Home-Netzwerk und Internet trennen

[Gast haseflori]

Hallo Netzwerk-Spezialisten.....

 

es müsste nach meinem Verständnis doch möglich sein, durch den Einbau von 2 Netzwerkkarten in einem, nennen wir ihn mal "Internet-Rechner" eine sichere Trennung zwischen Internet und Heimnetz hinzubekommen.

Wenn die Karte zum Router z.B. auf das IP-Netzwerk 192.168.1.x eingestellt ist und der Router als Gateway 192.168.1.1 agiert. (Subnetmask immer 255.255.255.0)

Die andere Karte wird auf ein anderes IP-Netz (z.B. 192.168.10.x) eingestellt und alle anderen IP-Adressen der Komponenten im Heimnetz (Arbeitsrechner, Printserver, Boxen,...) werden in dieses IP-Netz gelegt. Auf diesen wird dann gar kein Gateway und auch kein DNS Server eingetragen.

Klar - dann kann nur der eine "Internet-PC" ins Internet (ggf. noch über WLAN ein Laptop über den Router). Das müsste doch eine sichere Trennung darstellen?

Hintergrund:

Ich mag keine Software, die klammheimlich im LAN irgendwelche Daten über eine bestehende IE-Verbindung irgendwo hinschickt. Und eine Firewall hilft da gar nix- wenn z.B. Fieslingssoftware den Explorer benutzt um eine Verbindung aufzubauen und über den dann unerlaubt persönliche Daten verschickt.

Nach meinem Wissen hab ich die sichere Trennung nur, wenn z.B. mein Arbeitsrechner gar keine direkte Verbindung zum IP-Netz mit Routerzugang hat.

Oder gibt es unter Windows XP eine einfache "logische Verbindung" zwischen 2 Netzwerkkarten (außer der Netzwerkbrücke - die installiere ich natürlich nicht )

Hat da jemand Erfahrung?

 

Danke schön

flo

[Bobbelsche]

Irgendwie verstehe ich den Sinn nicht. Ob der PC nun über die 1. oder 2. Netzwerkkarte eine Verbindung hat wäre dem Trojaner doch vollkommen egal! Was Du vorhast, wenn ich es richtig verstanden habe, ist echt unnötige Arbeit...

Und eine Firewall hilft sehr wohl. Bei "gescheiten" Firewalls werden Dateigrössen und eine Checksumme geprüft bevor die Verbindung erlaubt wird. Da fallen Unterschiede dann auf. Aber selbst wenn, alles lässt sich irgendwie überlisten und die Lösung mit 2 Netzwerkkarten sowieso, angenommen ein Trojaner müchte was versenden, dann macht er ne normale Winsock verbindung auf und schickt´s raus, Windows kümmert sich dann ganz von allein darum, dass es problemlos ins Internet geht. Und dass er den anderen PC über das andere Netz findet macht Windows auch ganz einfach. Da muss sich der Programmierer des Trojaners nicht mal Gedanken machen oder gar merken, dass 2 Karten drin sind...

Das einzige was du damit verhinderst ist, dass der 2. PC nicht mehr ins Internet kann, ALLES andere geht noch genau wie vorher

Gruß!

[Gast Lack]

Also soweit ich weiß ist das sehr wohl eine sichere Trennung wenn die zweite Karte in einem anderen IP-Bereich liegt.

Der Rechner kann dann nicht ins Internet und somit hat auch ein Trojaner keine Chance. Müsste schon ein Trojaner sein der eine Brücke baut oder die Internetverbindungsfreigabe aktiviert und solche Trojaner schreibt sicher kein Mensch weil das keine alltägliche Konfiguration ist. Da könnte ich genauso behaupten das keine softwaremäßige Firewall einen Schutz bietet, denn ein Trojaner könnte ja auch die Firewall deaktivieren - tatsächlich gibt es sowas sogar, aber wer macht sich bei einem Privatanwender schon die Mühe solch einen Aufwendigen Angriff zu starten.

Einen viel besseren Schutz bieten dann nur mehr Hardware-Firewalls, das ist aber sich vollkommen übertrieben - brauchen vielleicht Banken und Großkonzerne.

 

Ich würd sagen, das passt schon so wie das beschrieben wurde - ist sicher sicher genug.

[grave_digga]

Also ich seh das anders. Wenn er so wie oben beschrieben beide Netzwerkkarten in ein und demselben PC hat ist der PC selber die "Brücke". Er meint ja quasi 1 Karte für Intern und eine für extern. Damit hat er aber trotzdem keine Trennung. Wenn es ein Virus ist der sich übers Netz verbreitet ist alles möglich...

[Gast Handicap]

Na ja..

 

Also wenns ein Server ist geht das schon...Stichwort NAT

 

Grundsätzlich sollte das aber auch mit XP Prof gehen...

 

würde mal Google versuchen.

 

Gruß

 

Handi

[Gast Lack]

Virus könnte sich natürlich verbeiten wenn er da nicht aufpasst.

Aber es geht soviel ich sehen konnte darum dass Progs nicht auf Internet zugreifen können und das ist mit seiner Konfig quasi sichergestellt.

 

Ich hab übrigens auch 2 Netzkarten in meinem Rechner der direkt am Internet hängt. Auf diesem Rechner läuft NAT, daher können auch die anderen Rechner im privaten Netzwerk aufs Internet zugreifen. Von außen kommt man aber nur wegen NAT aber noch immer nicht auf die privaten Rechner, dazu muss noch zusätzlich zu NAT RRAS laufen (Softwarerouter).

 

Sobald ich allerdings NAT deaktiviere ist Sendepause, dann kommt nur mehr der PC mit den zwei Karten ins Netz, für die anderen Rechner ist da absolut kein Weg mehr offen, funktioniert bei mir wunderbar.

[Bobbelsche]

@Lack: Das meinte ich doch! Angenommen du hast einen 08/15 Wurm, der sich z.B. per Browserbug einschleust und im Netzwerk nach Shares sucht (macht ja heut zu tage eh fast jeder Trojaner/Wurm). Der Wurm kommt über NIC 1 auf den PC mit 2 NIC´s. Dann verbreitet er sich auf den anderen PC über NIC2 oder liest Dateien von da blah blah, dafür kann die 2. NIC einen total andere Konfiguration haben und ein anderes Netz sein, Kann dem Trojaner ja egal sein, im Windows netz ist der PC trotzdem.... Natrlich kann er dann vom 2. PC nicht mehr ins Internet, aber der Benutzer auch nicht. Also die Konfiguration ist irgendwie sinnlos finde ich. Das ist von "Sicherheit" mehr als weit entfernt. Da ist meiner Meinung nach die XP Firewall noch sicherer...

[Gast haseflori]

Zunächst mal danke für eure Anteilnahme.

Lack hat das schon richtig erkannt - es geht mir nicht darum, einen perfekten Trojanerschutz aufzubauen (was wohl eh nicht funzt). Mir geht es nur darum, daß Programme, die auf Rechnern im Heimnetzwerk installiert sind, nicht im Hintergrund heimlich irgendwelche Daten ins Internet absetzen.

Und das mit der "intelligenten" Firewall klappt hundertprozentig nicht, wenn z.B. der IE-Explorer für die Firewall freigeschaltet ist und eine Fies-Applikation genau diesen startet und per Parameterübergabe diesen benutzt um Daten rauszusenden. (Hab ich leider schon erleben müssen). Da stimmen alle Checksummen und trotzdem gehen ungewollt Daten raus.

Dass ich keine 100%ige Sicherheit im Heimnetzwerk haben werde, ist mir auch klar. Auf den Arbeitsrechnern im Heimnetzwerk würde ich eh einen manuell aktualisierbaren Virenschutz installieren.

Aber nach meinem Verständnis könnten auf diese Art Alle Programme, die basierend auf den Windows Netzwerkmechanismen (Namensauflösung, etc.) agieren, nicht mehr auf das Internet zugreifen, da ja auf dem Arbeitsrechner das IP-Netzwerk mit Internetzugang gar nicht erreichbar ist.

Ein Internet-Rechner mit nur einer Netzwerkkarte, der somit gar keine physikalische Verbindung zum Heimnetzwerk hat, wäre logischerweise die beste Lösung. - Nur könnte dann halt dieser Rechner keine gemeinsamen Komponenten des Heimnetzwerks (Printserver, Shares,...) mehr nutzen :-(

 

Ich denke ich werde mir die Mühe mal antun (schon aus technischer Neugier !)

 

Gruß

flo