Zwei Netzwerke nebeneinander sicher aufbauen?

tweety333 · 18. Mai 2007

Hallo zusammen,

wir beschäftigen uns hier mit einem kleinen Sicherheitsproblem.

Kurz zur Sachlage:

12 Rechner sind über einen Switch miteinander verbunden. Gleiche IP-Range und Domaine. Diese Rechner können auf das Internet (Router ist am Switch angeschlossen) über einen Server zugreifen und sind selbst alle mittels Firewall und Virenscanner "abgesichert".

Der Server koordiniert das AD, den Filezugriff, die Softwareverteilung und den Internetzugriff über Allegrosurf.

Soweit so gut.

Nun haben wir den Auftrag 4 Rechner abzusplitten, die keinen Zugriff auf das Internet (in und out) haben dürfen. D.h. auf diesen Rechner laufen keine Firewalls, Antiviren und-spamware. Diese Rechner hängen weiterhin am Switch mit den anderen Clients zusammen und müssen aber weiterhin Zugriff auf den Server bekommen. Z.B. auch aufgrund des AD und Dateiablage der User.

Grundsätzliches Problem ist eigentlich "nur" der Schutz dieser Rechner vor jeglichen Angriffen von Aussen.

Erste Überlegung war der Einbau einer zweiten Netzwerkkarte mit anderer IP-Range im Server. Würde das unser Problem lösen, oder würde eine Umkonfiguration des Routers reichen? (z.B. Freigabe von MAC-Adressen).

Für einen Tritt in die richtige Richtung wären wir dankbar.

Viele Grüsse
Stefan

MAJO · 18. Mai 2007

Hallo,

ist der Router auch gleichzeitig Zentralle Firewall? Wenn solltest du dort die Client IP Adressen definieren können, die nicht auf das Internet zugreifen dürfen.

Wenn via Proxy auf das Internet zugegriffen wird, untersagen im Proxy den IP Adressen der Clients den Zugriff.

tweety333 · 18. Mai 2007

Haben bislang noch nicht den Router so eingestellt. Nur der WLAN-Zugriff ist über MAC und IP gesichert. Reicht es wirklich aus, diese Rechner so auch gegen Angiffe von aussen zu schützen? Von Innen wäre ja dann klar...

MAJO · 18. Mai 2007

Hallo,

was soll den da von aussen kommen? Und wie soll es auf den Client kommen? Du verwendest doch sicher intern Private IP-Adressen. Der Router hat eine Öffentliche Adresse und mach sehr wahrscheinlich NAT. Wenn der Client also nicht ins internet kann um irgendwas abzufragen, wird auch keine Antwort von aussen an diesen Client gesendet. Ansonsten noch die Client FW aktivieren. Dann musst du aber für alle Applikationen die intern mit dem Client sprechen müssen, Ausnahmen definieren.

tweety333 · 18. Mai 2007

Danke für die Info.

Wir werden mal in den nächsten Tagen das so probieren. Wenn wir nicht erfolgreich sind, kommen wir wieder

Viele Grüsse
Stefan

Fassi · 22. Mai 2007

Zitat

MAJO schrieb:
Hallo,

was soll den da von aussen kommen? Und wie soll es auf den Client kommen?

Ich denke die grösste Gefahr kommt von den anderen Rechnern im Netz, denn auch diese können sich ja trotz Schutz auch etwas einfangen und verteilen das dann.

Teilen