Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sicherheit im VLAN bei PC mit 2 Netzwerkkarten

Frage Microsoft Windows Netzwerk

Mitglied: milka

milka (Level 1) - Jetzt verbinden

22.08.2006, aktualisiert 23.08.2006, 5486 Aufrufe, 6 Kommentare

Wie ich am sichersten zwei Netzwerke voneinander trennen kann, die an einem PC zusammenkommen...

Hallo Community!

Ich arbeite in einer Firma, wo vier Produktionsmaschinen und zwei PCs in ein VLAN zusammengefasst sind. Mit den PCs werden Dateien auf den freigegebenen Festplatten der Maschinen geändert. Eine schön dichte Insellösung, ohne jede Kontaktmöglichkeit nach aussen.

Nun habe ich ein ungutes Gefühl, da die PCs mit jeweils einer zweiten Netzwerkkarte nachgerüstet wurden, um sich auch an der Firmen-Domäne anmelden zu können. Nun haben die PCs Internet und Email-Verkehr!

Ich habe Angst, dass sich die PC-User einen Virus einhandeln, und damit die Maschinen invizieren... Wie kann man das Risiko eines unberechtigten eindringens in das VLAN via PCs möglichst gering halten?

Auf den PCs läuft XP Prof SP2 und auf den Maschinen XP Prof SP2, NT4 und W2K gemixt...

Milka
Mitglied: 27119
22.08.2006 um 16:35 Uhr
Man darf auch nicht zu paranoid sein - ist der Rechner mit aktuellem Antivirenschutz und Patches versorgt, wird nur mit eingeschränkten Userrechten gearbeitet, ist eine Schädigung des getrennten VLANs so gut wie ausgeschlossen.

Wiso man jedoch eine Insellösung schafft (was je sehr sicher ist) und dann mit der zweiten Netzwerkkarte unterwandert ist nicht so recht nachvollziehbar.

Das System ist mir allerdings noch nicht ganz klar. Wozu ein VLAN, wenn es KEINE Verbindung mit anderen Netzen hat? Dann hätt man die Rechner ja gleich an einen eigenen Switch hängen können, der keinen uplink zum übrigen Netz hat.
Bitte warten ..
Mitglied: Rafiki
22.08.2006 um 20:18 Uhr
Paranoid hin oder her, wahrscheinlich hast du deine Gründe für eine solche Hochsicherheitsinsel. Hier mein Vorschlag damit du deine beiden Netzwerke auch weiterhin getrennt hast.
Ich gehe davon aus das du VMware kennst. Mit VMware ACE gibst du dem Benutzer eine virtual machine, von dir vorkonfiguriert und für den Anwender ist diese nicht mehr zu ändern. Die VM ist fest der zweiten Netzwerkkarte zugewiesen und der Benutzer arbeitet, wenn du das möchtest, in der VM ohne Adminrechte. In dieser virtual machine darf der Benutzer die anderen Computer in der Insel erreichen und Dateien laden und bearbeiten. Er kann aber die Daten nicht aus dieser VM auf sein echtes Betriebssystem übertragen. (Screenshots sind weiterhin möglich, evtl. gibt es auch Hackerlücken)
Vorraussetzung ist natürlich ein PC mit genug RAM und etwas Einarbeitung der Benutzer. Du erreichst damit so etwas wie ein zwei in eins Computer, der eine in der Inselwelt und der andere in der Büro- und Internetwelt. Ob nun die VM zur VLAN - Insel gehört oder ob die VM Internetzugriff bekommt und der echte PC zu der Inselwelt gehört bleibt den Anforderungen in eurem Netzwerk überlassen.

http://www.vmware.com/products/ace/

Gruß Rafiki
Bitte warten ..
Mitglied: 27119
22.08.2006 um 21:00 Uhr
Jo, VM kam mir auch erst in den Sinn.
Aber...

VM hin oder her - der Rechner hat zwei physikalische Karten, die beide vom gastgebenden OS gesehen und genutzt werden können.
Somit ist dem gastgebenden PC die VM die da läuft völlig gleich, theoretisch kann ein Schädling trotzdem über die zweite Karte die Rechner im VLAN belasten.
Die Physik kann ich mit VM ja nicht wegzaubern...

Denkbar wäre es allerdings, dass die VM ein anderes Subnetz (IP-Adr. bereich) verpasst bekommt, den auch die Rechner im VLAN haben.
Solange die physikalische Netzwerkkarte nicht eine IP aus diesem Bereich hat (sondern garkeine) könnte es klappen. Die Pakete aus der VM würden über die zweite Karte ins VLAN spatzieren, und der gastgebende PC könnte in dieses Netz keine Pakete schicken, solange er keine Route da hin hat. Wiso das unbedingt der ACE sein muss ist mir jetzt aber nicht ganz klar... lerne aber immer wieder gerne dazu.
Wiso man dann nicht einfach nen zweiten Popel-Rechner nebendran stellt ist mir dennoch schleierhaft, wenns den soooo safe sein soll und nicht am normalen netz hängen soll.
Bitte warten ..
Mitglied: milka
23.08.2006 um 07:01 Uhr
Danke für die Antworten!

Die Produktionsmaschinen sind mir wichtig, da ein Ausfall hohe Kosten verursachen würde. Die Versicherung würde bei dieser Netztopografie dann wohl auch grobe Fahrlässigkeit unterstellen...

Auf den PCs werden die Produktionsprogramme für die Maschinen geschrieben, und neuerdings kommen auch welche von ausserhalb per Email...

Ich denke ein zweiter PC ist die sauberste Lösung. Dann müssen die Daten per USB-Stick transferiert werden...

Ich hätte mir nur gewünscht, dass es evtl. einen anderen Weg gibt, den ich noch nicht kenne.
Bitte warten ..
Mitglied: 27119
23.08.2006 um 08:09 Uhr
YO! USB Stick und ausdiemaus. Dann ist ruhe im Karton, es ist eine einfache Lösung - und es kostet fast nix. Gratuliere!
Bitte warten ..
Mitglied: Rafiki
23.08.2006 um 21:51 Uhr
duno schrieb:
VM hin oder her - der Rechner hat zwei physikalische Karten, die beide vom gastgebenden OS gesehen und genutzt werden können.

@27119
Da muss ich leider wieder sprechen. Bei zwei physikalischen Netzwerkkarten kannst du genau vorgeben welche der beiden Karten von der VM genutzt wird. Auf dieser Karte wird kein anderes Protokoll gebunden außer dem „VMware Bridge Protocol“. Der Virus müsste dann also Adminrechte haben, die zweite Netzwerkkarte konfigurieren und die IP Adressen einstellen. Nunja, es soll wohl auch schon schlaue Viren geben aber das ist dann doch ne’ Nummer zu hoch.

@milka
Wenn also der PC das Produktionssystem steuert und vermutlich direkt auf die Hardware zugreift, dann kannst du die VM zum Surfen im Internet und lesen von Emails verwenden. Sieh dir mal die Browser Appliance an. Eine sehr kompakte VM die einen LinuxKernel hat und nur Firefox startet. Es ist nicht möglich Änderungen an dem Firefox abzuspeichern.

Aber in einem Punkt gebe ich euch natürlich Recht. Nur völlig getrennte Systeme sind sauber und sicher. Am besten ist das System wenn du die Benutzer verbannen kannst.

Gruß Rafiki
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
CPU, RAM, Mainboards
Angetestet: PC Engines APU 3a2 im Rack-Gehäuse (2)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Router & Routing
Spielzeiten auf pc und handy steuern (7)

Frage von fisch56 zum Thema Router & Routing ...

CPU, RAM, Mainboards
PC Engines apu3a4 product file (7)

Link von ashnod zum Thema CPU, RAM, Mainboards ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...