ComputerBase Menü
Aktuelles

Online Offline Netzwerk Datenaustausch

K

k0ntr

Commodore
Registriert
Okt. 2007
Beiträge
4.623
Ich habe ein Projekt vor mir wo ich zwei Netzwerke habe und eines davon Offline betrieben werden muss. Alles kein Thema, nur muss ich von diesem Offline Netzwerk jede Woche eine kleine Menge an Daten ins Online Netzwerk ziehen können.

Anders gesagt:

Stockwerk 1 soll Offline arbeiten.

Stockwerk 2 ist Online.

Ende der Woche braucht man eine PDF Datei von Stockwerk 1, man darf aber nicht mit USB Sticks, oder anderen tragbaren Medien arbeiten.

Gibt es hier überhaupt eine Möglichkeit diese zwei Netze zusammen zu verbinden? Es soll zu 100% ( ja.. das geht nicht) vermieden werden, dass Malware oder Trojaner etc. ins System eindringen können, da Stockwerk 1 höchste Prio hat und keinen Ausfall sich leisten darf (Hardware Ausfall ist was anderes).

Bin etwas ratlos wie ich das anstellen soll.
 
Einen gemeinsamen dedizierten Fileserver oder NAS mit zwei Netzwerkkarten und gemeinsamen Shares. Schiebt halt jmd eine kompromitierte File drauf sollte ein V-Scanner wie TrendMicro den on the fly erkennen.
 
Stockwerk 1 soll die PDF auf eine CD brennen.

Ansonsten eine Datendiode dazwischen setzen, aber dann ist Stockwerk 1 nicht mehr offline.
 
Im ersten Stock drucken und im Erdgeschoss wieder scannen ;)

Ne im Ernst, +1 für die Idee mit dem Fileserver oder NAS mit 2 NICs.
 
Kompletter Offline-Betrieb & Vermeidung von Datenträgern ist ein Widerspruch in sich. Hier kann man nur mit Kompromissen arbeiten.

1) Verschlüsselter Read-Only-Datenträger (gebrannte CD mit verschlüsselter ZIP-Datei) - der Datenträger wird nach Übergabe der Datei vernichtet

2) Verknüpfung der beiden Subnetze über eine Firewall. Das Stockwerk-Netz hat ausschließlich Zugriff auf eine gemeinsame Freigabe in Subnetz 2. Subnetz 2 hat keine Zugriffe in Subnetz 1.
In der Firewall alle IPS/Antivirus-Prüfungen einschalten die das Teil hergibt.

Irgendwiesowas.

Ohne rigorose regelmäßige Richtlinien-Prüfung & vor allem -Durchsetzung durch Vorgesetzte, DBA & Admins wird das alles aber nichts. Diese gedankliche Kultur muss eingearbeitet werden. In etwa: Wird irgendwo in der Firma ein USB-Stick rumliegend gesehen, muss ein Donnerwetter durch die Firma gehen, inklusive entsprechender Konsequenzen.

Es soll zu 100% ( ja.. das geht nicht) vermieden werden, dass Malware oder Trojaner etc. ins System eindringen können,
Zum Vergrößern anklicken....
Ich schnaub hier gerade durch die Nase. Es gibt keinen 100%-Schutz und wer auch immer eine solche Anforderung an mich heranträgt, wird gleich von mir... unterbrochen.
 
  • Gefällt mir
Reaktionen: Raijin und AB´solut SiD
AB´solut SiD schrieb:
Schiebt halt jmd eine kompromitierte File drauf sollte ein
Zum Vergrößern anklicken....
Und dann kennt der Scanner die Malware nicht.

NAS geht nur wenn Stockwerk 1 nur schreiben darf und Stockwerk 2 nur lesen.

bei FTP kann man Order so einstellen, das nur darauf geschrieben werden kann. Selbst der Uploader kann dann nicht mehr lesen.

Man kann auch bei Glasfaser die Faser für den Rückkanal kappen, die Daten über die andere schicken und hoffen das es fehlerfrei ankommt. Sowas hab ich vor Jahren mit Medienkonvertern und BlindFTP versucht.

Eine serielle Verbindung ohne verbundenes RX sollte auch funktionieren.

Ein Beamer aus Stockwerk 1 wirft hintereinander QR Codes an eine Wand und eine Kamera aus Stockwerk 2 nimmt das dann auf und bastelt daraus die Datei.

Datenträger ginge prinzipiell auch. Nur muss Stockwerk 2 die PDF über einen Adapter lesen, welcher sämtliche Schreibvorgänge blockiert. Sowas wird im Bereich der Computerforensik eingesetzt, um Änderungen an zu untersuchenden Datenträger zu verhindern. Und da dies auf Hardware basiert, kann auch ein Trojaner nichts machen.

Bekommt Stockwerk 1 gar keine externe Daten?
 
Zuletzt bearbeitet:
Ein NAS stellt für gewöhnlich auch ein Webinterface (bei Synology die FileStation) bereit. Bedeutet in der Firewall, welche die Netze rigoros trennt wird nur 443 auf das NAS freigegeben oder es wird halt wie angesprochen über die Netzwerkkarten getrennt.
Der Vorteil vom Webinterface ist
  • Man muss sich explizit anmelden
  • es ist keine SMB Freigabe
  • Man muss explizit eine Datei über den Browser hochladen.

Die Rechte unterhalb des Webserver-Teils kann man entsprechend restriktiv einstellen.
 
  • Gefällt mir
Reaktionen: AB´solut SiD
Da es egal is ob mit Malware infizierte Dateien über einen separaten Datenträger oder über ein gemeinsames NAS reinkommen, würde ich hier einfach eine DMZ anlegen. Eine DMZ ist ein drittes Netzwerk, das mittels Firewall von den Client-Netzwerken getrennt ist. Bei einer DMZ können Verbindungen ausschließlich von einem der Client-Netzwerke IN die DMZ hergestellt werden, der Weg andersherum wird durch die Firewall geblockt. Das heißt, dass ein kompromittiertes System in der DMZ nicht aus eigener Kraft die anderen Netzwerke infizieren kann, weil die Malware keine eigenständigen Verbindungen herstellen kann.

Eine DMZ ist ein gängiges Mittel, um abgesicherte Netzwerke mit Daten zu versorgen. Allerdings kann auch eine DMZ natürlich nichts dagegen tun, wenn die Daten in der DMZ selbst infiziert sind. Heißt: Ein infiziertes PDF ist und bleibt infiziert und wird dann auch infiziert übertragen. Das gilt allerdings für JEDEN Übertragungsweg, auch wenn man das PDF zB auf eine CD brennen würde.

Man könnte beispielsweise mit einem Triple aus Routern eine DMZ herstellen oder natürlich mit einem fortgeschrittenen Router mit mehreren Schnittstellen, EdgeRouter, MikroTik, etc.


www
|
Hauptrouter
|
DMZ --- Router1 --- Netz1
|
Router2 (Standardgateway auf 0.0.0.0 oder falsche IP gesetzt = kein Internet)
|
Netz2


Oder eben

www
|
(eth0)
EdgeRouter/MikroTik (eth1) --- DMZ
(eth2 / eth3)
||
Netz1 / Netz2
www --- Netzwerk1 --- DMZ --- Netzwerk2
 
  • Gefällt mir
Reaktionen: AB´solut SiD
Moin,

was du suchst nennt sich „Datendrehscheibe“.
Du könntest einen lokalen SFTP Server betreiben, auf welchen sich StockWerk 2 mittels dedizierten Account verbindet, die Datei hochlädt und die Verbindung dann wieder trennt.
Eine Routine auf dem SFTP Server scannt neue Dateien Automatisch mehrstufig nach Maleware und verschiebt diese anschließend in einen anderen Ordner.
Anschließend verbindet sich der Benutzer vom Stockwerk 1 und holt die entsprechende Datei ab.

Diese Konstrukt kommt so, oder so ähnlich auch bei Kritis Unternehmen zum Einsatz um Daten über Netzwerke mit unterschiedlichem Schutzbedarf auszutauschen. Hier wird das schützenswerte Prozessnetz für gewöhnlich auch offline betrieben.

Die Verbindung auf den Server kann zusätzlich durch Zertifikate abgesichert werden, wobei maximal eine Benutzerverbindung zulässig ist.

Grüße
 
Zuletzt bearbeitet:
Leute, das ist doch mal wieder der klassische Fall von "Was bedeutet offline"
-kein direkter Zugriff ins Internet
-kein direkter Zugriff auf andere Netze
-überhaupt keine Verbindung in irgend ein anderes Netz

Da kommt es auch drauf an wie stark man der Hardware vertraut. Für nen Atomkraftwerk ist auch VLAN nicht sicher genug....

Hier muss man die Anforderung definieren und DANN schauen was möglich ist. NICHT erst schauen was wie geht und dann die Anforderung definieren. Damit belügt man sich selbst.

Im Zweifel bedeutet das halt abschreiben der Daten vom Monitor oder halt ausdrucken. Schreiben auf leere CDs geht auch, ist aber schon wieder viel unsicherer als die beiden anderen Varianten. Könnte ja schon was auf dem Leermedium sein. Auch aus Presswerken sind schon CDs mit Schadsoftware gekommen.
 
Vielen Dank für eure Antworten!

Stockwerk 1 ist komplett offline und braucht keine Daten. Jedoch werden Daten generiert (sagen wir, es ist ein Labor, alles ist eingerichtet und zwischendurch gibt es Analysen (Excel,Word,PDF) und die sollen dann per Mail versendet werden.

Man möchte den Ausfall dieses "Labors" so gering wie möglich halten.
 
Moin,

wenn es komplett offline ist, hast du keine Chance...
Wie werden die Protokolle erstellt? Geschieht dies über einen einzelnen Arbeitsplatz, oder individuell an jeder Arbeitsstation?

Grüße
 
Es muss ja nun mal irgendeine Verbindung geben, sei es über eine Hardware-Firewall oder durch Datenträger. Für mich klingt das ehrlich gesagt so, dass alle potentiellen Lösungen bereits ausgeschlossen wurden. Du suchst scheinbar das Ergebnis von 1+1, definierst aber, dass 2 als Lösung nicht in Frage kommt. Wie stellst du dir das vor?

Du hast folgende Möglichkeiten, such dir eine aus:

  • Netzwerke mittels Router verbinden (zB MikroTik oder via PC mit 2x LAN)
  • Datenträger von A nach B tragen
  • Daten ausdrucken und einscannen
  • Daten vom Bildschirm abtippen
  • den heiligen Vater um ein Wunder bitten
 
  • Gefällt mir
Reaktionen: AB´solut SiD und nosti
Naja, es wurde ja schon angerissen. Es gibt auch oneway Verbindungen. Das wäre ne Möglichkeit, aber man muss sich das schon sehr genau anschauen. Muss/sollte halt ne echte Hardware Limitierung sein
 
Raijin schrieb:
den heiligen Vater um ein Wunder bitten
Zum Vergrößern anklicken....
:D finde ich super, zusätzlich könnte man auch noch den BOFH anbeten.

Was mir noch einfällt, wäre eine Serielle Verbindung. Sowas nutzen wir als "Seriellen Bruch" zwischen bestimmten Geräten. Allerdings ist der Datendurchsatz sehr mau und es kommt stark auf den Anwendungsbereich an. Damit verhindert man zumindest Zugriff/Angriffe auf Netzwerkebene.

Ich denk du kommst nicht umhin die ganzen Anforderungen etwas genauer vorzustellen.

Grüße
 
Das klassische Szenario wäre eine DMZ wie oben schon dargestellt. Der Sinn der DMZ ist ja gerade, dass sie nur antworten darf, selbst aber keine Verbindungen initiieren darf. Ein gekapertes System in der DMZ hat es somit schwerer, das eigentliche Netzwerk zu infiltrieren.

Ich habe hier aber eher das Gefühl, dass @k0ntr ein wenig den Teufel an die Wand malt, ohne Grund. Es handelt sich offenkundig um ein Labor und man möchte dessen "Ausfall" so gering wie möglich halten - was auch immer das heißen mag bzw. warum auch immer man diesen Ausfall nur durch ein kompromittiertes Netzwerk definiert. @Skysnake hatte es schon treffend formuliert: Bei einem Atomkraftwerk wäre das ein anderer Schnack. Ich denke daher, dass im vorliegenden Fall gängige Lösungen wie eine DMZ oder eben banal die CD vollkommen ausreichend sind. Traut man der Firewall der DMZ nicht, steckt man das LAN-Kabel eben nur für die Dauer des Datentransfers an und danach wieder ab. Das minimiert etwaige Gefahren durch Lücken in der Firewall.
 
Wenn der eigenen Infrastruktur nicht in dem Maß vertraut werden soll schließt sich eine rein technische Lösung für mein Verständnis auch aus. Hier muss eine Kombination aus technischen und organsiatorischen Maßnahmen erstellt werden.
Die Datei wird im 4-Augen-Prinzip in einem bestimmten Zeitfenster erstellt, gern auch Verschlüsselt.
Ein Austausch der Datei ist auch nur in diesem Zeitfenster und in eine definierte Richtung möglich. Der korrekte Empfang der Datei wird wieder im 4-Augen-Prinzip bestätigt, der Schlüssel wird analog Übertragen. Zusätzlich könnte man noch Prüfsummen berechnen lassen und vergleichen. Die Akzeptanz von diesem "Prozess" wird wohl eher niedrig sein und zusätzlich beinhaltet er viele manuelle Schritte, welche wieder Fehleranfällig sind. Dabei reden wir noch nicht mal davon, ob es überhaupt Umsetzbar ist...

Klingt schon jetzt ganz schön oversized

Wie sieht es denn um die generelle Sicherheit der Einrichtung aus? Sind USB-Ports gesperrt? Sind die Nutzer entsprechend geschult, gerade auch im Hinblick Social Engineering. Zugangs- und Zugriffskontrollen etabliert? Ich vermute, das gesamte Sicherheitskonzept sollte etwas weiter gefasst werden. Das mag vielleicht alles ziemlich paranoid klingen, ich kann mir aber durchaus Anwendungsfälle im Gesundheitsbereich vorstellen, zumal es hier meiner Auffassung nach eher um die Absicherung gegen Industriespionage und ähnliches geht.

Trotzdem finde ich das Thema recht spannend.

Grüße
 
  • Gefällt mir
Reaktionen: AB´solut SiD und t-6
Mir ist heute per Zufall noch eine Möglichkeit über den Weg gelaufen.

Im Grunde ein Fileserver mit zwei Netzwerkkarten.

Der Server steht in Stockwerk 1, hat einen Ordner "Datenexport".

Neue Dateien in diesem Order werden minütlich von einem Script, was auf dem Server läuft, in einen anderen Ordner verschoben.

Dieser andere Ordner ist über die andere Netzwerkkarte einfach von Stockwerk 2 zugreifbar.

Auf Ordner kann Stockwerk 2 nicht zugreifen.
 
  • Gefällt mir
Reaktionen: nosti
nosti schrieb:
Was mir noch einfällt, wäre eine Serielle Verbindung.
Zum Vergrößern anklicken....
In der Tat. Wenn man den Datentransfer natürlich über eine gänzlich unabhängige Verbindung laufen lässt, ist das nochmal etwas anderes. Wir haben bei unseren Kunden - alte Anlagen - häufiger serielle Verbindungen für den Austausch von Daten, vorrangig Auftragslisten für die Produktionsanlagen. Das sind in unserem Fall aber proprietäre Verbindungen bzw. Protokolle, d.h. das Senden und Empfangen von Daten ist zu 100% manuell programmiert.


@xammu : Und mit einem Fileserver mit zwei Netzwerkkarten hast du dann was genau? Einen Router zwischen den Netzwerken. Da helfen zwei verschiedene Freigaben wenig, wenn der Server bei unsachgemäßer Konfiguration plötzlich als Internetgateway für das Labornetzwerk fungieren kann.

Je nach Betriebssystem ist ein "Server" nur schlecht als Router/Firewall geeignet. Windows hat beispielsweise nur sehr rudimentäre Routingfähigkeiten, weil Microsoft klare Grenzen zieht, Clients sind Clients, Server sind Server und Router sind Router. Man sollte es daher mit Vorsicht genießen, zwei Netzwerke mit Windows Server zu verbinden/trennen. Wenn, dann sollte der Fileserver daher mit Linux betrieben werden.




Mich beschleicht aber das Gefühl, dass das alles Kanonen sind, mit denen wir auf Spatzen schießen. Ein verschlüsselter USB-Stick, der vor/nach jeder Nutzung auf Viren geprüft oder ggfs komplett platt gemacht wird, erfüllt den Zweck vermutlich am einfachsten und ausreichend sicher. Wenn das nicht der Fall ist und weitere Bedenken bestehen, stellt sich die Frage inwiefern überhaupt technisches KnowHow vorhanden ist, um eine komplexere Lösung umzusetzen. Je nach Sensibilität des Labornetzwerks und der Daten empfiehlt es sich ggfs sogar, ein Systemhaus mit einer Lösung zu beauftragen, sollte kein ausreichendes KnowHow im Hause verfügbar sein.
 
Raijin schrieb:
Einen Router zwischen den Netzwerken. Da helfen zwei verschiedene Freigaben wenig, wenn der Server bei unsachgemäßer Konfiguration plötzlich als Internetgateway für das Labornetzwerk fungieren kann.
Zum Vergrößern anklicken....
Bei unsachgemäßer Konfiguration ist auch ein Lichtschalter tödlich.
Auch eine Datendiode kann zu viele Daten in die falsche Richtung lassen.
Das ist hier nicht der Punkt.

Dem TE geht's vermutlich darum, dass sich eine Verseuchung in Stockwerk 2 nicht auf Stockwerk 1 auswirkt. Daher dürfen keine Daten von 2 nach 1 und das würde die Lösung bieten.

Verschlüsselungstrojaner könnten nun die Freigabe aus Stockwerk 2 verschlüsseln, kämen aber an die Daten in Stockwerk 1 nicht, da kein Rückkanal existiert.

Virenscanner haben immer den Nachteil, das sie etwas kennen müssen, um es zu erkennen.
Gegen Stuxnet wäre jeder Scanner nutzlos gewesen, nur komplette und konsequente Abschottung hätte geholfen und das war nicht gegeben.
Ich würde mich in diesem Fall nicht darauf verlassen.
 
  • Gefällt mir
Reaktionen: Raijin
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz