ComputerBase Menü
Aktuelles

Geräte im Netzwerk vom Internet 'abschotten'

7

7smjz2n5

Newbie
Registriert
Apr. 2018
Beiträge
5
Hallo zusammen,

der aktuelle Stand ist folgender:
Am Telekom Router hängt ein PC, Drucker, NAS sowie ein Kabel zum Switch in einem anderen Raum.
Am Switch hängen diverse PCs, Geräte und ein WLAN Access Point.

Jedes Gerät und jeder PC soll auf das NAS zugreifen können, aber nicht alle sollen Zugriff auf das Internet haben.
Es geht um das (noch nicht wirklich vorhandene) Netzwerk einer kleinen Firma und der Chef möchte dass einige Endgeräte (u.A. produktive Maschinen) aus Sicherheitsgründen vom Internet getrennt sind.

Was die Einrichtung angeht bin ich zuversichtlich dass ich das hinbekomme, aber wie ich die Ganze Sache angehe weiß ich leider noch nicht. Bisher hatte ich noch nie den Fall, dass ich einige Geräte vom Internet fernhalten musste, eher im Gegenteil. :p

Wie geht man sowas denn 'richtig' an?

Vielen Dank :)
 
Zuletzt bearbeitet von einem Moderator: (Eigenmächtig teilweise gelöschter Beitrag erneut wiederhergestellt)
Ein eigenes (V)LAN für die "sicheren" Geräte, das entweder gar keine oder über eine Firewall/Router überwachte Verbindung zum "Haupt-LAN" hat.
 
Nilson schrieb:
Zitat entfernt - Bitte Regeln beachten!​
Zum Vergrößern anklicken....
Sprich zwei voneinander getrennte Netzwerke?

Von wo aus richtet man sowas ein? Router?
Die Konfigurationsmöglichkeiten des Speedports sind in so ziemlich jeder Hinsicht einem Toastbrot unterlegen.
 
Zuletzt bearbeitet von einem Moderator: (Zitat des unmittelbar vorangestellten Beitrags entfernt)
Ohne dir zu nahe treten zu wollen, aber dafür solltest du ein Systemhaus beauftragen. Sowas macht man "richtig" mit Firewalls, Reverse Proxies, DMZ, VLAN Tagging, auch wenn das in dem Szenario evtl overkill wäre.
Wenn du dich mit dem Thema nicht auskennst, bringst du dich damit ggf in Teufels Küche.
Da brauch nur eine Einstellung fehlen oder falsch sein und schwupps legt ransomware die Maschinen Still. Der Betrieb hat dann tagelangen Produktionsausfall und du alleine bist dafür verantwortlich..

Tu dir einen Gefallen und lege dir diese last nicht auf.
 
7smjz2n5 schrieb:
Die Konfigurationsmöglichkeiten des Speedports sind in so ziemlich jeder Hinsicht einem Toastbrot unterlegen.
Zum Vergrößern anklicken....

Und was macht man dann? Man kauft z.B. ein Gerät, dass dazu in der Lage ist. Allerdings bin ich mir nicht sicher, ob du mit der Konfiguration nicht vielleicht überfordert bist.
Und vielleicht bleibt auch noch zu überprüfen, ob wirklich alle Geräte auf das NAS zugreifen müssen.
Eventuell doch jemanden fragen und beauftragen, der damit seine Brötchen verdient?
 
7smjz2n5 schrieb:
Jedes Gerät und jeder PC soll auf das NAS zugreifen können, aber nicht alle sollen Zugriff auf das Internet haben.
Es geht um das (noch nicht wirklich vorhandene) Netzwerk einer kleinen Firma und der Chef möchte dass einige Endgeräte (u.A. produktive Maschinen) aus Sicherheitsgründen vom Internet getrennt sind.
Zum Vergrößern anklicken....

PCs sollen nicht ins Internet ? Dann trag halt einfach keinen Gateway ein. Im Netzwerk ist natürlich weiterhin normal Kommunikation möglich.

Sonst halt ein professionelles Systemhaus beauftragen
 
Cokocool schrieb:
Dann trag halt einfach keinen Gateway ein.
Zum Vergrößern anklicken....

Damit kannst du vielleicht deine kleine Schwester ärgern, aber es sollte hoffentlich kein ernst gemeinter Beitrag zur Netzwerksicherheit von Firmen sein.
 
Wenn man ohne DHCP und mit manueller IP-Vergabe arbeitet, trägt man einfach keinen Gateway und keinen DNS ein. Somit hat man keinen Zugriff auf das Internet. Sicher die einfachste Lösung.
 
Tunguska schrieb:
Damit kannst du vielleicht deine kleine Schwester ärgern, aber es sollte hoffentlich kein ernst gemeinter Beitrag zur Netzwerksicherheit von Firmen sein.
Zum Vergrößern anklicken....

Er fragt halt bei CB nach und da bieten wir ihm eben eine Bastellösung. Für eine ernsthafte Lösung braucht er halt Inhouse Knowhow oder einen Dienstleister
 
Mal anders angesetzt: Was sind das für Maschinen/Geräte? Hat es einen speziellen Grund, warum die nicht ins Internet sollen, oder einfach nur "weil es sicherer ist"? Gegen welche Gefahren sollen sie geschützt werden?
 
Dann würde ich wirklich einfach ein zweites Netzwerk aufspannen (eigener Switch) und die z.B. über ein Ubiquiti UniFi Security Gateway verbinden und nur das durchlassen was durch darf (z.B. Zugriffe aufs NAS)
 
Zuletzt bearbeitet:
Ähm.. Kann mich mal bitte jemand aufklären? Hier wird munter von Maschinen im Firmem-Netzwerk gesprochen und ein Systemhaus empfohlen. Bin ich blind, hat der TE kein Wort davon erwähnt oder wurde der Beitrag sogar editiert?

Für mich klingt das mach einem Heimnetzwerk und da ist ein Systemhaus ganz sicher der falsche Rat. Bei einer Firma fällt ein Beratungs- bzw Einrichtungshonorar nicht ins Gewicht, aber für daheim ist das doch völlig überzogen!

Sollte es sich doch um ein Firmennetzwerk handeln, kann ich nur sagen: Lass es! Firmen-IT gehört in die Hände eines Profis und nicht in die des nächstbesten Mitarbeiters, der einen Drucker einrichten kann und als Einäugiger unter den blinden König ist. Es ist kein Hexenwerk, zB einen EdgeRouter-X mit ein bischen Firewall und ein paar Switches mit VLANs zu konfigurieren. Gerade mit Hilfe von Youtube und Co. Der Teufel steckt aber im Detail. Tutorials sind nicht selten selbst fehlerhaft und/oder passen nicht 100% auf das eigene Szenario. Und nu? Wie passt man das nu an die eigenen Anforderungen an? Mit blinder Frickelei, die am Ende genau das Gegenteil erreicht - Sicherheitsrisiken statt mehr Sicherheit. Nicht ohne Grund haben IT-Admins eine Ausbildung oder gar ein Studium hinter sich. Das was zB Computernerds daheim von Netzwerken wissen sind vielleicht 3%. Trotzdem halten sie sich für Profis, weil sie eine IP einstellen können - bei der Subnetzmaske ist dann aber oftmals schon Ende im Gelände...
 
Zuletzt bearbeitet:
Ja, der TE ha da wohl etwas gelöscht. Da stand vorher was von Firmennetz und "Chef will..." etc.
 
Hehe, dann ergeben die Kommentare auch gleich viel mehr Sinn ;)
Hab oben präventiv noch was ergänzt.
 
Antworten: 13
Davon nützlich: 1

Wir reden hier nicht von einer großen Firma mit IT-Infrastruktur und was weiß ich, sondern von einem kleinen Büro + Schreinerei mit 6 Leuten ein paar PCs und CNC-Fräsmaschine. Bisher gabs nur USB-Sticks und nun soll eine zentrale Datenablage her.

Ich bitte euch...
 
In diesem Jahr ein NAS, nächstes Jahr vll. ein Terminalserver, weil zwei oder drei Mitarbeiter dazu kamen, dann wäre auch schon bereits jetzt eine anständige Backup-Lösung erforderlich; kurz: die Anforderungen an das Netzwerk werden wachsen und damit auch an die Sicherheit der Daten.
Ich würde mir an Deiner Stelle nicht diese "Rute über den Ar*** ziehen". In einer Firma, in der Profis arbeiten, würde sich die Problematik, ob nun Systemhaus oder nicht, überhaupt nicht stellen.
 
Nilson schrieb:
Mal anders angesetzt: Was sind das für Maschinen/Geräte? Hat es einen speziellen Grund, warum die nicht ins Internet sollen, oder einfach nur "weil es sicherer ist"? Gegen welche Gefahren sollen sie geschützt werden?
Zum Vergrößern anklicken....

7smjz2n5 schrieb:
"weil es sicherer ist".
Zum Vergrößern anklicken....
Naja, die Antwort ist leider wenig hilfreich. Sollen die Geräte ohne Internetzugriff tatsächlich dennoch Zugriff zB auf das NAS haben? Am besten machst du eine kleine Skizze wie das Netzwerk zur Zeit aufgebaut ist und stellst schematisch dar welche Geräte(gruppen) vorhanden sind, die Zugriff auf das Internet bzw. zB auf ein NAS haben sollen. Eventuell wäre nämlich ein simples Gast-Netzwerk eine gangbare Lösung. Allerdings bieten Speedports keine Gast-Funktion und somit müsste man diesen zB gegen eine Fritzbox austauschen. Auch eine Kindersicherung kann zum Ziel führen, weil man da im Router den Zugriff von Geräten auf das Internet reglementieren kann. Speedports können aber auch das nicht und es empfiehlt sich erneut eine Fritzbox.

Man könnte beispielsweise eine Fritzbox oder einen sonstigen Router mit besagter Kindersicherung hinter den Speedport hängen und somit ein Netzwerk im Netzwerk herstellen (also LAN-Kabel vom Speedport in WAN-Port des zweiten Routers). Alle kritischen Geräte werden mit diesem zweiten Router verbunden und die Kindersicherung wird so eingestellt, dass kein Zugriff auf das Internet möglich ist, sondern nur zB auf die IP des NAS im Haupt-Netzwerk. Das ist aber einerseits eine ziemliche Fummelei und andererseits eine Krücke mit Geräten, die für Heimnetzwerke konzipiert sind, nicht aber für den professionellen Einsatz. Durch das Netzwerk im Netzwerk wird bei dieser Methode nämlich auch NAT bzw. Portweiterleitungen innerhalb des Netzwerks notwendig, um zB vom Büro aus (Speedport-Netzwerk) Aufträge, o.ä. auf die CNC-Fräse hinter dem zweiten Router zu schicken.
Abgesehen von der Frickelei, wird dieses Setup höchstwahrscheinlich schon bei der kleinsten Änderung nicht mehr den Anforderungen genügen, weil 08/15 Heimhardware wie Speedports und Co, schlicht und ergreifend ungeeignet sind für fortgeschrittene Szenarien mit mehreren Netzwerken, die jeweils unterschiedliche Berechtigungen haben sollen.


Es tut mir leid, wenn du unsere Antworten nicht hilfreich findest, aber IT ist im Grunde nichts anderes als zB ein Auto. Wenn du deinen Motor tunen willst, kannst du das selbst machen, wenn du Ahnung davon hast. Wenn nicht, dann gehst du damit in die Werkstatt. Auch die Profis nutzen Schraubenschlüssel, aber sie wissen wie man sie einsetzt und wo die Fallstricke sind. Ein Youtube-Video zum Einbau eines Direkteinspritzers, etc. ist wenig hilfreich, weil es beispielsweise einen BMW zeigt, du aber einen Opel fährst.
 
Zuletzt bearbeitet:
Aber auch in einer kleinen Firma mit 6 Leuten sollte man keinen Speetport nutzen. Wenn man darüber telefoniert, kann es teuer werden. Man kann keine Ruf Nun sperren, bzw. Call by Call nutzen für Mobil Netze. Ansonsten ganz klar gewisse Geräte gehören nicht ins Inernet. Als da wären Drucker, SmartTv, CNC Maschinen, PV-Wechselrichter, Heizungssteuerungen etc.
Entweder per Fritzbox Internet sperren bzw. Einschränken, oder auf feste ip umstellen ohne Gateway und DNS.
Bei mir ist der Netzwerkdrucker und der Wechselrichter der PV-Anlage auch nicht im Internet. Der Smart-TV hat eingschränkten Zugriff.
 
Zuletzt bearbeitet:
hildefeuer schrieb:
Aber auch in einer kleinen Firma mit 6 Leuten sollte man keinen Speetport nutzen.
Zum Vergrößern anklicken....
Keine Frage. Zwar sind die Speedports bei weitem nicht so schlecht wie ihr Ruf, aber ihnen fehlen einfach viele halbwegs fortgeschrittenen Funktionen. Außer Internet und Telefon können sie quasi nix. Für Firmen eher nicht so doll...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

R
Netzwerk im Haus funktioniert nicht
Antworten
5
Aufrufe
842
romae
R
X
  • Geschlossen
Wie kann ich ein VPN Netzwerk neben den Heimnetzwerk realisieren?
2
Antworten
24
Aufrufe
1.339
Markchen
Markchen
Snooty
Mehr als 1 GBit-Netzwerk vom PC zum NAS
2
Antworten
37
Aufrufe
3.181
norKoeri
N
sanubis82
Router, repeater oder access point für lokales Netz ohne Internet ?
Antworten
15
Aufrufe
796
Incanus
Incanus
D
Zugriff aufs NAS im Netzwerk gestört. Brauche Euren Rat!
Antworten
6
Aufrufe
705
DarkScout
D
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz