Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Schutz vor Spionage durch separates (vom Internet getrenntes) physisches Firmennetzwerk.

Frage Sicherheit Firewall

Mitglied: necro306

necro306 (Level 1) - Jetzt verbinden

20.10.2011 um 10:36 Uhr, 3833 Aufrufe, 9 Kommentare

Hallo,

da wir nun vermehrt den Verdacht erheben müssen, dass unser Netzwerk (KMU, 2 Server, 20 Clients, IPCop) ausspioniert wird, muss eine sichere Lösung zum Schutz der sensiblen Daten her.
Die Idee ist nun mit einem weiteren Switch ein zweites Netzwerk (LAN 2) zu patchen, welches keinen Zugriff auf das Internet hat. 4-5 Client bekommen dann eine zweite Netzwerkkarte verbaut, sowie mittels VMWare ein zweites Betriebssystem installiert. Sensible Daten werden dann nur noch über die VM im LAN 2 gehalten und bearbeitet. Das bestehende Netz (LAN 1) für die übrigen Clients bleibt weiterhin erhalten.

0bd89e5914d796cf15f8b44294f2d9df - Klicke auf das Bild, um es zu vergrößern

Da uns Zeit und Mittel fehlen und das Vertrauen der Geschäftsführung fehlen, um die Firewall aufzustocken, soll die Lösung mit dem LAN 2 her. Wird eurer Meinung nach hier mit Kanonen auf Spatzen geschossen? Lässt sich diese Lösung auch mit einem VLan, Subnetz effizienter und effektiver lösen? Wichtig ist dass wirklich von Außen kein Zugriff mehr auf das "LAN 2" möglich sein soll.

Danke für jeden Ratschlag!!!
Mitglied: brammer
20.10.2011 um 11:53 Uhr
Hallo,

sobald eine physische Verbindung zwischen zwei Netzen besteht ist immer auch ein Datenaustausch möglich!
Wenn ihr eure Daten sicher aufbewahren wollt dann isoliert die Daten auf einen Eigenen, physischen Server, und nur Vertrauenswürdige Kollegen mit einem Extra Rechner dürfen an diesen Server.

Statistiken zeigen allerdings das die meisten Fälle von Industriespionage nicht von außen sondern von Innen passieren!
Da nützt dann ein eigener Server auch ncihts mehr, wenn einer der "Vertrauenswürdigen Kollegen" der Spion ist.

brammer
Bitte warten ..
Mitglied: SlainteMhath
20.10.2011 um 12:35 Uhr
Moin,

brammer hat recht

An dem "sichern" Server und den Clients sollten auch alle Optischen Laufwerke und USB-Port deaktiviert oder besser ausgebaut werden und zusätzloch die Kommunikation vom/zum Server (per IPSEC) verschlüsselt werden.
Die Arbeitsplatzrechnet musst du dann allerdings auch per Festplattenverschlüsselung gegen Diebstahl des Rechners/der Platte schützen.

lg,
Slainte
Bitte warten ..
Mitglied: necro306
20.10.2011 um 13:01 Uhr
Also der "sichere Server" im LAN 2 ist im Endeffekt dann ein NAS, welches wie gesagt nach Außen nicht verfügbar ist. Einzig die Clients, welche mit 2 Netzwerkkarten und der Virtuellen Maschine arbeiten würden Zugriff haben. Die Virtuelle Maschine würde kein USB/Laufwerk erlauben und einzig Zugriff auf die Netzwerkkarte #2 haben.

D.h. ist es somit trotzdem möglich dass man von Außen über das LAN 1 und über einen Client (mit Netzwerkkarte #2) in das LAN 2 kommt, sofern der Client läuft??
Bitte warten ..
Mitglied: SlainteMhath
20.10.2011 um 13:29 Uhr
D.h. ist es somit trotzdem möglich dass man von Außen über das LAN 1 und über einen Client (mit Netzwerkkarte #2) in das LAN 2 kommt, sofern der Client läuft??
In das LAN2 nicht (vorrausgesetzt es wird kein Fehler beim Konfigurieren der Swtiches, Server, Client usw gemacht[!!])

Aaber: Was passiert, wenn einem Client (phys. Rechner) über LAN1 ein Trojaner mit Keylogger und/oder screenshot funktion untergeschoben wird?
Bitte warten ..
Mitglied: necro306
20.10.2011 um 13:34 Uhr
OK!
Ja, Client Rechner müssen dahingehend sauber bleiben. Aber zwei separate Rechner sind pro Arbeitsplatz nicht machbar, weshalb dies die einzige Möglichkeit ist um gleichzeitig in einem getrennten Netz zu arbeiten.
Bitte warten ..
Mitglied: SlainteMhath
20.10.2011 um 13:39 Uhr
So kannst Du dir das aber schenken. Der Sicherheitszuwachs ist durch das 2te Netz gegen Null.

Phys. Rechner kompromitiert == VM (und somit die vertraulichen Daten) kompromitiert

Wenn dann würde ich eher das unsichere LAN1 also quasi den Internetzugang in die VM packen und das sicherere LAN2 auf dem Phys. Rechner laufen lassen
Bitte warten ..
Mitglied: cardisch
20.10.2011 um 13:58 Uhr
Mahlzeit..

Und folgendes hast du noch nicht bedacht:
Doppelte Lizenzkosten, doppelter Pflegeaufwand, zusätzliche Hardware (Switche, Kabel, Server, etc)....
Du kannst vielleicht 99,99999%ige Sicherheit erreichen, aber niemals 100. Und denk an Firmen wie Sony, Visacard, etc... Die haben ein Millionenbudget nur für ihre IT, hat es denen was genutzt ?!?
Fazit:
Wer rein will, kommt rein, da hilft die deine Kombination kein bisserl weiter.

Gruß

Carsten
Bitte warten ..
Mitglied: necro306
20.10.2011 um 14:15 Uhr
Zitat von cardisch:
Mahlzeit..

Und folgendes hast du noch nicht bedacht:
Doppelte Lizenzkosten, doppelter Pflegeaufwand, zusätzliche Hardware (Switche, Kabel, Server, etc)....
Du kannst vielleicht 99,99999%ige Sicherheit erreichen, aber niemals 100. Und denk an Firmen wie Sony, Visacard, etc... Die haben
ein Millionenbudget nur für ihre IT, hat es denen was genutzt ?!?
Fazit:
Wer rein will, kommt rein, da hilft die deine Kombination kein bisserl weiter.

Gruß

Carsten

Hallo Carsten,

wurde schon bedacht. Da jedoch das Aufstellen von einem zweiten Netz eine praxistaugliche Lösung darstellt und unsere Daten bei weitem nicht so attraktiv sind wie jene von Sony & Co, ist das Mehr an Sicherheit den Minimalaufwand wert. Ist aber auch nicht Thema der Diskussion.
Bitte warten ..
Mitglied: aqui
20.10.2011 um 17:22 Uhr
Und das alles auf Basis eines vagen "Verdachts" !! Der TE kann also noch gar nicht wirklich sagen ob der Angriff tatsächlich über das Internet kommt. Er rät also nur oder sieht in die Kristallkugel....
Das jemand eine dedizierte Stateful Packet Inspection Firewall (und das ist der IPCop ja zweifelsohne) überwinden kann ist höchst unwahrscheinlich (wozu hätte man sie denn sonst auch im Netzwerk ??) und lässt eher auf ein Konfig Problem der FW selber schliessen indem man dort Löcher für Port Forwarding bohrt die da nicht hingehören.
Die Erfahrung (und auch die Praxis) im Security Bereich sagt bekanntermaßen das das Gros >80% aller Angriffe von innen kommen.
Fazit: Statt im freien Fall zu raten und eine Materialschlacht oder frickelige Bastellösung auf Basis einer "Vermutung" aufzubauen sollte man doch besser Fakten schaffen und zu dedizierten Aussagen über den Angriff kommen ! Also messen und genau dokumentieren was passiert !
Kein Wunder also das die Geschäftsführung kein Vertrauen in eurer Tun (oder besser Basteln) hat....
Sieh es auch mal von dieser Seite !
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Datenschutz
Sicherheitslösung für unser Firmennetzwerk (7)

Frage von mossox zum Thema Datenschutz ...

Datenschutz
USB Schutz (Bitlocker) entsperren (3)

Frage von Livinia zum Thema Datenschutz ...

Windows 10
Kein Internet: Nach Windows-Update weltweit Computer offline (5)

Link von transocean zum Thema Windows 10 ...

Netzwerkgrundlagen
PFSense kein Internet Zugang (5)

Frage von Phill93 zum Thema Netzwerkgrundlagen ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...