Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Subnetz gegenüber Firmennetz absichern

Frage Sicherheit Firewall

Mitglied: DrKoma

DrKoma (Level 1) - Jetzt verbinden

15.01.2008, aktualisiert 18.01.2008, 3989 Aufrufe, 5 Kommentare

Hallo,

wir haben in unserer Firma ein gut abgesichertes Firmennetzwerk. Eine neue Fertigungsanlage mit ca. 10 PC´s bekommt jetzt ein neues Subnetz. Der Leitrechner der Anlage hat zwei Netzwerkkarten: Die eine Karte geht per Bridging in das Firmennetz (um dort Daten abzuliefern). Die andere Netzwerkkarte steht mit den restlichen Rechern des Subnetzes in Verbindung.

Soweit, so gut. Die Rechner der Fertigungsanlage dürfen aber aus mehreren Gründen keine Anti-Virensoftware usw. bekommen (sind zwar alles XP-Rechner, trotzdem sollen z. B. keine Sicherheitsupdates usw. eingespielt werden). Aus Gründen der Wartung sollen aber USB-Ports und CD-Laufwerke weiterhin nutzbar sein.

Meine Frage: Wie kann ich das Firmennetz gegenüber dem Subnetz absichern wenn ich auf dem Subnetz weder Virenscanner noch Sicherheitsupdates einspielen darf (zur Info: Die Rechner gehen nicht in das Internet; aber durch z. B. USB-Sticks oder CD´s ist eine Infizierung der Rechner nicht ausgeschlossen). Die Subnetzrechner müssen jedenfalls Daten in das Firmennetzwerk kopieren und die Subnetzrechner müssen auch per Fernwartung erreichbar sein.

Meine Überlegung war den Leitrechner, der ja als Bridge läuft, mit einem Virenscanner abzusichern. Allerdings kann ich mir nicht vorstellen das das reicht, da der Rechner ja den Netzwerkverkehr sozusagen in das Firmennetz weiterreicht.

Ich bin für jeden Hinweis dankbar!!
Mitglied: Supaman
15.01.2008 um 22:47 Uhr
größtes problem dabei: irgendwelche deppen, die produktiv pcs zum rumspielen benutzen und sich über die tragweite keine gedanken machen. der alptraum jedes admins.

so weit es geht würde ich auf jeden fall die admin rechte der pcs begrenzen. was virenchecks angeht, kann man einen pc abstellen, der sämtliche laufwerke der produktiv-pcs gemountet hat und regelmäßig eine scan durchlaufen lassen. hilft aber nur bei harmlosen schädlingen, wenn aber jemand einen heftigen virus einspielt, kann das schon zu spät sein..
Bitte warten ..
Mitglied: brammer
15.01.2008 um 23:58 Uhr
Hallo,

eine Option wäre zum Beispiel mit einem Benutzer auf den Rechnern zu arbeiten der keinen Zugriff auf die Laufwerke und USB Geräte hat in dem man die in seinem Profil per Registry deaktiviert.
Wenn jemand am Rechner eine USB oder CD LW braucht könnte er per runas oder machmichadmin die Laufwerke wieder aktivieren.

Aber auch eine Lösung wie Drivelock wäre eine Option.

brammer
Bitte warten ..
Mitglied: Dani
16.01.2008 um 08:49 Uhr
Moin,
größtes problem dabei: irgendwelche deppen, die produktiv pcs zum rumspielen benutzen und sich
über die tragweite keine gedanken machen. der alptraum jedes admins.
Richtig...ma könnte einfach n Image erstellen, dass im Notfall einfach von der DVD wieder zurückgespielt werden kann. Sowas ist heute automatisch möglich.

Was ich noch machen würde, eine extra Firewall zwischen die Netze stellen. Sprich wirklich nur die Ports in beide Richtungen öffen, die notwenig sind. Zuästzlich sollte die Firewall das Feature "IPS" haben. Somit kann bei einem Angriff, etc... unterbrochen bzw. geblockt werden.

Ansonsten, wirst du wohl auf dem Server einfach einen sehr guten Virenscanner laufen lassen müssen. Steht der Server direkt im Firmennetz oder in einer kl. DMZ?!


Grüße
Dani
Bitte warten ..
Mitglied: DrKoma
16.01.2008 um 21:28 Uhr
Vielen Dank für eure Antworten.

Problem ist zukünftig auch das immer mehr ungeschützte Fertigungsrechner zugang zum Firmennetz benötigen.

Drivelock habe ich mir angesehen und finde diese Lösung sehr gut. Damit kann ich ausschließen das jemand mit einem infizierten USB-Stick mein Netz infiziert.

Das mit der Firewall war auch eine Überlegung von mir; würde da auch eine Softwarefirewall auf dem Leitrechner reichen (alle Ports schließen usw.)?

Die Server stehen teilweise in einer DMZ, aber nicht alle.

Gruß!
Bitte warten ..
Mitglied: Supaman
18.01.2008 um 11:31 Uhr
werden live-stutusmeldungen übertragen, maschinen von büro aus angesteuert oder nur dateien ausgetauscht? wenn letzteres der fall ist, könnte man die daten zwischen büro und produktion auch spiegeln und die netze trennen.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Windows server RDP mit zertifikaten absichern (5)

Frage von EricG95 zum Thema Windows Server ...

Hardware
Router-Neuvorstellung: Norton Core soll Heimnetze absichern (6)

Link von BassFishFox zum Thema Hardware ...

Linux Netzwerk
gelöst Server mit iptables absichern (9)

Frage von laster zum Thema Linux Netzwerk ...

Neue Wissensbeiträge
Drucker und Scanner

Samsung SL-M4025ND, firmware update und (kompatible) Tonerkassetten

(1)

Erfahrungsbericht von markus-1969 zum Thema Drucker und Scanner ...

Router & Routing

PfSense auf Supermicro Intel Xeon D-15x8 SoC Bare Bone

Tipp von Dobby zum Thema Router & Routing ...

Windows Server

Exchange 2010 auf Windows Server 2016 und AD

(2)

Tipp von Herbrich19 zum Thema Windows Server ...

KVM

How to: Libvirt Port forwarding

(2)

Anleitung von fundave3 zum Thema KVM ...

Heiß diskutierte Inhalte
Router & Routing
über Vmware auf eine FritzBox mit IPv6 per VPN (17)

Frage von Zockervogel zum Thema Router & Routing ...

Basic
Programmierung von Windows Programmen (9)

Frage von Ghost108 zum Thema Basic ...

Voice over IP
VoIP und DECT an Fritz Accesspoint (7)

Frage von Katosix zum Thema Voice over IP ...