du dir und den anderen Mitarbeitern vielleicht vertrauen. Deinen Kunden solltest du besser nicht vertrauen.
Daraus ergeben sich Konsequenzen, die in die Strukturierung einfließen sollten.
Wenn meine Eingangsvermutung richtig ist würde ich wie folgt in die Konzeptionierung gehen:
a) Das Netz für die Office-Geräte/Büros von euch wird ein Netz, das intern kommunizieren kann. In dieses Netz kommen nur Geräte und Nutzer, die du explizit in dieses Netz hinein nimmst und ohne deine Hilfe kommt dort auch keiner einfach rein (z.B. durch anstecken eines Netzwerkgerätes an eine sichtbare, frei zugängliche Netzwerkdose). Ein Netz, das funktionieren muss damit ihr neuerem Tagesgeschäft nachgehen könnt.
b) Ein Netz, dass für die Kunden vorgesehen ist, in dem sie ins Internet kommen. Ob alle Dienste/Ports oder nur gewisse Dienste sei erst einmal dahin gestellt (oder kann von euch als Mehrwertdienst angeboten werden). Surfen, E-Mail, IP-TV, ... Was in diesem Netz passiert ist grundsätzlich als Risiko zu betrachten, da ihr den Kunden nicht trauen könnt/dürft. Das heißt, dieses Netz darf auf keinen Fall in das Netz aus a). Um die Kunden untereinander du schützen, dürfen diese auch nicht untereinander kommunizieren (client isolation).
c) Da beide Netze a) und b) spätestens beim Internetzugang sich die Ressourcen teilen wird Netz A priorisiert gegenüber Netz B bedient.
Wie die Trennung der beiden Netze erfolgt, ist dir überlassen. VLANs wären vermutlich meine Wahl in diesem Fall. Eine vollwertige aber einfache Firewall, die VLAN, traffic shaping und dhcp unterstützt dann quasi als zentrales Absicherungselement.
Ziel des genannten Setups ist
Ich hoffe, diese Gedanken helfen dir etwas, @Beteigeuze24. Wenn du andere Anforderungen hast oder gewisse Dinge anders bewertest, dann kommt natürlich auch was anderes raus. Was mir aber wichtig ist, ist dass solch grundlegenden Konzeptfragen vor einer technischen Umsetzung erfolgen sollten. Aus meiner Sicht sogar müssen.
Wenn ich dich richtig verstanden habe, dann willst du deinen Internetzugang verteilen und zur Verfügung stellen. Dabei geht es über länger Strecken und Objekte. Ich vermute, dass dieser Zugang neben euren Kunden auch von euch selbst genutzt wird in der Verwaltung/Büro.
Eine Grundfrage ist: Was passiert, wenn XYZ nicht (mehr) funktioniert?
Konkreter, was passiert, wenn ein Kunde nicht mehr ins Internet kann? Was wenn gar kein Kunde mehr ins Internet kann? Was, wenn die Verwaltung von euch nicht mehr ins Internet kommt? Die Frage ist eine Abwandlung der Frage, was sind eure Business-Prozesse.
Eine weitere ist: Wem kannst du vertrauen?
Den Paranoia-Ansatz mal außen vor, wirst du dir und den anderen Mitarbeitern vielleicht vertrauen. Deinen Kunden solltest du besser nicht vertrauen.
Daraus ergeben sich Konsequenzen, die in die Strukturierung einfließen sollten.
Wenn meine Eingangsvermutung richtig ist würde ich wie folgt in die Konzeptionierung gehen:
a) Das Netz für die Office-Geräte/Büros von euch wird ein Netz, das intern kommunizieren kann. In dieses Netz kommen nur Geräte und Nutzer, die du explizit in dieses Netz hinein nimmst und ohne deine Hilfe kommt dort auch keiner einfach rein (z.B. durch anstecken eines Netzwerkgerätes an eine sichtbare, frei zugängliche Netzwerkdose). Ein Netz, das funktionieren muss damit ihr neuerem Tagesgeschäft nachgehen könnt.
b) Ein Netz, dass für die Kunden vorgesehen ist, in dem sie ins Internet kommen. Ob alle Dienste/Ports oder nur gewisse Dienste sei erst einmal dahin gestellt (oder kann von euch als Mehrwertdienst angeboten werden). Surfen, E-Mail, IP-TV, ... Was in diesem Netz passiert ist grundsätzlich als Risiko zu betrachten, da ihr den Kunden nicht trauen könnt/dürft. Das heißt, dieses Netz darf auf keinen Fall in das Netz aus a). Um die Kunden untereinander du schützen, dürfen diese auch nicht untereinander kommunizieren (client isolation).
c) Da beide Netze a) und b) spätestens beim Internetzugang sich die Ressourcen teilen wird Netz A priorisiert gegenüber Netz B bedient.
Wie die Trennung der beiden Netze erfolgt, ist dir überlassen. VLANs wären vermutlich meine Wahl in diesem Fall. Eine vollwertige aber einfache Firewall, die VLAN, traffic shaping und dhcp unterstützt dann quasi als zentrales Absicherungselement.
Ziel des genannten Setups ist
- Das Ziel, Internet überall hinbringen, zu erreichen
- einen stressfreien "Office-Betrieb" zu gewährleisten
- den Betrieb auch in Stress/Störungssituationen robust aufrecht zu halten
- Minimalforderungen nach sicherer Verarbeitung der Daten der Kunden zu gewährleisten. (rechtlichen Anforderung!)
- den Betrieb für eine Einzelperson handhabbar zu halten. (ich vermute, du musst das primär alles selbst stemmen, bei Einzelnetzen behältst du nie die Übersicht, behaute ich jetzt mal so...)
Ich hoffe, diese Gedanken helfen dir etwas, @Beteigeuze24. Wenn du andere Anforderungen hast oder gewisse Dinge anders bewertest, dann kommt natürlich auch was anderes raus. Was mir aber wichtig ist, ist dass solch grundlegenden Konzeptfragen vor einer technischen Umsetzung erfolgen sollten. Aus meiner Sicht sogar müssen.