20
Kleines sicheres Netzwerk
Hallo Gemeinde,
heute wende ich mich an Euch zum Thema "Netzwerkaufbau mit maximaler Sicherheit".
Hintergrund:
Mein Bruder hat ein kleines Unternehmen mit 5 Clients, 3 Drucker und einer NAS als zentraler Datenspeicher. Alle Geräte hängen an einem Switch, der wiederum an einem Router hängt.
Thema:
Mein Bruder möchte nun, dass alle Geräte nach außen (also zum Internet) abgekoppelt sind. Nur ein Client soll mit dem Internet kommunizieren können, wegen E-Mails und einem Datenaustausch-Portal.
Ich bin nun die ganze Zeit am überlegen, wie sich das am besten lösen lässt. Die einfachste wäre natürlich, den Switch vom Router zu nehmen und alle Geräte mit einer festen IP zu versehen, damit diese untereinander vernetzt sind. Und der Client, welcher ins Internet soll als einzigen am Router belassen. Dann habe ich jedoch das Problem, dass dieser Client nicht mehr im abgekoppelten Netzwerk hängt. *hmm
Andere Möglichkeit wäre sicherlich alles wie es ist zu belassen, feste IPs zu vergeben und die Geräte, welche nicht ins Internet sollen keinen Gateway und DNS zu vergeben. Das wäre jedoch auch nicht gegen "Angriffe" sicher, da bei einem Befall des einen Internet-Clients sich alles im gesamten Netz ausbreiten kann.
Von daher mal die offene Frage an euch...wie würdet ihr das lösen oder habt ihr eine ähnliche Lösung bereits am laufen?
Warum und weshalb mein Bruder das so will sollte an dieser Stelle nicht diskutiert werden. Er ist seit einem Befall etwas panisch ;)
heute wende ich mich an Euch zum Thema "Netzwerkaufbau mit maximaler Sicherheit".
Hintergrund:
Mein Bruder hat ein kleines Unternehmen mit 5 Clients, 3 Drucker und einer NAS als zentraler Datenspeicher. Alle Geräte hängen an einem Switch, der wiederum an einem Router hängt.
Thema:
Mein Bruder möchte nun, dass alle Geräte nach außen (also zum Internet) abgekoppelt sind. Nur ein Client soll mit dem Internet kommunizieren können, wegen E-Mails und einem Datenaustausch-Portal.
Ich bin nun die ganze Zeit am überlegen, wie sich das am besten lösen lässt. Die einfachste wäre natürlich, den Switch vom Router zu nehmen und alle Geräte mit einer festen IP zu versehen, damit diese untereinander vernetzt sind. Und der Client, welcher ins Internet soll als einzigen am Router belassen. Dann habe ich jedoch das Problem, dass dieser Client nicht mehr im abgekoppelten Netzwerk hängt. *hmm
Andere Möglichkeit wäre sicherlich alles wie es ist zu belassen, feste IPs zu vergeben und die Geräte, welche nicht ins Internet sollen keinen Gateway und DNS zu vergeben. Das wäre jedoch auch nicht gegen "Angriffe" sicher, da bei einem Befall des einen Internet-Clients sich alles im gesamten Netz ausbreiten kann.
Von daher mal die offene Frage an euch...wie würdet ihr das lösen oder habt ihr eine ähnliche Lösung bereits am laufen?
Warum und weshalb mein Bruder das so will sollte an dieser Stelle nicht diskutiert werden. Er ist seit einem Befall etwas panisch ;)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1158629995
Url: https://administrator.de/contentid/1158629995
Printed on: July 27, 2024 at 12:07 o'clock
20 Comments
Latest comment
Die einfachste wäre natürlich, den Switch vom Router zu nehmen
Das ist der einzig sichere Weg. Solange das Netzwerk eine Verbindung zu einem anderen Netzwerk hat, besteht hier immer die Gefahr, dass was überspringen kann.Die meisten Schäden entstehen nicht durch einen direkten Befall sondern durch verschleppte Befälle. Also ein Rechner fängt sich was und dann springt es im Netzwerk weiter.
Aber wichtiger wäre in jedem Fall, dass alle Updates von allen Geräten installiert werden. Updates zum Schließen von Lücken sind viel effektiver als irgendwelche AV-Lösungen, Firewalls und Airgaps. Weil vermutlich wird es auch einen Datentransfer zwischen dem Internet-PC und den restlichen PCs geben, also kann auf dem Weg auch ins abgetrennte Netzwerk was reinkommen, was dem Internet-PC nichts antut, weil er Updates hat, aber das abgetrennte Netz zerstören.
PS: Das größte Problem sind nicht die Rechner sondern das Personal. Also sicherste Methode: Alle humanen Ressourcen entfernen, alle Sicherheitsprobleme behoben.
2
Moin,
Was steht denn als Hardware konkret zur Verfügung?
Neben der physischen Trennung könnte man auch mit einer kleinen DMZ arbeiten.
Ein Jump-Host (PC) steht in einem Bereich zwischen WAN und LAN. Auf diesen schaltet man sich per RDP auf und geht darüber ins Netz.
Der JumpHost darf nur ins WWW zugreifen, alles, was ins LAN will, wird von der Firewall geblockt.
Und alles was vom LAN ins WWW will, wird ebenfalls von der Firewall blockiert. Nur Port 3389 darf auf die IP des JumpHosts zugreifen.
Das geht aber nicht mit einem Speedport oder einer FRITZ!Box. Da muss man schon andere, aber auch bezahlbare Geräte vorhalten.
Gruß
em-pie
Was steht denn als Hardware konkret zur Verfügung?
Neben der physischen Trennung könnte man auch mit einer kleinen DMZ arbeiten.
Ein Jump-Host (PC) steht in einem Bereich zwischen WAN und LAN. Auf diesen schaltet man sich per RDP auf und geht darüber ins Netz.
Der JumpHost darf nur ins WWW zugreifen, alles, was ins LAN will, wird von der Firewall geblockt.
Und alles was vom LAN ins WWW will, wird ebenfalls von der Firewall blockiert. Nur Port 3389 darf auf die IP des JumpHosts zugreifen.
Das geht aber nicht mit einem Speedport oder einer FRITZ!Box. Da muss man schon andere, aber auch bezahlbare Geräte vorhalten.
Gruß
em-pie
Danke schonmal für Euer Feedback.
Das der Mensch vor dem PC das größte Problem darstellt ist klar. Darüber kam auch der damalige Befall aufgrund hektischer Arbeitslast. Dies lässt sich jedoch kaum/nicht vermeiden...leider.
Die Clients, NAS, Router etc. werden immer up to date gehalten. Auch wenn man teilweise kaum noch hinterher kommt.
Ich tendiere ja noch immer für Option 1. Also abgekoppeltes Netzwerk und ein Stand-Alone-PC für alles mit Internet. Aber dann springe ich auch permanent mit einem USB-Stick hin und her. Und im schlechtesten Fall verteile ich irgendwelches Zeug mit dem Stick im Netz.
Das mit dem JumpHost habe ich im Detail noch nicht wirklich verstanden.
Das der Mensch vor dem PC das größte Problem darstellt ist klar. Darüber kam auch der damalige Befall aufgrund hektischer Arbeitslast. Dies lässt sich jedoch kaum/nicht vermeiden...leider.
Die Clients, NAS, Router etc. werden immer up to date gehalten. Auch wenn man teilweise kaum noch hinterher kommt.
Ich tendiere ja noch immer für Option 1. Also abgekoppeltes Netzwerk und ein Stand-Alone-PC für alles mit Internet. Aber dann springe ich auch permanent mit einem USB-Stick hin und her. Und im schlechtesten Fall verteile ich irgendwelches Zeug mit dem Stick im Netz.
Das mit dem JumpHost habe ich im Detail noch nicht wirklich verstanden.
Warum und weshalb mein Bruder das so will sollte an dieser Stelle nicht diskutiert werden. Er ist seit einem Befall etwas panisch ;)
ist aber massiv von Relevanz. Außerdem sollte man dann konkret wissen, was der Bruder denn so macht. Nebenbei auch, was deine Kenntnisse sind. Denn dein Jumphost (siehe oben) bringt wenig, wenn deine sonst. Clients im Zweifel ungepatched dann "um die Ecke" doch irgendwie zugreifbar sein sollten. Wenn dein Bruder panisch genug ist, such Ihm eine kompetente Ansprechperson, die prüft, was wirklich(!) sinnvoll ist.
Hallo.
Das von @em-pie vorgeschlagene Konzept ist von jedem halbwegs guten Dienstleister in weniger als drei Stunden umgesetzt (inkl. Kaffee- und Pinkel-Pausen
)
Im Ernst, lass dir ein Angebot machen von einem lokalen, kleinen Selbstständigen. Die Stundensätze sind niedriger als bei einem Systemhaus, aber die Kompetenz zumeist nicht weit darunter.
Es wäre fatal jetzt eine Lösung selbst zu schustern, oder mit Hilfe eines Forums.
Gruß
Marc
Das von @em-pie vorgeschlagene Konzept ist von jedem halbwegs guten Dienstleister in weniger als drei Stunden umgesetzt (inkl. Kaffee- und Pinkel-Pausen
)Im Ernst, lass dir ein Angebot machen von einem lokalen, kleinen Selbstständigen. Die Stundensätze sind niedriger als bei einem Systemhaus, aber die Kompetenz zumeist nicht weit darunter.
Es wäre fatal jetzt eine Lösung selbst zu schustern, oder mit Hilfe eines Forums.
Gruß
Marc
Ok. Dann werde ich mal nach einem Fachmann schauen.
Danke für euren Input.
Danke für euren Input.
1
Richtige Entscheidung
Dein Bruder wird ein paar Hunderter (Firewall, VLAN fähiger Switch, Dienstleistung) investieren, aber wird damit sein Gewissen beruhigt bekommen und eine gute Lösung haben.
Die Anforderungen werden erfüllt und die gewünschte Sicherheit ist gegeben.
Gruß
Marc
Dein Bruder wird ein paar Hunderter (Firewall, VLAN fähiger Switch, Dienstleistung) investieren, aber wird damit sein Gewissen beruhigt bekommen und eine gute Lösung haben.
Die Anforderungen werden erfüllt und die gewünschte Sicherheit ist gegeben.
Gruß
Marc
Du könntest das wie folgt machen mit mehreren Zonen:
- Zone 1: Lan mit Clients. Keine Verbindung irgendwohin rein und raus außer HTTPS zu Zone 2. Du könntest mittels portbasiertem vLan dafür sorgen, dass keine Clients und Server miteinander reden können außer die, die miteinander reden müssen. Die Server wiederum kannst du in eine weitere Extrazone packen.
- Zone 2: Dort steht ein Proxmox Virtualisierungshost. Die dort laufende(n) VM(s) sind Ersatz-Clients für das Internet. E-Mails können darauf abgerufen und geschrieben werden. Es gibt aber keine Verbindung zu Zone1.
Der Vorteil besteht darin, dass du a) eine Trennung hast und b) trotzdem einen Client für den Internetzugriff. Wird die VM kompromitiert, so hat das keine Auswirkung auf Zone1. Die
- Zone 1: Lan mit Clients. Keine Verbindung irgendwohin rein und raus außer HTTPS zu Zone 2. Du könntest mittels portbasiertem vLan dafür sorgen, dass keine Clients und Server miteinander reden können außer die, die miteinander reden müssen. Die Server wiederum kannst du in eine weitere Extrazone packen.
- Zone 2: Dort steht ein Proxmox Virtualisierungshost. Die dort laufende(n) VM(s) sind Ersatz-Clients für das Internet. E-Mails können darauf abgerufen und geschrieben werden. Es gibt aber keine Verbindung zu Zone1.
Der Vorteil besteht darin, dass du a) eine Trennung hast und b) trotzdem einen Client für den Internetzugriff. Wird die VM kompromitiert, so hat das keine Auswirkung auf Zone1. Die
Hallo @Steffen94,
die Idee, alle anderen Rechner aus dem Netz zu nehmen ist keine gute. Wie die Kollegen @tikayevent und @Mystery-at-min schon völlig korrekt klar gestellt haben, ist die Update-Versorgung aller Geräte im Netzwerk essentiell für dessen Sicherheit. Es mag gehen, ist aber unrealistisch, dass das dauerhaft und zeitnah auf händischem Wege passiert.
Ich habe vor kurzem einen Kunden abgelöst, dessen Dienstleister (angeblich auf Ärzte spezialisiert) hat allen Ernstes die Fritzbox-Kindersicherung eingesetzt, um etlichen Geräten pauschal und dauerhaft das Netzwerk zu entziehen. Darunter dann der "Server", den ich dann von seinem Update-Stand 2019 erlöst habe. Ich habe den Kollegen natürlich angerufen...
Klar, wenn das interne Netz abgetrennt ist, ist das Bedrohungspotenzial geringer. Aber mit irgendwas wird ja dort auch gearbeitet und dann kommt doch das infizierte PDF vom Kunden, Kollegen oder Mitarbeiter und wird per USB reingesteckt...
Wenn die Mitarbeiter an den Arbeitsplätzen das Internet nicht nutzen können sollen (in den meisten KMU-Szenarien ebenso unrealistisch, weil unpraktikabel), lässt sich das anders regeln, z.B. Über eine kleine Firewall (Raspi/Mikrotik, Hardware für 50 EUR) oder Ausführungsbeschränkungen auf den PCs (kostenlos).
Und ein ordentliches Backup - vom Netz getrennt (!) lässt dann auch wieder gut schlafen.
Viele Grüße Commodity
die Idee, alle anderen Rechner aus dem Netz zu nehmen ist keine gute. Wie die Kollegen @tikayevent und @Mystery-at-min schon völlig korrekt klar gestellt haben, ist die Update-Versorgung aller Geräte im Netzwerk essentiell für dessen Sicherheit. Es mag gehen, ist aber unrealistisch, dass das dauerhaft und zeitnah auf händischem Wege passiert.
Ich habe vor kurzem einen Kunden abgelöst, dessen Dienstleister (angeblich auf Ärzte spezialisiert) hat allen Ernstes die Fritzbox-Kindersicherung eingesetzt, um etlichen Geräten pauschal und dauerhaft das Netzwerk zu entziehen. Darunter dann der "Server", den ich dann von seinem Update-Stand 2019 erlöst habe. Ich habe den Kollegen natürlich angerufen...
Klar, wenn das interne Netz abgetrennt ist, ist das Bedrohungspotenzial geringer. Aber mit irgendwas wird ja dort auch gearbeitet und dann kommt doch das infizierte PDF vom Kunden, Kollegen oder Mitarbeiter und wird per USB reingesteckt...
Wenn die Mitarbeiter an den Arbeitsplätzen das Internet nicht nutzen können sollen (in den meisten KMU-Szenarien ebenso unrealistisch, weil unpraktikabel), lässt sich das anders regeln, z.B. Über eine kleine Firewall (Raspi/Mikrotik, Hardware für 50 EUR) oder Ausführungsbeschränkungen auf den PCs (kostenlos).
Und ein ordentliches Backup - vom Netz getrennt (!) lässt dann auch wieder gut schlafen.
Viele Grüße Commodity
Moinsen,
ich vermisse auch eine klare Backup-Strategie. Sollte im worst-case doch einmal eine Randsomeware o.ä. zuschlagen, wird es schwer "arbeitsfähig" zu bleiben. Deshalb sichern, sichern und sichern... z.B nach der 3-2-1 Backup Regel.
gruß M.
ich vermisse auch eine klare Backup-Strategie. Sollte im worst-case doch einmal eine Randsomeware o.ä. zuschlagen, wird es schwer "arbeitsfähig" zu bleiben. Deshalb sichern, sichern und sichern... z.B nach der 3-2-1 Backup Regel.
gruß M.
Zitat von @Mika909:
ich vermisse auch eine klare Backup-Strategie. Sollte im worst-case doch einmal eine Randsomeware o.ä. zuschlagen, wird es schwer "arbeitsfähig" zu bleiben. Deshalb sichern, sichern und sichern... z.B nach der 3-2-1 Backup Regel.
ich vermisse auch eine klare Backup-Strategie. Sollte im worst-case doch einmal eine Randsomeware o.ä. zuschlagen, wird es schwer "arbeitsfähig" zu bleiben. Deshalb sichern, sichern und sichern... z.B nach der 3-2-1 Backup Regel.
Er beteuerte ja sich mit einem Fachmann in Verbindung zu setzen
Der sollte das Thema Datensicherung schwer auf dem Schirm haben.
Gruß
Marc
Ja, wenn es denn immer so wäre... Hatte kürzlich mal wieder 'nen Fachmann, der hat ne Arztpraxis mit nem Robocopy-Script auf eine einzelne Platte sichern lassen, die dann im Briefmarkentresor gleich neben dem "Server" eingeschlossen wurde... Irgendeine Form von Monitoring gabs natürlich auch nicht. Der Kunde, der total stolz war, täglich zu sichern, hatte schon sechs Wochen "gesichert", ohne zu merken, dass das Script tot lief (immer diese unübersichtlichen schwarzen Fenster :-O ).
Viele Grüße, Commodity
Edit: Der Stolz brach etwas weg, als ich fragte, welche Sicherung im Brandfall zurückgespielt werden soll
Huhu,
mal ne Frage zurück, wird bei dem Betrieb ohne jegliche Emailkommunikation gearbeitet?
Falls nicht wie werden die denn abgerufen wenn die Clients kein iNet haben?
Ich würd da einfach ein Proxy / pihole vorsetzen und sofern machbar Officedokumente jeglicher Art verbannen, wenn du dann noch regelmäßig patchst haste schon 99,9% aller Probleme behoben.
Beste Grüße
mal ne Frage zurück, wird bei dem Betrieb ohne jegliche Emailkommunikation gearbeitet?
Falls nicht wie werden die denn abgerufen wenn die Clients kein iNet haben?
Ich würd da einfach ein Proxy / pihole vorsetzen und sofern machbar Officedokumente jeglicher Art verbannen, wenn du dann noch regelmäßig patchst haste schon 99,9% aller Probleme behoben.
Beste Grüße
Hallo an alle, ich müsste nochmal mit 1-2 Fragen nerven 🙄
1.) Angenommen ich betreibe das erwähnte Netzwerk "offline" (also alle Rechner, Drucker und die NAS an nem Switch mit fester IP) und lasse einen separaten Rechner als Standalone ins Internet:
- Kann ich mich sicher per Remote mit einem Rechner aus dem Offline-Netzwerk (PC-A mit 2ter Netzwerkkarte) mit diesem Internet-Standalone-Rechner (PC-B) verbinden, ohne dass sich bei einem möglichen Befall des PC-B auch der PC-A infiziert? Oder wäre das gleichzusetzen, als wenn PC-A am Internet hängen würde?
2.) Wie sieht es aus, wenn ich auf einem bestimmten Rechner aus dem Offline-Netzwerk zusätzlich eine VM laufen lasse und nur diese VM den Zugang zum Internet besitzt? Fange ich mir auf der VM einen Trojaner oder ähnliches ein, dann breitet sich das ja nicht auf dem lokalen System und im Netzwerk aus, oder habe ich ein Verständnisproblem?
Sorry für die Anfängerfragen.
Die Suche nach einem Fachmann läuft aber gestaltet sich eherbbescheiden...insbesondere Serviceleistungen.
1.) Angenommen ich betreibe das erwähnte Netzwerk "offline" (also alle Rechner, Drucker und die NAS an nem Switch mit fester IP) und lasse einen separaten Rechner als Standalone ins Internet:
- Kann ich mich sicher per Remote mit einem Rechner aus dem Offline-Netzwerk (PC-A mit 2ter Netzwerkkarte) mit diesem Internet-Standalone-Rechner (PC-B) verbinden, ohne dass sich bei einem möglichen Befall des PC-B auch der PC-A infiziert? Oder wäre das gleichzusetzen, als wenn PC-A am Internet hängen würde?
2.) Wie sieht es aus, wenn ich auf einem bestimmten Rechner aus dem Offline-Netzwerk zusätzlich eine VM laufen lasse und nur diese VM den Zugang zum Internet besitzt? Fange ich mir auf der VM einen Trojaner oder ähnliches ein, dann breitet sich das ja nicht auf dem lokalen System und im Netzwerk aus, oder habe ich ein Verständnisproblem?
Sorry für die Anfängerfragen.
Die Suche nach einem Fachmann läuft aber gestaltet sich eherbbescheiden...insbesondere Serviceleistungen.
Zitat von @Steffen94:
1.) Angenommen ich betreibe das erwähnte Netzwerk "offline" (also alle Rechner, Drucker und die NAS an nem Switch mit fester IP) und lasse einen separaten Rechner als Standalone ins Internet:
1.) Angenommen ich betreibe das erwähnte Netzwerk "offline" (also alle Rechner, Drucker und die NAS an nem Switch mit fester IP) und lasse einen separaten Rechner als Standalone ins Internet:
Statische IP für Clients ist ja nicht wirklich notwendig. Per DHCP Reservierung festlegen lassen und gut sollte es sein.
- Kann ich mich sicher per Remote mit einem Rechner aus dem Offline-Netzwerk (PC-A mit 2ter Netzwerkkarte) mit diesem Internet-Standalone-Rechner (PC-B) verbinden, ohne dass sich bei einem möglichen Befall des PC-B auch der PC-A infiziert? Oder wäre das gleichzusetzen, als wenn PC-A am Internet hängen würde?
Eine Firewall sollte nur den Port 3389 von PC A auf PC B zulassen und jeglichen Verkehr von Netzwerk B zu Netzwerk A unterbinden.
2.) Wie sieht es aus, wenn ich auf einem bestimmten Rechner aus dem Offline-Netzwerk zusätzlich eine VM laufen lasse und nur diese VM den Zugang zum Internet besitzt? Fange ich mir auf der VM einen Trojaner oder ähnliches ein, dann breitet sich das ja nicht auf dem lokalen System und im Netzwerk aus, oder habe ich ein Verständnisproblem?
Prinzipiell gibt es keine Sicherheit, dass ein "Schädling" nicht aus der virtuellen Maschine ausbricht und sich vom VM Host dann seinen Weg weiterbahnt.
Die Suche nach einem Fachmann läuft aber gestaltet sich eherbbescheiden...insbesondere Serviceleistungen.
Das Internet ist doch voll von Firmen und Solo-Selbstständigen oder nicht?
Gruß
Marc
Volle Zustimmung an den Kollegen radiogugu. Im Detail:
Das haben in den 90er Jahren einige Noobs gemacht. Wenn Du Deinen Bruder ins it-technische Mittelalter schicken willst, mit vergleichbaren Gefahren, bist Du auf dem richtigen Weg. Sonst nicht.
a) gibt es heute faktisch kein Unternehmen, das nicht regelmäßig ins Internet geht (gehen muss). Email, Dateiaustausch, Webinfos, Updates u.v.m. Du schweigst Dich ja über die Branche aus, sonst könnten wir da noch spezieller werden. Früher hätte ich gesagt, die Paranoia klingen für mich nach Arzt, Anwalt oder Steuerberater, aber ich habe seit mind. 15 Jahren aus diesen Branchen keine vergleichbaren Gedanken mehr gehört.
b) führt Dein "Setup" dazu, dass Dateien, die weiter verarbeitet werden (Dokumente, Software u.ä., irgendwas wird in der Datenverarbeitung ja auch verarbeitet werden) "händisch" übergeben werden, wahrscheinlich per USB. Dann ist die ganze schöne umständliche Pseudo-Sicherheit wieder passé.
c) müssen die anderen Rechner regelmäßig Updates erhalten. Die reale Gefahr ist nicht das Internet, sondern ein Anwender, der irgendwas steckt, falsch macht, bewusst löscht oder eine Datei, die arglos aufgespielt wird. Lies Dich ein: Mehr als 2/3 der Schädlinge wirken von innen, nicht von außen. Und das meist bei veralteten Systemen/Software.
Wenn Du wirklich Paranoia ausleben willst, mach halt einen separaten Email-PC, am besten unter Linux, dann vermeidest Du im Wesentlichen (nicht absolut) die Gefahr, dass Mailanhänge Schaden anrichten, solange sie auf diesem Rechner bleiben.
Den Internetzugriff der anderen Rechner kannst Du ggf. beschränken (Firewall oder einfach Pi-Hole)
Die restlichen Gefahren vermeidet ein durchdachtes Backup-Konzept, dass dann aber auch gelebt werden muss.
Das glaube ich Dir nicht. Eine ernsthafte Suche fängt hier im Forum an. Hier sind auch einige Dienstleister. Nenne die Region und was Du in etwa erwartest/brauchst, entweder meldet sich ein Kollege oder Du bekommst vielleicht immerhin 'nen Tip, wo Du fündig werden kannst. Ansonsten, wie Marc schon sagte, das Internet ist voll davon. Wenn Dein Bruder sucht, möge er dies halt nicht vom offline-Rechner aus machen
Aber es ist ja seine Existenz und seine Daten. Wer mit solch technischen KnowHow ein Unternehmen unter Einsatz von Rechnern betreibt hat entweder keine wichtigen Daten (oder niemanden zu versorgen) oder sollte das mit dem Unternehmen besser noch einmal überlegen. (Sorry, nicht böse gemeint, soll zum Nachdenken anregen. Datenschutz ist oft genug Existenzschutz)
Viele Grüße, commodity
Das haben in den 90er Jahren einige Noobs gemacht. Wenn Du Deinen Bruder ins it-technische Mittelalter schicken willst, mit vergleichbaren Gefahren, bist Du auf dem richtigen Weg. Sonst nicht.
a) gibt es heute faktisch kein Unternehmen, das nicht regelmäßig ins Internet geht (gehen muss). Email, Dateiaustausch, Webinfos, Updates u.v.m. Du schweigst Dich ja über die Branche aus, sonst könnten wir da noch spezieller werden. Früher hätte ich gesagt, die Paranoia klingen für mich nach Arzt, Anwalt oder Steuerberater, aber ich habe seit mind. 15 Jahren aus diesen Branchen keine vergleichbaren Gedanken mehr gehört.
b) führt Dein "Setup" dazu, dass Dateien, die weiter verarbeitet werden (Dokumente, Software u.ä., irgendwas wird in der Datenverarbeitung ja auch verarbeitet werden) "händisch" übergeben werden, wahrscheinlich per USB. Dann ist die ganze schöne umständliche Pseudo-Sicherheit wieder passé.
c) müssen die anderen Rechner regelmäßig Updates erhalten. Die reale Gefahr ist nicht das Internet, sondern ein Anwender, der irgendwas steckt, falsch macht, bewusst löscht oder eine Datei, die arglos aufgespielt wird. Lies Dich ein: Mehr als 2/3 der Schädlinge wirken von innen, nicht von außen. Und das meist bei veralteten Systemen/Software.
Wenn Du wirklich Paranoia ausleben willst, mach halt einen separaten Email-PC, am besten unter Linux, dann vermeidest Du im Wesentlichen (nicht absolut) die Gefahr, dass Mailanhänge Schaden anrichten, solange sie auf diesem Rechner bleiben.
Den Internetzugriff der anderen Rechner kannst Du ggf. beschränken (Firewall oder einfach Pi-Hole)
Die restlichen Gefahren vermeidet ein durchdachtes Backup-Konzept, dass dann aber auch gelebt werden muss.
2.) Wie sieht es aus, wenn ich auf einem bestimmten Rechner aus dem Offline-Netzwerk zusätzlich eine VM laufen lasse
Wenn der (Host-)Rechner offline ist, hat auch Deine VM keinen Anschluss, wenn Du nicht die Netzwerkkarte exklusiv zuweist. Da beisst sich die Katze aber in den Schwanz, denn den Host einer VM mit Internetzugriff nicht absolut regelmäßig zu updaten ist natürlich Fahrlässigkeit pur.Die Suche nach einem Fachmann läuft aber gestaltet sich eherbbescheiden
Das glaube ich Dir nicht. Eine ernsthafte Suche fängt hier im Forum an. Hier sind auch einige Dienstleister. Nenne die Region und was Du in etwa erwartest/brauchst, entweder meldet sich ein Kollege oder Du bekommst vielleicht immerhin 'nen Tip, wo Du fündig werden kannst. Ansonsten, wie Marc schon sagte, das Internet ist voll davon. Wenn Dein Bruder sucht, möge er dies halt nicht vom offline-Rechner aus machen
Aber es ist ja seine Existenz und seine Daten. Wer mit solch technischen KnowHow ein Unternehmen unter Einsatz von Rechnern betreibt hat entweder keine wichtigen Daten (oder niemanden zu versorgen) oder sollte das mit dem Unternehmen besser noch einmal überlegen. (Sorry, nicht böse gemeint, soll zum Nachdenken anregen. Datenschutz ist oft genug Existenzschutz)Viele Grüße, commodity
Zitat von @commodity:
Die restlichen Gefahren vermeidet ein durchdachtes Backup-Konzept, dass dann aber auch gelebt werden muss.
Die restlichen Gefahren vermeidet ein durchdachtes Backup-Konzept, dass dann aber auch gelebt werden muss.
Meiner Meinung nach ist mit dem Satz vom Kollegen @comodity, dieses ganze Topic erledigt.
Wenn ich ein gutes Backup-Konzept habe und eine zb. wöchentliche oder monatliche (je nach Unternehmensgröße, bzw. Daten Änderungen) Sicherung offline rumliegen habe, bin ich auf der sicheren Seite.
Klar kann man alles mit Paranoia betrachten, aber dann darf der Bruder auch kein Handy besitzen, keinen Smart-TV oder sonstigen technischen Schnick-Schnack.
Kein System ist jemals sicher, wenn man das mal verstanden hat, lebt es sich leichter in der heutigen Zeit
Danke erstmal an alle für die Antworten.
Ich kann viele eurer Einwendungen durchaus verstehen. Keine Frage!
Diese Gedanken habe ich mir ebenfalls mehrfach gemacht. Den Großteil würde ich auch zu bewältigen wissen: wöchentliches Backup ist implementiert, für sämtliche Updates würden die Rechner kurzerhand einmal im Monat ans I-Net gehangen (jedoch mit getrennter Verbindung zu NAS), etc.
Der Hauptpunkt meines Bruders ist bis dato immernoch der, dass er die NAS mit allen Daten "schützen" will. D.h. wenn er sich wirklich mal etwas einfängt, dann soll keine Möglichkeit existieren, dass Daten abfließen. Gleiches gilt, wenn ein Externer irgendwie ins Netz gelangen sollte.
Mit Verschlüsselung, Zerstörung oder ähnlichen könnte er noch leben, da regelmäßig Backups gemacht werden. Und die paar Rechner neu aufsetzen würde er in Kauf nehmen. Daher der Gedanke einer Abkoppelung vom I-Net bei Vernetzung mit der NAS....
Ich kann viele eurer Einwendungen durchaus verstehen. Keine Frage!
Diese Gedanken habe ich mir ebenfalls mehrfach gemacht. Den Großteil würde ich auch zu bewältigen wissen: wöchentliches Backup ist implementiert, für sämtliche Updates würden die Rechner kurzerhand einmal im Monat ans I-Net gehangen (jedoch mit getrennter Verbindung zu NAS), etc.
Der Hauptpunkt meines Bruders ist bis dato immernoch der, dass er die NAS mit allen Daten "schützen" will. D.h. wenn er sich wirklich mal etwas einfängt, dann soll keine Möglichkeit existieren, dass Daten abfließen. Gleiches gilt, wenn ein Externer irgendwie ins Netz gelangen sollte.
Mit Verschlüsselung, Zerstörung oder ähnlichen könnte er noch leben, da regelmäßig Backups gemacht werden. Und die paar Rechner neu aufsetzen würde er in Kauf nehmen. Daher der Gedanke einer Abkoppelung vom I-Net bei Vernetzung mit der NAS....
Du hast nun schon mehrere Ansätze und Stimmen zu diesem Vorhaben gelesen.
Geht nicht zu 100 %, außer vollkommene Abnabelung vom Internet und auch von physischem Zugriff (USB Schnittstellen, etc.).
Es braucht hier eine professionelle Infrastruktur mit allerhand Hard- und Software, die beispielsweise das Kopieren auf externe Datenträger verhindert. Genauso muss es Netzwerksegmente geben, die nur sehr restriktiv unter einander geöffnet werden.
Und wie wird sichergestellt, dass die PC dann wieder "sauber" im Netzwerk sind? Es würde nur Sinn machen einen WSUS in eine DMZ zu hängen und von diesem dann die PC mit Updates zu betanken. Dann braucht keiner davon das Internet zu kennen und ist trotzdem auf dem neuesten Stand.
Das NAS gehört in ein eigenes VLAN und auf dieses dürfen nur bestimmte MAC / IP Adressen zugreifen. Es gibt ein Switch mit eingeschalteter Port Security, welche sofort den Switchport deaktiviert, wenn eine nicht bekannte MAC Adresse dort angeschlossen wird.
Das alles klingt aufwändig und ist es auch. Die Anforderung ist nichts neues und vielfach umgesetzt auf der Welt. Allerdings wahrscheinlich immer von Firmen und Behörden mit einem etwas größeren Budget-Rahmen als es die Firma deines Bruders hat.
Als Virenscanner kann ich Sentinel One empfehlen. Ist teuer, aber durch KI gestütztes Agieren sehr, sehr scharf. Das Teil macht ständig Snapshots und rollt diese automatisch zurück, sollte ein Schädling nicht sofort isoliert und bekämpft werden können. Verschlüsselungstrojaner haben so auch wenig Chancen, allerdings nicht installierbar auf einem NAS.
Dein Bruder und du solltet euch mit Systemhäusern in Verbindung setzen und euer Vorhaben bewerten und beziffern lassen. Es gibt mehrere Konzepte, die man hier ansetzen könnte, aber alle kosten Geld an der Stelle.
Gruß
Marc
Zitat von @Steffen94:
Der Hauptpunkt meines Bruders ist bis dato immernoch der, dass er die NAS mit allen Daten "schützen" will.
Der Hauptpunkt meines Bruders ist bis dato immernoch der, dass er die NAS mit allen Daten "schützen" will.
Geht nicht zu 100 %, außer vollkommene Abnabelung vom Internet und auch von physischem Zugriff (USB Schnittstellen, etc.).
Es braucht hier eine professionelle Infrastruktur mit allerhand Hard- und Software, die beispielsweise das Kopieren auf externe Datenträger verhindert. Genauso muss es Netzwerksegmente geben, die nur sehr restriktiv unter einander geöffnet werden.
für sämtliche Updates würden die Rechner kurzerhand einmal im Monat ans I-Net gehangen (jedoch mit getrennter Verbindung zu NAS), etc.
Und wie wird sichergestellt, dass die PC dann wieder "sauber" im Netzwerk sind? Es würde nur Sinn machen einen WSUS in eine DMZ zu hängen und von diesem dann die PC mit Updates zu betanken. Dann braucht keiner davon das Internet zu kennen und ist trotzdem auf dem neuesten Stand.
Das NAS gehört in ein eigenes VLAN und auf dieses dürfen nur bestimmte MAC / IP Adressen zugreifen. Es gibt ein Switch mit eingeschalteter Port Security, welche sofort den Switchport deaktiviert, wenn eine nicht bekannte MAC Adresse dort angeschlossen wird.
Das alles klingt aufwändig und ist es auch. Die Anforderung ist nichts neues und vielfach umgesetzt auf der Welt. Allerdings wahrscheinlich immer von Firmen und Behörden mit einem etwas größeren Budget-Rahmen als es die Firma deines Bruders hat.
Als Virenscanner kann ich Sentinel One empfehlen. Ist teuer, aber durch KI gestütztes Agieren sehr, sehr scharf. Das Teil macht ständig Snapshots und rollt diese automatisch zurück, sollte ein Schädling nicht sofort isoliert und bekämpft werden können. Verschlüsselungstrojaner haben so auch wenig Chancen, allerdings nicht installierbar auf einem NAS.
Dein Bruder und du solltet euch mit Systemhäusern in Verbindung setzen und euer Vorhaben bewerten und beziffern lassen. Es gibt mehrere Konzepte, die man hier ansetzen könnte, aber alle kosten Geld an der Stelle.
Gruß
Marc
Jeder ist seines Glückes Schmied... Good Luck.
Viele Grüße, commodity
Viele Grüße, commodity