Re: Netviewer & Co aussperren
Hallo,
erst mal Entschuldigung für meine sehr rigide Firewall-Regel. Ich hatte deine
Frage flsach verstanden (bzw. hab netviewer mit netview verwechselt, da ich
damit gerade zu tun hatte ;-).
Am Montag 17 März 2008 12:51:34 schrieb reg1@admin.michi-web.de:
> also ich sehe die Gefahr wie folgt:
>
> Ein Unternehmen (z.b. eine Bank) ca. 1000 Arbeitsplatz PCs -> die Admins
> können die Aktivitäten nicht 100%ig überwachen.
> Nun kommt ein Praktikant ins Unternehmen. Dieser bekommt natürlich erst
> einmal einen PC zur Verfügung gestellt. Und weil er etwas im Internet
> nachschauen soll, bekommt er auch Zugang zum Internet.
> Nun soll der Praktikant in SAP eine Auswertung über die Kunden mit den
> meisten Schulden erstellen.
> Da er sich in SAP aber nicht auskennt, ruft er einen guten Kumpel an,
> und bittet ihn um Hilfe. Der sagt dann daraufhin: naja starte schnell
> mal die teamview.exe und sag mir die Nummer und des PW.
> Die Möglichkeiten und damit die Gefahren sind unbegrenzt.
Mitarbeiter schulen! Auf Gefahren hinweisen!
Letztlich besteht immer die Gefahr, dass ein MA Daten aus einem Unternehmen
schmuggelt (oder einen Trojaner einbringt). Der "Trick" mit dem zufällig
gefundenen USB-Stick und der natürlichen Neugier ist ja hinreichend bekannt.
Rigide Lösung am Windows-PC: Der Benutzer darf nur vorgegebene Programme
starten. Lässt sich bei Windows in den Gruppenrichtlinien festlegen (IIRC).
Das schützt am sichersten.
> Oder:
>
> In dieser Bank existiert ein ganz spezielles Programm zur Auswertung.
> Dieses Programm wird nur von einer Person im Unternehmen genutzt. Da
> dieses Programm keine wirkliche Administration durch die interne EDV
> benötigt, ruft der Mitarbeiter einfach immer direkt bei der Firma an.
> Zur besseren Wartung bittet die Firma den Mitarbeiter bitte mal schnell
> die netviewer.exe zu starten...
>
> Bei beiden Beispielen hat der externe Kontrolle über das entfernte
> System, ohne dass die IT Einfluss darauf hatte. Das kann doch nicht
> sein!
1. Die Verbindungen sind nachvollziehbar (log-Dateien). Wenn externe Firmen
Wartung übernehmen, müssen diese verlässlich sein - ist das nicht gegeben:
Finger weg!
2. Jede Webseite hat prinzipiell die Möglichkeit, Code auf dem Host des
Mitarbeiters auszuführen. Einziger Ausweg: Internet nur über externe Browser,
die in einer DMZ laufen und beim Mitarbeiter nur visualisiert werden.
> Mein Ziel ist es, diese Programme auf eine Linux Firewall bzw. mit einem
> Squid gezielt zu blocken.
Genau das wäre ein möglicher Ansatz (abgesehen von den oben
erwähnten "ausgelagerten" Browsern):
Squid kann einen externen Contentfilter einbinden. Beim Verbindungsaufbau gibt
es sicherlich typische Zeichenfolgen, nach denen man filtern kann.
Wenn die Verbindung erst einmal steht, wird es schwieriger, da dann ja alles
verschlüsselt läuft.
--
Gruß
MaxX
Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.
Reply to: