6
Sicherheit im VLAN bei PC mit 2 Netzwerkkarten
Wie ich am sichersten zwei Netzwerke voneinander trennen kann, die an einem PC zusammenkommen...
Hallo Community!
Ich arbeite in einer Firma, wo vier Produktionsmaschinen und zwei PCs in ein VLAN zusammengefasst sind. Mit den PCs werden Dateien auf den freigegebenen Festplatten der Maschinen geändert. Eine schön dichte Insellösung, ohne jede Kontaktmöglichkeit nach aussen.
Nun habe ich ein ungutes Gefühl, da die PCs mit jeweils einer zweiten Netzwerkkarte nachgerüstet wurden, um sich auch an der Firmen-Domäne anmelden zu können. Nun haben die PCs Internet und Email-Verkehr!
Ich habe Angst, dass sich die PC-User einen Virus einhandeln, und damit die Maschinen invizieren... Wie kann man das Risiko eines unberechtigten eindringens in das VLAN via PCs möglichst gering halten?
Auf den PCs läuft XP Prof SP2 und auf den Maschinen XP Prof SP2, NT4 und W2K gemixt...
Milka
Ich arbeite in einer Firma, wo vier Produktionsmaschinen und zwei PCs in ein VLAN zusammengefasst sind. Mit den PCs werden Dateien auf den freigegebenen Festplatten der Maschinen geändert. Eine schön dichte Insellösung, ohne jede Kontaktmöglichkeit nach aussen.
Nun habe ich ein ungutes Gefühl, da die PCs mit jeweils einer zweiten Netzwerkkarte nachgerüstet wurden, um sich auch an der Firmen-Domäne anmelden zu können. Nun haben die PCs Internet und Email-Verkehr!
Ich habe Angst, dass sich die PC-User einen Virus einhandeln, und damit die Maschinen invizieren... Wie kann man das Risiko eines unberechtigten eindringens in das VLAN via PCs möglichst gering halten?
Auf den PCs läuft XP Prof SP2 und auf den Maschinen XP Prof SP2, NT4 und W2K gemixt...
Milka
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 38525
Url: https://administrator.de/contentid/38525
Printed on: April 25, 2024 at 08:04 o'clock
6 Comments
Latest comment
Man darf auch nicht zu paranoid sein - ist der Rechner mit aktuellem Antivirenschutz und Patches versorgt, wird nur mit eingeschränkten Userrechten gearbeitet, ist eine Schädigung des getrennten VLANs so gut wie ausgeschlossen.
Wiso man jedoch eine Insellösung schafft (was je sehr sicher ist) und dann mit der zweiten Netzwerkkarte unterwandert ist nicht so recht nachvollziehbar.
Das System ist mir allerdings noch nicht ganz klar. Wozu ein VLAN, wenn es KEINE Verbindung mit anderen Netzen hat? Dann hätt man die Rechner ja gleich an einen eigenen Switch hängen können, der keinen uplink zum übrigen Netz hat.
Wiso man jedoch eine Insellösung schafft (was je sehr sicher ist) und dann mit der zweiten Netzwerkkarte unterwandert ist nicht so recht nachvollziehbar.
Das System ist mir allerdings noch nicht ganz klar. Wozu ein VLAN, wenn es KEINE Verbindung mit anderen Netzen hat? Dann hätt man die Rechner ja gleich an einen eigenen Switch hängen können, der keinen uplink zum übrigen Netz hat.
Paranoid hin oder her, wahrscheinlich hast du deine Gründe für eine solche Hochsicherheitsinsel. Hier mein Vorschlag damit du deine beiden Netzwerke auch weiterhin getrennt hast.
Ich gehe davon aus das du VMware kennst. Mit VMware ACE gibst du dem Benutzer eine virtual machine, von dir vorkonfiguriert und für den Anwender ist diese nicht mehr zu ändern. Die VM ist fest der zweiten Netzwerkkarte zugewiesen und der Benutzer arbeitet, wenn du das möchtest, in der VM ohne Adminrechte. In dieser virtual machine darf der Benutzer die anderen Computer in der Insel erreichen und Dateien laden und bearbeiten. Er kann aber die Daten nicht aus dieser VM auf sein echtes Betriebssystem übertragen. (Screenshots sind weiterhin möglich, evtl. gibt es auch Hackerlücken)
Vorraussetzung ist natürlich ein PC mit genug RAM und etwas Einarbeitung der Benutzer. Du erreichst damit so etwas wie ein zwei in eins Computer, der eine in der Inselwelt und der andere in der Büro- und Internetwelt. Ob nun die VM zur VLAN - Insel gehört oder ob die VM Internetzugriff bekommt und der echte PC zu der Inselwelt gehört bleibt den Anforderungen in eurem Netzwerk überlassen.
http://www.vmware.com/products/ace/
Gruß Rafiki
Ich gehe davon aus das du VMware kennst. Mit VMware ACE gibst du dem Benutzer eine virtual machine, von dir vorkonfiguriert und für den Anwender ist diese nicht mehr zu ändern. Die VM ist fest der zweiten Netzwerkkarte zugewiesen und der Benutzer arbeitet, wenn du das möchtest, in der VM ohne Adminrechte. In dieser virtual machine darf der Benutzer die anderen Computer in der Insel erreichen und Dateien laden und bearbeiten. Er kann aber die Daten nicht aus dieser VM auf sein echtes Betriebssystem übertragen. (Screenshots sind weiterhin möglich, evtl. gibt es auch Hackerlücken)
Vorraussetzung ist natürlich ein PC mit genug RAM und etwas Einarbeitung der Benutzer. Du erreichst damit so etwas wie ein zwei in eins Computer, der eine in der Inselwelt und der andere in der Büro- und Internetwelt. Ob nun die VM zur VLAN - Insel gehört oder ob die VM Internetzugriff bekommt und der echte PC zu der Inselwelt gehört bleibt den Anforderungen in eurem Netzwerk überlassen.
http://www.vmware.com/products/ace/
Gruß Rafiki
Jo, VM kam mir auch erst in den Sinn.
Aber...
VM hin oder her - der Rechner hat zwei physikalische Karten, die beide vom gastgebenden OS gesehen und genutzt werden können.
Somit ist dem gastgebenden PC die VM die da läuft völlig gleich, theoretisch kann ein Schädling trotzdem über die zweite Karte die Rechner im VLAN belasten.
Die Physik kann ich mit VM ja nicht wegzaubern...
Denkbar wäre es allerdings, dass die VM ein anderes Subnetz (IP-Adr. bereich) verpasst bekommt, den auch die Rechner im VLAN haben.
Solange die physikalische Netzwerkkarte nicht eine IP aus diesem Bereich hat (sondern garkeine) könnte es klappen. Die Pakete aus der VM würden über die zweite Karte ins VLAN spatzieren, und der gastgebende PC könnte in dieses Netz keine Pakete schicken, solange er keine Route da hin hat. Wiso das unbedingt der ACE sein muss ist mir jetzt aber nicht ganz klar... lerne aber immer wieder gerne dazu.
Wiso man dann nicht einfach nen zweiten Popel-Rechner nebendran stellt ist mir dennoch schleierhaft, wenns den soooo safe sein soll und nicht am normalen netz hängen soll.
Aber...
VM hin oder her - der Rechner hat zwei physikalische Karten, die beide vom gastgebenden OS gesehen und genutzt werden können.
Somit ist dem gastgebenden PC die VM die da läuft völlig gleich, theoretisch kann ein Schädling trotzdem über die zweite Karte die Rechner im VLAN belasten.
Die Physik kann ich mit VM ja nicht wegzaubern...
Denkbar wäre es allerdings, dass die VM ein anderes Subnetz (IP-Adr. bereich) verpasst bekommt, den auch die Rechner im VLAN haben.
Solange die physikalische Netzwerkkarte nicht eine IP aus diesem Bereich hat (sondern garkeine) könnte es klappen. Die Pakete aus der VM würden über die zweite Karte ins VLAN spatzieren, und der gastgebende PC könnte in dieses Netz keine Pakete schicken, solange er keine Route da hin hat. Wiso das unbedingt der ACE sein muss ist mir jetzt aber nicht ganz klar... lerne aber immer wieder gerne dazu.
Wiso man dann nicht einfach nen zweiten Popel-Rechner nebendran stellt ist mir dennoch schleierhaft, wenns den soooo safe sein soll und nicht am normalen netz hängen soll.
Danke für die Antworten!
Die Produktionsmaschinen sind mir wichtig, da ein Ausfall hohe Kosten verursachen würde. Die Versicherung würde bei dieser Netztopografie dann wohl auch grobe Fahrlässigkeit unterstellen...
Auf den PCs werden die Produktionsprogramme für die Maschinen geschrieben, und neuerdings kommen auch welche von ausserhalb per Email...
Ich denke ein zweiter PC ist die sauberste Lösung. Dann müssen die Daten per USB-Stick transferiert werden...
Ich hätte mir nur gewünscht, dass es evtl. einen anderen Weg gibt, den ich noch nicht kenne.
Die Produktionsmaschinen sind mir wichtig, da ein Ausfall hohe Kosten verursachen würde. Die Versicherung würde bei dieser Netztopografie dann wohl auch grobe Fahrlässigkeit unterstellen...
Auf den PCs werden die Produktionsprogramme für die Maschinen geschrieben, und neuerdings kommen auch welche von ausserhalb per Email...
Ich denke ein zweiter PC ist die sauberste Lösung. Dann müssen die Daten per USB-Stick transferiert werden...
Ich hätte mir nur gewünscht, dass es evtl. einen anderen Weg gibt, den ich noch nicht kenne.
YO! USB Stick und ausdiemaus. Dann ist ruhe im Karton, es ist eine einfache Lösung - und es kostet fast nix. Gratuliere!
duno schrieb:
@27119
Da muss ich leider wieder sprechen. Bei zwei physikalischen Netzwerkkarten kannst du genau vorgeben welche der beiden Karten von der VM genutzt wird. Auf dieser Karte wird kein anderes Protokoll gebunden außer dem „VMware Bridge Protocol“. Der Virus müsste dann also Adminrechte haben, die zweite Netzwerkkarte konfigurieren und die IP Adressen einstellen. Nunja, es soll wohl auch schon schlaue Viren geben aber das ist dann doch ne’ Nummer zu hoch.
@milka
Wenn also der PC das Produktionssystem steuert und vermutlich direkt auf die Hardware zugreift, dann kannst du die VM zum Surfen im Internet und lesen von Emails verwenden. Sieh dir mal die Browser Appliance an. Eine sehr kompakte VM die einen LinuxKernel hat und nur Firefox startet. Es ist nicht möglich Änderungen an dem Firefox abzuspeichern.
Aber in einem Punkt gebe ich euch natürlich Recht. Nur völlig getrennte Systeme sind sauber und sicher. Am besten ist das System wenn du die Benutzer verbannen kannst.
Gruß Rafiki
VM hin oder her - der Rechner hat zwei physikalische Karten, die beide vom gastgebenden OS gesehen und genutzt werden können.
@27119
Da muss ich leider wieder sprechen. Bei zwei physikalischen Netzwerkkarten kannst du genau vorgeben welche der beiden Karten von der VM genutzt wird. Auf dieser Karte wird kein anderes Protokoll gebunden außer dem „VMware Bridge Protocol“. Der Virus müsste dann also Adminrechte haben, die zweite Netzwerkkarte konfigurieren und die IP Adressen einstellen. Nunja, es soll wohl auch schon schlaue Viren geben aber das ist dann doch ne’ Nummer zu hoch.
@milka
Wenn also der PC das Produktionssystem steuert und vermutlich direkt auf die Hardware zugreift, dann kannst du die VM zum Surfen im Internet und lesen von Emails verwenden. Sieh dir mal die Browser Appliance an. Eine sehr kompakte VM die einen LinuxKernel hat und nur Firefox startet. Es ist nicht möglich Änderungen an dem Firefox abzuspeichern.
Aber in einem Punkt gebe ich euch natürlich Recht. Nur völlig getrennte Systeme sind sauber und sicher. Am besten ist das System wenn du die Benutzer verbannen kannst.
Gruß Rafiki
