ComputerBase Menü
Aktuelles

isolation eines Rechners im Netzwerk

L

LinuxNoob

Gast
Guten Abend zusammen,

ich habe hier 4 Rechner, von denen soll zukünftig 1 Rechner vom Rest des Netzwerkes isoliert werden, da auf ihm Prozesse ablaufen, und Daten verarbeitet werden, die nicht in Kontakt mit den 3 anderen Rechnern kommen sollen. Ich nenne mal den Rechner der isoliert werden soll einfachheitshalber „Rechner X“. Rechner X soll aber Zugriff auf das NAS und vollen Zugriff auf das Internet erhalten.

Mein Netzwerk sieht aktuell so aus:

Router (Speedport Hybrid) -> NAS -> Switch an dem hängen aktuell die 4 Rechner (HTPC, Gaming, Notebook und eben Rechner X, der künftig getrennt werden soll)

Bis auf den „Rechner X“ haben alle Netzwerkfreigaben und dürfen und sollen untereinander kommunizieren.
Bis dato habe ich, wenn ich „Rechner X“ genutzt habe alle anderen 3 Rechner vom Switch getrennt, was aber keine praktikable Lösung darstellt, da ich die anderen Rechner auch zeitgleich mal brauche.

Also muss eine Lösung her, in dem der „Rechner X“ getrennt laufen kann, vollen Zugriff auf das Internet und NAS hat, aber keinerlei Zugriff auf den Rest des Netzwerkes. Es muss sichergestellt werden, dass zu keiner Zeit Daten aus dem Netzwerk des „Rechners X“ in den Rest infiltrieren können.

Wie stelle ich das am besten an? Soweit mir bekannt wäre z.B. ein Switch der VLAN bietet hier wohl die Lösung. Eine adhoc Idee war folgende: z.B. eine Router-Kaskade einzurichten

Router (Speedport Hybrid mit IP-Bereich 192.168.2.x) -> Switch mit NAS, Gaming / HTPC / Notebook
Dann wird an den Speedport Hybrid per LAN ein 2. Router angeschlossen z.B. eine vorhandene Fritzbox mit anderem IP-Bereich, z.B. 192.168.188.x

Jetzt ist aber meine Befürchtung (ob da was dran ist kann ich pauschal nicht beurteilen, müsste ich wohl überwachen und testen) das dennoch aus dem Netzwerk der FritzBox Daten in das Netzwerk des Speedport Hybrid infiltrieren könnten, weil eben die Fritzbox da direkt dranhängt.

Habt ihr eine umsetzbare praktikable Idee, oder betreibt jemand ein ähnliches Netzwerk mit Isolation eines Rechners?
Ich bin auf Hinweise und Vorschläge gespannt. Ein Switch mit VLAN ist natürlich eine Kostenfrage, wenn man ein vernünftiges Gerät möchte, daher muss ich Bequemlichkeit und Kostenfaktor abwägen. Vielen Dank für die Bemühung und Gruß
 
Masamune2 schrieb:
Firewall auf dem Rechner an machen und nur Traffic zum Gateway erlauben?
Zum Vergrößern anklicken....

Vielleicht noch als Ergänzung, auf "Rechner X" läuft ebenfalls Windows 10 Pro. Durchaus vorstellbar über die integrierte Firewall ein entsprechendes Regelwerk einzupflegen. Werde ich eben mal an testen. Schon mal danke für den Vorschlag :-)
 
Mr.Smith schrieb:
Dmz?
Zum Vergrößern anklicken....

War auch eine idee die mir eingefallen ist, kann der vorhandene Speedport Hybrid leider nicht. insgesamt kann das Ding so gut wie nix, aber ich bin auf den Router leider erstmal angewiesen. Meine ebenfalls vorrätig vorhandene FritzBox 3272 auch nicht, oder ich war völlig blind als ich mir die Konfig durchgeschaut habe.
 
Mit einem Speedport an sich nicht so einfach machbar.

Du benötigst einen Router der Vlans kann. Eine Routerkaskade ist mehr hinderlich als nützlich und kann zu Fehlerbildern führen, die nicht trivial sind.

Wenn dein NAS zwei Netzwerkports hat, ist mit einem Router mit Gastzugang/Vlans folgendes möglich:
-NAS Port 1 und PCs in normales Netzwerk
-NAS Port 2 und "Rechner X" über einen Switch an den Gastzugang.

Wenn es eine Routerkaskade sein soll:
NAS + "Rechner X" hinter den Speedport.
Alle anderen PCs hinter den 2. Router. Auf diesem in Firewall alle Routen, bis auf NAS und Speedport, in das Speedport-Netz verbieten.
So kommst du auf das NAS aber keiner zu Rechner X und zurück.

Alles in allem nicht so einfach.

Ansonsten über die Firewall von Rechner X regeln. Jeglichen Netzwerkverkehr eingehend und ausgehend verbieten außer zum Speedport und zum NAS.

Darf man Fragen, warum der Rechner X so abgetrennt werden muss?

gruß
 
error schrieb:
Darf man Fragen, warum der Rechner X so abgetrennt werden muss?
gruß
Zum Vergrößern anklicken....

Ja darf man :-) Hintergrund ist vereinfacht ausgedrückt, dass auf diesem PC Scripte und Programmprozesse laufen sollen und werden, welche im Rahmen eines Projektes entwickelt und getestet werden. Heißt, ich erhalte in der Testphase eine Menge an Rohdaten die ich auswerte und pflegen muss. Um zu verhindern, dass sich darunter eine Gefahrenquelle befindet für den Rest des Netzwerkes möchte ich eben den Rechner isolieren. Es handelt sich also um eine Vorsichtsmaßnahme, weil ich von Natur etwas paranoid bin was das Thema fremde Datenquellen betrifft.
 
Sehe die Lösung auch mit VLANs - das ist die sauberste Variante. Wenn beim Rechner X irgendwas mit der Software Firewall nicht so funktioniert wie es soll (oder durch irgendein Skript verändert wird), merkt man das vermutlich nicht mal, aber der Schaden ist bereits angerichtet.
Wenn es allerdings gefährliche Daten darunter hat (im Sinne von Gefahr für die anderen Clients), gehört so ein PC weder ins Netzwerk noch ins Internet.
 
Zuletzt bearbeitet:
Wenn Du noch einen älteren Rechner rumstehen hast und zwei, drei alte Netzwerkarten, dann schau Dir mal "IPFire" an. Ist in 30min installiert und über einen Webbrowser zu konfigurieren und durch eigene Netzwerkkarten pro Netz ECHT getrennt - damit habe ich jahrelang ein Netz komplett abgeschottet.
 
Kann dein Switch auch Macs im Lan blacklisten?
Womöglich reicht es doch wenn die Mac des Rechner X auf die Switch Blacklist kommt bzw die drei Rechner + Router/Nas auf die Whitelist.
Es geht ja eher darum, dass Rechner X nicht alles andere Infiziert.
Einen Router wird er Softwaremäßig kaum angreifen, ausser vielleicht du tüftelst hier mit Backdoors für nuclearanreicherungsanlagen :D

Ich bin mir aber gerade nicht sicher ob ich nicht auch auf dem Schlauch stehe was die Mac-Sperre angeht, also ob ein white Router nicht indirekt alles von Rechner X zu den Rechnern 1,2,3 durchlässt.
Das würde aber die Maclist ansich ad absurdum führen.

PS: Sind VMs ohne virtuellen Lanadapter keine Option?
 
Zuletzt bearbeitet:
Lawnmower schrieb:
Sehe die Lösung auch mit VLANs - das ist die sauberste Variante. Wenn beim Rechner X irgendwas mit der Software Firewall nicht so funktioniert wie es soll (oder durch irgendein Skript verändert wird), merkt man das vermutlich nicht mal, aber der Schaden ist bereits angerichtet.
Wenn es allerdings gefährliche Daten darunter hat (im Sinne von Gefahr für die anderen Clients), gehört so ein PC weder ins Netzwerk noch ins Internet.
Zum Vergrößern anklicken....

Das ist eben auch mein Gedanke, die integrierte Windows Firewall ist zwar durchaus respektabel aber es bleibt eben eine auf dem System laufende Maßnahme.
Für andere Clients, außer ggf. die meinigen im lokalen Netz besteht keinerlei Gefahr. Wie geschrieben, es ist wirklich eine reine Vorsichtsmaßnahme die ich wahren will.
 
ß
127.0.0.1 schrieb:
ich habe hier 4 Rechner, von denen soll zukünftig 1 Rechner vom Rest des Netzwerkes isoliert werden, da auf ihm Prozesse ablaufen, und Daten verarbeitet werden, die nicht in Kontakt mit den 3 anderen Rechnern kommen sollen. Ich nenne mal den Rechner der isoliert werden soll einfachheitshalber „Rechner X“. Rechner X soll aber Zugriff auf das NAS und vollen Zugriff auf das Internet erhalten.
Zum Vergrößern anklicken....

Dann würde ich auf Rechner X einen ESXi o.ä. installieren und dort zwei VMs aufsetzen: eine Firewall-VM und dann den ursprünglichen Host. Per Regel ist dann nur der Zugriff Richtung Internet bzw. NAS erlaubt. Das ist nicht so gut wie ein VLAN, aber für private Zwecke wird es wohl reichen.

Grüße,
Christian
 
Update vom 01.11.2016:

Falls es jemanden interessiert, heute Nacht ist die Entscheidung gefallen, dass wir das Vorhaben per Switch realisieren mit VLan und einem ipFire-System, was ein gutes Mindestmaß an Sicherheit und Konfiguration bieten wird. Danke für alle Vorschläge und Ideen.
 
Zuletzt bearbeitet von einem Moderator:
Ein Nachtrag noch: Brauchst du Zugriff vom isolierten PC aus auf das NAS und das Internet oder brauchen die Daten/Scripte diesen Zugriff? Sonst wäre es schließlich auch denkbar, die Scripte generell in einer VM laufen zu lassen, die wiederum überhaupt keine Verbindung ins Netzwerk/Internet hat. Brauchst du Internet, gehst du eben über das Host-System.

Die Lösung per VLAN+Firewall ist selbsverständlich die sauberste und auch sicherste Variante. +1 daher für die Empfehlung ;)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

B
Isolation
2
Antworten
22
Aufrufe
2.031
bart1983
B
D
Daten eines Rechners im Netzwerk anzeigen lassen
Antworten
5
Aufrufe
1.195
dodgethis
D
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz