2 NIC in 1 Rechner. Gefahr bei physikalischer Trennung?

11101001

11101001

Aktives Mitglied
Thread Starter
Dabei seit
27.03.2011
Beiträge
456
Reaktionspunkte
22
Hallo,

ein Gedankenspiel: Zwei Teilnetze werden in einem Unternehmen physikalisch getrennt voneinander betrieben. Jeder Arbeitsplatz hat folglich zwei Rechner. Nun möchte man aus Kostengründen nur noch einen Rechner je Arbeitsplatz mit 2 NICs betreiben. Anschluss an Layer3 Switch mit zwei Interfaces und getrennten VLAN mit MAC Zuordnung zum Interface am Switch.

Besteht dadurch die Gefahr, dass ein Rechner als "Bridge" fungiert und damit ungewollt die beiden getrennten Netze "verbindet"?
 
Interessantes Gedankenspiel, würde mich auch interessieren.

Gefahr bestünde wenn z.B ein NIC als Router konfiguriert wird - dann müsste ein Benutzer welcher sich auf den Rechner verbindet ein 2tes Netzwerk am Rechner sehen.

Werde meinen Professor in Netzwerk-Management dazu befragen, dürfte interessant werden mal am Netzwerk-Rack zu probieren. ^^
 
mrwho schrieb:
Gefahr bestünde wenn z.B ein NIC als Router konfiguriert wird
Zum Vergrößern anklicken....
Meinst Du das 1 Rechner als Gateway agiert? Nein das soll nicht der Fall sein. Rechner sind nur an Access Switch verbunden die dann über VLAN in andere Teilnetze weiterleiten.
 
11101001 schrieb:
Besteht dadurch die Gefahr, dass ein Rechner als "Bridge" fungiert und damit ungewollt die beiden getrennten Netze "verbindet"?
Zum Vergrößern anklicken....

Router wäre die richtige Bezeichnung. Wenn jmd. auf einem Rechner das Routing aktiviert kann man (bei entsprechenden Einträgen in die Routingtabelle) von einem Netz über diesen Rechner ins andere kommen. Genauso wenn auf diesem Rechner irgendwelche Software installiert wird die eine Portweiterleitung macht.
Wenn in einem Netz Viren oder sonstwas Unsinn treiben die sich übers Netzwerk verbreiten und einen auf einen Rechner gelangen der in beiden Netzten hängt werden diese auch in das andere Netz verbreitet.

Fazit: Eine echte Trennung der Netze ist nicht mehr gegeben.
 
roedert schrieb:
Wenn jmd. auf einem Rechner das Routing aktiviert kann man (bei entsprechenden Einträgen in die Routingtabelle) von einem Netz über diesen Rechner ins andere kommen. Genauso wenn auf diesem Rechner irgendwelche Software installiert wird die eine Portweiterleitung macht.
Wenn in einem Netz Viren oder sonstwas Unsinn treiben die sich übers Netzwerk verbreiten und einen auf einen Rechner gelangen der in beiden Netzten hängt werden diese auch in das andere Netz verbreitet.
Zum Vergrößern anklicken....
Nehmen wir an, dass die Administratoren alle Standardports dicht machen, statt dessen Ports > 1024 verwenden und verschiedene Sicherheitsmechanismen implementieren (http Proxy, Angestellte haben eingeschränkte Rechte am PC, SSL für IMAP und SMTP, Netzwerküberwachung etc pp.), dann sollte sich ja das potentielle Risiko im kleineren. bis mittleren Rahmen bewegen.

Aber ich sehe eben auch die Gefahr dass dadurch der Grundsatz der physikalischen Trennung verletzt wird...
 
naja ... vlan hopping gibts immer wieder mal ... galvanische trennung kann sinnvoll sein ... frage hier eher was der grund der trennung ist und ob eine rein logische trennung ausreicht ...
 
SirLockholmes schrieb:
... frage hier eher was der grund der trennung ist und ob eine rein logische trennung ausreicht ...
Zum Vergrößern anklicken....
Es gab eigentlich keinen Grund zur Trennung... War nur eine Überlegung meinerseits wie man so was realisieren könnte? Denkbare Gründe wären Verwaltungsnetze in Schulen, Kliniknetze oder Netz bei der Polizei... Was auch immer.
 
genau aus dem grund frage ich, für zwei deiner beispiele gibts es klare auflagen die es zu erfüllen gibt die zb galvanische trennung beinhalten, da kann es "logisch" so gut getrennt sein wie es will, bleibt irrelevant ...

in anderen umgebungen lässt sich vieles mit vlans und firewalls (auch transparente) regeln, nur in einigen bereichen reicht selbst dies eben nicht aus ...
 
Also wenn es zwei Netze gibt und jeder Arbeitsplatz zwei Rechner hat, dann würde ich solche Spielchen mit zwei NICs im Rechner lassen. Meine Erfahrung ist, so sicher wie die physische Trennung der Netze bekommt man es nicht hin. Ein zweite Erfahrung ist, irgendwie haben Hacker/Cracker ein Gespür für so etwas. BTW, andere Ports als die Standardports zubenutzen ist in meinen Augen vertane Zeit. Lieber sich auf den Hosenboden setzen und lernen, wie ein Dienst/System sicher konfiguriert wird.

Gruß B.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten