Hallo,
also ich sehe die Gefahr wie folgt:
Ein Unternehmen (z.b. eine Bank) ca. 1000 Arbeitsplatz PCs -> die Admins
können die Aktivitäten nicht 100%ig überwachen.
Nun kommt ein Praktikant ins Unternehmen. Dieser bekommt natürlich erst
einmal einen PC zur Verfügung gestellt. Und weil er etwas im Internet
nachschauen soll, bekommt er auch Zugang zum Internet.
Nun soll der Praktikant in SAP eine Auswertung über die Kunden mit den
meisten Schulden erstellen.
Da er sich in SAP aber nicht auskennt, ruft er einen guten Kumpel an,
und bittet ihn um Hilfe. Der sagt dann daraufhin: naja starte schnell
mal die teamview.exe und sag mir die Nummer und des PW.
Die Möglichkeiten und damit die Gefahren sind unbegrenzt.
Oder:
In dieser Bank existiert ein ganz spezielles Programm zur Auswertung.
Dieses Programm wird nur von einer Person im Unternehmen genutzt. Da
dieses Programm keine wirkliche Administration durch die interne EDV
benötigt, ruft der Mitarbeiter einfach immer direkt bei der Firma an.
Zur besseren Wartung bittet die Firma den Mitarbeiter bitte mal schnell
die netviewer.exe zu starten...
Bei beiden Beispielen hat der externe Kontrolle über das entfernte
System, ohne dass die IT Einfluss darauf hatte. Das kann doch nicht
sein!
Ich weis nicht, seht ihr diese Gefahr nicht so?
Also wie gesagt, ich bin der Meinung, dass dieses Problem nur deswegen
noch nicht so aufgekommen ist, da die Anwender bzw. die normalen PC
Benutzer diese Programme nicht kennen. Aber damit kann ich als
Sicherheitsverantwortlicher natürlich nicht argumentieren.
Vielen Dank für die bereits bekommenen Tipps, leider sehe ich auch mit
diesen keine Möglichkeit.
Lokale Firewall auf den Clients: Sobald die Clients ins Internet sollen,
sehe ich keine Möglichkeit mehr diesen Verkehr zu unterbinden. Zumal ja
mit diesen PC auch noch normal gearbeitet werden soll.
Ja und auf meiner normalen Firewall muss ich dem Proxyserver auch port
80 und 443 erlauben. Mehr erlaube ich nicht. Mehr benötigt aber auch
Netviewer & Co nicht.
Mein Ziel ist es, diese Programme auf eine Linux Firewall bzw. mit einem
Squid gezielt zu blocken.
mfg Michael
-----Ursprüngliche Nachricht-----
Von: M. Houdek [mailto:linux@houdek.de]
Gesendet: Montag, 17. März 2008 11:56
An: debian-user-german@lists.debian.org
Betreff: Re: Netviewer & Co aussperren
Am Montag 17 März 2008 10:54:34 schrieb reg1@admin.michi-web.de:
Hallo zusammen,
ist euch eine Möglichkeit bekannt netviewer, teamview usw. mit einer
Firewall/Proxy oder sonstiem zu blocken?
Ja, indem auf den anderen PCs im Netz alle einkommenden Pakete, die
nicht die
Antwort auf eine eigene Anfrage sind, geblockt werden:
(ungetestet, Device ggf. anpassen)
iptables -A INPUT -i eth0 -m state --state INVALID,NEW -j DROP
oder alternativ (da DROP die Standard-Policy sein sollte):
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Ob das allerdings gewollt ist? Dann sind diese PC nicht mehr erreichbar.
Sowie aber auch nur ein Port offen ist, ist der PC im Netz sichtbar.
Und das bei entsprechendem Sicherheitsbedarf nur die Ports nach außen
geöffnet
werden, die wirklich benötigt werden - darüber sollte ja wohl kein
Zweifel
bestehen.
Ich sehe in diesem Programmen eine riesige Gefahr. Ich bin der Meinung
dass es bisher nur Glück ist, dass die Anwender (nicht EDV) diese
wirklich sehr simpel zu bedienende Möglichkeit noch nicht ausnützen.
Kannst du diese "riesige Gefahr" bitte etwas näher beschreiben?
--
Gruß
MaxX
Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.