ComputerBase Menü
Aktuelles

Maschine vom Netzwerk trennen

Wie paranoid sind die Firmenbetreiber? Ich würde Airgap empfehlen, aber die Frage ist, wozu der entsprechende Rechner LAN-Zugriff braucht. Bei VLAN gaukelt mir die eigene Paranoia schon wieder die Hopping-Möglichkeit vor.
 
Was heißt paranoid? Es können einfach auch rechtliche Gründe sein. Bestimmte Zertifikate schreiben schlichtweg ein gewisses (oder auch immenses:o) Maß an Datensicherheit vor.
 
Genau wie viele andere Produkte unterliegt die IT einem Produktlebenszyklus. Hardware wird verkauft mit Support bis Datum X, Betriebssysteme haben ebenso einen Supportzeitraum. Dies hat man als Unternehmer zu berücksichtigen in den laufenden Betriebskosten. Funktioniert das eigene Geschäftsmodell nur wenn man auf Verschleiß fährt dann taugt das eigene Geschäftsmodell nicht. Kurzfristig mag man einen Vorteil ggü. korrekt arbeitenden Konkurrenten haben aber mittel- bis langfristig holt einen dieser Geiz ein.

Habt ihr nur ein einziges Subnetz dann reicht die Methode mit dem nicht existenten Gateway. Habt ihr mehr als ein Subnetz dann wie vorgeschlagen die Routen manuell setzen. Ist halt Aufwand bei vielen Geräten sofern man dies nicht automatisiert.
Alternativ zentral auf dem Router/Firewall den betroffenen Geräten den Internetzugang entziehen.
ABER: Das hindert nur das Gerät daran, selbst ins Internet zu gelangen. Fängt sich ein anderer PC Malware/Virus/Ransomware ein und diese entdeckt den alten Win 7 PC und es gibt eine Schwachstelle die eben nicht mehr behoben wird, dann kann dieses einzelne Gerät angegriffen werden. Sei es dann per Ransomware oder ein Angreifer versucht dort weitere Credentials abzugreifen, etc.pp

Beste aber auch aufwändigste Lösung: diese alten Systeme in einem eigenen VLAN isolieren und per Firewall nur die minimal notwendigsten Zugriffe ein- und ausgehend erlauben. Setzt aber einen halbwegs brauchbaren Admin oder IT-Dienstleister voraus. Das schränkt das Risiko zwar weiter ein aber ganz minimiert wird es nie. Ein Restrisiko wird bleiben. Die Frage ist am Ende: Welche Lösung kostet wie viel an Material bzw. Arbeitsstunden bei welchem Restrisiko am Ende vs. Anschaffung eines Geräts was noch Updates erhält. Das entstehende Restrisiko muss am Ende jemand tragen, also je nach Größe des Unternehmens ein Vorgesetzter oder der Chef.
Passiert nix ist dann alles gut aber wenn etwas passiert will es wieder keiner gewesen sein von daher gilt seit je her:
(schriftliches) melden macht frei und belastet den Vorgesetzten.

Denn am Ende geht es genau darauf hinaus: Keiner will es gewesen sein oder davon gewusst haben und Arbeitsbeziehungen und Freundschaften bekamen schon Probleme aufgrund von fehlender eindeutiger Kommunikation.
 
Schmeissa schrieb:
Was heißt paranoid? Es können einfach auch rechtliche Gründe sein. Bestimmte Zertifikate schreiben schlichtweg ein gewisses (oder auch immenses:o) Maß an Datensicherheit.
Zum Vergrößern anklicken....

Die Frage war genauso gemeint, wie sie gestellt war. Ich würde keine unpatchbaren Systeme in einem internetfähigen Netzwerk lassen und auf Softwarelösungen vertrauen, nicht mal auf VLAN. Dass das meiner eigenen Paranoia geschuldet wäre, geschenkt. Physikalisch getrennte Netzwerke wären dazu meine Herangehensweise.
Daher die Frage nach dem Paranoialevel der Firmenbetreiber. Hoch kann es nicht sein, denn dass W7 ab Januar 2020 nicht mehr kostenfrei unterstützt werden würde, ist seit seinem Erscheinen bekannt. Ist es also ein Produktivsystem, das Internetzugang erfordert, haben die Verantwortlichen mehrere Jahre verschlafen.
 
  • Gefällt mir
Reaktionen: omavoss
Marek Ne1 schrieb:
Dafür muss man die Maschine vom Netzwerk trennen und über LAN arbeiten
Zum Vergrößern anklicken....
Das schließt sich aber aus.

Frage1: Gibt es irgendeinen Grund warum man nicht einfach das Netzwerkkkabel abziehen kann?
Wenn ja, welchen bzw. welche?

"Damit sich der Admin/IT-Helpdesk draufschalten kann" wäre übrigens ein ziemlich bescheidenes Argument.

Denn von den Antworten auf diese Frage sind die praktischen Möglichkeiten abhängig.
Auch das Betreiben eines W7 PCs ohne Internetzugang kann unter Umständen in mehreren Jahren ein Sicherheitsrisiko für das ganze Netz darstellen, je nachdem welche Rechte ein dort angemeldeter User im Netz hat.
 
h00bi schrieb:
Das schließt sich aber aus.

Frage1: Gibt es irgendeinen Grund warum man nicht einfach das Netzwerkkkabel abziehen kann?
Wenn ja, welchen bzw. welche?

"Damit sich der Admin/IT-Helpdesk draufschalten kann" wäre übrigens ein ziemlich bescheidenes Argument.

Denn von den Antworten auf diese Frage sind die praktischen Möglichkeiten abhängig.
Auch das Betreiben eines W7 PCs ohne Internetzugang kann unter Umständen in mehreren Jahren ein Sicherheitsrisiko für das ganze Netz darstellen, je nachdem welche Rechte ein dort angemeldeter User im Netz hat.
Zum Vergrößern anklicken....
Das Netzwerkkabel wird unter anderem genutzt, um auf Programme zuzugreifen, die auf der Maschine laufen sollen.
 
Auf dem DHCP eine fixe Zuweisung für den Client und danach eine Regel in der Firewall. Wenn keine Firewall vorhanden ist, dann eine Reservierung für die MAC-Adresse auf dem DHCP, jedoch die IP statisch auf dem Client konfigurieren und das Gateway dort aussparen. Müssen mehrere Subnetze erreicht werden, dann die Routen zusätzlich noch statisch auf dem Client konfigurieren. IPv6 nach Möglichkeit deavtivieren, andernfalls muss man auch das auf dem Schirm haben.
 
Marek Ne1 schrieb:
Richtig
Zum Vergrößern anklicken....
Software, die Dienste bereit stellt und auf die von anderen Systemen zugegriffen, also Serverdienste/-software haben auf einem Client-Betriebssystem nichts aber auch gar nichts zu suchen. Das ist Pfusch aber hey muss dein Chef verantworten, nicht du...

Alle Lösungsansätze zum Trotz sollte dies nur für den Zeitraum dienen bis eine neue vernünftige Lösung da ist und keine dauerhafte Lösung darstellen, Pfusch bei der IT in KMUs ist leider eher die Regel.
 
  • Gefällt mir
Reaktionen: Raijin
Ich werde die Vorschläge, die gemacht wurden weiter geben, aber auch die Bedenken dabei. Danke für alle Beiträge. Ihr habt mir sehr geholfen. :)
 
snaxilian schrieb:
Software, die Dienste bereit stellt und auf die von anderen Systemen zugegriffen, also Serverdienste/-software haben auf einem Client-Betriebssystem nichts aber auch gar nichts zu suchen. Das ist Pfusch aber hey muss dein Chef verantworten, nicht du...

Alle Lösungsansätze zum Trotz sollte dies nur für den Zeitraum dienen bis eine neue vernünftige Lösung da ist und keine dauerhafte Lösung darstellen, Pfusch bei der IT in KMUs ist leider eher die Regel.
Zum Vergrößern anklicken....

So wie ich das verstehe ist die der Windows 7 Rechner Teil einer größeren Fertigungsmaschine, die fräst, bohrt, dengelt, klöppelt oder was auch immer. Windows 10 gibt es dann offiziell unterstützt bei der Nachfolgemaschine für 500k? Dann ist das Produkt speziell, die Gründe für die Anschaffung/Betrieb waren/sind aber überwiegend betriebswirtschaftliche Gründe. Pfusch wäre es nur, wenn man auf die geänderten Begebenheiten nicht reagieren würde.

@Marek Ne1 trifft das so zu?
 
Zuletzt bearbeitet:
emulbetsup schrieb:
So wie ich das verstehe ist die der Windows 7 Rechner Teil einer größeren Fertigungsmaschine, die fräst, bohrt, dengelt, klöppelt oder was auch immer. Windows 10 gibt es dann offiziell unterstützt bei der Nachfolgemaschine für 500k? Dann ist das Produkt speziell, die Gründe für die Anschaffung waren/sind aber überwiegend betriebswirtschaftliche Gründe. Pfusch wäre es nur, wenn man auf die geänderten Begebenheiten nicht reagieren würde.

@Marek Ne1 trifft das so zu?
Zum Vergrößern anklicken....
@emulbetsup das ist vollkommen richtig. Es gibt Kunden, die nicht komplett Umrüsten wollen/können. Die Maschine läuft ja auch mit Windows 7, aber die Sicherheit ist nicht mehr gegeben. Dafür soll eine alternativ Möglichkeit vorgeschlagen werden.
Ergänzung ()

Ich habe mich jetzt weiter Informiert. Laut einem Mitarbeiter brauchen die Maschinen Rechner keinen Internetzugang, sondern nur interne Verbindungen und für den Kundendienst. Reicht es dann die Ports für Internet zu sperren ?
 
Zuletzt bearbeitet:
Gerade dann, wenn es sich um Maschinen handelt, gehören die BedienPCs sowieso nicht ins Internet! Das Betriebssystem ist dabei vollkommen unerheblich. Auch Windows10 darf in so einem Szenario keine Internetverbindung haben. Sofern die Systeme ferngewartet werden müssen, geschieht dies über eine Hardware-Firewall, die besagte Internetverbindung für alle Geräte blockiert und ausschließlich über eine VPN-Verbindung steuerbar macht.

Ich schreibe das deswegen so deutlich, weil ich selbst in einem Unternehmen tätig bin, das mit Industrieanlagen zu tun hat. Unser Maschinennetzwerk ist beispielsweise über eine Cisco ASA5506 vom Kundennetzwerk bzw. Internet abgeriegelt. Es gibt ein System in einer DMZ, das etwaige Schnittstellen zum Kundennetzwerk bietet (beispielsweise Auftragsdaten), alle sonstigen Verbindungen von/nach außen sind geblockt. Einzig die VPN-Verbindung ist offen, um unseren Servicemitarbeitern einen Fernzugriff zu ermöglichen.

Für mich klingt das nun so, dass man sich um den Windows7-PC sorgt und ihm das Internet abdrehen will, während die anderen Bedien-PCs munter im Internet surfen...
 
  • Gefällt mir
Reaktionen: Markchen und Marek Ne1
Raijin schrieb:
Gerade dann, wenn es sich um Maschinen handelt, gehören die BedienPCs sowieso nicht ins Internet! Das Betriebssystem ist dabei vollkommen unerheblich. Auch Windows10 darf in so einem Szenario keine Internetverbindung haben. Sofern die Systeme ferngewartet werden müssen, geschieht dies über eine Hardware-Firewall, die besagte Internetverbindung für alle Geräte blockiert und ausschließlich über eine VPN-Verbindung steuerbar macht.

Ich schreibe das deswegen so deutlich, weil ich selbst in einem Unternehmen tätig bin, das mit Industrieanlagen zu tun hat. Unser Maschinennetzwerk ist beispielsweise über eine Cisco ASA5506 vom Kundennetzwerk bzw. Internet abgeriegelt. Es gibt ein System in einer DMZ, das etwaige Schnittstellen zum Kundennetzwerk bietet (beispielsweise Auftragsdaten), alle sonstigen Verbindungen von/nach außen sind geblockt. Einzig die VPN-Verbindung ist offen, um unseren Servicemitarbeitern einen Fernzugriff zu ermöglichen.

Für mich klingt das nun so, dass man sich um den Windows7-PC sorgt und ihm das Internet abdrehen will, während die anderen Bedien-PCs munter im Internet surfen...
Zum Vergrößern anklicken....
@Raijin Ja, ich glaube da sind ein paar Kunden einfach "abgedreht" als Sie die Meldung von Windows bekommen haben, dass die Sicherheit nicht mehr gegeben ist. Aber mit dieser Erklärung sollte ja alles geklärt sein. DANKE! :)
 
Verständlich. Wie gesagt, Bedien-PCs für Maschinen mit Internetverbindung - egal welches OS - sind eine Gefahr für die Maschine und eben auch für die Bediener.

Beispiel: Bei unseren Maschinen (Wellpappe) wird die Wellpappe in Bögen geschnitten. Das sind große Messer, die von kräftigen Antrieben bewegt werden. Hat ein Operator da die Hand drin, weil er etwas reinigen will, darf der BedienPC natürlich kein Signal "SCHNEIDEN" geben - mal abgesehen davon, dass die Steuerung den Befehl nicht annehmen darf. Es besteht buchstäblich Lebensgefahr. Hängen die BedienPCs im Internet, können sie sich beliebige Schadsoftware einfangen und ein sicherer Betrieb der Anlage ist nicht mehr gewährleistet.
 
  • Gefällt mir
Reaktionen: snaxilian
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

C
Zyxel GS1200-8 Kameras vom restlichen Netzwerk trennen
Antworten
10
Aufrufe
482
chrigu
chrigu
OnaldUck
Netzwerk trennen ABER IP-Adressen behalten
2
Antworten
20
Aufrufe
3.997
Muffknutscher
Muffknutscher
D
Netzwerk trennen - Zugriff auf Überwachungskamera durch VLan?
Antworten
13
Aufrufe
5.183
driver222
D
H
Allrounder-Maschine gesucht
Antworten
12
Aufrufe
1.872
JollyRoger2408
JollyRoger2408
J
Neue Gaming Maschine so in Ordnung ?
Antworten
14
Aufrufe
2.391
Deathangel008
Deathangel008
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz