Zugriff auf das andere Netz möglich?

[Trollkirsche]

Hallo zusamen,

Ich habe gerade ein ziemlich komisches Verhalten beobachten müssen und würde gerne eure Meinung hören.

Vorhin habe ich zum ersten mal meinen Arbeits-Laptop für das Homeoffice an den 2. Router angesteckt. Ich besitze 2 Open WRT Router. Bei meinem Arbeitgeber handelt es sich um eine staatliche Stelle.

Die Idee ist, dass ein OpenWRT Router für das Heimnetzwerk gedacht ist und der andere OpenWRT Router wiederum dazu dient, meinen Arbeits PC vom Heimnetzwerk zu trennen. Dabei ist der OpenWRT Router des Heimnetzwerk nicht direkt an den Hauptswitch mit der Internet Modem Verbindung angeschlossen, sondern quasi am weiteren Switch mit allen Geräten und dem Open WRT Router.

Es handelt sich also um 2 Open WRT Router und 2 Switches. Der Switch, der mit dem Internet Modem angeschlossen ist, ist wiederum verbunden mit dem OpenWRT Router, an den ich meinen Arbeits PC angeschlossen habe und ein weiterer Port am Hauptswitch mit dem Internet Moden ist mit dem anderen Switch angeschlossen, an den alle HeimGeräte angeschlossen sind, wie auch ein weitere OpenWRT Router für den Internet Anschluss.

Folgendes : Nachdem ich die Laptop Verbindung für das Homeoffice für morgen getestet habe, habe ich den Laptop wieder ausgeschaltet. Während ich ca 2 Stunden später an meinem Privat PC sass, wurde ohne mein Zutun ein Laufwerk gemountet mit erkennbaren Klang des Betriebssystems und öffnen des Dateifenster, welches angezeigt wurde. Komisch.

Ist es möglich, dass sich der Arbeitgeber Zugang zu meinem Heimnetzwerk ohne meine Erlaubnis verschafft hat? Wäre dies überhaupt technisch möglich, wenn beide Netze doch dahingehend getrennt sind, so dass sie lediglich am gleichen Hauptswitch hängen, an dem wiederum das Internet Modem angeschlossen ist?

Vielen Dank für eure Expertenmeinung.

[GregorS]

Zeichne vielleicht besser ein Bild des Setups. Ich kann mir das Deiner Beschreibung nach nicht wirklich vorstellen.

Gruß

Gregor

[uname]

Allein aus Kostengründen (Strom) würde ich versuchen den zweiten Router zu eleminieren. Viele Firmenrechner haben Firewalls, nutzen andere Subnetze und/oder VPN, so dass der Zugriff auf weitere Rechner im LAN eher unwahrscheinlich bis unmöglich ist. Zudem worauf soll der Rechner denn zugreifen? Hast du irgendwelche erreichbaren Services in deinem LAN? Poste mal ein paar Details zum Firmenrechner. Versuche überhaupt mal einen Service in deinem LAN (z. B. Webserver) per Firmenrechner zu erreichen.

[unitra]

...
Ist es möglich, dass sich der Arbeitgeber Zugang zu meinem Heimnetzwerk ohne meine Erlaubnis verschafft hat? Wäre dies überhaupt technisch möglich, wenn beide Netze doch dahingehend getrennt sind, so dass sie lediglich am gleichen Hauptswitch hängen, an dem wiederum das Internet Modem angeschlossen ist?

Vielen Dank für eure Expertenmeinung.

Unwahrscheinlich. Wer die deutsche Rechsprechung kennt und die Arbeitsgesetzte, weiss dass solche Daten nicht verwertet werden könnten, nur im äußersten Notfall wenn die Staatssicherheit gefährdet sein könnte. Es sei denn es gibt einen Verstoß gegen den Vertrag den Du unterschrieben hast, da stehen Klauseln und "non disclosure agreements" NDA's. Zusätzlich es gibt nur ganz wenige Stellen die so etwas realisieren und umsetzten könnten. Der Hardware nach zu Urteilen die aufgelistet ist kann das keine kritische und wichtige staatliche Stelle, Behörde sein.

Viel warhscheinlicher ist es dass der Rechner der benutzt wird kompromittiert sein könnte.

Unwahrscheinlich, aber nicht unmöglich. Eher kompromittierter Rechner. Wende Dich an den Helpdesk in deinem Unternehmen und frage da nach, die werden sicherlich mehr darüber wissen als Du hier im Forum preisgeben kannst und möchtest.

[Trollkirsche]

Zeichne vielleicht besser ein Bild des Setups. Ich kann mir das Deiner Beschreibung nach nicht wirklich vorstellen.

Gruß

Gregor

Es handelt sich um 2 Netzwerke, die per Switch an das Internet Lan Modem angeschlossen sind.

[Trollkirsche]

Unwahrscheinlich. Wer die deutsche Rechsprechung kennt und die Arbeitsgesetzte, weiss dass solche Daten nicht verwertet werden könnten, nur im äußersten Notfall wenn die Staatssicherheit gefährdet sein könnte. Es sei denn es gibt einen Verstoß gegen den Vertrag den Du unterschrieben hast, da stehen Klauseln und "non disclosure agreements" NDA's. Zusätzlich es gibt nur ganz wenige Stellen die so etwas realisieren und umsetzten könnten. Der Hardware nach zu Urteilen die aufgelistet ist kann das keine kritische und wichtige staatliche Stelle, Behörde sein.

Viel warhscheinlicher ist es dass der Rechner der benutzt wird kompromittiert sein könnte.

Unwahrscheinlich, aber nicht unmöglich. Eher kompromittierter Rechner. Wende Dich an den Helpdesk in deinem Unternehmen und frage da nach, die werden sicherlich mehr darüber wissen als Du hier im Forum preisgeben kannst und möchtest.

Die Infrastruktur von der ich rede ist meine private Infrastruktur!

Ich arbeite für den Schweizer Staat. Dabei handelt es sich nicht um eine kleine Gemeinde namens Bünzliberg. Falls jemand solche Fähigkeiten hat, dann jene Organisation, für die ich tätig bin.

Der Rechner, bei dem das Laufwerk gemountet wurde, ist nicht der Arbeits-Laptop, sondern mein Privater Rechner, der in einem separaten LAN Netzwerk betrieben und von meinem Netzwerk, das ich für den Zugriff für den Arbeitslaptop verwende, getrennt ist. Lediglich über den Haupswitch sind beide Netzwerke miteinander verbunden. Es sind 2 Netzwerke, eines an Port 1 vom Hauptswitch an den mein privates Lan betrieben wird und per Port 2 am Hauptswitch ist das andere Netzwerk, den ich für den Arbeitslaptop verwende.

Die Idee ist hierbei, meinem Arbeitslaptop keinen Zugriff auf mein LAN Netzwerk zu bieten und von diesem zu trennen. Lediglich über den Managed Switch, der am Internet Modem hängt, besteht eine Verbindung beider Netzwerke über den Switch selbst.

Ich habe mir gedacht, dass dies über die Einrichtung von zwei physisch getrennten Netzwerken möglich sein sollte.

Das sieht dann so aus:

Netzwerk 1: 192.168.1.0/24
Netzwerk 2 192.168.2.0/24

Liege ich damit richtig?

Mich interessieren hierbe nicht Aspekte des Rechts, sondern die technische Machbarkeit.

Danke für eure Unterstützung!

[unitra]

Wenn schon 2 Router vorhanden sind und man mit Routing es lösen möchte, dann ist die einfachste Lösung die Einrichtung einer DMZ mit den beiden vorhandenen Routern.

https://www.heise.de/ratgeber/DMZ-selbs ... 21656.html

Mittels Routing kann man beide Netze nicht trennen, denn Routing ist in erster Linie dazu gedacht Netze miteinander kommunizieren zu lassen. Aber sobald beide Netze miteinander kommunizieren können kann man mit dem DMZ Design und mit einem Packetfilter (hier Firewall) genau die Lösung die beschrieben wurde ganz einfach umsetzten ohne großen Aufwand.

Der Zugriff sieht dass so aus dass man aus dem LAN (trusted) und der DMZ (untrusted) auf das Internet zugreifen kann.
Von der DMZ ist der Zugriff auf das LAN immer verboten. Die RIchtung von der aus die Verbindung initiiert wird ist hier wichtig.
Damit ist das Ziel erreicht.

Welche Rechner wo plaziert werden, liegt dann an einem selbst.

Hier noch ein URL aus der Wikipedia mit einem aussagekräftigen Netzskizze:
https://de.wikipedia.org/wiki/Demilitar ... nformatik)

Achso, noch nebenbei erwäht manche Router bieten die Einrichtung einer DMZ in einem einzigem Gerät. Das sollte nicht unerwähnt bleiben, hängt aber von dem Router/FIrewall ab.