Hallo Christoph,

Wie lange hast Du Zeit? Wie umfangreich soll das werden? Wann wurde Dir die Aufgabe gestellt? Wann solltest Du fertig sein? Welche Netzwerkkenntnisse wurden euch bisher vermittelt? Welches Niveau soll das haben?

Gute Fragen, Zeit hatte ich 5 Wochen wobei 15 Stunden Arbeitsaufwand angesetzt waren. Gehört habe ich 3 Wochen lang grundlegende Vorlesung was ein Gesamtaufkommen von 9 Stunden entspricht. Dabei wurden IP Adressen,  Subnetting/Supernetting, Switching/Routing, und verschiedene Netzwerkarchitekturen behandelt. Also eher WENIG Grundlagen.

und veraltete obendrein, Du Armer. Subnetting/Supernetting, das ist Schnee aus dem letzten Jahrtausend. Also auch noch die Netzwerkklassen und solche Dinge. Ja, die hatte ich mir irgendwann einmal auch selbst beigebracht.

Lies Dir den Artikel Classless Inter-Domain Routing in der Wikipedia durch, ggf. die RFCs, auf denen das beruht.

Fertig sein soll das nächste Woche Donnerstag, umfang von 3000 Worten haben und nach möglichkeit richtig sein.

und nicht zu vergessen, es gibt ein Token-Ring-Netzwerk :-)
Siehe auch anderes posting...so wie sich der Typ anhörte sollte man zumindest eine alternativ Idee haben und nicht einfach sagen: Ich nutze die alte Leitungen weiter. (Du wirst bestimmt fragen: warum? Keine Ahnung!)

Nein, es ging mir bei meinen Anmerkungen nicht darum, dass alte Leitungen weiterbenutzt werden sollen - es ging mir darum, dass es möglich war Leitungen zu verlegen. In der Realität gibt es nun zwei Möglichkeiten, die somit _beide_ in Deinem Fall begründbar genutzt werden können:

Wenn es _einmal_ möglich war, Leitungen zu ziehen, so ist es _wieder_ möglich, Leitungen zu ziehen, diesmal Glasfaser :-) Wenn das beim ersten Mal vernünftig gemacht wurde, so besteht noch nicht einmal die Notwendigkeit, große Erdarbeiten vorzunehmen. Ansonsten ist das mit den heutigen technischen Möglichkeiten kein großer Aufwand, eine weitere Verbindung zu legen. Auf gar keinen Fall (höchstens für einen extremen Notfall) würde ich eine Funkverbindung ins Auge fassen. Und dann auch nur VPN über die WPA-verschlüsselte Verbindung.

die öffentlich erreichbar sein sollen? Und wenn es die öffentlichen Server sind, worüber wird die Firmenmail abgewickelt? Ach so, das Unternehmen benötigt keine Mail, schickt nur richtige Briefe und Pakete ...

Firmenmail kommt nicht vor. Ja. Briefe was weiss ich... nicht Teil in der Aufgabe...vielleicht webmail?! :-D

Wie Du bereits festgestellt hast, ist es ein wenig durchdachtes Szenario. Dafür kannst Du nichts. Dennoch, sollen Web- und FTP-Server öffentlich erreichbar sein? Wenn ja, dann *nie*, *niemals*, *auf gar keinen Fall* diese Server ins interne Netz stellen. Diese gehören in die demilitarisierte Zone, vom Internet durch eine Firewall abgeschottet, vom internen Netzwerk durch eine weitere Firewall abgeschottet.

und die Anforderung, dass jeder Teilnehmer auf jedem Drucker Drucken kann.
also ans Drucken wurde gedacht, an die Datenspeicherung nicht *bg*
Joa...so siehts aus!

Der Internetzugang soll geregelt werden (z.B. nur Http, keine Messenger), das Netzwerk soll sicher sein.

ach, und Deine Lösung berücksichtigt das.

keine Ahnung?! Bin absolut kein Experte. Wenn ich es wüsste müsste ich hier nicht nachfragen?! Was sollte ich Deiner Meinung nach machen  um wenigstens einen halbwegs sicheren Ansatz zu haben?

Als Internetabnindung wird ein \17 Adressbereich zur Verfügung gestellt
viele, viele, viele Adressen. Wofür? Praxisnah? Nein. \21 dürfte reichen :-)
Ok... übernehme ich gerne. Ich habs mir nicht ausgesucht

Es kann sein, dass die wissenschaftlichen Mitarbeiter wirklich keine^w wenig Ahnung von der Materie haben. Aber Arbeitsrechner haben *nie*, *niemals*, *auf gar keinen Fall* eine öffentliche IP-Adresse. Nein, nicht. Wenn Du mehr als eine verwendest, dann benötigst Du ja einen Router. Der hat eine, die Firewall, der Webserver, ggf. der FTP-Server (falls das ein eigener Rechner ist). Also könnte ich mir Bedarf für 4 Adressen vorstellen, eine geht aufs Netzwerk, eine für die Broadcastadresse drauf, macht 6. So hast Du bei \21 immer noch zwei Adressen frei. Genug, um zu spielen :-)

Das sind so ziemlich alle Angaben die ich habe.
Aufteilung in 3 Subnetze (jedes Büro 1)
Warum Subnetze? Wozu?

1. weil es in der Vorlesung behandelt wurde,

Das Argument kann ich in diesem Kontext nachvollziehen, für sinnvoll erachte ich dies nicht.

2. um die Netze gegenseitig abzugrenzen und bei Ausfall des einen Netzes die beiden anderen noch am Laufen zu haben... oder macht das keinen Sinn?

Nein, das ist nicht sinnvoll. Ein Netzwerk ist funktionsfähig, auch wenn nicht alle Hosts erreichbar sind. Dafür ist TCP/IP ausgelegt. Das stellt gar kein Problem dar. Ganz im Gegenteil, durch das notwendige Routing handelst Du Dir unnötige Komplexität ein. KISS - keep it simple, stupid!

Büro 3 bekommt seinen eigenen Internetanschluss, Büro 1 und 2 teilen sich einen.

Ja, zwei Türen sind viel leichter zu überwachen als eine Tür. Die Sicherheit dieser Lösung überzeugt.

Ich weiss nicht wie ich sonst die benötigte Bandbreite zwischen den beiden Häusern klein halten soll? Vorschläge?

Glasfaser, 10 GBit, das sollte ausreichen. Ein großer Zulieferer im Automobilbereich, für den ich mal Projektarbeit machte, hatte damals seine zwei Produktionsstätten am Standort mit 3 MBit verbunden, das war 1999/2000. Ging auch.

Gebäude 2 wird mit Gebäude 1 via WLAN Bridge verbunden.

54 MBit, evtl. 108 MBit, die sich alle teilen. Was für eine Bandbreite, von der Sicherheit gar nicht erst zu reden. Indiskutabel. Kann vielleicht als Fallback für einen Notfall irgendwo abgeschaltet im Schrank rumliegen. Soviel Ausfallzeit kann sich eine Firma, die ewig lang noch auf Token Ring gesetzt hat, definitiv leisten. *g*

Oh. Eine hervorragende Idee. Insbesondere hinsichtlich Sicherheit und Zugriffsproblemen. 10 Leute aus Büro 3 schicken ein paar große Druckaufträge (A0, 300dpi, Vollfarbe)  auf die HP-Tintenstrahlplotter in Büro 2. Gleichzeitig greifen ein paar Mädels aus Büro 2 auf die Drucker in Büro zu, da dort die netten billigen GDI-Farblaser stehen :-) Dummerweise will der Abteilungsleiter von Büro 2 nun auf irgendeine Ressource auf der anderen Straßenseite zugreifen.

Sind Dir die Datenmengen klar, die da bewegt werden? Dagegen ist Internet das wenigste. Wenn (aus welchen Gründen auch immer) Internet notwendig ist: Schnell für Internet (sonst nichts) das WLAN aus dem Schrank, WPA-Verschlüsselung und dazu eine VPN-Appliance.

Denke daran: die beiden Gebäude waren doch bereits mit Token Ring verbunden.

Ich denke daran...s.o.

s.o. :-) Wie sagt der Skatspieler: "Was einmal geht, geht auch zweimal."

Alle drei Subnetze laufen in einem Router zusammen (Glasfaserleitungen) an dem auch die beiden Server (Web und FTP) hängen (auch Glasfaser).

Da es nur ein internes Netzwerk gibt, benötigt dieses _keinen_ Router. Das ganze ist komplett durchgeswitcht, siehe auch Svens Ausführungen. Eine Firewall zur DMZ, eine von der DMZ zum rauhen Internet, das über einen Router (Cisco ist eine gute Wahl) angebunden ist.

Warum dieses? Was versprichst Du Dir davon?

Vor den Router werden Proxy-Server geschaltet

Geht nicht, ist nicht:-(

Vor den Router kommt gar nichts. Seine externe IP-Adresse kannst Du nicht beeinflussen, die kommt vom Provider, seine interne IP-Adresse ist eine der eigenen aus dem Dir zur Verfügung stehenden Paket (sensationeller Größe).

Habe schon was davon gehört, ja. Ich fand den Zugriff über einen reverse Proxy, der ja genau da steht (zumindest so wie ich demilitarisierte Zone verstanden habe) noch einen tacken sicherer?! Ist aber quatsch, ja?!

Ich weiß nicht, wo da erhöhte Sicherheit herkommen soll. Noch eine Software mehr, deren Fehler ausgenutzt werden könnten.

Freundliche Grüße

Vinzenz

Moin!

Haha, der Satz zur Sicherheit ist große Klasse. Sicherheit ist kein Zustand, sondern ein Konzept. Dementsprechend kann man niemals sagen "Das Netz ist sicher", weil man damit einen Zustand beschreiben würde, den es nicht gibt, sondern man müßte sagen "Wir versuchen, durch $xyz Maßnahmen ein sicheres Netz zu erreichen".

;-) Ich habe die Aufgabe nicht gesellt?! Und schon gar nicht mir ausgesucht :-D

Man kann nicht hingehen und sagen "Bauen Sie mal ein neues Netzwerk - und bitte schön sicher machen!".

Die sofortige Gegenfrage wäre: "Gesichert wogegen?"

• gegen Ausfälle
• gegen Abhören
• gegen Umgehen von Zugriffserlaubnissen
• gegen Angriffe
• gegen Hacks
• gegen Datenmanipulation
• gegen die Auswirkungen von Naturereignissen
• gegen Datenverlust
• gegen verratene Passworte
• gegen vergessene Passworte
• gegen ...

Dachte an NAT, und dann einfach immer die Adresse wechseln... So wird es für Angreifer (zumindest in meiner Vorstellung) schwieriger an den Proxy zu kommen?!

Nein, da liegst du falsch. NAT schirmt den Proxy zwar ab, wenn dieser keine Verbindung nach außen hat - aber genau dafür ist er ja da.

"Internet-Anschluß kam doppelt, da müssen wir einen wieder abziehen". Warum zwei Internet-Anschlüsse? Alle Clients greifen auf den einen Proxy zu, der sie zu HTTP-Servern durchläßt.

Hm... ich dachte dass sonst die Versorgung mit dem Internet für Gebäude 2 schwierig wird?! Aber wie gesagt, nach solchen Dingen habe ich gesucht... Brauche ich einen eigenen Anschluss, oder nicht?!

Wenn die zwei Gebäude mit Glasfaserkabel verbunden sind, brauchst du kein WLAN und keine zwei Internetzugänge (einen pro Gebäude).

Wenn die zwei Gebäude NICHT mit Glasfaserkabel verbunden sind, wäre eine entsprechende Verbindung herzustellen.

Wie gesagt: WLAN funktioniert zwar, ist aber je nach Menge an Datenverkehr nicht wirklich geeignet. Viel mehr als 100MBit Bruttodatenrate (die bei WLAN extrem viel höher liegt, als die nutzbare Nettodatenrate) kriegst du heutzutage nicht zu kaufen. Und dann ist die Datenrate auch noch entfernungs- und wetterabhängig, also variabel.

Wenn das die Lebensader von 100 bis 250 Clients ist, würde ich für die 15 Meter notfalls ein Kabel über die Straße spannen. Alternativ gibt es optische Links - mit "Laserbewaffnung" sogar in höherer Datenrate zu haben, die Selbstbauversion "Ronja" mit Linsen und LED schafft immerhin 10 MBit auf bis zu 1,8 km Entfernung, wobei das natürlich auch von den Sichtbedingungen abhängt, Nebel und Schnee stören beispielsweise.

Ok....dazu kann ich auch was sagen :-) Ich habe das Gefühl, dass die Aufgabe scheisse gestellt ist. Prinzipiell dachte ich auch..super..liegt ja schon Glasfaser...aber dann hat uns der Typ erzählt, dass wir uns ja noch was für die Verbindung zum zweiten Gebäude einfallen lassen sollen. Deswegen die Bridge.

Du brauchst keine Bridge. Weißt du, was eine Bridge macht? Recherchiere das mal, dann lernst du was und bemerkst vielleicht auch deinen Fehler.

Was du brauchst, wenn du eine WLAN-Verbindung errichten mußt, wäre ein Router. Genauer: Zwei Router.

Vor den Router werden Proxy-Server geschaltet (reverse Proxy für Zugriffe auf die Server und Proxy für ausgehende Internetverbindungen). Büro 3 bekommt seinen eigenen Proxy, so dass der ganze Traffic nicht über die Wlan-Bridge muss.

So, wie du hier die Proxys am Verteilen bist, scheinst du "Proxy" als Synonym für "macht Dinge sicher - Punkt!" zu verstehen. Ist aber nicht so.

Webserver können auch ganz ohne Proxy prima sicher konfiguriert werden. Umgekehrt sind schlecht administrierte Proxys genauso gut für Angriffe geeignet, wie schlecht administrierte Webserver.

Ein Begriff, der bei dir nur ganz selten vorkommt: Firewall. Im Zusammenhang mit Demilitarisierter Zone müsstest du sogar den Plural verwenden: Firewalls.

Es wird verlangt, dass der Internetanschluss möglicht wenig "downtime" hat. DAS habe ich vergessen aufzuschreiben...sorry. Ich wollte mit den Proxys die Server absichern

Wenn man wenig Downtime haben will, läßt man sich die maximale Downtime pro Monat und die maximale Reaktionszeit bis zur Behebung vertraglich vom Provider zusichern.

Wenn das nicht ausreicht, oder weitergehende Szenarien wie "Bagger trifft das Telefonkabel - einen Tag Flickarbeit für die Techniker" mit einer Downzeit von mehrern Stunden für den Internetzugang inakzeptabel sind, dann muß man sich redundante Lösungen ausdenken. Wobei "einfach zwei DSL-Anschlüsse nehmen, statt einem" keine Redundanz bedeutet - denn wenn der Bagger das Telefonkabel zerstört, dann wird er mit Sicherheit BEIDE DSL-Anschlüsse zerstören. Solche Szenarien erfordern als Lösung also zwingend eine Analyse der möglichen "single point of failure", und als Antwort beispielsweise die Doppelanbindung einmal per DSL, und einmal per Funk (Satellit, MetroAreaNetwork, etc.). Oder eine garantierte Kabelführung in zwei komplett unterschiedlichen Regionen, niemals nebeneinander in der gleichen Straße.

Nur noch eine Frage: Was bist du dann, wenn du die Aufgabe gelöst hast? Klingt jedenfalls nicht so, als ob diese "Bildungsmaßnahme" von einer sonderlich kompetenten Lehrperson durchgeführt wird.

- Sven Rautenberg