Netzwerksicherheit in Fertigungshallen

Hi

Ich wollte nachfragen wie Ihr das seht.
LAN gegen WLAN in Werk- / Produktionshallen mit Publikumsverkehr ...
Sind nicht benutzte Netzwerkdosen nicht auch eine Gefahrenquelle ?

Kosten und Administrativen Aufwand ?
Betriebssicherheit, Störsicherheit, Verfügbarkeit, Bandbreite ...
Wie seht Ihr das ?


MfG
Andy

Der Beitrag wurde von Andy742000 bearbeitet: 25.01.2016, 11:37 Uhr

Ich kenne von einigen Firmen, daß zwei verschlüsselte WLAN Zugänge existieren. Der Mitarbeiterzugang ist ausgewählten Mitarbeitern vorbehalten. Der Gastzugang ist auf Email-Abruf und ausgewählte Internetadressen beschränkt. Gäste müssen sich also ähnlich wie im Hotel mit einem Zugangsschlüssel anmelden.
Maschinen, PC's und Geräte die über LAN angeschlossen werden, müssen über die MAC-Adresse vom ADMIN freigegeben werden.
Dann sind ungenutzte LAN-Dosen kein Problem.
In einer Firma werden ungenutzte Dosen sogar zusätzlich vom Patch getrennt.

Der Beitrag wurde von guest bearbeitet: 25.01.2016, 11:50 Uhr

Am besten ist ein MAC-Adressenfilter, alles andere ist zu hoher Aufwand.

Hallo, wir machen das so wie guest das beschrieben hat.
Nicht benutze Dosen werden zusätzlich vom Patch getrennt.
Freigaben über über MAC und natürlich noch Domänenanmeldung der User.

mfG macmaddog

@Kesh
Welche Sicherheit bietet der MAC - Adressenfilter ? Für LAN / WLAN zentral oder dezentral Organisiert ?
MfG
Andy

Über die MAC-Adresse ist eine eindeutige Identifizierung der Netzwerkkarte des Gerätes möglich.

eine MAC Adresse läst sicher aber sehr leicht ändern! das ist kein 100% sichere sachen =)

Die MAC-Adresse lässt sich nicht ganz so einfach ändern. Es gibt zwar tools mit denen das möglich ist aber je nach software geht das schief weil mac-adresse und Hardware ID des Computers verwendet werden somit bringt es nichts die MAC zu verändern. Acronis hat Produkte auf dem Markt die auf die MAC-Adresse gebunden werden.
Wenn man davon aus geht das jemand die MAC ändert, könnte derjenige auch einfach das WLAN hacken, dafür gibt es ja bekanntlich diverse Tools.

Es ist sehr wichtig einen richtigen Router/Switch zu verwenden, viele nutzen ja die beliebte Fritzbox, Unternehmen würde ich eher zu Cisco raten. Kostet zwar eine Stange mehr Geld aber der komplette Datenverkehr lässt sich filtern. Somit ist es sehr leicht zu überwachen was die Schäfchen machen.

Wenn du richtig sicher sein willst must du zu secunet.

@Kesh solange du keine Profi Hardware verwendet, kannst du mit div. Tools fest jede Netzwerk Karte ala Onboard faken. Klappt nicht immer aber meistens. Bei Prof. Hardwaren wie von Intel oder Atheros ist dieser SW Fake sogar vorgesehen.
Und dann helfen nur "Managmend" Switches auf tieferen OSI Ebenen wo Ports auch MAC tw. sogar mit Kabellängenauswertung zugewiesen werden können.
Aber ein MAC Filter ? Was soll der Filtern ?

@Kesh solange du keine Profi Hardware verwendet, kannst du mit div. Tools fest jede Netzwerk Karte ala Onboard faken. Klappt nicht immer aber meistens. Bei Prof. Hardwaren wie von Intel oder Atheros ist dieser SW Fake sogar vorgesehen.
Und dann helfen nur "Managmend" Switches auf tieferen OSI Ebenen wo Ports auch MAC tw. sogar mit Kabellängenauswertung zugewiesen werden können.
Aber ein MAC Filter ? Was soll der Filtern ?

Themen- Start neu !

Netzwerksicherheit in einer Werkhalle mit Publikumsverkehr...

Bitte keine Diskussionen mehr über MAC Adressen und deren Absicherung !

Wie / Wo trennt Ihr wirklich wie "guest" angesprochen "Gastzugriffe", von allem anderen ?

Zugriffe der Internen PC / Terminals aufs INET !!!

Trennung der firmeninternen Daten , Sicherheit bezüglich lokaler Zugriffe sowohl aufs INET ( E- Mail ) wie auch auf Prozess Daten ...

Die Frage hat einen ernsten Hintergrund, und bitte keine Kindergarten-" Aussagen" aus der Kathegorie "Ich mal was gehört von... " mehr !!!

Ich danke euch allen für eure Posts...

MFG

Und nen angenehmen Feierabend für die, die jetzt schon zu Hause sind, und allen die noch müssen, ne ruhige Schicht !

Andy

Das kann sogar meine Fritz!Box. Der "Gast" darf lediglich die Internetverbindung nutzen. (Internetanwendungen beschränken: Nur Surfen und Mailen erlaubt)
Ein Zugriff durch den Gast auf das "interne" Netzwerk ist laut Fritz! ausgeschlossen.
Ich habe mehrere "private" Netze hinter der Firewall eingerichtet.
Mit einem IP-Scanner kann ich zwar alle Geräte sehen, aber (fast) alle sind durch Benutzer und Kennwort geschützt.
Ungeschützt, aber dafür im privaten Netz, ohne Internetzugriff werkelt meine "Mach3" vor sich hin.
Die beiden Rechner, die via Netzwerk damit verbunden sind, haben eine zweite LAN-Schnittstelle, die ausschließlich dafür genutzt wird.
Dieses Netz wäre also nur über einen der beiden Rechner zu hacken.
NAS-Server und andere Geräte sind wieder relativ offen aber nur für bestimmte Personen (Name/Passwort) an festgelegten Geräten (IP, MAC und Hardwarekennung) zugänglich.
Der NAS-Server der Fritz!Box ist auch mit einem gültigen Anmeldekonto aus dem Internet erreichbar.

guest bitte

FRITZ!

Was man sieht ist angreifbar !

Ende dieser Diskussion auf der Ebene ! Danke

Thread "Netzwerksicherheit von innen für Industrie mit LAN / WLAN mit Publikumsverkehr !"

Andy


Der Beitrag wurde von Andy742000 bearbeitet: 25.01.2016, 21:23 Uhr

Vielleicht wendest du dich mal an Blue Coat. Die haben da was schönes.

Hallo,

Das ist eine Grundsatz Diskussion.
ala
Habe eine Firewall bin geschützt,
Habe einen Virenscanner bin geschützt,
verwende eh Apple, Linux da gibt es sowas nicht

die Sicherheit was dargestellt wird ist nur Illusionärisch

Ich sage NICHT das dies nicht hilft das sind lediglich Barrieren.
jeder der es darauf anlegt kommt in jedes System hinein.

mfg Peter

Ich habe gestern einen interessanten Artikel zur Netzwerksicherheit gelesen.
Fazit des Artikels: Sicherheit in einem Netzwerk lässt sich nur subjektiv realisieren. Selbst Hardware hat Backdoors, die auch Hacker und Geheimdienste nutzen können und dies auch tun.
Wirkliche Sicherheit bietet also nur physische Isolation.
Für die ungenutzte Dose in der Halle gilt also: Abstöpseln.
Für den Datenverkehr mit sensiblen Daten ist der wirksamste Schutz eine aufwändige Verschlüsselung und eine authentifizierte (Zertifikate) Anmeldung mit möglichst häufigem Wechsel der Zugangspasswörter. Aber auch das lässt sich knacken.
Die größte Schwachstelle ist immer der USER. Und diese Schwachstelle nutzen Hacker am liebsten.
Die Administratoren können nur immer wieder neue Hürden aufstellen. Die Tür im Netzwerk steht für ambitionierte Hacker aber immer mindestens einen Spalt offen.

Hallo

Nach den Diskussionen von Gestern, passiert hier leider nicht mehr all zu viel.

Nach meinen Ansätzen bis jetzt würde ich das wie folgt aufbauen.
-> INET Zugang der Firma -> Router mit Firewall aufgeteilt auf 2 Netzwerkkreise

1. Kreis mit Firewall, Portsperren und Traficmanagment getrennte Leitungen zu den WLAN Umsetzern für die Gastzugänge
2. Kreis mit Firewall und Zugriffskontrolle, Server für Mail und Intranet, Zugangskontrolle auf OSI 3 Ebene mit entsprechenden höherwertigeren Switchen, Zugangskontrolle auf Bildschirmarbeitsplätze via Benutzerauthentifizierung, nicht benötigte / belegte = Frei Netzwerkdosen werden auf Switchebende abgeschatet

Antivren oder sonstige Sicherheitssoftware lasse ich mal aussen vor

MFG

Andy

Der "Gastzugang" zum WLAN ist normalerweise nichts anderes als ein Hotspot. Der wird normalerweise vom Router vor der Firewall zur Verfügung gestellt und hat mit dem Intranet gar keine Verbindung. Er stellt nur eine Verbindung Gast - Internet her.
Der Gast hat ja auch nichts im Firmennetzwerk verloren.

Außendienstler haben wie alle anderen Mitarbeiter ein User-Konto mit dem sie sich im Firmennetz anmelden.

Wenn man seine "anfälligen" Geräte und Maschinen wirksam vom Internet abschotten will, kann die Lösung nur ein "privates" Netz sein.
PC's von Verwaltung und Fertigung, die auch im Internet unterwegs sein müssen, sind im "Firmennetzwerk" hinter der Firewall.

Server, und Maschinen bekommen nach Zugehörigkeit einzelne "private Netze". So kann der Administrator relativ leicht die persönlichen Freigaben steuern. Die privaten Netze können auch eine physisch vom "Firmennetzwerk" getrennte Topologie haben. Dann ist natürlich eine zweite Netzwerkkarte für die "Produktions-Rechner" nötig. Der Kabel-Aufwand ist dann auch etwas größer.

Nur so zur Anregung:
 Topologie.png ( 64.87KB ) Anzahl der Downloads: 29


Allgemeine Tricks und Kniffe wird kein Admin preisgeben. es wäre ja auch der Schlüssel für "sein" System.