Präsentations-PC mit offenem LAN/WLAN und Firmen LAN

[h00bi]

Hallo zusammen,

ich möchte einen Präsentations-PC für ein Besprechungszimmer einrichten. Dabei soll sowohl Zugang zum Firmennetzwerk (Domäne) als auch zum "freien" Gäste LAN / WLAN möglich sein, jedoch niemals gleichzeitig. Es soll nur 1 PC werden, 1 Anzeige und 1 Satz Eingabegeräte.

Nun stellt sich die Frage wie ich das am besten trennen kann. Mein erster Gedanke war den PC ans freie LAN zu hängen über VPN und Citrix (hosted apps) die Verbindung zur Domäne herzustellen. Das macht es allerdings etwas unkomfortabel und langsamer.

Zweite Idee: Script um Netzwerkverbindungen zu wechseln. Ist natürlich für Domainzugriffe unvorteilhaft, weil die Benutzeranmeldung nicht passt.

Die dritte Idee ist ein Dual Boot System und in jedem Betriebssystem nur eine Netzwerkverbindung. So hätte ich automatisch getrennte Benutzeranmeldungen und getrennte Netzwerke. Hat natürlich den Nachteil dass bei einem Wechsel neu gestartet werden muss.

Was würdet ihr in diesem Fall einsetzen?

 

[=DarkEagle=]

Für eine saubere Trennung würde ich ein Dualbootsystem aufsetzen.

 

[Bisumaruku]

Die Sicherste Variante ist eine physikalische Trennung!

Bei dem DualBoot System gehe ich mal davon aus das 2 Netzwerkkarten verbaut sein sollen und beide per Kabel verbunden bleiben und das über Windows gesteuert wird (den entsprechenden LAN Adapter deaktivieren/löschen etc).
Wenn man es genau nimmt ist das relativ riskant. Wenn es jemand mutwillig drauf anlegt genau diese Verbindung zu "hacken", dann schafft er das auch ohne das Windows läuft.

Um absolut sicher zu gehen, dann 2 PCs mit KVM Switch oder mit zwei verschlüsselten WLANs arbeiten.

 

[firexs]

ne braumeister. 1 Lankarte. Boot System 1: Ip vergeben und eingerichtet. Boot System 2: IP fest eingestellt auf zb. 127.0.0.1.

Ohne Administrative Rechte keine Änderung möglich.

lg
fire

 

[Bisumaruku]

Ähm...denk noch mal drüber nach! Wie willst du in 2 physikalisch unterschiedliche Netze kommen mit einer einzigen Netzwerkkarte und ohne das Kabel zu wechseln? Stell ich mir etwas schwierig vor! ;-)

Und wenn es 2 Karten sind und die beide verbunden sind hast du eine Brücke!

 

[firexs]

Nö, du bist von 2 Karten ausgegangen, der TE nicht. Und was der TE vorhat ist auch kein Problem und machbar. Und den einzigen Nachteil hat der TE auch schon genannt. Zum wechseln, System neustarten und das andere auswählen.

lg
fire

 

[Bisumaruku]

Das haut doch von der Logik gar nicht hin!

Wie willst du denn über eine Netzwerkkarte mit einem Kabel an 2 unterschiedliche LAN-Umgebungen dran kommen? Das macht weder Sinn, noch ist es umsetzbar. In dem Moment wo du irgendwo die beiden LANs verbindest, hast du eine Brücke zwischen dem freien LAN und dem Firmen LAN. Es spielt dabei keine Rolle ob es sich dabei um LAN oder WLAN handelt.

Beispiel:
1. Netz ist das "freie", welches per WLAN angeboten wird.
2. Netz ist das "Firmen" LAN, welches per Kabel angebunden wird.
Nun hast du einen PC mit LAN- und WLAN-Adapter. Wenn du in das 1. OS bootest, wo das WLAN nicht konfiguriert ist und du ins "Firmen" LAN möchtest, dann ist alles in Ordnung. Jetzt möchte er in das WLAN und bootet den PC in das 2. OS wo das WLAN konfiguriert ist. In dem Moment wo die WLAN-Verbindung steht, hast du die Brücke gebaut, es sei denn du entfernst das Netzwerkkabel physikalisch!
Es spielt keine Rolle wie unter Windows der LAN-Adapter konfiguriert ist. Ob nun feste IP auf 127.0.0.1 oder den Adapter deaktiviert. Völlig egal, die Brücke ist auf der physikalischen Schicht hergestellt.

Das hat was mit dem ISO/OSI Modell und der Schicht 1 zu tun und ist für Firmen ein extrem gefährlicher Zustand! Nicht zu empfehlen!
Für Heimanwender weniger ein Problem, aber wenn Firmen im Spiel sind, sollten man vorsichtig sein.

 

[firexs]

Und am Ende steht nur 1 Router fürs Internet, dann ist deine Paranoia-Netzwerkgeschichte wieder für die Tonne, weils dann doch wieder Physikalisch ein Haufen ist.
Der TE möchte doch nur, das nicht beide Netze gleichzeitig möglich sind.
1. System eingerichtet mit Domänenanmeldung und IP ab ins Firmennetz,
2. System eingerichtet mit einem anderen Netzwerkkreis, zb zur DMZ, per Lan/Wlan und ab ins Internet. Nur Benutzer.

Den User möcht ich sehen, der dann ins Firmennetz kommt. Und selbst wenn es dann ein Profi-Hacker sein sollte, dann ists auch wurscht, ob der über ein Gäste-Netzwerk reinkommt, oder gleich auf die Domäne losgeht.

lg
fire

edit: Schicht1 - Physikalisch - Aushandlung der Übertragungsmedien und -verfahren, ABER kein Übertragungsmedium.

 

[Bisumaruku]

Hat nix Paranoia zu tun sondern mit sauberer und vernünftiger Arbeit, aber mach du mal Quick&Dirty!

edit: Schicht1 - Physikalisch - Aushandlung der Übertragungsmedien und -verfahren, ABER kein Übertragungsmedium.

Schicht 1 bis 3 sind Hubs, Repater, Switche und Router

 

[firexs]

Nix Quick&Dirty Nehmen wir mal ein Hotel mit Wlan für Gäste und dem Buchungs-PC beim Empfang. Die werden definitiv nicht mit getrennten (physikalischen) Netzen arbeiten. Und das ist dann ja, laut deiner Aussage, gefährlich, unprofessionell, usw.

Aber nochmal: mit einem richtig eingerichteten Gäste-Netzwerk kommst du auf normalen Wege NICHT an die Firmendomain. Dieses Gerede über "Eine Leitung = Gefährlich" wäre auch der nächste Schaltkasten an der Strassenecke.

Und deine Schicht 1 kannste auch knicken, wenn zB. Switche eingesetzt werden, die mit Schicht 2 arbeiten. Also Wumpe, wer dann auf Schicht 1 Bits durch die Leitung ballert, ohne Speicher-Exploits kommt man am Switch nicht vorbei.

lg
fire

 

[Bisumaruku]

Dann geh mal zu ner Fortbildung zum Thema "Netzwerksicherheit in Unternehmen"

 

[firexs]

Du meinst diese 'gesponserten', damit eine Sicherheitsfirma Ihre Software verticken kann?

Oder diese neue Sicherheit 'wir haben alle Daten in der Cloud, wo genau weiss eigentlich keiner' ...

Suggerierst dem TE, das mit 2 Leitungen alles besser ist. Aber das es immernoch nur 1 Präsentations-PC ist, ist in deiner 'Netzwerksicherheit' natürlich schnurz... Also entweder ganz oder gar nicht.

lg
fire