Homeoffice - Netzwerkkonfiguration damit die Firma keinen Zugriff auf Privatbereich/Private Daten hat

[Wilhelm14]

Eine Routerkaskade..... gibt es da eine Anleitung wie man das konfiguriert

z.B.: https://heise.de/-1825801

Das ist mir natürlich am liebsten, wenn ich das mit meinem aktuellen Setup hinbekommen kann.

Das wäre aber auch nicht mehr als dein jetziges Gast-Netz. Was Routerhersteller für den Endanwender als Gastnetz bezeichnen ist ein VLAN - auch wenn Asus bei "Privat-Routern" nicht mit wichtigen Begriffen um sich wirft.

Edit: Ich würde aber anders gesehen mir gar nicht so viel Gedanken machen. Wenn du am Laptop erst VPN auf diesem aktivieren musst, wenn du ins Firmennetz willst, sollte umgekehrt in dem Zustand die Firma nicht auf dein Heimnetz zugreifen können. Du hast es ja getestet. Theoretisch hätte eure IT das Notebook auch so konfigurieren können, dass dennoch die Firma in dein Heimnetz gucken kann. Das kann ich mir aber kaum vorstellen.

 

[flo222]

Ich denke auch nicht, dass man sich Gedanken machen muss, dass die Firma irgendwas im eigenen Netzwerk abgreifen kann. Aber trotzdem hab ich es auch bei mir getrennt. Zum einen weil es mit meinem Hardware-Setup leicht geht, und zum anderen, weil ich damit mein Netzwerk von der Firma isoliere, und im Gegenzug auch das Firmennetzwerk von meinem Netzwerk isoliere, quasi Hosenträger PLUS Gürtel.

Da ich eh schon eigene VLANs für andere Zwecke im Einsatz hatte, kam es auf eines mehr auch nicht mehr an. D.h. dank eigener SSID gibt es ein eigenes Home Office WLAN, und der Rechner hängt an einem Port der fix dem Home Office VLAN zugewiesen ist.

Das ganze hatte für mich auch praktische Gründe. Mein VLANs sind alle mit 10.x.x.x Netzwerkbereichen unterwegs. Solange mein Firmen-Rechner und das Firmen-Handy da drin waren, gab es immer Probleme mit Updates und Co. Scheinbar gab es Konflikte mit dem Netzwerkbereichen, die in der Firma auch nach dem gleichen Schema vergeben werden. Auch die Apple Geräte haben nicht mehr vernünftig Mails abgerufen und auch bei anderen Sachen gezickt. Seitdem ich nur das Home Office VLAN auf 192.168.x.x. gesetzt habe, läuft wieder alles problemlos. Auch den DNS hab ich für Zuhause und die Firma anders gewählt. Zuhause ist einer mit Malware Blockierung und DNSSEC Validierung im Einsatz, beim VPN-Dienst der Firma gab es damit aber immer wieder Probleme. Deswegen läuft dieses VLAN nun über einen DNS ohne Malware Blockierung und ohne DNSSEC Validierung, und alles klappt einwandfrei.

 

[rsfb]

Ich weiß dass man sowas eigentlich nicht lesen will, da es alles so kompliziert macht. Ich fühle mich aber verantwortlich genau darauf hinzuweisen:

Achtung keine Rechtsberatung an dieser Stelle.

Ist es dir überhaupt erlaubt private Geräte für betriebliche Belange zu verwenden?

IT seitig gibt es hier ggf. Ein Sicherheitsthema, da sich hier ggf. Sicherheitslücken an Geräten und Firmware ausgenutzt werden könnten

Ebenfalls kommt wieder das schöne Thema mit d m Datenschutz auf. Werden die Druckdaten auf dem Gerät gespeichert? Wer sorgt für saubere löschung der Daten? Das kann schon der Name des Druckjobs/Dokuments im Drucker sein.

Solltest du gegen die Unternehmensvorgaben verstoßen, kann das arbeitsrechtliche Konsequenzen haben.

Bei uns im Unternehmen ist es untersagt und wenn jemand im Home-Office drucken/scannen muss, muss es ein Unternehmensgerät sein welches dann nur lokal angeschlossen werden kann.

 

[chrigu]

Ich habe schon viel gehört von Homeoffice und vertrauen. Aber eines verstehe ich nicht. Warum druckst du Sachen zuhause? Musst du diese Ausdrucke dann per Post der Firma schicken? Irgendwie sinnfrei. Normalerweise druckt man von zuhause auf den Firmendrucker oder schickt ein pdf zum Drucken.
Es gibt auch noch den raspi, ein Mini pc auf dem man eine potente Firewall installiert, mit dem man dein Szenario perfekt lösen kann. Dazu gibt es tonnenweise howtos und konfig Beispiele, wie man Homeoffice Rechner komplett vom Rest trennen kann ausser Drucker und Scanner und nas usw.

 

[Raijin]

Es sieht mir nicht danach aus, dass VLANs hier eine geeignete Lösung sind. Zum einen muss die Infrastruktur (Router, Switches, Access Points) darauf ausgelegt sein, was zwar bei den APs der Fall ist, beim Rest jedoch nicht, und zum anderen muss auch ein gewisses KnowHow für die Einrichtung und Absicherung eines VLAN-Setups gegeben sein.

Am einfachsten wäre es, wenn die Firmengeräte mit dem Gast-WLAN verbunden werden und der Drucker bei Bedarf direkt per USB angeschlossen wird. Alternativ wäre die besagte Routerkaskade eine Option, aber dabei muss man genau betrachten was nun vor was geschützt werden soll. Eine beidseitig verriegelnde Routerkaskade besteht aus 3 Routern und eine Routerkaskade aus 2 Routern kann nur in eine Richtung schützen.


Routerkaskade mit 2 Routern:

www
|
(WAN)
InternetRouter
(LAN+WLAN)
|
| (HomeOfficeNetzwerk)
|
(WAN)
KaskadenRouter
(LAN+WLAN)
|
Heimnetzwerk



Routerkaskade mit 3 Routern:

www
|
(WAN)
InternetRouter
(LAN+WLAN)
|
| (geteiltes Netzwerk, quasi DMZ)
|
+--- (WAN) KaskadenRouter1 (LAN+WLAN) ------ Heimnetzwerk
|
+--- (WAN) KaskadenRouter2 (LAN+WLAN) ------ HomeOfficeNetzwerk


Gastnetzwerk:

www
|
(WAN)
InternetRouter (Gast-WLAN) ----- HomeOffice
(LAN+WLAN)
|
Heimnetzwerk



Sollte der Drucker LAN und WLAN bieten, rate ich davon ab, beides getrennt mit dem Heim- und dem HomeOffice-Netzwerk zu verbinden. Dadurch wird der Drucker zu einer Schnittstelle beider Netzwerke, für die er nicht geeignet ist - ein Drucker ist kein Router und keine Firewall. Der Sicherheitsgedanke wäre daher hinfällig. Wenn, würde ich nur die USB und die Netzwerkfunktion parallel nutzen, also zB Netzwerk für Heimgebrauch und im HomeOffice eben per USB anschließen - gesetzt den Fall das ist gemäß der Firmenrichtlinien überhaupt zulässig.

 

[h00bi]

Gibt es eine Lösung mit der ich die Firmengeräte möglichst gut aus meinem Netzwerk raushalte und trotzdem den Drucker verwenden kann?

Cloud Printing Software des Druckerherstellers?
Jetzt sicher nicht die sauberste Lösung, aber technisch möglich.

Ansonsten einfach den Drucker ins Gastnetz verschieben.
Ich bezweifel jetzt einfach mal dass du mit VLANs klar kommst, sonst hättest du das schon so gemacht.

 

[Nore Ply]

Gibt es eine Lösung mit der ich die Firmengeräte möglichst gut aus meinem Netzwerk raushalte und trotzdem den Drucker verwenden kann?

Ja, das ist einfach. Ersetze einfach das Modell "Netzwerkdrucker" des Herstellers HP durch das Modell "USB-Drucker" dieses oder eines (nahezu) beliebigen anderen Herstellers.

Da Firmendaten nichts in Deinem privaten Netzwerk zu suchen haben schlägst Du gleich zwei Fliegen mit einer Klappe.