2 Netzwerke aber komplett getrennt

#1 Hallo,

ich habe das Problem, dass ich zwei Netzwerke einrichten will, das eine soll mit einem win2000 server laufen, auf dem wichtige Daten gespeichert werden.
Das andere "Netzwerk" soll über einen Router laufen (DSL-Router für 2-DSL-Anschlüsse Allnet ALL1297).

Und nun mein Problem:
Einige Rechner müssen Zugriff auf beide Netzwerke haben, dürfen das aber nie zur gleichen Zeit. Meine Idee war nun zwei komplett getrennte Netzwerke zu installieren, udn an den Rechnern so etwas wie eine Dataswitche für Netzwerke anzuschliessen. Dummerweise hab ich soetwas bisher noch nicht gefunden, fände das halt schön wenn es wirklich einen Schalter dazu gäbe.

Vielleicht hat hier noch jemand eine Idde!

Danke im Voraus
Gwenny

#2 warum setzt du nicht zwischen die beiden netze (router und das "andere netzwerk") eine firewall, basierend auf linux (iptables)

wie meinst das genau mit "nie zur gleichen zeit"?
zeitlich (tageszeit) bedingt?

greez

#3 Ist doch einfach zwei subnetze == zwei netzwerke und dazwischen ein gateway der zu beiden subnetzen gehört. Dafür läßt sich GNU/Linux gut gebrauchen damit du mit den iptables den Datenverkehr kontrollieren kannst (wie Emba schon sagte). Iptables ist halt die Linux kernel integrierte Firewall die vom einfachen Packetfilter bis zum NAT hinreicht. Du kannst sogar bestimmen welcher user Zugriff haben soll und welcher nicht (falls unix basierend).
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#4 wie meinst das genau mit "nie zur gleichen zeit"?
zeitlich (tageszeit) bedingt?

Ja ich meien jetzt zeitlich bedingt. Wäre natürlich schön mit Linux, da aber äusserst wichtige Daten auf dem Netzwerk sidn hatte ich angst dass man sich dann von aussen über das Router-Netzwerk in das andere Netzwerk einhacken kann.
Ich habe da nicht die Ahnung wie einfach das schlussendlich geht.

Danke,
Anja

#5 okay, du wolltest sie also physisch trennen

aber wie willst du daten zwischen den beiden netzwerken austauschen, wenn diese nicht verbunden sind?

wenn du ein sicherers ruleset schreibst und immer die aktuellen patches fährst, dann brauchst du (eigentlich) keine angst zu haben

was denkst du, wie es die anderen firmen machen?

greez

#6 Hallo Emba, also meine erste Idee war dass man das netzwerkkabeklk zieht und das andere reinsteckt. Naja, nicht wirklich praktisch. Ich denke ich werde das wohl auch mit dem Linuxsystem machen, ist halt ein Kompromiss.
Vielen Dank für deine Hilfe
Gwenny

#7 @Gwenny

Nee man kann sich nicht einfach wo einhacken das geht nicht wenn du alles schön sicher hälst kann auch nichts passieren. Du brauchst auf dem router ja kein ssh laufen zu lassen oder nur für das interne netz dann ist es schon so gut wie gar nicht mehr möglich. Und das mit dem Linuxsystem ist kein Kompromiss das mit dem netzwerkabel ziehn dasn kompromiss was was man nur macht wenn nichts anderes mehr geht.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#8 @ Xeper

hab selber nen router, bei dem ich drauf geachtet hab dass alles sicher ist (keinerlei ports geöffnet....SSH hab ich vorher nichts von gehört, aber das hab ich dann wohl auch nicht, kann auf jeden fall nicht von aussen hier rein) und mich wundert es wenn ich die mails bekomme wie oft die leute versuchen sich einzuhacken. Hier ist nichts interessantes, also ich versteh das gar nicht. Teilweise ist das so schlimm das ich meinen Rechner runterfahren muss, weil ich das Internet sowieso nicht beutzen kann (wird immer langsamer und dann krieg ich /selten aber abundzu) von t-online ne tolle Meldung dass ich das Passwort wieder freischalten muss). Und ich update die Firewall hier regelmässig.

Danke,
Gwenny

#9 dann würd ich mal eher den router überprüfen

denn:

a) wenn sich einer vom router einwählen kann, ist er schon im sys, oder wo denkst du kommen die falschen einwahlversuche her?

b) braucht man die warnungen die vermeintliche IDS auf den routern kreieren nicht immer zu beachten, da es meist harmlose portscans oder verbindungsversuche sind

aber deine schiene mit den aktuellen patches und updates (bitte auch auf den internen rechnern weiterführen!) ist schonmal ein guter ansatz

greez

#10 Jo dann muss man auch Ahnung davon haben *duck*

Das hört sich nach deinem PPPoE dienst an da läuft irgendwas schief. Du musst auch regelmäßig kernel updates betreiben sons bringt das mit der sicherheit wenig.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#11 aber deine schiene mit den aktuellen patches und updates (bitte auch auf den internen rechnern weiterführen!) ist schonmal ein guter ansatz

Erstmal sorry für die verlangsamte Antwort.
Die Probs hier hatte ich auf zwei XP-Rechnern, die aber regelmässig in allem geupdatet werden.

In den Netztwerken die ich gerade plane müssen leider nur Windowsrechner laufen, von daher denke ich ist das Updaten da sehr eingeschränkt. Das unter Linux regelmässig geupdatet wird ist klar, aber es ja nur ein Linux rechner dann vorhanden. Könnt ihr mir vielleicht noch eine Distri empfehlen, die für meinen Zweck gut ist? ich hab bisher nur mit suse gearbeitet, und muss gestehen dass ich im besten fall user kenntnisse habe.

Jetzt schon mal Danke für eure Hilfe
Gwenny

#12 Also, unter Windows gibt es momentan wohl wesentlich mehr Patches als nötig! MS ist sehr bemüht die Lücken / Fehler so schnell wie möglich zu schließen. Dabei gab es in der letzten Zeit auch zwei Schnellschüsse, die nicht auf allen Systemen ohne Probleme liefen.

Was sagt uns das? Drum prüft bevor Ihr patched


Und das schönste bei MS ist, daß es für jeden der einen Windows 2000 Server im EInsatz hat, es eine zentrale Verteilstelle für Patches gibt - Software Update Service (SUS) - http://www.microsoft.com/windows2000/windowsupdate/sus/default.asp - eine klasses Sache, so braucht man die Patches nur noch einmal zu laden und kann sie dann im Netz verteilen. Servicepacks können dann mit Hilfe von Group Policies ebenfalls problemlos ausgegeben werden.

Nur mal soviel zum "eingeschränkten Updaten".

Wenn ichg nun Gwenny richtig verstehe, soll es ein Netz sein, welches auch Internetzugang hat, oder? Du hast aber Angst, daß jemand von außen Deine Daten lesen kann?

Ok, also das ganz normale Szenario in Firmen
Getrennte Netze machen das ganze etwas unpraktikabel für die User. Also ich würde folgendes Vorschlagen:

Du musst erstm die Richtungen (von Außen nach Innen / von Innen nach Außen) getrennt betrachten.

Außen --> Innen: Router - Firewall - Router - somit würde die Firewall in einem anderen Netz stehen und selbst wenn diese überwunden wird, ist der Angreifer noch nicht im internen Netz.

Innen --> Außen: sämtliche Zugriffe aufs Internet nur über einen Proxy - diesen dann noch recht restriktiv handhaben. Des Weiteren natürlich auch über die Firewall, diese sollte SIF fähig sein, so daß auch unberechtigter Verkehr auf offenen Ports erkannt wird.

Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#13 @Gwenny

Ich kann dir drei Betriebsysteme empfehlen:

A: Debian GNU/Linux (www.debian.org)
B: Gentoo GNU/Linux (www.gentoo.org)
C: NetBSD (www.netbsd.org)

(dies soll keine Rangfolge sein)

Gut das mit den User Kenntnissen könnte ein Problem werden. Ich schlage vor du sicherst dir ein online fähigen Rechner der funktioniert und stellst dir daneben dein Rechner wo eines dieser Betriebsysteme drauf soll. Dann kannst du ja immer noch posten wenn was schief geht oder du Fragen hast.

Und SSH ist wohl ein muss. Die Secure Shell bietet eine Verschlüsselte Textumgebung die wir kurz sh oder shell bezeichnen. Es ist der DOS Prompt ähnlich. Du kannst dir per SSH Zugriff über eine verschlüsselte Umgebung zutritt zu einer deiner (Unix)Systeme verschaffen. Das eignet sich am besten dazu wenn du gerade mal nicht an dem Rechner den du konfigurieren willst sitzt. (Übliches Scenario: Du Wohnung ; Rechner Keller) oder halt wenn du bequem vom Internet aus ein UNIX kompatiblen Rechner überwachen willst. Telnet ist übrigens genau die unverschlüsselte Variante der du möglichst aus dem Weg gehen solltest.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#14

Zitat

Robert postete

Wenn ichg nun Gwenny richtig verstehe, soll es ein Netz sein, welches auch Internetzugang hat, oder? Du hast aber Angst, daß jemand von außen Deine Daten lesen kann?

Ok, also das ganz normale Szenario in Firmen
Getrennte Netze machen das ganze etwas unpraktikabel für die User. Also ich würde folgendes Vorschlagen:

Du musst erstm die Richtungen (von Außen nach Innen / von Innen nach Außen) getrennt betrachten.

Außen --> Innen: Router - Firewall - Router - somit würde die Firewall in einem anderen Netz stehen und selbst wenn diese überwunden wird, ist der Angreifer noch nicht im internen Netz.

Innen --> Außen: sämtliche Zugriffe aufs Internet nur über einen Proxy - diesen dann noch recht restriktiv handhaben. Des Weiteren natürlich auch über die Firewall, diese sollte SIF fähig sein, so daß auch unberechtigter Verkehr auf offenen Ports erkannt wird.

Robert

Hallo Robert,

ich habe da an zwei Netzwerke gedacht weil Die user die in dem einen Netzwerk sind nicht wirklich viel mit dem Internetnetzwerkusern zu schaffen haben. Die iNternetnetzwerker haben ca. einmal am Tag daten auf den Server zu schauffeln, und das war es schon. Deswegen meine Idee.

Zu der Router-Firewall-Router-Idde:
Ich hatte vor einen Router mit 2 Wan anschlüssen zu installieren, würde das überhaupt funktionieren? Müsste ich dann zwei teure Router kaufen?

Danke für eure tolle Hilfe
Gwenny

#15

Zitat

Xeper postete
@Gwenny

Gut das mit den User Kenntnissen könnte ein Problem werden. Ich schlage vor du sicherst dir ein online fähigen Rechner der funktioniert und stellst dir daneben dein Rechner wo eines dieser Betriebsysteme drauf soll. Dann kannst du ja immer noch posten wenn was schief geht oder du Fragen hast.

Danke, aber ich denke so langsam dass ich erstmal sehr viel dazu lernen muss, habe das Projekt echt unterschätz. Vielleicht ist ein Kurs da nicht unangebracht oder wenigstens ein gutes Buch. Ich habe noch ein bisschen Zeit (das Projekt läuft noch nicht). Ich werde mich dann wohl erst mal mit den Betriebssystemen vertraut machen. Trotzdem einen ganz lieben Dank!!!