ComputerBase Menü
Aktuelles

Home-LAN. Nur ausgewählte Rechner ins Internet und möglichst sicher.

D

DannyNRW

Cadet 2nd Year
Registriert
Apr. 2016
Beiträge
20
Nabend zusammen,

ich suche nach einer möglichst sicheren Lösung, um mein Netzwerk umzustellen. Im Anhang ein Bild, wie es zur Zeit bei mir aussieht. Zwei Rechner sind über eine Fritzbox mit dem Internet verbunden. In einem weiteren Netzwerk befinden sich drei weitere Rechner, die untereinander kommunzieren können, jedoch keinen Internetzugang haben.

Nun möchte ich folgende Funktionen hinzufügen: Alle fünf Rechner sollen untereinander kommunizieren können, dabei aber nur die zwei oben genannten Rechner einen statischen Internetzugang haben. Einer der anderen drei Rechner soll nur zeitweise ins Internet gehen dürfen (vielleicht über einen weiteren Switch, der durch Ausschalten die Verbindung zum Internet unterbricht).

Ich suche nach einer möglichst sicheren Lösung (trotzdem mit Blick auf's Budget), die genannten Funktionen zu realisieren, vielleicht gar eine Hardwarelösung? Statische IP sowie Gatewayeintrag weglassen scheint mir persönlich recht unsicher. Danke im Voraus.
Daniel
 

Anhänge

  • home_LAN.jpg
    home_LAN.jpg
    80,1 KB · Aufrufe: 277
Zugangsbeschränkung in der Fritzbox einrichten. Dann blockiert die Firewall des Routers bei den gewünschten Quellen (die drei PCs) den Internetzugriff.
 
Wenn du alle Rechner in ein Netzwerk stecken kannst dann lässt sich der Zugriff auf das Internet über die Zugangsprofile der FRITZ!Box individuell und zeitlich steuern.
 
Kann das alles nicht eine Fritzbox von Haus aus?

Standardprofil so einstellen, dass man nie ins Internet darf und für den anderen Rechner "unbeschränkt" zuweisen (und ein drittes Profil für den Teilzeit-Rechner erstellen).
Screenshot.png
 
Mal angenommen, ich habe beide Internetrechner ausgeschaltet und einer der Rechner, die eigentlich nicht ins Internet dürfen, bekommt "zufällig" die IP von einem der Internetrechner zugewiesen. Ich weiß, da muss schon einiges zusammenkommen, dass dieser Fall eintrifft. Daher eben einfach meine Frage nach einer sicheren Methode, die mir vielleicht bislang unbekannt ist.
 
Das Problem hast du nicht, wenn das Standardprofil nicht ins Internet darf. Aber auch so sollte die Fritzbox die Rechner an der Mac erkennen.
 
Prinzipiell steht schon alles da,

noch besser wäre vlt einen Hardwarefirewall einzusetzen und darüber die Netze oder Clients und deren Rechte detailliert zu regeln. Man könnte die ersten Beiden als "OK-Clients anlegen, wenn die erstmal alles dürfen. (ANY-Regel). Den Dritten könnte man z. B. nur bestimmte Protokolle/ Ports zuweisen. Also per Default alles blockieren und nur das zulassen was du wirklich brauchst. Oder du richtest einen Proxy ein für das zweite Netz oder den dritten Client. Um ins Internet zu gelangen müsste man sich z. B. mit dem Client an der Firewall Authentifizieren und bekommt dann für X Minuten/ Stunden das Internet gefiltert oder ungefiltert freigeschaltet. Ist halt die Frage wieviel Aufwand man betreiben und wie sehr man alles absichern möchte.
 
Danke erst einmal für die Antworten. Beschäftige mich seit einigen Tagen nun tatsächlich mit der Anschaffung einer Hardwarefirewall. Allerdings erscheint mir die richtige Auswahl auch nicht gerade leicht, da ich auf dem Sektor keine Erfahrung habe. Habe einiges über die scheinbar vielfach eingesetzte Unifi USG gelesen und bin da momentan noch nicht so ganz überzeugt von. Der preisliche Rahmen wäre mit 100 Euro allerdings okay. Meine Schmerzgrenze würde ich momentan hier bei 150 Euro sehen. Für gute Alternativen bin ich offen, habe hier auch schon Namen, wie zB Zyxel oder Lancom gelesen. VPN wäre für die Zukunft auf jeden Fall interessant und ein NAS soll über kurz oder lang auch eingebunden werden.
 
BlubbsDE schrieb:
Und was ist daran unsicher? So funktioniert das (Inter)net.
Zum Vergrößern anklicken....
IPv6 funktioniert so schon mal nicht - da sind statisch ip adressen (im heim-/firmenetzwerk) eher ungewöhnlich
Ergänzung ()

@DannyNRW: Kannst du was dazu sagen, was dein "threat-profile" ist? Musst du davon ausgehen, dass die isolierten Rechner böswillig sind, oder gehts nur darum standard telemetrie zu blockieren und vor versehentlichen Fehlkonfigurationen zu schützen? Sind wirklich sensible (Geschäfts-/Kunden-) Daten auf den Rechnern?Sind so sachen wir "Manuell Kabel aus- und einstecken" akzeptabel?
Außerdem wäre noch interessant was"unterinander kommunizieren" genau heißt. Reicht zugang über IP oder muss computer name möglich sein. Und von welchen Betriebssystemen reden wir?

Evtl. würde ich zwei getrennte Netze in betracht ziehen: Eines für die Kommunikation untereinander und eines für die Kommunikation mit dem Internet (sprich Internet 1 und 2 noch an den switch und bei bedarf die LAN Rechner an den switch).
 
Zuletzt bearbeitet:
@Miuwa : Ja, leider muss ich davon ausgehen, dass die beiden Rechner böswillig sind. Manuelles Aus- und Einstecken von Steckern ist jedoch akzeptabel, da es sich um einen Haushalt im privaten Umfeld handelt. Die Daten im Heimnetzwerk sind natürlich teilweise sensibel, weshalb ich auch für die Zukunft ein NAS in Erwägung ziehe. Backups werden natürlich regelmäßig durchgeführt. Und Kommunikation der drei Rechner mit den anderen zwei "böswilligen" Rechnern meint hierbei lediglich den Dateizugriff (je nach Verzeichnis mit Lese- oder Schreibzugriff). Die "böswilligen" Rechner sind beide mit Windows 10 ausgestattet, die anderen drei sowohl mit Windows 10 als auch Windows 7 und einer wie oben beschrieben mit Windows XP SP3.

Wie genau meinst Du Deinen Vorschlag? Internet 1 und 2 mit an den Switch wäre soweit klar. Allerdings fänd ich ein ständiges Ein- und Ausstecken der LAN-Rechner nicht so prickelnd. Sicherlich könnte man hier noch einen zweiten Switch als Verbindungselement zwischen Fritzbox und vorhandenem Switch schalten und diesen bei Bedarf von der Spannungsversorgung trennen, aber es gibt doch sicherlich elegantere Lösungen, die dann statisch so beibehalten werden können oder nicht?
 
DannyNRW schrieb:
Mal angenommen, ich habe beide Internetrechner ausgeschaltet und einer der Rechner, die eigentlich nicht ins Internet dürfen, bekommt "zufällig" die IP von einem der Internetrechner zugewiesen.
Zum Vergrößern anklicken....
Zufällig passiert da gar nichts.

DannyNRW schrieb:
Daher eben einfach meine Frage nach einer sicheren Methode, die mir vielleicht bislang unbekannt ist.
Zum Vergrößern anklicken....
Sicherheit ist kein allgemeingültiger Begriff, sondern muss definiert werden. Wie sieht die konkrete Bedrohungssituation aus, was befürchtet man, was möchte man verhindern. Einfach nur "kein Internet" ist mit dem Weglassen des Gateways bereits ausreichend abgefrühstückt. Werden die fraglichen PCs allerdings von Fremden bedient oder es wird zweifelhafte Software installiert, kann dies natürlich jederzeit umgangen werden - wie so ziemlich alle nicht-extern gelösten Schutzmechanismen.


DannyNRW schrieb:
Ja, leider muss ich davon ausgehen, dass die beiden Rechner böswillig sind.
Zum Vergrößern anklicken....
Dann gehören solche Rechner nicht in ein sicherheitskritisches Netzwerk. Bei "böswilligen Rechnern" ist die Internetverbindung fast noch das kleinste Problem. Je nach Situation können sie den Rest des Netzwerks mit Viren infizieren, Daten abgreifen, verändern, löschen, etc.


DannyNRW schrieb:
Die "böswilligen" Rechner sind beide mit Windows 10 ausgestattet, die anderen drei sowohl mit Windows 10 als auch Windows 7 und einer wie oben beschrieben mit Windows XP SP3.
Zum Vergrößern anklicken....
Ähm... Du sprichst von böswilligen Rechnern mit Windows 10, die keine Internetverbindung haben dürfen, aber dann setzt du wie oben NICHT beschrieben noch Windows XP mit Internetzugang ein?!?!? Egal was auf den Windows 10 Rechnern getrieben wird, sie können gar keine so große Bedrohung sein wie ein 20 Jahre altes Betriebssystem, das man immer noch ins Internet lässt! Das ist grob fahrlässig.


Egal wie man es dreht und wendet, sobald "böswillige" Geräte in irgendeiner Form mit dem Netzwerk verbunden sind, stellen sie eine Bedrohung dar, egal ob sie eine Internetverbindung haben oder nicht. Der erste und wichtigste Schritt ist daher, diese Bedrohung zu beseitigen. Solche Geräte dürfen dann eben per Definition keine Daten mit dem Rest des Netzwerks austauschen, so ist das eben. Maximal über eine DMZ, in der man für die fraglichen Geräte, die dann in einem separaten Netzwerk abgetrennt werden, nur lesenden Zugriff erlaubt, um die Ausbreitung von Malware oder allgemein veränderte Daten auf dem Datenspeicher/NAS zu verhindern.
 
  • Gefällt mir
Reaktionen: areiland
Raijin schrieb:
Zufällig passiert da gar nichts.
Zum Vergrößern anklicken....
Deshalb "zufällig" in Gänsefüßchen. Layer 8 ruft solche Zustände oftmals entweder unwissend oder - wie Du schon beschrieben hast - völlig bewusst hervor.

Raijin schrieb:
Sicherheit ist kein allgemeingültiger Begriff, sondern muss definiert werden. Wie sieht die konkrete Bedrohungssituation aus, was befürchtet man, was möchte man verhindern. Einfach nur "kein Internet" ist mit dem Weglassen des Gateways bereits ausreichend abgefrühstückt. Werden die fraglichen PCs allerdings von Fremden bedient oder es wird zweifelhafte Software installiert, kann dies natürlich jederzeit umgangen werden - wie so ziemlich alle nicht-extern gelösten Schutzmechanismen.
Zum Vergrößern anklicken....
Oberste Priorität haben die sensiblen Daten innerhalb des Heimnetzwerks.

Raijin schrieb:
Dann gehören solche Rechner nicht in ein sicherheitskritisches Netzwerk. Bei "böswilligen Rechnern" ist die Internetverbindung fast noch das kleinste Problem. Je nach Situation können sie den Rest des Netzwerks mit Viren infizieren, Daten abgreifen, verändern, löschen, etc.


Ähm... Du sprichst von böswilligen Rechnern mit Windows 10, die keine Internetverbindung haben dürfen, aber dann setzt du wie oben NICHT beschrieben noch Windows XP mit Internetzugang ein?!?!? Egal was auf den Windows 10 Rechnern getrieben wird, sie können gar keine so große Bedrohung sein wie ein 20 Jahre altes Betriebssystem, das man immer noch ins Internet lässt! Das ist grob fahrlässig.
Zum Vergrößern anklicken....
Der XP-Rechner hängt im Heimnetzwerk und soll auch in Zukunft keinen Internetzugang bekommen.

Raijin schrieb:
Egal wie man es dreht und wendet, sobald "böswillige" Geräte in irgendeiner Form mit dem Netzwerk verbunden sind, stellen sie eine Bedrohung dar, egal ob sie eine Internetverbindung haben oder nicht. Der erste und wichtigste Schritt ist daher, diese Bedrohung zu beseitigen. Solche Geräte dürfen dann eben per Definition keine Daten mit dem Rest des Netzwerks austauschen, so ist das eben. Maximal über eine DMZ, in der man für die fraglichen Geräte, die dann in einem separaten Netzwerk abgetrennt werden, nur lesenden Zugriff erlaubt, um die Ausbreitung von Malware oder allgemein veränderte Daten auf dem Datenspeicher/NAS zu verhindern.
Zum Vergrößern anklicken....
Auch mit der DMZ-Lösung beschäftige ich mich gerade recherchierenderweise. Habe allerdings gelesen, dass Anfragen aus der DMZ (Heimnetzwerk) an die Internetrechner von letzteren beantwortet werden dürfen, anders herum jedoch nicht, was prinzipiell ja erstmal gut ist. Nach meinen Recherchen könnte so auch der dritte Rechner im Heimnetzwerk einen Internetzugang bekommen. Was ist jedoch, wenn ich von einem der Internetrechner Dateien in ein freigegebenes Verzeichnis auf einem der Heimnetzwerkrechner kopieren möchte? Das sollte doch möglich sein, oder nicht?
 
DannyNRW schrieb:
Oberste Priorität haben die sensiblen Daten innerhalb des Heimnetzwerks.
Zum Vergrößern anklicken....
Dann müssen zwangsläufig alle potentiellen Bedrohungen vom Netzwerk ferngehalten werden. Das heißt dann auch : Kein Zugriff auf nichts.

DannyNRW schrieb:
Der XP-Rechner hängt im Heimnetzwerk und soll auch in Zukunft keinen Internetzugang bekommen.
Zum Vergrößern anklicken....
Das widerspricht deinen bisherigen Ausführungen, weil du immer nur von exakt 2 PCs sprachst, die kein Internet bekommen sollen und jeweils mit Windows 10 betrieben werden. Wenn das dann nu 3 PCs sind, weil der XP-PC dazugehört, ist das schon mal positiv. Wobei @hanse987 ja bereits angemerkt hat, dass auch Windows 7 schon ein Problem darstellt. Dann wären wir also schon bei 4 PCs.

Ich möchte daher ganz allgemein dazu raten, Windows XP sehr kurzfristig und Windows 7 mindestens mittelfristig gegen Windows 10 zu tauschen.



Zum Thema DMZ: Ich verstehe gerade nicht so recht worauf du hinaus willst. Eine DMZ hat per se erstmal nicht direkt etwas mit dem Internet zu tun. Bei einer DMZ ist es so, dass die Verbindungen nur in eine Richtung aufgebaut werden dürfen, die Firewall ist also nur einseitig durchlässig. Die DMZ selbst darf stets nur antworten, nicht aber selbst Verbindungen herstellen. Dadurch wird verhindert, dass ein gekapertes System innerhalb der DMZ dazu benutzt wird, aktiv den Rest des Netzwerks zu infiltrieren.

Hauptnetzwerk ---NeueVerbindung---> DMZ
Hauptnetzwerk <---Antwort--- DMZ

DMZ ---NeueVerbindung---> Hauptnetzwerk

Wie ein Endgerät im Hauptnetzwerk dabei auf das Internet zugreift, steht auf einem anderen Blatt. Der Router bzw. das Internetgateway kann sich am anderen Ende der DMZ befinden, kann aber auch im Hauptnetzwerk liegen, wenn die DMZ ggfs gar keine Verbindung nach/von außen benötigt - zB ein rein lokal genutztes NAS.

Es ist aber denkbar schwierig, dir ein Setup vorzuschlagen, wenn man nicht wirklich einschätzen kann was denn nun die Bedrohung ist. Wie gesagt, Sicherheit ist ein weiter Begriff. So bringt eine DMZ und alle möglichen sonstigen Maßnahmen rein gar nichts, wenn jemand physischen Zugang zum Netzwerk hat und beispielsweise Netzwerkkabel in andere Ports stecken kann.
 
Raijin schrieb:
Dann müssen zwangsläufig alle potentiellen Bedrohungen vom Netzwerk ferngehalten werden. Das heißt dann auch : Kein Zugriff auf nichts.


Das widerspricht deinen bisherigen Ausführungen, weil du immer nur von exakt 2 PCs sprachst, die kein Internet bekommen sollen und jeweils mit Windows 10 betrieben werden. Wenn das dann nu 3 PCs sind, weil der XP-PC dazugehört, ist das schon mal positiv. Wobei @hanse987 ja bereits angemerkt hat, dass auch Windows 7 schon ein Problem darstellt. Dann wären wir also schon bei 4 PCs.
Zum Vergrößern anklicken....

Internet 1 und 2: Win10
LAN 1: Win 10 (angedacht ist ein Internetzugang - Daten sind hier jedoch sensibler als auf Internet1 und 2)
LAN 2: Win 7 (kein Internetzugang)
LAN 3: Win XP (kein Internetzugang)

Raijin schrieb:
Ich möchte daher ganz allgemein dazu raten, Windows XP sehr kurzfristig und Windows 7 mindestens mittelfristig gegen Windows 10 zu tauschen.
Zum Vergrößern anklicken....
Durch den Einsatz von Programmen, die unter Win10 nicht mehr laufen ein schwieriges Unterfangen. Internetzugang ist aber hier auch nicht vorgesehen.

Raijin schrieb:
Zum Thema DMZ: Ich verstehe gerade nicht so recht worauf du hinaus willst. Eine DMZ hat per se erstmal nicht direkt etwas mit dem Internet zu tun. Bei einer DMZ ist es so, dass die Verbindungen nur in eine Richtung aufgebaut werden dürfen, die Firewall ist also nur einseitig durchlässig. Die DMZ selbst darf stets nur antworten, nicht aber selbst Verbindungen herstellen. Dadurch wird verhindert, dass ein gekapertes System innerhalb der DMZ dazu benutzt wird, aktiv den Rest des Netzwerks zu infiltrieren.

Hauptnetzwerk ---NeueVerbindung---> DMZ
Hauptnetzwerk <---Antwort--- DMZ

DMZ ---NeueVerbindung---> Hauptnetzwerk

Wie ein Endgerät im Hauptnetzwerk dabei auf das Internet zugreift, steht auf einem anderen Blatt. Der Router bzw. das Internetgateway kann sich am anderen Ende der DMZ befinden, kann aber auch im Hauptnetzwerk liegen, wenn die DMZ ggfs gar keine Verbindung nach/von außen benötigt - zB ein rein lokal genutztes NAS.

Es ist aber denkbar schwierig, dir ein Setup vorzuschlagen, wenn man nicht wirklich einschätzen kann was denn nun die Bedrohung ist. Wie gesagt, Sicherheit ist ein weiter Begriff. So bringt eine DMZ und alle möglichen sonstigen Maßnahmen rein gar nichts, wenn jemand physischen Zugang zum Netzwerk hat und beispielsweise Netzwerkkabel in andere Ports stecken kann.
Zum Vergrößern anklicken....
Bedrohung:
Daten, die sich im Heimnetzwerk befinden.

Gewünschte Funktionen:
- Alle Rechner dürfen Dateien auf deren Festplatten kopieren. Internet 1 und Internet 2 erhalten Schreibzugriffe nur auf festgelegte Verzeichnisse der anderen PCs.
  • LAN1 darf aus dem Heimnetzwerk heraus ins Internet.
  • Absicherung der Rechner LAN1 bis LAN3, weil sich hier sensible Daten befinden.
  • In Zukunft Einbindung eines NAS-Systems im Heimnetzwerk.

Physische Veränderungen (Umstecken der Stecker) werden nicht berücksichtigt.

Ich hoffe, das Ganze wird nun etwas transparenter. Danke schon mal.
Ergänzung ()

Hier wäre ein Vorschlag meinerseits, wie ich mir meine zukünftige Netzwerkstruktur in etwa vorstellen könnte. Worüber ich noch nicht gesprochen hatte, sind die WLAN-Geräte. In der Summe ein Smartphone (Android), welches nur den Internetzugang benötigt und ein Laptop (Win10), der hin und wieder mal eingeschaltet wird, um eine Verbindung ins Internet aufzubauen. Lesender Dateizugriff auf alle anderen PCs im Kabelnetzwerk wäre wünschenswert, ebenso der Schreibzugriff auf ein festgelegtes Verzeichnis der anderen PCs. Ansonsten wie oben beschrieben.
 

Anhänge

  • LAN-Struktur.jpg
    LAN-Struktur.jpg
    129,6 KB · Aufrufe: 203
Zuletzt bearbeitet:
Ich glaub wir haben aneinander vorbeigeredet:

a) Welches sind die potentiell "böswilligen" Rechner? (Je nachdem, was mit böswillig gemeint ist können das auch die gleichen sein die mit den sensiblen Daten - das wäre das typische Szenario wenn man Firmeninterne Spionage verhindern will)
b) Sind die böswilligen Rechner böswillig, weil sie ins Internet wollen (z.B. Kinder die nicht ohne aufsicht ins internet sollen) oder weil sie potentiel deine Sensiblen Daten abgreifen/zerstören könnten/wollen? Oder weil du generell Angst hast sie könnten Schadsoftware aller Art haben?
d) Was ist das "Heimnetzwerk"?
e) Warum willst du den Internetzugang verhindern? Um die Rechner vor Angriffen aus dem Internet zu schützen? Damit deine Kindern nicht unbeaufsichtigt ins Internet kommen? Das sind zwei völlig verschiedene Paar Schuhe, weil die Angrifsrichtung eine andere ist.
f) Was verstehst du unter sensiblen Daten? Daten die nicht verloren gehen dürfen (Familienfotos -> Backup ist da der beste Schutz) oder Daten die nicht nach draußen gelangen dürfen (Firmengeheimnisse, Kundendaten)?

DannyNRW schrieb:
Bedrohung:
Daten, die sich im Heimnetzwerk befinden.
Zum Vergrößern anklicken....
Die Daten ansich sind keine Bedrohung - vermutlich werden sie bedroht?

Um das mit der Böswilligkeit zu erklären: Als böswillig würde ich erstmal alles bezeichnen, was versucht aktiv deine Schutz / Blokademaßnahmen zu umgehen, auch wenn es z.B. nicht darauf abgesehen hat auf deine Sensiblen daten zuzugreifen. DAs steht im gegensatz zu unbeabsichtigter Fehlbedinung oder "regulären" Funktionen, die man aus dem ein oder anderen Grund unterbinden möchte (Telemetrie)

Du könntest z.B. die Firewall z.B. so konfigurieren, dass sie nur bestimmte MACs ins Internet lässt bzw. bestimmte macs aussprerrt. Wenn man jetzt aber von Böswilligkeit ausgehen muss, dann muss man eben auch damit rechnen, dass die Rechner (bzw. die Nutzer dieser Rechner) ihre MACs fälschen . Während die Mac basierte Filterung also z.B. völlig ausreicht, um das "Nachhausetelefonieren" diverser Standardanwendungen zu unterbinden (Telemetrie, Überprüfung auf updates etc.), verhindert es nicht unbedingt, dass technisch versierte Kinder mit dem Rechner doch noch ins internet kommen (auch wenn da Smartphones heutzutage wahrscheinlich die viel größere Gefahr wären).

Zum thema DMZ: Macht eigentlich nur dann Sinn, wenn man Rechner hat, die vom Internet aus errreichbar sein sollen (Server) und denen man deshalb nicht traut (jemand könnte ja eine Schwachstelle in der Serversoftware ausnutzen um kontrolle über den rechner zu erlangen).
 
  • Gefällt mir
Reaktionen: Raijin
Erstens:
wie bereits geschrieben: in der FRITZ!Box alle Rechner per Standard Internet verbieten und nur die wichtigen wieder freigeben.

zweitens:
du tust einen lanport an der Fritz als Gast Netz definieren und einen weiteren Switch dran hängen. Da darf dann kein Gerät sich gegenseitig sehen. Wenn du komplett paranoid bist hängst den Switch an eine zeitschaltung
 
Miuwa schrieb:
Ich glaub wir haben aneinander vorbeigeredet:

a) Welches sind die potentiell "böswilligen" Rechner? (Je nachdem, was mit böswillig gemeint ist können das auch die gleichen sein die mit den sensiblen Daten - das wäre das typische Szenario wenn man Firmeninterne Spionage verhindern will)
Zum Vergrößern anklicken....
die böswilligen Rechner sind Internet1 und 2, weil neben mir noch andere Personen die PCs benutzen.

Miuwa schrieb:
b) Sind die böswilligen Rechner böswillig, weil sie ins Internet wollen (z.B. Kinder die nicht ohne aufsicht ins internet sollen) oder weil sie potentiel deine Sensiblen Daten abgreifen/zerstören könnten/wollen? Oder weil du generell Angst hast sie könnten Schadsoftware aller Art haben?
Zum Vergrößern anklicken....
beides sind hier mögliche Szenarien

Miuwa schrieb:
d) Was ist das "Heimnetzwerk"?
Zum Vergrößern anklicken....
LAN1-LAN3.

Miuwa schrieb:
e) Warum willst du den Internetzugang verhindern? Um die Rechner vor Angriffen aus dem Internet zu schützen? Damit deine Kindern nicht unbeaufsichtigt ins Internet kommen? Das sind zwei völlig verschiedene Paar Schuhe, weil die Angrifsrichtung eine andere ist.
Zum Vergrößern anklicken....
LAN1-LAN3 werden nur von mir genutzt. LAN2 und LAN3 sind alt und stellen dementsprechend ein Risiko dar. Deshalb kein Internetzugang. Wird auch für LAN2 und LAN3 nicht benötigt.

Miuwa schrieb:
f) Was verstehst du unter sensiblen Daten? Daten die nicht verloren gehen dürfen (Familienfotos -> Backup ist da der beste Schutz) oder Daten die nicht nach draußen gelangen dürfen (Firmengeheimnisse, Kundendaten)?
Zum Vergrößern anklicken....
Ersteres. Alle Daten sind rein privater Natur, aber wenn infiziert, dann habe ich ein Problem.

Miuwa schrieb:
Die Daten ansich sind keine Bedrohung - vermutlich werden sie bedroht?
Zum Vergrößern anklicken....
Genau

Miuwa schrieb:
Zum thema DMZ: Macht eigentlich nur dann Sinn, wenn man Rechner hat, die vom Internet aus errreichbar sein sollen (Server) und denen man deshalb nicht traut (jemand könnte ja eine Schwachstelle in der Serversoftware ausnutzen um kontrolle über den rechner zu erlangen).
Zum Vergrößern anklicken....
Aber wenn ich doch in Zukunft Dateiaustauch unter allen PCs ermöglichen will, muss ja irgendeine Verbindung bestehen. Ohne DMZ wäre es doch umso leichter für einen Eindringling, mein GESAMTES Netzwerk zu übernehmen, wenn eine Systemlücke auf Internet1 oder Internet2 entsteht oder nicht?
 
Allmählich habe ich das Gefühl, dass wir hier komplett aneinander vorbeireden. Offen gestanden glaube ich kaum, dass dieser Thread zu irgendeinem Ergebnis kommen wird. Du definierst eine irgendwie geartete oder auch gefühlte Bedrohung innerhalb deines Netzwerks, fremde Personen, möchtest aber dennoch munter Daten hin und her tauschen. Man kann nicht alles absichern, insbesondere dann nicht, wenn das nötige KnowHow fehlt.

Sobald physischer Zugriff auf das Netzwerk besteht, sind viele Sicherheitsmechanismen sowieso hinfällig, weil derjenige ja einfach das Kabel in einen anderen Port stecken kann und schon ist er im anderen Netzwerk, etc..

Mein Rat: Lasse nicht vertrauenswürdige Personen einfach nicht in dein Netzwerk bzw. an deine Geräte. So einfach ist das. Kein Zugriff, keine Bedrohung.



Gegen Datenverlust sichert man sich durch regelmäßige Backups ab. Im Falle einer Infektion, veränderten oder gelöschten Daten spielt man ein Backup ein und das war's. Je nachdem wie veränderlich die Daten sind muss man die Backupstrategie gestalten, zB nach dem Generationenprinzip. Firewall, DMZ und Co sind schlicht und ergreifend nicht die richtigen Werkzeuge, um vor Datenverlust zu schützen. So wenig wie zB ein Helm vor einem Einbruch schützt.
 
  • Gefällt mir
Reaktionen: smartmax und Skywalker27
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

T
LAN/WLAN Konfiguration - Tipps und Empfehlungen?
Antworten
11
Aufrufe
1.457
Toastman_deluxe
T
Nightfly09
V-Lan einrichten (Netgear Switch / Hyper V)
Antworten
4
Aufrufe
1.320
Nightfly09
Nightfly09
F
Router gesucht: OmadaSDN soll weg, Router mit Switches und AP soll her
Antworten
9
Aufrufe
1.468
Findus
F
habichtfreak
[Leserartikel] Kein bisschen smart, nur hell und manchmal effizient: 122 Leuchtmittel von damals, gestern und heute im Test
Antworten
2
Aufrufe
632
Fr34k.2
Fr34k.2
Mr.Zweig
Suche Monitor ab 32 Zoll für Office und Gaming mit KVM für zwei Rechner
Antworten
6
Aufrufe
1.506
Mr.Zweig
Mr.Zweig
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz