Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sicherheit im VLAN bei PC mit 2 Netzwerkkarten

Frage Microsoft Windows Netzwerk

Mitglied: milka

milka (Level 1) - Jetzt verbinden

22.08.2006, aktualisiert 23.08.2006, 5562 Aufrufe, 6 Kommentare

Wie ich am sichersten zwei Netzwerke voneinander trennen kann, die an einem PC zusammenkommen...

Hallo Community!

Ich arbeite in einer Firma, wo vier Produktionsmaschinen und zwei PCs in ein VLAN zusammengefasst sind. Mit den PCs werden Dateien auf den freigegebenen Festplatten der Maschinen geändert. Eine schön dichte Insellösung, ohne jede Kontaktmöglichkeit nach aussen.

Nun habe ich ein ungutes Gefühl, da die PCs mit jeweils einer zweiten Netzwerkkarte nachgerüstet wurden, um sich auch an der Firmen-Domäne anmelden zu können. Nun haben die PCs Internet und Email-Verkehr!

Ich habe Angst, dass sich die PC-User einen Virus einhandeln, und damit die Maschinen invizieren... Wie kann man das Risiko eines unberechtigten eindringens in das VLAN via PCs möglichst gering halten?

Auf den PCs läuft XP Prof SP2 und auf den Maschinen XP Prof SP2, NT4 und W2K gemixt...

Milka
Mitglied: 27119
22.08.2006 um 16:35 Uhr
Man darf auch nicht zu paranoid sein - ist der Rechner mit aktuellem Antivirenschutz und Patches versorgt, wird nur mit eingeschränkten Userrechten gearbeitet, ist eine Schädigung des getrennten VLANs so gut wie ausgeschlossen.

Wiso man jedoch eine Insellösung schafft (was je sehr sicher ist) und dann mit der zweiten Netzwerkkarte unterwandert ist nicht so recht nachvollziehbar.

Das System ist mir allerdings noch nicht ganz klar. Wozu ein VLAN, wenn es KEINE Verbindung mit anderen Netzen hat? Dann hätt man die Rechner ja gleich an einen eigenen Switch hängen können, der keinen uplink zum übrigen Netz hat.
Bitte warten ..
Mitglied: Rafiki
22.08.2006 um 20:18 Uhr
Paranoid hin oder her, wahrscheinlich hast du deine Gründe für eine solche Hochsicherheitsinsel. Hier mein Vorschlag damit du deine beiden Netzwerke auch weiterhin getrennt hast.
Ich gehe davon aus das du VMware kennst. Mit VMware ACE gibst du dem Benutzer eine virtual machine, von dir vorkonfiguriert und für den Anwender ist diese nicht mehr zu ändern. Die VM ist fest der zweiten Netzwerkkarte zugewiesen und der Benutzer arbeitet, wenn du das möchtest, in der VM ohne Adminrechte. In dieser virtual machine darf der Benutzer die anderen Computer in der Insel erreichen und Dateien laden und bearbeiten. Er kann aber die Daten nicht aus dieser VM auf sein echtes Betriebssystem übertragen. (Screenshots sind weiterhin möglich, evtl. gibt es auch Hackerlücken)
Vorraussetzung ist natürlich ein PC mit genug RAM und etwas Einarbeitung der Benutzer. Du erreichst damit so etwas wie ein zwei in eins Computer, der eine in der Inselwelt und der andere in der Büro- und Internetwelt. Ob nun die VM zur VLAN - Insel gehört oder ob die VM Internetzugriff bekommt und der echte PC zu der Inselwelt gehört bleibt den Anforderungen in eurem Netzwerk überlassen.

http://www.vmware.com/products/ace/

Gruß Rafiki
Bitte warten ..
Mitglied: 27119
22.08.2006 um 21:00 Uhr
Jo, VM kam mir auch erst in den Sinn.
Aber...

VM hin oder her - der Rechner hat zwei physikalische Karten, die beide vom gastgebenden OS gesehen und genutzt werden können.
Somit ist dem gastgebenden PC die VM die da läuft völlig gleich, theoretisch kann ein Schädling trotzdem über die zweite Karte die Rechner im VLAN belasten.
Die Physik kann ich mit VM ja nicht wegzaubern...

Denkbar wäre es allerdings, dass die VM ein anderes Subnetz (IP-Adr. bereich) verpasst bekommt, den auch die Rechner im VLAN haben.
Solange die physikalische Netzwerkkarte nicht eine IP aus diesem Bereich hat (sondern garkeine) könnte es klappen. Die Pakete aus der VM würden über die zweite Karte ins VLAN spatzieren, und der gastgebende PC könnte in dieses Netz keine Pakete schicken, solange er keine Route da hin hat. Wiso das unbedingt der ACE sein muss ist mir jetzt aber nicht ganz klar... lerne aber immer wieder gerne dazu.
Wiso man dann nicht einfach nen zweiten Popel-Rechner nebendran stellt ist mir dennoch schleierhaft, wenns den soooo safe sein soll und nicht am normalen netz hängen soll.
Bitte warten ..
Mitglied: milka
23.08.2006 um 07:01 Uhr
Danke für die Antworten!

Die Produktionsmaschinen sind mir wichtig, da ein Ausfall hohe Kosten verursachen würde. Die Versicherung würde bei dieser Netztopografie dann wohl auch grobe Fahrlässigkeit unterstellen...

Auf den PCs werden die Produktionsprogramme für die Maschinen geschrieben, und neuerdings kommen auch welche von ausserhalb per Email...

Ich denke ein zweiter PC ist die sauberste Lösung. Dann müssen die Daten per USB-Stick transferiert werden...

Ich hätte mir nur gewünscht, dass es evtl. einen anderen Weg gibt, den ich noch nicht kenne.
Bitte warten ..
Mitglied: 27119
23.08.2006 um 08:09 Uhr
YO! USB Stick und ausdiemaus. Dann ist ruhe im Karton, es ist eine einfache Lösung - und es kostet fast nix. Gratuliere!
Bitte warten ..
Mitglied: Rafiki
23.08.2006 um 21:51 Uhr
duno schrieb:
VM hin oder her - der Rechner hat zwei physikalische Karten, die beide vom gastgebenden OS gesehen und genutzt werden können.

@27119
Da muss ich leider wieder sprechen. Bei zwei physikalischen Netzwerkkarten kannst du genau vorgeben welche der beiden Karten von der VM genutzt wird. Auf dieser Karte wird kein anderes Protokoll gebunden außer dem „VMware Bridge Protocol“. Der Virus müsste dann also Adminrechte haben, die zweite Netzwerkkarte konfigurieren und die IP Adressen einstellen. Nunja, es soll wohl auch schon schlaue Viren geben aber das ist dann doch ne’ Nummer zu hoch.

@milka
Wenn also der PC das Produktionssystem steuert und vermutlich direkt auf die Hardware zugreift, dann kannst du die VM zum Surfen im Internet und lesen von Emails verwenden. Sieh dir mal die Browser Appliance an. Eine sehr kompakte VM die einen LinuxKernel hat und nur Firefox startet. Es ist nicht möglich Änderungen an dem Firefox abzuspeichern.

Aber in einem Punkt gebe ich euch natürlich Recht. Nur völlig getrennte Systeme sind sauber und sicher. Am besten ist das System wenn du die Benutzer verbannen kannst.

Gruß Rafiki
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Verständnisfrage VLAN und Virus Sicherheit
Frage von VoodoopuppRouter & Routing4 Kommentare

Hallo, bin neu hier und natürlich wie alle habe ich dann gleich mal eine Frage: beschäftige mich gerade ein ...

Windows 7
Netzwerkkarte vlan fähig ergibt mehrere virtuelle Netzwerkkarten
gelöst Frage von Wein-AWindows 73 Kommentare

Hallo zusammen, ich würde gerne an einem Standort einen PC aufstellen, der in 5 Netzwerken steht. Ich will es ...

Netzwerke
Gast-WLAN mit 2 Fritzboxen und einem PC mit 2 Netzwerkkarten einrichten
Frage von DantesSpeechNetzwerke3 Kommentare

Hallo liebe Leute, ich habe ein ein kleines Projekt auferlegt bekommen und besitze diesbezüglich sehr maue Kenntnisse bzw. Erfahrung ...

LAN, WAN, Wireless
DHCP Gerät mit 2 Netzwerkkarten
gelöst Frage von VerwirrterUserLAN, WAN, Wireless10 Kommentare

Hallo zusammen, im bezug zu meiner anderen Frage nun die Speziellere Frage die sich rausgestellt hat. Ist es möglich ...

Neue Wissensbeiträge
DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 3 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 3 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 6 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 1 TagApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Heiß diskutierte Inhalte
Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server19 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Hardware
Kein Bild mit nur einer bestimmten Grafikkarten - Mainboard Konfiguration
gelöst Frage von bestelittHardware18 Kommentare

Hallo zusammen, ich hatte schon einmal eine ähnliche Frage gestellt. Damals hatte ich genau das gleiche Problem. Allerdings lies ...

Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement17 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...