Re: Netviewer & Co aussperren

To: debian-user-german@lists.debian.org
Subject: Re: Netviewer & Co aussperren
From: "M\. Houdek" <linux@houdek.de>
Date: Mon, 17 Mar 2008 13:52:34 +0100
Message-id: <200803171352.35090.linux@houdek.de>
Reply-to: maxx@houdek.de
In-reply-to: <20080317115134.9A0EC16F021B@c1.ibone.ch>
References: <20080317115134.9A0EC16F021B@c1.ibone.ch>

Hallo,

erst mal Entschuldigung für meine sehr rigide Firewall-Regel. Ich hatte deine 
Frage flsach verstanden (bzw. hab netviewer mit netview verwechselt, da ich 
damit gerade zu tun hatte ;-).


Am Montag 17 März 2008 12:51:34 schrieb reg1@admin.michi-web.de:
> also ich sehe die Gefahr wie folgt:
>
> Ein Unternehmen (z.b. eine Bank) ca. 1000 Arbeitsplatz PCs -> die Admins
> können die Aktivitäten nicht 100%ig überwachen.
> Nun kommt ein Praktikant ins Unternehmen. Dieser bekommt natürlich erst
> einmal einen PC zur Verfügung gestellt. Und weil er etwas im Internet
> nachschauen soll, bekommt er auch Zugang zum Internet.
> Nun soll der Praktikant in SAP eine Auswertung über die Kunden mit den
> meisten Schulden erstellen.
> Da er sich in SAP aber nicht auskennt, ruft er einen guten Kumpel an,
> und bittet ihn um Hilfe. Der sagt dann daraufhin: naja starte schnell
> mal die teamview.exe und sag mir die Nummer und des PW.
> Die Möglichkeiten und damit die Gefahren sind unbegrenzt.

Mitarbeiter schulen! Auf Gefahren hinweisen!

Letztlich besteht immer die Gefahr, dass ein MA Daten aus einem Unternehmen 
schmuggelt (oder einen Trojaner einbringt). Der "Trick" mit dem zufällig 
gefundenen USB-Stick und der natürlichen Neugier ist ja hinreichend bekannt.

Rigide Lösung am Windows-PC: Der Benutzer darf nur vorgegebene Programme 
starten. Lässt sich bei Windows in den Gruppenrichtlinien festlegen (IIRC). 
Das schützt am sichersten.

> Oder:
>
> In dieser Bank existiert ein ganz spezielles Programm zur Auswertung.
> Dieses Programm wird nur von einer Person im Unternehmen genutzt. Da
> dieses Programm keine wirkliche Administration durch die interne EDV
> benötigt, ruft der Mitarbeiter einfach immer direkt bei der Firma an.
> Zur besseren Wartung bittet die Firma den Mitarbeiter bitte mal schnell
> die netviewer.exe zu starten...
>
> Bei beiden Beispielen hat der externe Kontrolle über das entfernte
> System, ohne dass die IT Einfluss darauf hatte. Das kann doch nicht
> sein!

1. Die Verbindungen sind nachvollziehbar (log-Dateien). Wenn externe Firmen 
Wartung übernehmen, müssen diese verlässlich sein - ist das nicht gegeben: 
Finger weg!

2. Jede Webseite hat prinzipiell die Möglichkeit, Code auf dem Host des 
Mitarbeiters auszuführen. Einziger Ausweg: Internet nur über externe Browser, 
die in einer DMZ laufen und beim Mitarbeiter nur visualisiert werden.

> Mein Ziel ist es, diese Programme auf eine Linux Firewall bzw. mit einem
> Squid  gezielt zu blocken.

Genau das wäre ein möglicher Ansatz (abgesehen von den oben 
erwähnten "ausgelagerten" Browsern): 
Squid kann einen externen Contentfilter einbinden. Beim Verbindungsaufbau gibt 
es sicherlich typische Zeichenfolgen, nach denen man filtern kann. 
Wenn die Verbindung erst einmal steht, wird es schwieriger, da dann ja alles 
verschlüsselt läuft.

-- 
Gruß
                MaxX

Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.

Reply to:

References:
- AW: Netviewer & Co aussperren
  - From: reg1@admin.michi-web.de

Prev by Date: Re: AW: AW: RPM Bauen (RPM im RPM)
Next by Date: Re: [ldap] login mit uid= anstelle von cn=
Previous by thread: Re: Netviewer & Co aussperren
Next by thread: Re: Netviewer & Co aussperren
Index(es):
- Date
- Thread