Aufgabe: Erstelle ein Netzwerk unter folgenden Voraussetzungen

Die Aufgabe hatte ich vor einigen Jahren.

Bauen Sie aus folgenden Komponenten ein sicheres Netzwerk für eine Firma auf.
Das System läuft, die Kennwörter sind aber nicht vorhanden. Kein Zugriff zu den Rechnern
Die Festplatten können aus diversen Gründen nicht gesichert werden und müssen ausgetauscht werden.
Es dürfen keine wichtigen Konstruktionsunterlagen unberechtigt aus dem Haus gelangen.
Andererseits müssen von einem PC aber Konstruktionsunterlagen innerhalb einer gewissen Größenordnung gesendet werden können.
Sie haben für den Aufbau und die komplette Einrichtung einen Tag (1.11.) Zeit. Am Folgetag muss dass System direkt nutzbar sein.

1 IBM-Server
15 PCs
8 Hubs/Switches
1 Druckserver
1 Plotter
2 Netzwerkdrucker
1 PC als Mailserver
1 PC als Internetzugangsserver
diverse Router
vorhandene Betriebssystem-Lizenzen:
1x NT
2x Windows 2000
16x XP-Home
für jeden Rechner neue Festplatten in benötigter Stückzahl
----------------------------------------------------------------------------------
Wie sich später herausstellt, haben alle Rechner eine feste IP und gehören diversen Subnetzen an.
---------------------------------------------------------------------------------

Während der Einrichtung stellt sich heraus, dass eine weitere Firma ins Haus kommt und ins Netzwerk integriert werden soll.
Sie erhält die Hälfte der Rechner und benötigt einen kleinen Datensever... dafür wurde aber plötzlich ein Arbeitsrechner nicht benötigt, der jetzt also zur Verfügung steht.
Es darf kein Zugang zum jeweils anderen Netzwerk oder Server möglich sein.
Es dürfen auch keinerlei Dateien auf den jeweils anderen Server verschoben oder kopiert werden können.
---------------------------------------------------------------------------------
Wieder einige Stunden später stellt sich heraus, dass 2 Rechner Vollzugang zu allen Rechern beider Netzwerke haben müssen.
--------------------------------------------------------------------------------
Am ersten Arbeitstag stellt sich heraus, dass 2 Rechner aufeinander zugriefen müssen und dafür noch jeweils (auf dem anderen Rechner) einen abgesicherten Speicherbereich benötigen, auf denen nur der spezielle Benutzer zugreifen darf/kann.
Auch bei Adminbenutzung darf dieser Speicherbereich weder gesehen noch ausgelesen werden können.

Ihr habt für diese Aufgabe nur die vorhandenen Lizenzen und könnt auch allerhöchsten frei verfügbare und legale Software aus dem Internet benutzen, da es sich um eine Firma handelt.
==========================================================================================

Es handelt sich hier um eine reine Denkaufgabe, da sie in der Praxis bereits umgesetzt wurde.
Ihr habt alle Rechte und könnt die Nutzer der Rechner bis ins Detail einschränken um die Aufgaben zu verwirklichen.
(Auf dem Konstruktionsrechner werden trotzdem Adminrechte für ein Konstruktionsprogramm benötigt - leider ist aber genau dieser Nutzer ein potentieller Geheimnisverräter)

Und natürlich muss diesmal verhindert werden, dass Benutzer ihre Rechner so sperren, dass ein direkter Adminzugriff nicht mehr möglich ist.

Mir stand für die Grundaufgabe 1 Tag zur Verfügung und für den zusätzlichen Speicherplatz (der am 1. Arbeitstag gefordert wurde) noch 1 Stunde. Das Zusatzproblem (dass diese beiden Nutzer sich keine Kennwörter merken wollen/können) gehört nicht zur Aufgabe.

===================================================================================

Anstatt Windows XP Home könnt ihr auch Vista Basic in die Aufgabenlösung einbeziehen.
Linux ist nicht gestattet, da alle vorhandene Spezialsoftware nur auf MS basiert und die User nur mit MS-BS arbeiten können.

Zitat von PBHQ|Sn1pper

Eine Frage dazu:
Was darf ich alles an der Rechnerkonfiguration ändern ?

Subnetzmasekn ? IPs ?
Wieviel Netzwerkkarten haben die Server ?
Beim Internetzugangs PC müssen es ja 2 sein, oder is ein Modem eingebaut ?

Du hast handelsübliche PCs als Arbeitsstationen vor dir.
Du kannst dort alles einstellen, was das BS zulässt.. oder deine Fachkenntnis

1x IBM-Server
1x speziell ausgerüsteter PC als Mail-Server
1x speziell ausgerüsteter PC als Internetzugangsserver

Mail-Server
sorgte hauptsächlich für Filterung und Sicherheit der Mails.
(Es gab im WWW extra noch einen Server auf dem die Hausseite gehostet wurde und über den alle Mail-Daten gingen.. was aber für das Netzwerk an sich keine große Rolle spielte... dort wurden auch die abzurufenden Mailaddis hinterlegt)

Software ließ alles Mögliche zu um sowohl Datenmengen und Arten als auch Texte zu kontrollieren.
Auch konnten hier zulässige Mailaddis für jeden Arbeitsplatzrechner für Ausgangspost festgelegt werden.

Internetzugangsserver
Auch er war mehr ein Internetfilter.
Seine Hauptarbeit bestand aus der Virenabwehr (Sandbox) und der Filterung von Internetzugang.
Software war ähnlich der des Mailservers.

Mailserver rief regelmäßig über Internetserver die Mails aus dem Web ab während der Internetserver hauptsächlich für den Rest des www zuständig war... was auch webmail betrifft

Internetzugangsserver hatte (glaube ich) 2 Netzwerkkarten, Mailserver nur eine.
Nur der IBM-Server war ein echtes RAID4-System für den es dann auch die NT-Software gab

Achja.. der Internetserver war mit einem Router + Modem verbunden.WWW-Internet wurde betrieblich kaum genutzt
---------------------------------------

Ehrlich gesagt:
Aus Zeitgründen habe ich den Mailserver und den Internetzugangsserver nicht neu aufgebaut, sondern nur die vorhandene Software entsprechend konfiguriert.
Es waren auch die einzigen Rechner in denen noch eine Festplatte steckte. *g*

Dadurch, dass ich das gesamte Netzwerk erst mit arbeitsuntauglichen Arbeitsstationen und IBM-Server vorfand und keienrlei technische Daten hatte, konnte ich auch keine Installationsvorbereitungen treffen.
Der Serverraum war einige Jahre vorher mal ausgeraubt worden und so war fast alles an Unterlagen verloren gegangen.

Die BS-Lizenzen waren jeweils einzelne CDs und keine Netzwerkinstallation.
Jeder Rechner musste also einzeln seine Reg-Nr. und Aktivierung erhalten

Anfangs hatte ich zwar geschrieben "ihr habt alle Zeit der Welt" - ich war aber eigentlich davon ausgegangen dass ihr es nicht so wörtlich nehmt

Ich fange dann mal mit der Auflösung an.

Zunächst einmal: Wie mache ich aus einem normalen PC einen (relativ) sicheren Datenserver ?
Grundlage ist, dass der PC eine statische interne IP innerhalb einer separaten Sub bekommt.

Als reiner Datenserver braucht er keinen Zugriff nach Außen. Also werden alle Browser deinstalliert und Internetverbindungen verhindert.
Zugriff auf diesen PC erhalten nur vorher eingestellte IPs der Arbeitsstationen (die natürlich auch fest eingestellt sind).
Hierzu geügt eine Kombination von Windows-FW + einer zusätzlichen Freeware.
Alternativ bietet sich natürlich noch eine MAC-Adressierung an, die mit Windowsbordmitteln aber schwerer zu realisieren sind.

Jede eingetragene Arbeitsstation meldet sich nach erfolgreicher Useranmeldung automatisch mit einem eigenem Kennwort an.
Das Sicherheitsproblem wird also auf die Arbeitsstationen ausgelagert - die durchaus besser und einfacher abgesichert werden können.
Je nach Wahl des Betriebssystems kann man auch für einzelne Arbeitsstationen individuelle Ordner festlegen, zu denen nur diese Workstation Zugriff hat.

Die Sicherheit besteht also grundsätzlich dadurch, dass ein Eindringling sich direkt der Arbeitsstation bedienen muss um an die Serverdaten zu kommen. Da es sich um ein Kabelnetzwerk handelt, ist ein Eindringen von Außerhalb der Firma nur schwer möglich.
Sofern es doch erfolgt, muss der Eindringling sowohl die Subnetzmaske + die IP/MAC-Adresse + den Namen + das individuelle Passwort einer berechtigten Arbeitsstation kennen.

Um diese Daten zu erhalten, müsste ein Hacker schon die Hardware-Firewall, den Internetzugangsrechner, die Softwarefirewall, das Hauptnetzwerk und alle Workstations geknackt haben.
Diese Menge ist nötig, da die Daten nicht zentral gespeichert sind, sondern nur individuell auf jedem Rechner oder Server. Diese haben jedoch immer andere Zugangsberechtigungen von Außen.

PS: Am Ende habe ich ein kleines "Codebuch" anlegen müssen, das rund 100 Din-A-4-Seiten enthielt.. nur für die Zugangscodes.
Diese Liste wurde auf einem externen Rechner erstellt ohne weitere Speicherung ausgedruckt und im Tresor des Serverraums eingeschlossen.
Soweit möglich handelte es sich um 25stellige Codes mit Ziffern, Groß- und Kleinbuchstaben. Jeder einzelne dieser Codes wurde nach dem Zufallsprinzip durch eine Sondersoftware generiert und sollte allein dadurch schon einen recht hohen Zugriffsschutz bieten.

Merke: Uneinnehmbar/unknackbar ist nichts.
Es gibt immer Hacker, die besser als ein Systemadmin sind. Man kann ihnen jedoch das Leben etwas schwerer machen und/oder die zum Knacken nötige Zeit so erhöhen, dass ein Hacken keinen Sinn mehr ergibt.
Natürlich muss man von Zeit zu Zeit die Sicherheit an die aktuellen technischen Möglichkeiten anpassen.
Noch vor wenigen Jahren galten Passwörter mit 8 Stellen als sehr sicher - die Zeit ist vorbei. Jetzt sind angeblich 15-stellige Kombinationen sicher.. was wohl auch nicht lange anhalten wird.
Je schneller Rechner werden, desto unsicherer werden "zu kurze" Passwortkombinationen.

Auch dieser "Notserver" wird also in einiger Zeit relativ einfach knackbar sein - sofern die Einstellungen nicht geändert und gepflegt werden.Hier kommt es dann darauf an, wie wichtig das Unternehmen die Daten auf dem Sever einschätzt und ob sie sich einen Fachmann leisten wird, der die Einstellungen immer wieder anpasst und verbessert.

Und NEIN. Das gesamte Firmennetzwerk ist NICHT auf externen Support ausgelegt. Alle Einstellungen müssen einzelnen an jedem PC mit dem jeweiligen Adminzugriff getätigt werden. Es gibt keine zentrale Zugriffsvergabe oder PW-Verwaltung.
Es besteht keine Notwendigkeit seitens der Mitarbeiter zusätzliche Software zu installieren.
Es besteht auch keine Möglichkeit, Daten auf den einzelnen Arbeitsstationen abzulegen... doch dazu in der Fortsetzung dann einmal.