Frage an die Profis: Schnittstelle/Datenbrücke ohne Sicherheitsrisiko!?

T_55

Lieutenant
Registriert
Feb. 2013
Beiträge
643
Hallo eine Frage an die Profis,

ein Online-Computer soll einem anderen Offline-Computer Informationen übermitteln oder umgekehrt. Das ganze aber ohne das es einem Angreifer aus dem Netz hardwaremäßig möglich ist auf den offline-Computer zu kommen. Dazu wäre doch interessant eine Schnittstelle/Datenbrücke zu nutzen die bei einem infiltriertem Computer von Natur aus einen Zugriff auf den offline-Computer verhindert. Kann man sowas über USB, Firewire, Sata, VGA, HDMI, PCi usw realisieren??

Um nochmal die Bedingungen zu klären:
- PC-1 online (Internetverbindung)
- PC-2 offline (keine Internetverbindung)
- PC-1 soll Informationen an PC-2 senden (zB einfache Werte wie Wetterdaten Temperatur usw)
- PC-2 wertet die Informationen von PC-1 aus und sendet das Ergebnis (wieder Werte) zurück an PC1
- Ziel ist 100% Schutz der Daten auf PC-2 vor einem Angreifer der PC-1 infiltriert hat daher die Überlegung einer Schnittstelle/Datenbrücke die einen Zugriff von Natur aus verhindert.

Bis gespannt auf Ideen oder ob sowas überhaupt möglich ist...

Besten Gruß

T_55
 
wie soll das denn gehen?
Wenn Windows in der lage sein soll auf die Schnittstelle zuzugreiffen, dann kann das auch ein angreiffer.
Am sichersten wird es sein, wenn du ein Sonderling betriebssystem wie Linux nimmst, firewall und einen antivir drauf tust, und dann ne Netzwerkbrücke machst

bzw. mir erschließt sich der Sinn einer Schnittstelle nicht, auf die nicht zugegriffen werden darf
 
Zuletzt bearbeitet:
Wenn du dir deine eigenen Bedingungen nochmal durchliest wirst du feststellen, dass die Sicherheit von PC-2 völlig irrelevant ist solange PC-1 als "man in the middle" agiert. Wird PC-1 kompromittiert verfügt der Angreifer schon über den Zugriff auf die Daten.

Die einzige Möglichkeit, dass theoretisch zu unterbinden wäre ein rein verschlüsseltes Handling der Daten auf PC-1. Ich schließe mich meinem Vorredner hierbei allerdings nahtlos an. Eine solche Schnittstellenkonzeption widerspricht dem Zweck einer Schnittstelle.

Vor allem der Zusatz "hardwaremäßig" ist völliger Humbug. Ohne Interkonnektivität auf welcher Hardwareasis auch immer kein Datenaustausch.
 
Zuletzt bearbeitet:
Ich würde das eher mit einer VM und dem Vmware Player lösen. Du setzt einfach auf PC2 eine neue Windows-VM auf. In den Netzwerkeinstellungen der Maschine stellst du die Netzwerkeigenschaften von NAT auf Bridged um. Anschließend startest du die VM und bindest es in deinem Windows-Heimnetzwerk ein. Auf dem lokalem PC gehst du dann in die Netzwerkeinstellungen und stellst im IPv4-Bereich/Eigenschaften das Gateway auf irgend einen falschen Wert. Nun sollte nur noch die VM ins WWW kommen.

Schließt du dann dein PC2 und PC1 mit einem Netzwerkkabel, zweite Netzwerkkarte vorausgesetzt, zusammen, kommt der PC2/VM nur ins WWW wenn PC1 angeschaltet wurde. Oder du verbindest deinen PC2 ganz normal mit deinem Router. Dein PC2 wird dann nicht mehr in der Lage sein in WWW zu kommen. Das geht nur über die installierte VM.

Wenn du dann noch die VM-Tools in der VM installierst, kannst du auch ein VM-Internes Netzlaufwerk, welches auf deinen Host (PC2) verweist, zuweisen und konfigurieren. Damit kannst du dann Daten aus deiner VM auf deinem lokalen PC2 kopieren.

Eine reine Datenverbindung, damit zum Beispiel nur Wetterergebnisse übermittelt werden, bekommst du damit aber auch nicht hin. Linux wäre übrigens genauso gut als VM nutzbar. Ansonsten schließe ich mich meinen Vorrednern an. Der Vorteil an meiner Variante ist, das nur die VM infiziert werden könnte...oder auch der PC2...wenn das Netzlaufwerk offen ist und infizierte Daten durchgeschleust werden. Nachteil am ganzen ist die zusätzliche Hardwarebelastung, da dein PC2 die VM am laufen halten muss.
 
Zuletzt bearbeitet:
Vielleicht war Schnittstelle/Datenbrücke auch falsch formuliert ich kenn mich auch nicht so gut aus aber es geht ja drum eben nicht zB eine Lan-Verbindung zu erstellen (die ja sicherheitsrisiken bedingt) sondern die Information auf 100% sichere alternative Weise zu übertragen. Sowas muss doch wenn man etwas kreativ ist gehen.

Als ausgedachtes Beispiel wie ich mir das zB grob vom Grundprinzip vorstelle. Bitte nur als Beispiel sehen:

PC1(online) wandelt die Zahlen in Audio oder Lichtimpulse um die nach zB dem Morseprinzip kodiert sind. Die Zahl 25.8 wird dann nach Morseprinzip zu Impuls ..--- ..... .-.-.- ---.. oder 3473.82 wird zu ...-- ....- --... ...-- .-.-.- ---.. ..--- auch wörter wären möglich.
PC2(offline) empfängt diese Signale über zB ein akustisches oder optisches Audiokabel und wandelt sie wieder in die originalen Werte um und stellt sie auf dem PC2 in einer immer wieder neu aktualisierten File zur Verfügung. Das Auswertungsprogramm hat nun die Informationen ohne das der Angreifer auf den PC2 zugreifen kann. Er kann höchstens die Zahlen auf PC1 und damit die Impulse Manipulieren.
PC2 Wertet nun die Informationen aus und liefert das Ergebnis an PC1 mit demselben Übertragungsprinzip über eine andere Leitung (Zahlen -> Morsecode -> AudioOut -> AudioIn -> Morsecode -> Zahlen in File). Auch hier können die Ausgewerteten Infos manipuliert werden was aber nicht schlimm ist denn es geht ja um den Schutz der Daten auf PC2.

Der Angreifer weiss nur das auf PC1 Zahlen in Morsecode gewandelt werden und in die Audiokarte gehen. Und er sieht das Audioimpulse reinkommen und diese in Zahlen umgewandelt werden. Das PC2 überhaupt exisitiert kann er nur mutmaßen weil eben Impulse reinkommen aber es ist unmöglich auf PC2 zuzugreifen.

Es wird so niemals ein Zugriff auf Daten des PC2 möglich sein was das Ziel ist. Und genau das meine ich mit Hardwaremäßig eben eine alternative Schnittstelle/Datenbrücke zu nutzen in diesem Beispiel eine Audiokarte. Wenn ich nichts falsch bedacht habe wäre eine Übertragung nach solch einem Prinzip eine 100% Sicherheitslösung.

Es gibt zB Infrarot-Datenübertragungssysteme für Lager- und Fördertechnik an Regalbediengeräten, um eine drahtlose Kommunikation von dem Fahrzeug zur stationären Seite herzustellen.

Ich hoffe ihr versteht jetzt auf was ich hinaus will. Und damit nochmal die Eingangsfrage:
Gibt es Ideen in diese Richtung um sowas zu realisieren ohne komplett alles von 0 selbst zu programmieren? Vielleicht fertige oder halbfertige Lösungen zur Übertragung von Informationen nach diesem Prinzip?


Gruß

T_55
Ergänzung ()

Keine Idee?
Vielleicht ist auch die Lösung ein externer Zwischenspeicher für die 2 PCs. Also gibt es eine Möglichkeit das 2 PCs auf gleichzeitig zB 1 Speicher Zugreifen können (jederzeit Daten schreiben+lesen), ohne das es möglich ist das die PCs untereinander in Kontakt kommen können! Also falls Computer1 kompromittiert wird soll es 100% keine Chance geben für einen Angreifer auf Computer 2 zu kommen. Gibt es sowas oder etwas ähnliches?
 
Zuletzt bearbeitet:
Zurück
Oben