Online Offline Netzwerk Datenaustausch

Das ist zwar richtig was du sagst, aber deiner Beschreibung nach kommt die Sicherheit durch zwei verschiedene Freigaben, du sagst aber nichts über die Firewall. Sobald der Server in beiden Netzwerken vertreten ist, kann er allerdings als Router agieren und wird es auch, wenn man keine Maßnahmen ergreift bzw. die Standardeinstellungen prüft. Mit einem Fileserver allein ist es also nicht getan.


Halten wir fest, es gibt zwei Komponenten der Sicherheit, die hierbei bedacht werden müssen:

1) Sicherstellen, dass Daten nicht mit Malware infiziert sind bzw. werden
2) Verhindern, dass beide Netzwerke nicht direkt miteinander bzw. im Labor nicht mit dem Internet interagieren

Momentan wird ein wenig aneinander vorbei geredet. Virenscanner, Freigaben, Router und Firewalls bilden gemeinsam das Sicherheitskonzept (natürlich neben anderen Dingen wie Zugriffsrechte, etc). Freigaben und Virenscanner können aber das Problem des potentiell möglichen Internetzugriffs bzw. Zugriffs des gegenüberliegenden Netzwerks nicht verhindern, so wenig wie Router und Firewall sich um Viren scheren.

Sobald man ein Gerät zwischen die Netzwerke packt, kann es die Funktion eines Routers übernehmen - auch ungewollt, wenn man sich dessen womöglich gar nicht bewusst ist. Ich persönlich würde diese Aufgabe stets einem für diesen Zweck vorgesehen Gerät zukommen lassen, einem semiprofessionellen Router bzw. einer Hardware-Firewall. Dahinter kann man dann einen Fileserver packen und so organisieren wie du es vorschlägst. Will man auf Nummer sicher gehen, stöpselt man das Kabel vom Labornetzwerk eben nur für den Transfer der Daten ein und danach wieder aus. Physische Trennung ist und bleibt die ultimative Sicherheitsmaßnahme.

Dennoch halte ich den Aufwand ehrlich gesagt für übertrieben. Die Daten sollen 1x pro Woche rübergezogen werden, eine kleine PDF-Datei. Da bietet ein verschlüsselter und regelmäßig gescannter USB-Stick nach meinem Dafürhalten vollkommen aus. Natürlich muss der Umgang mit diesem einen klar gekennzeichneten Stick reglementiert werden, zB weggeschlossen und ausschließlich für diesen einen Zweck hervorgeholt und danach wieder zurückgelegt, ggfs mit Scan-/Löschprotokoll, etc.. Alles andere bedarf wie beschrieben zum Beispiel einer aufwendig konfigurierten Firewall mit DMZ und FileServer dahinter - wir reden hier aber mutmaßlich nur über ein PDF mit <20 MByte. Viel Aufwand und Hardware für 5 Minuten pro Woche.
Ergänzung ()

Beispiel für die Vorgehensweise mit einem USB-Stick:

1) Datei auf einen Transfer-PC kopieren (im Labor)
2) Transfer-PC vom Labornetzwerk trennen
3) Transfer-PC mit Live-Linux von CD booten und lokales Laufwerk mounten
4) USB-Stick aus Schrank holen, in Transfer-PC stecken, Datei kopieren
5) USB-Stick ins andere Stockwerk tragen, in Ziel-PC stecken, Datei kopieren
6) USB-Stick an Transfer-PC (immer noch Live-Linux) stecken, löschen/formatieren
7) USB-Stick in den Schrank legen, Transfer-PC ohne CD booten, wieder ans Netzwerk anschließen

Wenn ich nix übersehen habe, ist so nahezu vollständige Sicherheit gewährleistet, weil beide Netzwerke zu keinem Zeitpunkt miteinander verbunden sind und der USB-Stick selbst maximal ein Live-Linux auf CD "infizieren" könnte, das zu dem Zeitpunkt aber keine Netzwerkverbindung hat und beim Neustart alles wieder auf Anfang setzt.
 
Zuletzt bearbeitet:
Danke für eure Hilfe!

Ich werde es mir in Ruhe nochmal durchlesen. Wie xemmu schreibt, es geht darum, dass sich ein Virus nicht verbreiten soll, weil das für die Firma ein Genickbruch wäre, so ein Ausfall. Es geht hier nicht nur um das "Labor", sondern um die verseuchten Daten, auch Backups etc. Da will man sicher gehen, dass man nicht z.B. 2 Wochen zurück geht und sehr viele Daten "verliert".

Mit einem Offline "Labor" wird so gut wie nichts angreifbar von extern. Social Engineering, USB-Stick usw. werden gut abgedeckt und sowas könnte man auch per Überwachung / Kamera gut nachverfolgen.
 
Man kann Samba so einstellen, das bestimmte Freigabe nur in bestimmten Netzwerken auftauchen. Desweiteren routet ein Linux per default erstmal gar nichts zwischen Netzwerken.
 
xammu schrieb:
Desweiteren routet ein Linux per default erstmal gar nichts zwischen Netzwerken.
Wie kommst du darauf? Sobald iptables FORWARD auf default accept steht und IP-Forwarding aktiv ist, routet Linux gnadenlos alle verbundenen lokalen Netzwerke. Da es nicht das eine Linux gibt, kann man also gar nicht sagen ob das out-of-the-box aktiv ist oder nicht. Eine Firewall-Distribution wird zB immer IP-Forwarding aktiv haben - das ist ja der Sinn der Sache - aber im Gegenzug (hoffentlich) die FORWARD Chain auf default drop stehen haben. Das muss man aber in jedem Fall prüfen und darf bei sicherheitskritischen Szenarien wie im vorliegenden Fall niemals als Standard vorausgesetzt werden!



k0ntr schrieb:
Es geht hier nicht nur um das "Labor", sondern um die verseuchten Daten, auch Backups etc. Da will man sicher gehen, dass man nicht z.B. 2 Wochen zurück geht und sehr viele Daten "verliert".
Das wiederum ist eine Frage der Backup-Strategie. Es kristallisiert sich mehr und mehr ein XY-Problem heraus. Wenn man nur alle 2 Wochen Backups macht, wichtige Daten hingegen täglich verändert werden, ist die Backupstrategie schlicht und ergreifend untauglich.

Hochveränderliche Daten, die mittels Backup geschützt werden sollen, müssen der Veränderlichkeit entsprechend häufiger gesichert werden - zB täglich. Das letzte Backup darf immer nur so alt sein wie ein Verlust der seitdem vorgenommenen Änderungen verkraftbar ist. Sind 2 Wochen der Supergau, 1 Woche ein großes Problem, 3 Tage unangehm, 1 Tag aber vertretbar, dann ist es eben 1 Tag. Ist die Datei stündlich wichtig, muss sie eben noch häufiger gesichert werden.

Man muss auch nicht zwingend immer Vollbackups machen, dafür gibt es neben anderen Strategien den Klassiker, das Generationenprinzip. Beispielsweise wöchentlich ein Vollbackup und täglich inkrementelle oder differentielle Backups, die deutlich kleiner sind als das Vollbackup, weil sie nur veränderte Daten enthalten. Je nach Bedarf an Historie behält man zB stets die letzten x Vollbackups.


Das Ding ist einfach, dass du Malware oder auch ganz allgemein kaputte Daten durch keinen Sicherheitsmechanismus dieser Welt sicherstellen kannst. Sobald beim Speichern einer Datei irgendwas schiefgeht wie zB Stromausfall, defekte Speicherzelle auf der SSD oder was weiß ich, ist die Datei defekt - im schlimmsten Fall irreperabel. Da hilft dir der beste Virenscanner und der beste Fileserver und die beste Firewall nichts, wenn das Backup dieser Datei dann 2 Wochen alt ist.....................

Also: Häufigere Backups und nicht eine falsche Backupstrategie mit Pseudo-Sicherheitsmaßnahmen ausgleichen wollen, die das aber gar nicht leisten können!
 
  • Gefällt mir
Reaktionen: AB´solut SiD
Tägliche Backups mit einem offline Backup das vor krypto Trojanern schützt kann ich mir gerade irgendwie nicht vorstellen
 
Virenscanner sind den Viren immer einen Schritt hinterher. Wenn du das Pech hast, dir sehr neue Malware einzufangen, bringt dir ein Virenscanner rein gar nichts und deine Daten sind im Eimer.

Der einzig zuverlässige Schutz gegen zerstörte, gelöschte oder verschlüsselte Daten sind Backups, weil man im Zweifelsfalle eben aus dem Backup wiederherstellen kann. Virenscanner sind dadurch natürlich nicht sinnlos und sollten parallel zum Einsatz kommen, um den Fall der Fälle zu vermeiden, sozusagen als erste Verteidigungslinie. Sobald etwas durchrutscht, bleibt aber nur das ausreichend aktuelle Backup, die letzte und wichtigste Verteidigungslinie.
 
Zurück
Oben