VonDoczuDoc.de

wahnfried hat geschrieben:

Lazarus hat geschrieben:@ wahnfried
wir haben es mit dem Praxisnetz unter XP folgendermaßen gelöst:
Praxis Intranet: Eigene IP (z.B. 10.0.0.0) ohne Gateway.
Internetfähige Rechner: 2. Netzwerkkarte, eigenes LAN-Kabel, andere IP (192.168.x.x). Diese gehen dann separiert ins Internet ohne über das Praxisnetz zu benutzen.
Eine Zeitlang hatte ein Rechner noch eine 3. Karte für das safenet, doch da gab´s Probleme mit den 2 Gateways ( eine Karte musste immer abgeschaltet werden....)
Mittlerweile haben wir allerdings alle Rechner auf Win7Pro umgestellt, die zwei unterschiedlichen Netzwerke haben wir beibehalten.
Grüße

Ja, so dachte ich es als möglich unter regulär sicherheits-upgedatetem XP.
Nach Ende der "kleinWeich"-Updates für XP dann aber die Separation in einen Linux-Rechner und einen virtuellen XP-Rechner (oder umgekehrt), die dann jeweils nur eine der NW-Karten zugewiesen bekommen.

Preisfrage wäre, ob diese Separation gut genug ist, um vom Internet per Linux-Maschine das davon virtuell getrennte XP ungeschoren zu lassen, selbst falllls mal jemand es schaffen sollte, sich trotz Linux-Basis in den PC einzuklinken. Dass da noch eine virtuelle Maschine läuft, würde der Hacker zwar vielleicht sehen (sofern virtualisiertes XP in Linux, aber wohl nicht bei virtualisiertem Internet-Linux in XP???), aber er könnte doch dort m.E. wirklich nicht ran?

So könnte man dann zwischen "Praxis-PC" und "Internet-Linux-PC" per Taskleiste hin- und her-wechseln.

Grüsse, Wahnfried

Wie oben geschrieben halte ich mehere Netzwerkkarten im selben physikalischen/logischen Rechner für sinnlos.
Trennung in VM / phys. Maschine ok - warum nicht. Techniken eine VM zu erkennen gibts durchaus. Ausbrechen kann man theoretisch auch - d.h. man sollte auch die Virtualisierungssoftware aktuell halten.
Allerdings: wenn die VM + die phys. Maschine auf dem selben Switch hängen könnte man wohl auch auf die anderen Maschinen/Netz kommen. Es ist na nur eine logische Trennung, d.h. ich könnte mir einfach zusätzliche eine passende IP geben und das wars.

Die Diskussion erscheint mir ein müssiggängiger Zeitvertreib für PcFreaks zu sein
Das Pentagon ist nicht sicher, der Kremel ist nicht sicher, die NSA ist nicht sicher, noch nicht einmal die Kanzlerin ist sicher.
Ich bin Arzt und kein Computerfreak. Es ist eben so wie es ist, wir benutzen das was es gibt und fertig. Sicher ist da gar nichts. Ich muß doch nicht ernsthaft irgendwelche Verrenkungen mit Lunix Ibunti oder wie auch immer diese Freaksoftware heisst machen um virensicher zu sein. Mir reicht schon die Grippe und der einfache Schnupfen im Geschäft. Ich benutze das neuste Windows System und solange das gesetzeskonform und kvkonform durchgeht, ist das gut, basta.
Einverstanden bin ich damit nicht. Ich hab´s nicht gewollt. Ich würde heute noch auf Zettel schmieren und die Akte im Karteischrank verschliessen, wo selbige verstaubt. Aber da kann man mich schlechter regressieren. Den Patienten ist das auch Wurscht, sonst gingen die auf die Barrikaden, tun die aber nicht.
Datability ist die Zukunft
JS

... wie recht Sie haben!!
Fakt ist aber leider, dass wir im Ernstfall die Beweislast und somit den Schwarzen Peter haben.
Und das ist dann gar nicht lustig.

Viele Grüße!
A. Geigenberger

habe heute von xp 32 prof auf ein noch vorhandenes vista 32 busi. upgedatet, lief problemlos, fehlende treiber wurden von vista nachinstalliert, Dauer ca. 3 stunden. die alten geräte ekg, ergo, etc laufen ohne probleme. Ob ich dann weiter update auf win 7 kann ich mir dann noch in ruhe überlegen

gruss

nmndoc hat geschrieben:
Wie oben geschrieben halte ich mehere Netzwerkkarten im selben physikalischen/logischen Rechner für sinnlos.

@mndoc
Es ging um die Trennung des Praxisnetzes 10.0.0.X vom Internet 192.168.X.X.
Wegen der unterschiedlichen Netze braucht man 2 Karten. Die 10.0.0.X Rechner kommen so nicht ins Internet.

Die kommerz. Lösungen bieten eine Anbindung des gesamten Netzwerkes an, irgendwie wird mir dabei unwohl...

RAMöller hat geschrieben:

nmndoc hat geschrieben: Wie oben geschrieben halte ich mehere Netzwerkkarten im selben physikalischen/logischen Rechner für sinnlos.

@mndoc
Es ging um die Trennung des Praxisnetzes 10.0.0.X vom Internet 192.168.X.X.
Wegen der unterschiedlichen Netze braucht man 2 Karten. Die 10.0.0.X Rechner kommen so nicht ins Internet.

Die kommerz. Lösungen bieten eine Anbindung des gesamten Netzwerkes an, irgendwie wird mir dabei unwohl...

wenn beiden Netzwerkkarten auch an getrennten Switches hängen, dann ja. Falls aber beide Kabel wieder im selben Switch landen, habe ich keine wirklich getrennten Netze (und könnte gleich auf die gleiche Karte mehrere Netze binden).
Aber selbst bei zwei physikalisch getrennten Netzen: wenn ich Rechner habe, die in beiden Netzen ein Interface haben (so habe ich das o.g. vertanden) - dann hebe ich die Trennung faktisch wieder auf - was ist dann da der Vorteil? Wenn sich einer der Rechner infiziert ist auch der Zugriff auf das Praxis-Netz möglich.
Da kann ich (besser) den Zugriff an meinem Gateway/Firewall steuern, dass nur bestimmte IPs nach außen dürfen - und ggf. nur zu bestimmtem Zielen (zB Labor, KV, ...)

nmndoc hat geschrieben:wenn beiden Netzwerkkarten auch an getrennten Switches hängen, dann ja. Falls aber beide Kabel wieder im selben Switch landen, habe ich keine wirklich getrennten Netze (und könnte gleich auf die gleiche Karte mehrere Netze binden).
Aber selbst bei zwei physikalisch getrennten Netzen: wenn ich Rechner habe, die in beiden Netzen ein Interface haben (so habe ich das o.g. vertanden) - dann hebe ich die Trennung faktisch wieder auf - was ist dann da der Vorteil? Wenn sich einer der Rechner infiziert ist auch der Zugriff auf das Praxis-Netz möglich.
Da kann ich (besser) den Zugriff an meinem Gateway/Firewall steuern, dass nur bestimmte IPs nach außen dürfen - und ggf. nur zu bestimmtem Zielen (zB Labor, KV, ...)

Wenn man mit einer zweiten Netzwerkkarte - mit völlig anderer IP - ins Internet geht, hat man den Vorteil, dass der Datenverkehr nicht über das Praxisnetz läuft. Am Praxisnetz hängen z.B. auch Drucker oder andere Geräte, die keine Firewall oder ähnliches haben. Auf dem Weg zum Zielrechner könnte etwas "hängen bleiben".

nmndoc hat geschrieben:wenn beiden Netzwerkkarten auch an getrennten Switches hängen, dann ja. Falls aber beide Kabel wieder im selben Switch landen, habe ich keine wirklich getrennten Netze (und könnte gleich auf die gleiche Karte mehrere Netze binden).
Aber selbst bei zwei physikalisch getrennten Netzen: wenn ich Rechner habe, die in beiden Netzen ein Interface haben (so habe ich das o.g. vertanden) - dann hebe ich die Trennung faktisch wieder auf - was ist dann da der Vorteil? Wenn sich einer der Rechner infiziert ist auch der Zugriff auf das Praxis-Netz möglich.
Da kann ich (besser) den Zugriff an meinem Gateway/Firewall steuern, dass nur bestimmte IPs nach außen dürfen - und ggf. nur zu bestimmtem Zielen (zB Labor, KV, ...)

Richtig.

RAMöller hat geschrieben:Wenn man mit einer zweiten Netzwerkkarte - mit völlig anderer IP - ins Internet geht, hat man den Vorteil, dass der Datenverkehr nicht über das Praxisnetz läuft.

Dieses Konstrukt ist nur an einem "Firewall-Rechner" sinnvoll, dessen Aufgabe es ist, das "Haupt"-LAN vom "Router/Modem"-LAN zu trennen. Bei einem Arbeitsplatz-Rechner, der durch die andere Karte mit dem "Haupt"-LAN (und allen darin befindlichen Geräten) verbunden ist, hat man schlußendlich keinerlei Sicherheitsgewinn.

RAMöller hat geschrieben:Am Praxisnetz hängen z.B. auch Drucker oder andere Geräte, die keine Firewall oder ähnliches haben. Auf dem Weg zum Zielrechner könnte etwas "hängen bleiben".

Falsch.
IP-Pakete haben keinen eigenen Willen und kehren daher auch nicht statt am Ziel-PC mal eben kurz im Drucker ein.
Irgendwelche Infektionen/Angriffe von/auf Netzwerkdrucker(n) und Co. setzen normalwerweise immer die Mithilfe eines internen Rechners/Benutzers voraus. Sei es a) durch auf einem infizierten Rechner laufende Schadsoftware oder b) z.B. durch Ausdruck einer infizierten Datei oder c) durch beim Surfen eingefangenes Viechzeugs usw.

McLeod hat geschrieben:

nmndoc hat geschrieben:wenn beiden Netzwerkkarten auch an getrennten Switches hängen, dann ja. Falls aber beide Kabel wieder im selben Switch landen, habe ich keine wirklich getrennten Netze (und könnte gleich auf die gleiche Karte mehrere Netze binden).
Aber selbst bei zwei physikalisch getrennten Netzen: wenn ich Rechner habe, die in beiden Netzen ein Interface haben (so habe ich das o.g. vertanden) - dann hebe ich die Trennung faktisch wieder auf - was ist dann da der Vorteil? Wenn sich einer der Rechner infiziert ist auch der Zugriff auf das Praxis-Netz möglich.
Da kann ich (besser) den Zugriff an meinem Gateway/Firewall steuern, dass nur bestimmte IPs nach außen dürfen - und ggf. nur zu bestimmtem Zielen (zB Labor, KV, ...)

Richtig.

RAMöller hat geschrieben:Wenn man mit einer zweiten Netzwerkkarte - mit völlig anderer IP - ins Internet geht, hat man den Vorteil, dass der Datenverkehr nicht über das Praxisnetz läuft.

Dieses Konstrukt ist nur an einem "Firewall-Rechner" sinnvoll, dessen Aufgabe es ist, das "Haupt"-LAN vom "Router/Modem"-LAN zu trennen. Bei einem Arbeitsplatz-Rechner, der durch die andere Karte mit dem "Haupt"-LAN (und allen darin befindlichen Geräten) verbunden ist, hat man schlußendlich keinerlei Sicherheitsgewinn.

...dagegen sollte es m.E. keine Sicherheitsproblematik geben, wenn man z.B. für die Praxis-Arbeitsplatz-PC nur das LAN als Intranet ohne Verbindung zum Internet und mit deaktivierter Funknetzwerk-Verbindung aufbaut - und in einer VM mit (kleinem) Linux via Funknetzwerk NUR die WLAN-KArte anspricht, aber nicht die reguläre Netzwerkkarte.

Das nicht am Praxis-Netzwerk betriebene DSL-Modem fungiert dann als WLAN-Router für die VM's, in denen das Internet aufrufbar ist. Diese VM kann m.E. völlig abgeschottet sein vom Wirts-PC, man kann aber vom Praxis-Wirts-PC die im Hintergrund bereits aufgerufene VM mit dem Internet-Browser jederzeit in den Vordergrund der Anzeige holen.

Solch ein fertig vorbereitetes System per VirtualBox und Linux-ISO-Image als VM wurde vor 2 Jahren mal in der Zeitschrift "COM !" (4/2012) angeboten - Vergleichbares dürfte angesichts des XP-Endes vielleicht aktuell neu aufgelegt werden...

Ob der Wirts-PC dann Windows oder Linux hat ist unerheblich (das Installieren von Programmen ist unter Windows etwas einfacher...).

Da das Internet dann die Datenübertragung auf einem völlig getrennten Netzwerk durchführt, könnte auch ein XP- oder W2k-Rechner im Praxis-Netzwerk keinen Schaden anrichten.

Genau so kann man dann für irgendein "historisches" weiterzuverwendendes Gerät je nach Kompatibilität eine VM mit XP oder W2k laufen lassen - ohne Verbindung zum Internet.

Grüsse, Wahnfried