Raijin
Fleet Admiral
- Registriert
- Nov. 2007
- Beiträge
- 17.938
Das ist zwar richtig was du sagst, aber deiner Beschreibung nach kommt die Sicherheit durch zwei verschiedene Freigaben, du sagst aber nichts über die Firewall. Sobald der Server in beiden Netzwerken vertreten ist, kann er allerdings als Router agieren und wird es auch, wenn man keine Maßnahmen ergreift bzw. die Standardeinstellungen prüft. Mit einem Fileserver allein ist es also nicht getan.
Halten wir fest, es gibt zwei Komponenten der Sicherheit, die hierbei bedacht werden müssen:
1) Sicherstellen, dass Daten nicht mit Malware infiziert sind bzw. werden
2) Verhindern, dass beide Netzwerke nicht direkt miteinander bzw. im Labor nicht mit dem Internet interagieren
Momentan wird ein wenig aneinander vorbei geredet. Virenscanner, Freigaben, Router und Firewalls bilden gemeinsam das Sicherheitskonzept (natürlich neben anderen Dingen wie Zugriffsrechte, etc). Freigaben und Virenscanner können aber das Problem des potentiell möglichen Internetzugriffs bzw. Zugriffs des gegenüberliegenden Netzwerks nicht verhindern, so wenig wie Router und Firewall sich um Viren scheren.
Sobald man ein Gerät zwischen die Netzwerke packt, kann es die Funktion eines Routers übernehmen - auch ungewollt, wenn man sich dessen womöglich gar nicht bewusst ist. Ich persönlich würde diese Aufgabe stets einem für diesen Zweck vorgesehen Gerät zukommen lassen, einem semiprofessionellen Router bzw. einer Hardware-Firewall. Dahinter kann man dann einen Fileserver packen und so organisieren wie du es vorschlägst. Will man auf Nummer sicher gehen, stöpselt man das Kabel vom Labornetzwerk eben nur für den Transfer der Daten ein und danach wieder aus. Physische Trennung ist und bleibt die ultimative Sicherheitsmaßnahme.
Dennoch halte ich den Aufwand ehrlich gesagt für übertrieben. Die Daten sollen 1x pro Woche rübergezogen werden, eine kleine PDF-Datei. Da bietet ein verschlüsselter und regelmäßig gescannter USB-Stick nach meinem Dafürhalten vollkommen aus. Natürlich muss der Umgang mit diesem einen klar gekennzeichneten Stick reglementiert werden, zB weggeschlossen und ausschließlich für diesen einen Zweck hervorgeholt und danach wieder zurückgelegt, ggfs mit Scan-/Löschprotokoll, etc.. Alles andere bedarf wie beschrieben zum Beispiel einer aufwendig konfigurierten Firewall mit DMZ und FileServer dahinter - wir reden hier aber mutmaßlich nur über ein PDF mit <20 MByte. Viel Aufwand und Hardware für 5 Minuten pro Woche.
Beispiel für die Vorgehensweise mit einem USB-Stick:
1) Datei auf einen Transfer-PC kopieren (im Labor)
2) Transfer-PC vom Labornetzwerk trennen
3) Transfer-PC mit Live-Linux von CD booten und lokales Laufwerk mounten
4) USB-Stick aus Schrank holen, in Transfer-PC stecken, Datei kopieren
5) USB-Stick ins andere Stockwerk tragen, in Ziel-PC stecken, Datei kopieren
6) USB-Stick an Transfer-PC (immer noch Live-Linux) stecken, löschen/formatieren
7) USB-Stick in den Schrank legen, Transfer-PC ohne CD booten, wieder ans Netzwerk anschließen
Wenn ich nix übersehen habe, ist so nahezu vollständige Sicherheit gewährleistet, weil beide Netzwerke zu keinem Zeitpunkt miteinander verbunden sind und der USB-Stick selbst maximal ein Live-Linux auf CD "infizieren" könnte, das zu dem Zeitpunkt aber keine Netzwerkverbindung hat und beim Neustart alles wieder auf Anfang setzt.
Halten wir fest, es gibt zwei Komponenten der Sicherheit, die hierbei bedacht werden müssen:
1) Sicherstellen, dass Daten nicht mit Malware infiziert sind bzw. werden
2) Verhindern, dass beide Netzwerke nicht direkt miteinander bzw. im Labor nicht mit dem Internet interagieren
Momentan wird ein wenig aneinander vorbei geredet. Virenscanner, Freigaben, Router und Firewalls bilden gemeinsam das Sicherheitskonzept (natürlich neben anderen Dingen wie Zugriffsrechte, etc). Freigaben und Virenscanner können aber das Problem des potentiell möglichen Internetzugriffs bzw. Zugriffs des gegenüberliegenden Netzwerks nicht verhindern, so wenig wie Router und Firewall sich um Viren scheren.
Sobald man ein Gerät zwischen die Netzwerke packt, kann es die Funktion eines Routers übernehmen - auch ungewollt, wenn man sich dessen womöglich gar nicht bewusst ist. Ich persönlich würde diese Aufgabe stets einem für diesen Zweck vorgesehen Gerät zukommen lassen, einem semiprofessionellen Router bzw. einer Hardware-Firewall. Dahinter kann man dann einen Fileserver packen und so organisieren wie du es vorschlägst. Will man auf Nummer sicher gehen, stöpselt man das Kabel vom Labornetzwerk eben nur für den Transfer der Daten ein und danach wieder aus. Physische Trennung ist und bleibt die ultimative Sicherheitsmaßnahme.
Dennoch halte ich den Aufwand ehrlich gesagt für übertrieben. Die Daten sollen 1x pro Woche rübergezogen werden, eine kleine PDF-Datei. Da bietet ein verschlüsselter und regelmäßig gescannter USB-Stick nach meinem Dafürhalten vollkommen aus. Natürlich muss der Umgang mit diesem einen klar gekennzeichneten Stick reglementiert werden, zB weggeschlossen und ausschließlich für diesen einen Zweck hervorgeholt und danach wieder zurückgelegt, ggfs mit Scan-/Löschprotokoll, etc.. Alles andere bedarf wie beschrieben zum Beispiel einer aufwendig konfigurierten Firewall mit DMZ und FileServer dahinter - wir reden hier aber mutmaßlich nur über ein PDF mit <20 MByte. Viel Aufwand und Hardware für 5 Minuten pro Woche.
Ergänzung ()
Beispiel für die Vorgehensweise mit einem USB-Stick:
1) Datei auf einen Transfer-PC kopieren (im Labor)
2) Transfer-PC vom Labornetzwerk trennen
3) Transfer-PC mit Live-Linux von CD booten und lokales Laufwerk mounten
4) USB-Stick aus Schrank holen, in Transfer-PC stecken, Datei kopieren
5) USB-Stick ins andere Stockwerk tragen, in Ziel-PC stecken, Datei kopieren
6) USB-Stick an Transfer-PC (immer noch Live-Linux) stecken, löschen/formatieren
7) USB-Stick in den Schrank legen, Transfer-PC ohne CD booten, wieder ans Netzwerk anschließen
Wenn ich nix übersehen habe, ist so nahezu vollständige Sicherheit gewährleistet, weil beide Netzwerke zu keinem Zeitpunkt miteinander verbunden sind und der USB-Stick selbst maximal ein Live-Linux auf CD "infizieren" könnte, das zu dem Zeitpunkt aber keine Netzwerkverbindung hat und beim Neustart alles wieder auf Anfang setzt.
Zuletzt bearbeitet: