Re: Netviewer & Co aussperren
Am Dienstag 18 März 2008 07:55:06 schrieb Uwe Walter:
> Kai Bausch schrieb:
> > M. Houdek schrieb:
> > [...]
> > Der sagt dann daraufhin: naja starte schnell
> > mal die teamview.exe
> > [...]
> > Zur besseren Wartung bittet die Firma den Mitarbeiter bitte mal
> > schnell die netviewer.exe zu starten...
>
> Ich frage mich natürlich, warum man diese Tools überhaupt in einem
> Unternehmensnetzwerk einsetzen sollte.
Es ist nur eine kleine .exe (< 1MB), die der User downloaden und starten muss.
Der Datenverkehr wird IIRC über https getunnelt.
> Das ging auch mal ohne, oder irre ich mich da?
Es geht auch immer noch ohne.
Aber um das Einbruchs-Szenario noch einmal deutlich zu machen, hier ein
kleines HowTo: ;-)
1. Bringe in Erfahrung, welche Firma die EDV der Zielfirma wartet. Oder gibt
dich im Zweifel einfach als Mitarbeiter von T-Com aus. *eg*
2. Bastele eine kleine Webseite, die seriös aussieht (wie von der EDV-Firma
aus 1.)
3. Rufe einen beliebigen MA der Zielfirma an und bitte ihn, für
Wartungsarbeiten auf der Webseite der EDV-Firma ein kleines Tool zu starten.
4. Lass die die Zugangsdaten ablesen und freue dich auf eine ungestörte
Session im Netz der Zielfirma.
(Anmerkung: Begriffe wie "Tool" und "ablesen" klingen nicht so gefährlich
wie "Programm" und "verraten" *g*)
> Und eines ist mal sicher: Ein Sysop, der sich auf der Shell
> nicht auskennt und remote fix an den richtigen Schräubchen drehen kann,
> der sollte sich einen anderen Job suchen.
Die Schräubchen zu finden ist in diesem Fall nicht so einfach.
Bestimmt laufen mehr als 90 % der Remote-Sesions über die Server der
Anbieterfirmen dieser Software, welche man relativ einfach in der Firewall
aussperren könnte. Aber es gibt auch NetViewer-Server für den Eigenbetrieb,
dessen IP dürfte dem Sysop der Firma nicht so einfach bekannt sein.
> >> Die haben nur eine kleine Anzahl von Servern die Du dann für den Client
> >> oder das ganze netz sperrenkannst.
> >> Wenn Du die Gründe für die Anfrage schilderst, wie hoch das
> >> Datengeheimnis dort ist, dann geben die Auskunft.
>
> Und wenn doch nicht (oder wenn auch nur zur Kontrrolle), dann kannst Du
> noch über _serversniff.de_ die Netzwerkstruktur der Anbieter in
> Erfahrung bringen und entsprechend blocken.
>
> >> Mitarbeiter schulen! Auf Gefahren hinweisen!
>
> Das ist natürlich immer so eine Sache. Da braucht nur einer drunter
> sein, der mal einen kleinen Grant auf seinen Abteilungsleiter hat.
Es ging mir dabei nicht so sehr um das bewusste Preisgeben von Daten, sondern
mehr um das unbewusste, naive Öffnen einer Hintertür in Form eines
Scheunentores. Letztlich ist bei NetViewer und co. immer noch eine
entsprechende Aktion des MA nötig (Siehe HowTo oben).
> >> Letztlich besteht immer die Gefahr, [...]
>
> Genau das.
Das lässt sich nur sehr schwer umgehen.
> >> Rigide Lösung am Windows-PC: Der Benutzer darf nur vorgegebene
> >> Programme starten.
>
> Genau hier sehe ich schon mal einen guten Ansatz.
>
> Dann natürlich ganz wichtig:
>
> *Registry sperren*
> *Shell sperren*
> *Benutzer dürfen keine Batchskripte ausführen*
>
> Kein MA hat da was dran zu suchen. Dann sollte vielleicht, je nach
> Abteilung und MA Status, jegliches einbringen von Daten ins System
> unterbunden werden. => CD, DVD, Floppy, USB, etc.
Ja, und dann gibt es noch den Download von Webseiten, das Öffnen von
Mailanhängen, das Versenden von Mails, ...
Das Mitlesen von Mails ist ja auch so ein heikles Thema - wobei ich innerhalb
einer Firma durchaus dafür bin, dass eine Firma ihre Firmenmails(!) auch
prüfen darf - aber rechtlich sieht es in D anders aus.
--
Gruß
MaxX
Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.
Reply to: