Am 19.02.2014 15:13, schrieb
bohnstin...@gmail.com:
> Es geht um ein Netzwerk in dem sensible Daten übertragen werden
> sollen.
Sensible Daten überträgt man besser nur über verschlüsselte
Verbindungen. Das bedeutet z.b. HTTPS, Kerberos, IPSEC, VPN und das
evtl. noch mit Zertifikaten und einer CA. Ggf. auch PGP
> Es werden so zirka 40 Rechner im Netzwerk sein. Wie kann man einen
> Datenverlust durch einbringen eines fremden Rechners verhindern?
Gar nicht. Du kannst nur versuchen es dem Angreifer so schwer wie
möglich zu machen. Die Abwägung ist lokal zu treffen. WER sind mögliche
Angreifer und wie viel Aufwand will man betreiben (und bezahlen) um es
ihnen schwer zu machen. Nicht zu vergessen ist das unzufriedene
Angestellte hier auch ein Sicherheits-Risiko sein können. Sprich:
Insider-Job!
Wenn nur Gelegenheit-diebstahl zu befürchten ist, lohnen sich keine
teuren Investitionen.
Wenn die Daten Betriebs-wichtig oder besonders schützenswert
(patienten-daten o.a.) dann gibt es sicher eh Vorschriften die zu
beachten sind. Und Haftungsfragen bei Nichtbeachtung.
Und wenn sie so wertvoll sind das man Werksspionage oder die NSA
befürchtet dann wirds meist richtig teuer. Die Profis könnten vermutlich
selbst aus einem geschirmten Netzwerk-Kabel auf x meter Distanz noch
daten extrahieren. Da sollte man evtl. besser eine Fachfirma (nein,
nicht die NSA :) beauftragen.
> Annahme es sind alle IPs in einem Bereich vergeben. Also auf diesem
> Wege geht mal nichts. Aber wie kann ich verhindern, dass jemand einen
> Rechner ab und einen neuen mit einer gefälschten MAC ansteckt und
> Daten mitliest? Wüsstest du da eine Lösung?
Viel ist ja schon geschrieben worden hier. Der DHCP-Server verhindert
nicht das jemand einen Host einfach manuell mit einer passenden IP in
dein Netz hängt. Wenn die IP nicht in dessen Bereich liegt und/oder
nicht benutzt wird fällt es nicht auf. Außer du installierst dir
'arpwatch' auf dem host mit dem DHCP-Server. Der prüft dessen arp-liste
und kann Alarm (auch per mail) schlagen wenn eine MAC neu ist, wenn sie
an und wieder aus geht u.a.
Das hilft aber nur wenn der Datenpakete des Hosts mit der neuen IP oder
MAC auch gelegentlich mal den Host mit arpwatch/dhcpd erreichen. In
einem Geswitchten Netz und manuell konfiguriert kann das auch NIE sein.
Ideale Position ist hier das gateway ins Internet. Dort kommen die
meisten irgendwann vorbei und dort sitzt idealerweise auch der dhcpd -
und arpwatch.
Wenn der angreifer nicht ins internet kommuniziert, hilft es aber auch
nichts. Und das hilft immer noch nur eher gegen angestellte und spielkinder.
Mehr Sicherheit geht m.W. auch nur mit einem managebaren Switch und
einem Radius-Server. Dann muss sich jeder PC erstmal am Switchport
anmelden und der bekommt vom Radius die freigabe in welches VLAN er
gehört - und ggf. welche anderen Ressourcen er noch erreichen darf.
Man kann und *sollte* dann danach außerdem immer noch verschlüsselte
Verbindungen benutzen. Wenn ein Insider zugriff zum Radius-Server hat
hilft das aber auch nichts. Gibt es einen Serverraum mit
Zutrittskontrolle in dem auch die Netzwerk-Hardware steht?
Kay