Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sicherheit im VLAN bei PC mit 2 Netzwerkkarten

Mitglied: milka

milka (Level 1) - Jetzt verbinden

22.08.2006, aktualisiert 23.08.2006, 5622 Aufrufe, 6 Kommentare

Wie ich am sichersten zwei Netzwerke voneinander trennen kann, die an einem PC zusammenkommen...

Hallo Community!

Ich arbeite in einer Firma, wo vier Produktionsmaschinen und zwei PCs in ein VLAN zusammengefasst sind. Mit den PCs werden Dateien auf den freigegebenen Festplatten der Maschinen geändert. Eine schön dichte Insellösung, ohne jede Kontaktmöglichkeit nach aussen.

Nun habe ich ein ungutes Gefühl, da die PCs mit jeweils einer zweiten Netzwerkkarte nachgerüstet wurden, um sich auch an der Firmen-Domäne anmelden zu können. Nun haben die PCs Internet und Email-Verkehr!

Ich habe Angst, dass sich die PC-User einen Virus einhandeln, und damit die Maschinen invizieren... Wie kann man das Risiko eines unberechtigten eindringens in das VLAN via PCs möglichst gering halten?

Auf den PCs läuft XP Prof SP2 und auf den Maschinen XP Prof SP2, NT4 und W2K gemixt...

Milka
Mitglied: 27119
22.08.2006 um 16:35 Uhr
Man darf auch nicht zu paranoid sein - ist der Rechner mit aktuellem Antivirenschutz und Patches versorgt, wird nur mit eingeschränkten Userrechten gearbeitet, ist eine Schädigung des getrennten VLANs so gut wie ausgeschlossen.

Wiso man jedoch eine Insellösung schafft (was je sehr sicher ist) und dann mit der zweiten Netzwerkkarte unterwandert ist nicht so recht nachvollziehbar.

Das System ist mir allerdings noch nicht ganz klar. Wozu ein VLAN, wenn es KEINE Verbindung mit anderen Netzen hat? Dann hätt man die Rechner ja gleich an einen eigenen Switch hängen können, der keinen uplink zum übrigen Netz hat.
Bitte warten ..
Mitglied: Rafiki
22.08.2006 um 20:18 Uhr
Paranoid hin oder her, wahrscheinlich hast du deine Gründe für eine solche Hochsicherheitsinsel. Hier mein Vorschlag damit du deine beiden Netzwerke auch weiterhin getrennt hast.
Ich gehe davon aus das du VMware kennst. Mit VMware ACE gibst du dem Benutzer eine virtual machine, von dir vorkonfiguriert und für den Anwender ist diese nicht mehr zu ändern. Die VM ist fest der zweiten Netzwerkkarte zugewiesen und der Benutzer arbeitet, wenn du das möchtest, in der VM ohne Adminrechte. In dieser virtual machine darf der Benutzer die anderen Computer in der Insel erreichen und Dateien laden und bearbeiten. Er kann aber die Daten nicht aus dieser VM auf sein echtes Betriebssystem übertragen. (Screenshots sind weiterhin möglich, evtl. gibt es auch Hackerlücken)
Vorraussetzung ist natürlich ein PC mit genug RAM und etwas Einarbeitung der Benutzer. Du erreichst damit so etwas wie ein zwei in eins Computer, der eine in der Inselwelt und der andere in der Büro- und Internetwelt. Ob nun die VM zur VLAN - Insel gehört oder ob die VM Internetzugriff bekommt und der echte PC zu der Inselwelt gehört bleibt den Anforderungen in eurem Netzwerk überlassen.

http://www.vmware.com/products/ace/

Gruß Rafiki
Bitte warten ..
Mitglied: 27119
22.08.2006 um 21:00 Uhr
Jo, VM kam mir auch erst in den Sinn.
Aber...

VM hin oder her - der Rechner hat zwei physikalische Karten, die beide vom gastgebenden OS gesehen und genutzt werden können.
Somit ist dem gastgebenden PC die VM die da läuft völlig gleich, theoretisch kann ein Schädling trotzdem über die zweite Karte die Rechner im VLAN belasten.
Die Physik kann ich mit VM ja nicht wegzaubern...

Denkbar wäre es allerdings, dass die VM ein anderes Subnetz (IP-Adr. bereich) verpasst bekommt, den auch die Rechner im VLAN haben.
Solange die physikalische Netzwerkkarte nicht eine IP aus diesem Bereich hat (sondern garkeine) könnte es klappen. Die Pakete aus der VM würden über die zweite Karte ins VLAN spatzieren, und der gastgebende PC könnte in dieses Netz keine Pakete schicken, solange er keine Route da hin hat. Wiso das unbedingt der ACE sein muss ist mir jetzt aber nicht ganz klar... lerne aber immer wieder gerne dazu.
Wiso man dann nicht einfach nen zweiten Popel-Rechner nebendran stellt ist mir dennoch schleierhaft, wenns den soooo safe sein soll und nicht am normalen netz hängen soll.
Bitte warten ..
Mitglied: milka
23.08.2006 um 07:01 Uhr
Danke für die Antworten!

Die Produktionsmaschinen sind mir wichtig, da ein Ausfall hohe Kosten verursachen würde. Die Versicherung würde bei dieser Netztopografie dann wohl auch grobe Fahrlässigkeit unterstellen...

Auf den PCs werden die Produktionsprogramme für die Maschinen geschrieben, und neuerdings kommen auch welche von ausserhalb per Email...

Ich denke ein zweiter PC ist die sauberste Lösung. Dann müssen die Daten per USB-Stick transferiert werden...

Ich hätte mir nur gewünscht, dass es evtl. einen anderen Weg gibt, den ich noch nicht kenne.
Bitte warten ..
Mitglied: 27119
23.08.2006 um 08:09 Uhr
YO! USB Stick und ausdiemaus. Dann ist ruhe im Karton, es ist eine einfache Lösung - und es kostet fast nix. Gratuliere!
Bitte warten ..
Mitglied: Rafiki
23.08.2006 um 21:51 Uhr
duno schrieb:
VM hin oder her - der Rechner hat zwei physikalische Karten, die beide vom gastgebenden OS gesehen und genutzt werden können.

@27119
Da muss ich leider wieder sprechen. Bei zwei physikalischen Netzwerkkarten kannst du genau vorgeben welche der beiden Karten von der VM genutzt wird. Auf dieser Karte wird kein anderes Protokoll gebunden außer dem „VMware Bridge Protocol“. Der Virus müsste dann also Adminrechte haben, die zweite Netzwerkkarte konfigurieren und die IP Adressen einstellen. Nunja, es soll wohl auch schon schlaue Viren geben aber das ist dann doch ne’ Nummer zu hoch.

@milka
Wenn also der PC das Produktionssystem steuert und vermutlich direkt auf die Hardware zugreift, dann kannst du die VM zum Surfen im Internet und lesen von Emails verwenden. Sieh dir mal die Browser Appliance an. Eine sehr kompakte VM die einen LinuxKernel hat und nur Firefox startet. Es ist nicht möglich Änderungen an dem Firefox abzuspeichern.

Aber in einem Punkt gebe ich euch natürlich Recht. Nur völlig getrennte Systeme sind sauber und sicher. Am besten ist das System wenn du die Benutzer verbannen kannst.

Gruß Rafiki
Bitte warten ..
Ähnliche Inhalte
Netzwerke

2 Netzwerkkarten in PC um Räume zu verbinden ?

gelöst Frage von Christian-TNetzwerke14 Kommentare

Hallo, ich habe eine Frage bzgl. der geplanten Vernetzung eines kleinen Büros und hoffe, dass mir die Experten und ...

Router & Routing

Verständnisfrage VLAN und Virus Sicherheit

gelöst Frage von VoodoopuppRouter & Routing5 Kommentare

Hallo, bin neu hier und natürlich wie alle habe ich dann gleich mal eine Frage: beschäftige mich gerade ein ...

Windows 7

Netzwerkkarte vlan fähig ergibt mehrere virtuelle Netzwerkkarten

gelöst Frage von Wein-AWindows 73 Kommentare

Hallo zusammen, ich würde gerne an einem Standort einen PC aufstellen, der in 5 Netzwerken steht. Ich will es ...

Netzwerke

Gast-WLAN mit 2 Fritzboxen und einem PC mit 2 Netzwerkkarten einrichten

Frage von DantesSpeechNetzwerke3 Kommentare

Hallo liebe Leute, ich habe ein ein kleines Projekt auferlegt bekommen und besitze diesbezüglich sehr maue Kenntnisse bzw. Erfahrung ...

Neue Wissensbeiträge
Humor (lol)
(Part num your Hacked phone. +XX XXXXXX5200)
Erfahrungsbericht von Henere vor 2 StundenHumor (lol)

Mein Handy hat aber ne ganz andere Endnummer. Muss ich mir jetzt Sorgen machen ? :-) Vielleicht betrifft es ...

Exchange Server

Letztes Update für Exchange 2016 CU9 war in gewisser Weise destruktiv

Erfahrungsbericht von DerWoWusste vor 3 StundenExchange Server2 Kommentare

Kurzer Erfahrungsbericht zu Exchange2016-KB4340731-x64 Der Exchangeserver hat wie gewöhnlich versucht, es in der Nacht automatisch zu installieren - abgesehen ...

Erkennung und -Abwehr

Neue Sicherheitslücke Foreshadow (L1TF) gefährdet fast alle Intel-Prozessoren

Information von Frank vor 1 TagErkennung und -Abwehr3 Kommentare

Eine neue Sicherheitslücke, genannt Foreshadow (alias L1TF) wurde auf der Usenix Security 18 von einem Team internationaler Experten veröffentlicht. ...

Vmware
VMware Updates gegen L1 Lücke
Information von sabines vor 1 TagVmware

Für die Vmware Produkte vCenter Server, ESXi, Workstation und Fusion stehe Updates bereit um die L1 Lücke zu schließen. ...

Heiß diskutierte Inhalte
Windows Server
Domäne einsilbig mit nur einem Namen benannt - sowie AD und MX auf einer VM Kardinalsfehler?
Frage von TomTestWindows Server47 Kommentare

Hallo liebe Freunde gepflegter Probleme, seit kurzem soll ich eine Domäne verwalten die zuvor von einem IT-Dienstleister erstellt und ...

Microsoft
VPN Verbindung kann nicht aufgebaut werden
Frage von AlexderITlerMicrosoft35 Kommentare

Hallo, Ich möchte an einem unserer PCs in unserer Tochterfirma eine VPN zu unserem Netzwerk einrichten. Das schlägt allerdings ...

Windows Server
Windows Server per Web auf Daten zugreifen und verwalten
Frage von matze2090Windows Server16 Kommentare

Hallo, ich würde gerne von außen auf meinem Windows Server zugreifen um auf meine Daten zu verwalten. Meine frage ...

DNS
Gibt es eine Art DNS Proxy?
Frage von icepietDNS15 Kommentare

Hallo Nerds, Ich würde gerne folgendes machen: ts.domain.de:3389 soll auf 1.2.3.4:3389 auflösen ts2.domain.de:3389 soll auf 1.2.3.4:3390 auflösen Gibt es ...