Sicherheit im VLAN bei PC mit 2 Netzwerkkarten

Mitglied: milka

milka (Level 1) - Jetzt verbinden

22.08.2006, aktualisiert 23.08.2006, 5992 Aufrufe, 6 Kommentare

Wie ich am sichersten zwei Netzwerke voneinander trennen kann, die an einem PC zusammenkommen...

Hallo Community!

Ich arbeite in einer Firma, wo vier Produktionsmaschinen und zwei PCs in ein VLAN zusammengefasst sind. Mit den PCs werden Dateien auf den freigegebenen Festplatten der Maschinen geändert. Eine schön dichte Insellösung, ohne jede Kontaktmöglichkeit nach aussen.

Nun habe ich ein ungutes Gefühl, da die PCs mit jeweils einer zweiten Netzwerkkarte nachgerüstet wurden, um sich auch an der Firmen-Domäne anmelden zu können. Nun haben die PCs Internet und Email-Verkehr!

Ich habe Angst, dass sich die PC-User einen Virus einhandeln, und damit die Maschinen invizieren... Wie kann man das Risiko eines unberechtigten eindringens in das VLAN via PCs möglichst gering halten?

Auf den PCs läuft XP Prof SP2 und auf den Maschinen XP Prof SP2, NT4 und W2K gemixt...

Milka
Mitglied: 27119
27119 (Level 2)
22.08.2006 um 16:35 Uhr
Man darf auch nicht zu paranoid sein - ist der Rechner mit aktuellem Antivirenschutz und Patches versorgt, wird nur mit eingeschränkten Userrechten gearbeitet, ist eine Schädigung des getrennten VLANs so gut wie ausgeschlossen.

Wiso man jedoch eine Insellösung schafft (was je sehr sicher ist) und dann mit der zweiten Netzwerkkarte unterwandert ist nicht so recht nachvollziehbar.

Das System ist mir allerdings noch nicht ganz klar. Wozu ein VLAN, wenn es KEINE Verbindung mit anderen Netzen hat? Dann hätt man die Rechner ja gleich an einen eigenen Switch hängen können, der keinen uplink zum übrigen Netz hat.
Bitte warten ..
Mitglied: Rafiki
22.08.2006 um 20:18 Uhr
Paranoid hin oder her, wahrscheinlich hast du deine Gründe für eine solche Hochsicherheitsinsel. Hier mein Vorschlag damit du deine beiden Netzwerke auch weiterhin getrennt hast.
Ich gehe davon aus das du VMware kennst. Mit VMware ACE gibst du dem Benutzer eine virtual machine, von dir vorkonfiguriert und für den Anwender ist diese nicht mehr zu ändern. Die VM ist fest der zweiten Netzwerkkarte zugewiesen und der Benutzer arbeitet, wenn du das möchtest, in der VM ohne Adminrechte. In dieser virtual machine darf der Benutzer die anderen Computer in der Insel erreichen und Dateien laden und bearbeiten. Er kann aber die Daten nicht aus dieser VM auf sein echtes Betriebssystem übertragen. (Screenshots sind weiterhin möglich, evtl. gibt es auch Hackerlücken)
Vorraussetzung ist natürlich ein PC mit genug RAM und etwas Einarbeitung der Benutzer. Du erreichst damit so etwas wie ein zwei in eins Computer, der eine in der Inselwelt und der andere in der Büro- und Internetwelt. Ob nun die VM zur VLAN - Insel gehört oder ob die VM Internetzugriff bekommt und der echte PC zu der Inselwelt gehört bleibt den Anforderungen in eurem Netzwerk überlassen.

http://www.vmware.com/products/ace/

Gruß Rafiki
Bitte warten ..
Mitglied: 27119
27119 (Level 2)
22.08.2006 um 21:00 Uhr
Jo, VM kam mir auch erst in den Sinn.
Aber...

VM hin oder her - der Rechner hat zwei physikalische Karten, die beide vom gastgebenden OS gesehen und genutzt werden können.
Somit ist dem gastgebenden PC die VM die da läuft völlig gleich, theoretisch kann ein Schädling trotzdem über die zweite Karte die Rechner im VLAN belasten.
Die Physik kann ich mit VM ja nicht wegzaubern...

Denkbar wäre es allerdings, dass die VM ein anderes Subnetz (IP-Adr. bereich) verpasst bekommt, den auch die Rechner im VLAN haben.
Solange die physikalische Netzwerkkarte nicht eine IP aus diesem Bereich hat (sondern garkeine) könnte es klappen. Die Pakete aus der VM würden über die zweite Karte ins VLAN spatzieren, und der gastgebende PC könnte in dieses Netz keine Pakete schicken, solange er keine Route da hin hat. Wiso das unbedingt der ACE sein muss ist mir jetzt aber nicht ganz klar... lerne aber immer wieder gerne dazu.
Wiso man dann nicht einfach nen zweiten Popel-Rechner nebendran stellt ist mir dennoch schleierhaft, wenns den soooo safe sein soll und nicht am normalen netz hängen soll.
Bitte warten ..
Mitglied: milka
23.08.2006 um 07:01 Uhr
Danke für die Antworten!

Die Produktionsmaschinen sind mir wichtig, da ein Ausfall hohe Kosten verursachen würde. Die Versicherung würde bei dieser Netztopografie dann wohl auch grobe Fahrlässigkeit unterstellen...

Auf den PCs werden die Produktionsprogramme für die Maschinen geschrieben, und neuerdings kommen auch welche von ausserhalb per Email...

Ich denke ein zweiter PC ist die sauberste Lösung. Dann müssen die Daten per USB-Stick transferiert werden...

Ich hätte mir nur gewünscht, dass es evtl. einen anderen Weg gibt, den ich noch nicht kenne.
Bitte warten ..
Mitglied: 27119
27119 (Level 2)
23.08.2006 um 08:09 Uhr
YO! USB Stick und ausdiemaus. Dann ist ruhe im Karton, es ist eine einfache Lösung - und es kostet fast nix. Gratuliere!
Bitte warten ..
Mitglied: Rafiki
23.08.2006 um 21:51 Uhr
duno schrieb:
VM hin oder her - der Rechner hat zwei physikalische Karten, die beide vom gastgebenden OS gesehen und genutzt werden können.

@duno
Da muss ich leider wieder sprechen. Bei zwei physikalischen Netzwerkkarten kannst du genau vorgeben welche der beiden Karten von der VM genutzt wird. Auf dieser Karte wird kein anderes Protokoll gebunden außer dem „VMware Bridge Protocol“. Der Virus müsste dann also Adminrechte haben, die zweite Netzwerkkarte konfigurieren und die IP Adressen einstellen. Nunja, es soll wohl auch schon schlaue Viren geben aber das ist dann doch ne’ Nummer zu hoch.

@milka
Wenn also der PC das Produktionssystem steuert und vermutlich direkt auf die Hardware zugreift, dann kannst du die VM zum Surfen im Internet und lesen von Emails verwenden. Sieh dir mal die Browser Appliance an. Eine sehr kompakte VM die einen LinuxKernel hat und nur Firefox startet. Es ist nicht möglich Änderungen an dem Firefox abzuspeichern.

Aber in einem Punkt gebe ich euch natürlich Recht. Nur völlig getrennte Systeme sind sauber und sicher. Am besten ist das System wenn du die Benutzer verbannen kannst. ;-) face-wink

Gruß Rafiki
Bitte warten ..
Heiß diskutierte Inhalte
Microsoft
Erwerb von M365 Lizenzen, Partner Autorisierung für Azure AD - Globaler Administrator wirklich nötig?
gelöst NidavellirVor 1 TagFrageMicrosoft4 Kommentare

Hi zusammen, bitte entschuldigt den etwas sperrigen Titel, aber ein knapperer wollte mir nicht einfallen. :D Wir wollen bei einem Systemhaus M365 Lizenzen (Business ...

LAN, WAN, Wireless
Switch läuft, ist aber nicht erreichbar
gelöst AndiPeeVor 18 StundenFrageLAN, WAN, Wireless19 Kommentare

Hallo zusammen, mein Problemfall einleitend kurz umrissen: Privates Netzwerk Es funktioniert grundsätzlich, allerdings habe ich immer mal ein paar Ausfälle im WLAN-Netzwerk und bin ...

Off Topic
BKA und der Bundestrojaner
brammerVor 1 TagInformationOff Topic4 Kommentare

Hallo, habe kurz überlegt ob das unter Off Topic allgemein oder Off Topic LOL gehört brammer

Speicherkarten
Welchen USB Stick für Bootstick?
gelöst dlnkrgVor 1 TagFrageSpeicherkarten6 Kommentare

Hallo, Ich bin auf der Suche nach USB - Sticks, auf denen ich Linux Ubuntu installieren kann und praktisch als Festplatte für das Betriebssystem ...

Windows Netzwerk
Sporadisch kein Netz auf mehreren Win10-Maschinen
SolarflareVor 1 TagFrageWindows Netzwerk6 Kommentare

Hallo, ich habe seit Monaten einen eigenartigen Effekt in unserem Windows-Netz. Windows-Domäne mit ca. 100 Maschinen, alle Clients aktuelles Windows 10. Die Maschinen hängen ...

MikroTik RouterOS
Simples VLAN bringt mich zur Verzweiflung
gelöst Daniel26Vor 6 StundenFrageMikroTik RouterOS25 Kommentare

Moin, ich bin sehr neu im Mikrotik-Bereich, aber schon dabei, aufzuegeben. Wir verbauen in unserer Hardware Switche von Mikrotik. Bisher waren da Netgear-Teile drin, ...

Windows 7
Userpfad Problem nach Aenderung des Computernamens
BernerVor 1 TagFrageWindows 712 Kommentare

In einem Netzwerk von 9 PCs sind 9 Ersatz-PCs eingebunden, bei denen im Bedarfsfall vor dem Einsatz nur der Computername und die IP-Adresse angepasst ...

VB for Applications
Auf SQL Datenbank schreiben welche Sich im Firmennetzwerk befindet
RSST-SORVor 1 TagFrageVB for Applications12 Kommentare

Hallo Ich habe ein funktionierendes VBA Makro im EXCEL welches mit: conn.Open "driver={SQL Server};" & _ "server=RSST-OFFICEIII\RSSTSQLSERVER;database=RSSTZeiterfassung;" Daten in die Tabelle schreibt Nun würde ...