Verzeichnis zwischen 2 getrennten Netzwerken sychronisieren

[Gnörl]

Aloha Computerbase!

Aufgrund einer Sicherheitsumstellung in der Firma, stehen ich und meine Kollegen vor einem "Problem" und ich versuche mir aktuell eine evtl. Lösung zu überlegen.

Ursprünglich hatten wir ein Netz in dem wir uns mehr oder minder uneingeschränkt bewegen konnten, nun haben wir 2 voneinander getrennte Netze (Firmennetz + Entwicklungsnetz), welche kein Zugriff untereinander haben und welche auch voneinander getrennt bleiben sollen. Ein Tunnel ist hier also ausdrücklich nicht erwünscht.

Jetzt müssen aber aus versch. Gründen öfters Dateien aus dem Firmennetz in das Entwicklungsnetz oder eben auch anders herum. Am besten prinzipiell über ein geteiltes Laufwerk oder eben per Sychronisierung der Verzeichnisse.

Die einfachste aber auch schlechteste/umständlichste Lösung ist jetzt natürlich über ein externes Speichermedium manuell die Dateien aus dem einen Netz in das andere Netz zu übertragen. Alternativ könnte man es über das Internet via Cloud- oder FTP-Dienste regeln, was mir aber zuwider wäre, da ich die Dateien doch ganz gerne nur in der Firma behalten würde.

Man könnte noch überlegen ein NAS hinzustellen, welcher in beiden Netzwerken eingebunden ist, meinem Verständnis nach wäre das auch schon wieder eine "getunnelte" Lösung, welche ja wie gesagt nicht erwünscht ist.

Die genannten Ideen entsprechen also entweder den Sicherheitsvorgaben nicht, sind zu Umständlich, oder binden einen externen Datentransfer mit ein.

Jetzt meine Frage: Weiß hier jemand vllt. weitere Lösungen oder Ansätze um den Anforderungen gerecht zu werden?

Mit freundlichen Grüßen
ShadowVision

 

[Lawnmower]

Wenn die Netze explizit nicht verbunden werden dürfen/sollen - nein.

Am einfachsten von mir aus gesehen wäre tatsächlich ein NAS oder Server mit 2 LAN Ports das jeweils in jedem Netzen hängt. Clients aus dem einen Netz kommen dadurch ja nicht automatisch ins andere Netz, sollte also kein Problem sein.
Wenn man das NAS bzw den Server anständig konfiguriert und regelmässig updatet, sollte das recht sicher sein. Für die Paranoiden könnte man ja dann noch eine Firewall jeweils zwischen jedem Netz und dem NAS / Server (oder direkt auf dem Server) dazwischenschalten.

 

[DeusoftheWired]

Wenn die Trennung der Netze bewirken soll, daß nichts aus dem Firmennetz in das Entwicklungsnetz und nichts aus dem Entwicklungsnetz ins Firmennetz gelangen soll, zerstört jede hier im Thread vorgeschlagene Lösung den Kern der Trennung.

Es ist kein technisches Problem, es ist ein prinzipielles.

Das einzige, was mir einfällt, geht in Richtung DMZ. System mit mindetens zwei Netzwerkkarten und einer Freigabe. Routingtabellen müssen so angepaßt werden, daß nur von Netz A in eine Richtung und von Netz B in eine Richtung auf die Freigabe zugegriffen werden darf, aber nicht zwischen beiden Netzen geroutet wird.

 

[dermatu]

rechen deinem chef doch mal vor wie viel mehraufwand in € es ist wenn ihr für so eine simple aufgabe wertvolle arbeitszeit vergeudet, vielleicht sieht er dann den nutzen darin.

 

[Gnörl]

Mir ist selbst klar, dass dies (leider) ein prinzipielles Problem ist. Mein Chef hat da leider auch nicht viel zu sagen, da ich in einem Unternehmen tätig bin, welches den Hauptsitz im Ausland hat. Die Anweisungen bzgl. dieser Thematik kamen von der Muttergesellschaft und nicht von meinem Chef. Wir sind schon "glücklich" das Entwicklungsnetz zu haben, welches eben "Sonderrechte" hat, ohne die wir sonst auch gar nicht arbeiten könnten. Aber aufgrund dieser Sonderrechte darf es eben nicht mit dem Hauptnetz verbunden sein.

Der Ansatz DMZ geht ja quasi in die Richtung des NAS, was mir hier auch die einzig mehr oder weniger sinnvolle Lösung zu sein scheint. Allerdings bin ich mir eben nicht sicher, ob das eben als "getunnelte" Lösung angesehen wird - auch wenn man so vorgeht wie von @DeusoftheWired beschrieben.

 

[eigs]

FTP-Dienste regeln, was mir aber zuwider wäre, da ich die Dateien doch ganz gerne nur in der Firma behalten würde.

Spricht etwas dagegen einen FTP oder WebDAV Server in der Firma zu Betreiben? In der Firewall einstellen dass nur interne IP Adressen und die externe IP des anderen Netzwerkes zugreifen können.

 

[Gnörl]

@eigs, prinzipiell wäre das tatsächlich ein mögl. Weg an den ich so noch nicht gedacht habe, dem steht aber dann dennoch das selbe Argument wie dem NAS entgegen. Das NAS wäre in dieser Sache aber insgesamt einfacher zu handhaben.

PS: Danke übrigens an die bisherigen Vorschläge/Feedbacks!

 

[Raijin]

Das ist ein Thema für die IT-Abteilung. Wenn es heißt, dass eine Verbindung der Netzwerke nicht gewollt oder gar verboten ist, dann kann eine Umgehung dieser Restriktion schwerwiegende Folgen haben - wenn es rauskommt.

Mein Rat: Besprich das mit eurer IT und zur Not mit der IT vom Hauptsitz.

Natürlich können dir hier Lösungen präsentiert werden, sei es ein NAS/Server mit Dual-LAN oder gar komplexere Varianten mit Firewall und DMZ, aber ob das ohne Grünes Licht von der IT der Weg ist sei mal dahingestellt. Letztendlich steht und fällt das am Ende nämlich mit demjenigen, der das einrichtet und vor allem verantwortet.

 

[Datax]

Mir würde auch nur eine Lösung wie "DeusoftheWired" sie beschrieben hat,
einfallen.

Einen Rechner mit 2 Netzwerkkarten aufstellen,
an dem ausreichend große Festplatten angeschlossen sind und auf diesen Rechner dann z.B. SMB-Freigaben einrichten.

Das könnte ja auch ein Linux-Rechner sein, für den dann nur relativ wenig Kosten ( da keine Windows-Lizenz )
anfallen würden.

Den Rechner könnte man dann so konfigurieren,
dass bereits durch Anpassung der Routing-Tabelle keine Verbindung zwischen Firmen- und Entwicklungsnetz möglich ist.

Einzig und allein der Zugriff aus beiden Netzen auf die Freigabe(n) dieses Linux-Rechners wären dann möglich.

Die beiden Netzwerke sind dann weiterhin zu 100% voneinander getrennt.

Gruß, Datax

 

[Gnörl]

Mein Rat: Besprich das mit eurer IT und zur Not mit der IT vom Hauptsitz..

Natürlich wird das entsprechend an die IT-Abteilung weitergeleitet bzw. mit entsprechenden Entscheidungsträgern vorher abgesprochen. Da die IT bei uns allerdings momentan voll ausgelastet ist, wendete sich mein Projektleiter fix an mich (aufgrund vergangener IT-Erfahrungen) ob mir nicht ein paar Lösungen dazu einfielen.

Da aber niemand vollkommen ist und ich sichergehen möchte, auch möglichst alle Lösungsansätze in Betracht gezogen zu haben, dachte ich mir eben: Stellst du auf CB einfach mal entsprechende Frage. Es geht hier also NICHT darum klang-heimlich eine Bastellösung zu erarbeiten.

@Datax das ist bisher auch mein Fazit. Anders geht es wohl unter den gegebenen Anforderungen/Umständen nicht.

Ich denke auch, dass meine Frage damit soweit beantwortet ist. Danke an alle Beteiligten!

 

[Raijin]

Den Rechner könnte man dann so konfigurieren,
dass bereits durch Anpassung der Routing-Tabelle keine Verbindung zwischen Firmen- und Entwicklungsnetz möglich ist.

Jein. Die Routingtabelle wäre diesbezüglich fix, da die sogenannte Interfaceroute stets automatisch generiert wird sobald eine Schnittstelle in diesem Subnetz ist. Für Routing zwischen zwei direkt angebundenen Subnetzen muss man die Routingtabelle überhaupt nicht anfassen.

Man kann allerdings das Routing zum einen generell unterbinden - ip-forwarding / ipenablerouter =0 - oder über entsprechende Block-Regeln in der Firewall speziell den Zugriff auf bestimmte IPs und/odet Ports beschränken oder vollständig blocken.

@ShadowVision:
Ok, wenn das mit der IT abgeklärt wird, ok. Je nach Server-KnowHow bei euch im Hause kann man das natürlich mit einem Windows-/Linux-Server mit 2x LAN realisieren oder aber mit einem Fertig-NAS. Letzteres wäre empfehlenswert, wenn kein oder nur wenig KnowHow bzw Zeit vorhanden ist (Stichwort Überlastung). Bei Dual-LAN NAS kann man den gegenseitigen Zugriff mehr oder weniger nach Handbuch mit wenigen Klicks, quasi der klassische Haken "Zugriff ja/nein". Beim Server muss man die Firewall explizit von Hand einrichten, es sei denn man verwendet auch hier ein fertiges NAS Betriebssystem.

 

[Datax]

@ Raijin

Ja, da hast du Recht.

Das war nicht richtig, was ich gesagt habe.

Der Linux-Rechner hätte jeweils eine Route pro Netzwerk,
da er in jedem dieser beiden Netzwerke ja selbst eine Schnittstelle und damit eine IP-Adresse hat.

Um die Kommunikation zwischen diesen Netzen zu unterbinden würde es wirklich reichen das IP-Forwarding
zu deaktivieren.

Wenn IP-Forwarding aktiviert bleiben soll,
dann werden Firewallregeln benötigt.

Gut, dass jemand hier aufpasst xD.

Gruß, Datax

 

[Gnörl]

Danke nochmals für die präziseren Ausführungen in Punkto Routing.

Meine bevorzugte Wahl wäre hier tatsächlich auch "einfach" ein NAS hinzustellen. Es geht ja rein um Datenaustausch und der Speicherung von ein paar dutzend GB Daten. Ein ganzer Server (inklusive Konfiguration) wäre hier wohl einfach überzogen - selbst wenn dieser virtualisiert wäre. An know-how fehlt es der IT im Hause nicht, aber definitv an Zeit, da aufgrund jüngster Umstellung (und weiteres) einfach viele offene Baustellen existieren und unser "Problem" dadurch bedingt nicht sonderlich weit oben auf der Liste steht. ^^

Das NAS kann am Ende genau das was gebraucht wird, nicht mehr und nicht weniger, und genau das wäre auch gut so. Dazu wäre es noch recht schnell eingerichtet, was ebenfalls ein + ist.

PS: Sobald die IT irgendwann mal mehr Zeit und Laune hat wäre ja dann immer noch der Umzug auf einen festen Server möglich. Die Verzeichnisse zu übernehmen sollte dann am Ende die geringste Hürde sein.

 

[DeusoftheWired]

Nur mal so noch als Denkanstoß/Frage: wenn das Entwicklungsnetz so hermetisch abgeriegelt sein soll wie … sagen wir … ein Netzwerk in einer Urananreicherungsanlage, wie kommen Daten dann in dieses Netz, wenn sie nicht auf den Rechnern darin erzeugt werden?

 

[Datax]

@ ShadowVision

Die Idee mit dem NAS ist ja nicht schlecht,
aber das Problem der Netzwerktrennung muss weiterhin berücksichtigt werden.

Einfach mal eben so ein NAS hinstellen ohne weitere Überlegungen und Maßnahmen wird nicht möglich sein.

Es gibt NAS-Geräte, die zwei Netzwerkschnittstellen haben, die separat konfiguriert werden können.

Damit hättest du die Möglichkeit die Schnittstelle A für das Firmennetz zu konfigurieren und
Schnittstelle B für das Entwicklungsnetz.

Dann steht die Frage im Raum, ob dieses NAS zwischen diesen beiden Netzen dann routet oder nicht.

Keine Ahnung wie NAS-Geräte was den Punkt "Routing" betrifft werksmäßig konfiguriert sind und ob man
das Routing manuell ein- oder ausschalten kann oder ob das Routing generell deaktiviert ist ( was sehr gut für dich wäre ).

Habe mit NAS-Geräte nur wenig Erfahrung.

Wenn NAS-Geräte eine Routing-Funktion haben, die man nicht abschalten kann,
dann wären wie oben bereits beschrieben Firewall-Regeln zur Trennung der Netzwerke notwendig.

Firewall-Funktionen hat so weit ich weiß kein NAS der Welt, da es für solche Aufgaben einfach nicht gedacht ist.

Falls NAS-Geräte nicht routen bzw. wenn man das Routing deaktivieren kann,
dann wäre ein NAS mit zwei frei konfigurierbaren Netzwerkschnittstellen genau das Richtige für deinen Einsatzzweck.

Wenn du ein NAS mit einer einzigen Netzwerkkarte nutzen möchtest, dann brauchst du zusätzliche Hardware ( Router ),
die richtig konfiguriert werden müssen, um die Netzwerktrennung zu gewährleisten.

Gruß, Datax