2 Netzwerke verbinden

[mac*berlin]

Hi,

Habe im büro ein gemischtes Sammelsurium von PCs. Mac und Windows.

Weiterhin bestehen zwei Netzwerke.

Das eine Netzwerk hängt hinterm Router und hat demnach Internetzugang.

Das zweite LAN besteht aus wenigen Rechnern mit einem speziellen Programm. Diese Rechner haben noch nie Internet gesehen außer zur produktregistrierung.

Nun soll das non-Inst.-LAN Zugriff zum inet-LAN bekommen.

Wie realisiere ich das am besten ohne die Sicherheit zu gefährden?

einfach beide Switch miteinander verbinden und bei den non-inet den dns und Gateway als ip weglassen? Reicht das um im LAN zu sein aber kein inet-Zugriff zu haben?

Gruß

Steffen

 

[Mai_Ke]

Welchen Sinn soll die Verbindung beider Netzwerke haben?

Man könnte die beiden Netzwerke ich zwei IP-Bereiche überführen (im gleichen Subnet) und dann in der Firewall einfach den einen Bereich für das Internet komplett sperren (in & out). Setzt aber voraus, dass die Firewall das unterstützt.

Es bleibt dann aber weiterhin das Problem, dass Schadsoftware, die auf einem der Internet-PCs gelandet ist, sind im LAN ausbreiten kann.

 

[mac*berlin]

Soll den Sinn haben das dir ohne Internet PCs auf den Server im anderen LAN zugreifen kann.

Über die Schadsoftware - Geschichte hab ich auch schon nachgedacht.

 

[Mai_Ke]

Über die schassiertest Geschichte hab ich auch schon nachgedacht.

Schreibst Du auf dem EierPad oder EierPhone mit Autovervollständigen?

 

[mac*berlin]

Schreibst Du auf dem EierPad oder EierPhone mit Autovervollständigen?

sorry. eben hatte ich noch das iphone in den flossen. werd es gleich korrigieren.

 

[Mai_Ke]

Jetzt kann ich einen Sinn im Satz erkennen ;-)

Du hast nix über das verfügbare Budget geschrieben und ob sich jemand mit Netzwerk-/Firewallkonfiguration auskennt.

Es gibt Hardwarefirewalls mit Virenscanner, die auch den Traffic zwischen den unterschiedlichen LAN-Ports scannen. Somit hätte man einen grundlegenden Schutz innerhalb des Netzwerks zwischen den Internet-Rechnern und dem Rest. Firewalls in der Preisklasse bieten auch alle nötigen Einstellmöglichkeiten, um Rechner, bzw. IP-Bereiche gezielt vom Internet fern zu halten

 

[mac*berlin]

Jetzt kann ich einen Sinn im Satz erkennen ;-)

Du hast nix über das verfügbare Budget geschrieben und ob sich jemand mit Netzwerk-/Firewallkonfiguration auskennt.

Es gibt Hardwarefirewalls mit Virenscanner, die auch den Traffic zwischen den unterschiedlichen LAN-Ports scannen. Somit hätte man einen grundlegenden Schutz innerhalb des Netzwerks zwischen den Internet-Rechnern und dem Rest. Firewalls in der Preisklasse bieten auch alle nötigen Einstellmöglichkeiten, um Rechner, bzw. IP-Bereiche gezielt vom Internet fern zu halten

Du hast nichts zum Budget geschrieben bzw. gefragt!

Ich kenn mich schon ein bissel mit Hardware aus.

Als Router ist ein One20 im Einsatz welcher von der QSC AG gestellt wurde.

Diese hardwarefirewalls werden vor dem Switch des non-iNet geklemmt?

Hst du eine Idee für solch ein gerät?

 

[Mai_Ke]

Ich hab hier ein Zyxel USG100 mit Kaspersky laufen und bin mit der Performance sehr zufrieden. Nebenbei bietet die Kiste noch Zugriffsmöglichkeiten von außen (VPN, SSL-VPN) und ein paar andere nette Features. Nachteil ist der Preis, der mit der Lizenz für den Virenscanner irgendwo >500 Geld liegen dürfte.

Die Firewall hängt bei mir hinter dem DSL-Modem und erfüllt neben den Funktionen der Firewall auch die eines Routers, DHCP-Servers und WLAN Accesspoints.

Für Deine Anwendung könnte man die beiden Netze jeweils an einen LAN-Port der Firewall hängen und per Firewall-Regeln / Portforwarding den Zugriff im Detail regeln.

Um nicht alles auf Zyxel zu fokussieren: Watchguard und Juniper bieten ähnliche Lösungen an...

 

[mac*berlin]

Hmpf da ist die Frage ob sich das dann lohnt.

Meinst nicht das es ausreichend ist, wenn alle übrigen Windows PCs mit iNet mit kaspersky laufen dann dürfte doch nichts inslan eingespeist werden.

Oder ist diese vermutung zu wage?

 

[Mai_Ke]

Auch Macs können die Quelle für Schädlinge sein, indem sie infizierte Daten weitergeben Wenn alle Rechner in einem Netz hängen, müssen alle Client sauber sein, ansonsten ist das komplette Netz unsicher. Wenn die Firewall eine Trennstelle zwischen den Netzen darstellt, hast Du dort einen relativ sicheren und einfach zu kontrollierenden Übergang. Somit wirkt sich eine Infektion eines Internet-Rechners nicht automatisch auf den zweiten Teil des Netzes aus...

Ist natürlich immer eine Kosten-Nutzenrechnung, bei der am Ende Du abschätzen musst, welches Risiko erträglich ist und ab wann man in andere Hardware investieren muss

 

[ylf]

Du kannst doch beide Netze einfach mit einem Router verbinden. Dann haben die Non-Internet-PCs Zugriff auf das andere LAN, umgekehrt jedoch nicht. Allerdings hätten dann die Non-Internet-PCs doch Internetzugriff, den man aber durch entsprechende Router-Konfigurationen unterbinden könnte.

 

[mac*berlin]

Du kannst doch beide Netze einfach mit einem Router verbinden. Dann haben die Non-Internet-PCs Zugriff auf das andere LAN, umgekehrt jedoch nicht. Allerdings hätten dann die Non-Internet-PCs doch Internetzugriff, den man aber durch entsprechende Router-Konfigurationen unterbinden könnte.

Das hab ich mir ja so gedacht wobei ich nicht genau weiß ob es die beste Lösung ist. Das dumme dazu ist auch das ich den Router nicht selbst konfigurieren kann da dieser von qsc administriert wird.

Eventuell sollt ich mir doch nen eigenen router kaufen um dann entsprechende Ips zu sperren. Richtig?

 

[Mai_Ke]

Ein Router für ein Firmennetzwerk, der per Fernwartung vom ISP kontrolliert wird

Dann bin ich mit meinen Ansätzen bezüglich Netzwerksicherheit natürlich total oversized

 

[mac*berlin]

Bisher hab ich mir da nie so Gedanken gemacht bis ich letztens an der Tür kratzen musste um ip weiterleitungen einrichten zu lassen.

Das ist mir schon irgendwie komisch ....

Würde denn ein Router mit anständiger Firewall ausreichen für mein vorhaben?

Wenn ja hast du nen Tipp für ein gerät? Ist da Cisco oder Netgear gut?

 

[Jokin1975]

Wenn die beiden Netzwerke lediglich logisch getrennt sind und nicht physikalisch, dann reicht es dem Server ein zweites Netzwerkinterface zu spendieren mit der Konfiguration des zweiten Non-Internet-Netzwerks.

Das ist vielleicht sogar die einfachste Möglichkeit. Womöglich hat der Server sowieso schon zwei oder mehr Interfaces ...

Gruß, Frank

 

[mac*berlin]

Bei dem Server handelt es sich um eine Synology Diskstation, welche leider nur eine LAN Schnittstelle hat.