PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Rechner im netzwerk abschotten



FoxPro
28.05.2004, 09:03
Hallo zusammen


ich suche eine möglichkeit ein vorhandenes netzwerk zu erweitern. Folgt schauts aus: Es ist ein Netzwerkvorhanden mit 5 peertopeer. wobei einer nur datenfreigaben hat also keine "echter server" ist. es gibt dort noch einen internetpc welcher per isdn ins netz einwählt. dieser soll nun an das netzwerk angebunden werden, zwecks einer datenübertragungvon excellisten per inet. das eigentlliche netzwerk(also all die anderen pcs) dürfen aber nicht berührt werden. d.h an muss von all diesen "internen" rechnern auf den inet pc schreiben können, ABER der inetpc darf keinen zugriff auf die anderen rechner haben(praktische einen oneway-leitung). es sollte relativ wasserdicht sein so das ein eventueller wurm auf keinen fall in dieses "interne netzwerk" gelangen kann. Hat jemand da eine Idee wie man das reaisieren kann ?

Bin mal wieder für jede Idee oder kreative Anregung dankbar

MfG

Euer FoxPro

moll
28.05.2004, 12:25
Hallo FoxPro

Einfachste Lösung: Diskette oder USB-Stick ;-) Damit haste nur ne OneWay-Lösung.

Alles andere ist nie ganz sicher, da es immer eine "two-way-Verbindung" braucht, um Daten von a nach b zu schieben.
Was aber allenfalls gehen würde ist die Möglichkeit, dass der InetPC von intern nur über IPX/SPX ansprechbar ist. Damit haste mal eine Zahl an Problemen weg.
Und/oder Firewall, die nur den Zugriff auf bestimmte IP-Adressen und Ports gewährt. Diese Ports sind aber genau der Punkt, an denen die meisten Würmern ansetzen und sind auch genau diese, die Du für die "normale" TCP/IP bzw. Dateischieberei brauchst.

Also die Quinte der ganzen Sache. Sobald ein InetPC im Netz steht führt kein Weg an Firewall, AntiVirus und sauberes Patching vorbei. sorry...

wünsch noch nen schönen Tag

cheers
moll

itnetx
28.05.2004, 19:06
Hi FoxPro

Je nach OS der eingesetzten Geraete ist das z.B. mit einer IPSec-Policy moeglich. Damit lassen sich sichere, authentisierte Verbindungen in eine Richtung konfigurieren. Das sollte dein Problem loesen und die gewuentschte Sicherheit bringen ...

Gruss Marcel

moll
28.05.2004, 19:28
@Marcel

Ich hab da mal ne Verständnisfrage, aber IMHO sieht das doch dann so aus.

Grundsätzlich wird bei IPSec die Kommunikation zwischen zwei Geräten verschlüsselt und überwacht.

Wenn die zwei Geräte jetzt aber eine geschützte und gesicherte Verbindung aufbauen, dann ist es doch immer noch möglich, dass der Worm/Virus etc. über diese geschützte Verbindung auf den zweiten PC springt. Schliesslich müssen diese zwei PC's dann miteinander quasseln und Daten austauschen. Wenn es auch nur Bestätigungen für das Übermitteln etc. sind. Dem Wurm aber zu verbieten, auch seinen Code noch zu übermitteln, geht dann wohl nicht.

Das selbe Problem besteht doch auch bei VPN-Verbindungen von RoadWarriors wenn diese während der VPN Session mit dem Zentrale nicht vom "restlichen Internet" abschotten.

Meiner Meinung ist IPSec von Vorteil, wenn man sicher sein will, dass
a) der "Richtige PC" mit meinem Server quasselt
b) ich die Daten verschlüsseln will (WLAN, Server/Server Kommunikation etc)

Aber wenn eines der beiden Systeme kompromitiert ist, dann ist die Sache auch mit IPSec nicht mehr sicher.

Aber wirklich sattelfest in Sachen IPSec bin ich auch nicht. Daher versteh vielleicht ich auch mal wieder was falsch...

cheerio

itnetx
28.05.2004, 21:06
@moll

grundsaetzlich hast du natuerlich recht. mittels IPsec wir die Kommunikation zwischen 2 (oder mehreren) Geraeten verschluesselt bzw. die authentizitaet eines pakets bzw dessen absenders sichergestellt. zusaetzlich ist es aber moeglich, IPSec-Filters zu implementieren die die Kommunikation zwischen den Geraeten einschraenken (z.B. aufgrund von Source/Destination-IP oder -Port). Das gibt zusaetzliche Sicherheit. Der Verkehr der ueber die erlaubten Ports geht ist dann fuer weitere Sicherheit auf der Applikationsebene zu untersuchen (Deep Application Layer Inspection), aber das kann IPSec natuerlich nicht mehr, da hast du recht.

IPsec waere einfach EINE (von vielen) moeglichkeit die kommunikation im beschriebenen szenario ein bisschen einzuschraenken und daher "sicherer" zu gestalten. eine direkte kommunikation eines externen geraets haette durch IPSec nicht mehr die moeglichkeit ein internes geraet direkt anzusprechen (mit ausnahme des Internet-PC's).

aber wie gesagt: IPSec ist nur eine Komponente einer Entprise-Security-Policy ...

Gruss Marcel