12
Absicherung: Rechner von Fremdfirmen im Firmennetz via ISDN
Der Rechner einer Fremdfirma muss mit seiner Firma sensible Daten austauschen können. Als Betriebssystem Windows XP, möglicher vom eigenen Firmennetz abgeschotteter Zugang via ISDN.
Hallo,
ich habe einen Arbeitsauftrag erhalten, dabei soll ein Rechner (BS=WinXP) einer Fremdfirma sensible daten aus unserem Firmennetz zu sich übertragen können. Der Rechner darf nicht in das Firmennetz, d.h. er ist autark. An diesem Rechner werden Daten eingescannt und bei der Fremdfirma weiter verarbeitet. Als möglichen Zugang ist mit einer Fritz-Karte ISDN angedacht.
Ich erinnere mich aus entfernten Gesprächen, es gibt eine Art ISDN-Vlan bei der Telekom, wobei auf Antrag ISDN-Anschlüsse in eine Gruppe eintragen wird, sodass es mehr oder weniger 'sicher' einzustufen gilt. Richtig?
Könnte mir vorstellen, das dies eine gute alternative wäre, den Recher einmal vom Firmennetz abzuschotten, andererseits eine sichere Möglichkeit zu bieten, die Daten zu übertragen. Falls nötig, könnte man das mit einem Tool noch verschlüsseln.
Wenn es sowas gibt, kann mir jemand sagen, wie das 'richtig' heisst?
Wie gross die zu übertragenden Daten sind, weiss ich (noch) nicht, d.h. ISDN könnte u.U. zu langsam sein.
Hätte jemand eine andere oder bessere Alternative?
Danke,
Gruß T.
ich habe einen Arbeitsauftrag erhalten, dabei soll ein Rechner (BS=WinXP) einer Fremdfirma sensible daten aus unserem Firmennetz zu sich übertragen können. Der Rechner darf nicht in das Firmennetz, d.h. er ist autark. An diesem Rechner werden Daten eingescannt und bei der Fremdfirma weiter verarbeitet. Als möglichen Zugang ist mit einer Fritz-Karte ISDN angedacht.
Ich erinnere mich aus entfernten Gesprächen, es gibt eine Art ISDN-Vlan bei der Telekom, wobei auf Antrag ISDN-Anschlüsse in eine Gruppe eintragen wird, sodass es mehr oder weniger 'sicher' einzustufen gilt. Richtig?
Könnte mir vorstellen, das dies eine gute alternative wäre, den Recher einmal vom Firmennetz abzuschotten, andererseits eine sichere Möglichkeit zu bieten, die Daten zu übertragen. Falls nötig, könnte man das mit einem Tool noch verschlüsseln.
Wenn es sowas gibt, kann mir jemand sagen, wie das 'richtig' heisst?
Wie gross die zu übertragenden Daten sind, weiss ich (noch) nicht, d.h. ISDN könnte u.U. zu langsam sein.
Hätte jemand eine andere oder bessere Alternative?
Danke,
Gruß T.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 51946
Url: https://administrator.de/contentid/51946
Printed on: April 19, 2024 at 21:04 o'clock
12 Comments
Latest comment
Hy,
vpn verbindung via dsl tuts auch. Gesicherte Verbindung ist kaum entschlüsselbar.
Fremd PC in Active Directory im eigenen Netzwerk aufnehmen und mit eingeschränkten User rechten ausstatten. BSP: ScriptProzessor disablen, ReadOnly auf Dateien, usw.
Einfach mal bei www.t-systems.de nachschauen
Gruß
admin01
vpn verbindung via dsl tuts auch. Gesicherte Verbindung ist kaum entschlüsselbar.
Fremd PC in Active Directory im eigenen Netzwerk aufnehmen und mit eingeschränkten User rechten ausstatten. BSP: ScriptProzessor disablen, ReadOnly auf Dateien, usw.
Einfach mal bei www.t-systems.de nachschauen
Gruß
admin01
Hi
Dachte ich auch schon daran, muss erstmal abklären, ob auf der Gegenstelle ein entsprechendes VPN-GW bestünde. Man sollte ja allg. meinen ja.. Trotzdem, bedarf Abklärung.
Also dann doch über das Firmennetz.. Ich betreuden den AD nicht, werde das als Möglichkeit jedenfalls angeben!
Danke schonmal!
Gruß T.
vpn verbindung via dsl tuts auch. Gesicherte
Verbindung ist kaum entschlüsselbar.
Verbindung ist kaum entschlüsselbar.
Dachte ich auch schon daran, muss erstmal abklären, ob auf der Gegenstelle ein entsprechendes VPN-GW bestünde. Man sollte ja allg. meinen ja.. Trotzdem, bedarf Abklärung.
Fremd PC in Active Directory im eigenen
Netzwerk aufnehmen und mit
eingeschränkten User rechten ausstatten.
BSP: ScriptProzessor disablen, ReadOnly auf
Netzwerk aufnehmen und mit
eingeschränkten User rechten ausstatten.
BSP: ScriptProzessor disablen, ReadOnly auf
Also dann doch über das Firmennetz.. Ich betreuden den AD nicht, werde das als Möglichkeit jedenfalls angeben!
Danke schonmal!
Gruß T.
i hate this forum - doppelpost, und keine mögl. es selber zu löschen.
Also soll ein Windows Rechner auf einen Windows Rechner zugreifen - mögl. sicher, mögl. billig.
Wie wäre es mit SSH? Auf dem Win Rechner in deiner Firma freesshd installieren.
Auf der FW in deiner Firma Port 22 öffnen- möglichst jedoch NUR für die IP des entfernten Fremdfirmen-Mitarbeiters, falls er ne feste IP hat. Sonst rattern die Scriptkiddies drauf los und jagen Port 22.
Der Fremdfirmenmitarbeiter installiert bei sich dagegen einen SSH Client (www.ssh.com kostenlos) oder WinSCP und kann per Drag u. Drop die Daten rüberziehen.
SSH ist so sicher wie VPN, kost aber keinen Cent. Und es ist zuverlässig wie sau.
Wie wäre es mit SSH? Auf dem Win Rechner in deiner Firma freesshd installieren.
Auf der FW in deiner Firma Port 22 öffnen- möglichst jedoch NUR für die IP des entfernten Fremdfirmen-Mitarbeiters, falls er ne feste IP hat. Sonst rattern die Scriptkiddies drauf los und jagen Port 22.
Der Fremdfirmenmitarbeiter installiert bei sich dagegen einen SSH Client (www.ssh.com kostenlos) oder WinSCP und kann per Drag u. Drop die Daten rüberziehen.
SSH ist so sicher wie VPN, kost aber keinen Cent. Und es ist zuverlässig wie sau.
Vorab nochmal kurz: Die Auftragsbeschreibung ist jedoch sehr Lückenhaft.. Was ich bisher als Grundbedingung rausziehen konnte, habe ich oben beschrieben. Mir fehlen die Hintergründe, welche techn. Mittel z.B. bei der Fremdfirma bestehen.. Die muss ich noch erfragen, deshalb sammele ich schonmal Möglichkeiten. Jenachdem woran es hängt, wird es in die entsprechende Richtung weiter gehen.
Wäre auch gut, nach unseren 'Bestimmungen' dürfte jedoch die Verschlüsselung im Hausnetz nicht direkt vom PC aus gehen.
Hätten die openVPN, könnten die tatsächlich mit eingeschränkten Rechten aus unserem Hausnetz über user openVPN-Relay ihre Daten nach aussen schicken. Hätten die das nicht, wäre ssh eine Super Alternative, allerdings fehlte dann noch der Zugang ins Internet (autark, entweder ISDN o. DSL).
Ich danke Euch schonmal für die bisherigen Hints, bei mir fängt es an zu rattern, sodass ich Möglichkeiten und offenen Fakts formulieren kann.
Gruß T.
Wie wäre es mit SSH?
Wäre auch gut, nach unseren 'Bestimmungen' dürfte jedoch die Verschlüsselung im Hausnetz nicht direkt vom PC aus gehen.
Hätten die openVPN, könnten die tatsächlich mit eingeschränkten Rechten aus unserem Hausnetz über user openVPN-Relay ihre Daten nach aussen schicken. Hätten die das nicht, wäre ssh eine Super Alternative, allerdings fehlte dann noch der Zugang ins Internet (autark, entweder ISDN o. DSL).
Ich danke Euch schonmal für die bisherigen Hints, bei mir fängt es an zu rattern, sodass ich Möglichkeiten und offenen Fakts formulieren kann.
Gruß T.
Hallo,
das ISDN-VLAN der Telekom bietet wohl lediglich eine geschlossene Benutzergruppe zum ISDN-Verbindungsaufbau. D.h. du kannst damit zwar verhindern, dass sich dritte einwählen, hast aber dein Firmennetz in keinster Weise gegenüber den erwünschten Nutzern abgesichert.
Saubere Lösung wäre ein eigenes LAN, das zu eurem Netz hin mit eigener Firewall abgesichert ist, die lediglich einen Zugriff auf genau die gewünschten Daten zulässt (am besten auch nicht direkt, sondern auf einen Proxy, der wiederum nur auf diese Daten kann). Aus dem Internet ist dieses LAN nur durch Aufbau eines VPNs erreichbar (sprich: entsprechende Firewall).
Filipp
das ISDN-VLAN der Telekom bietet wohl lediglich eine geschlossene Benutzergruppe zum ISDN-Verbindungsaufbau. D.h. du kannst damit zwar verhindern, dass sich dritte einwählen, hast aber dein Firmennetz in keinster Weise gegenüber den erwünschten Nutzern abgesichert.
Saubere Lösung wäre ein eigenes LAN, das zu eurem Netz hin mit eigener Firewall abgesichert ist, die lediglich einen Zugriff auf genau die gewünschten Daten zulässt (am besten auch nicht direkt, sondern auf einen Proxy, der wiederum nur auf diese Daten kann). Aus dem Internet ist dieses LAN nur durch Aufbau eines VPNs erreichbar (sprich: entsprechende Firewall).
Filipp
Jo die Meinungen wieviel Sicherheit man für ein bestimmtes Problem tatsächlich braucht gehen weit auseinander - die Frage ist immer, wie paranoid wollen wir sein, und wer bezahlt die Rechnung der Paranoia.
Erfahrungsgemäss passieren die meisten Probleme durch infizierte Rechner, Anklicken von Emailanhängen, Würmer die ungepatchte Windows PCs ohne Firewall besuchen, arbeiten mit Adminrechten etc.
Die SSH Lösung ist in 10 Minuten gemacht, der Tunnel ist todsicher, und es kostet keinen Heller.
Man kann freilich auch VPN nehmen, da es die IT-Vertriebler jahrelang gepredigt haben - Geschäft mit der Angst.
Wir sollten als Admins jedoch meiner Meinung nach davor Angst haben, was WIRKLICH gefährlich ist. Ob man nun ne komplizierte, fehleranfällige Lösung die statt 100 eben 150% Sicherheit bietet oder ne einfache - es kommt aufs selbe ´hinaus.
Erfahrungsgemäss passieren die meisten Probleme durch infizierte Rechner, Anklicken von Emailanhängen, Würmer die ungepatchte Windows PCs ohne Firewall besuchen, arbeiten mit Adminrechten etc.
Die SSH Lösung ist in 10 Minuten gemacht, der Tunnel ist todsicher, und es kostet keinen Heller.
Man kann freilich auch VPN nehmen, da es die IT-Vertriebler jahrelang gepredigt haben - Geschäft mit der Angst.
Wir sollten als Admins jedoch meiner Meinung nach davor Angst haben, was WIRKLICH gefährlich ist. Ob man nun ne komplizierte, fehleranfällige Lösung die statt 100 eben 150% Sicherheit bietet oder ne einfache - es kommt aufs selbe ´hinaus.
Erfahrungsgemäss passieren die meisten
Probleme durch infizierte Rechner, Anklicken
von Emailanhängen, Würmer die
ungepatchte Windows PCs ohne Firewall
besuchen, arbeiten mit Adminrechten etc.
Eben eben. Und wenn man einen Kunden ins eigene Netz lässt, dann besitzt das Netz nicht mehr den Sicherheitsstatus, den man selber implementiert hat, sondern eine Schnittmenge aus diesem und dem des Kunden. Und dieser Schnitt kann schmerzhaft sein.Probleme durch infizierte Rechner, Anklicken
von Emailanhängen, Würmer die
ungepatchte Windows PCs ohne Firewall
besuchen, arbeiten mit Adminrechten etc.
Die SSH Lösung ist in 10 Minuten
gemacht, der Tunnel ist todsicher, und es
kostet keinen Heller.
Todsicher ist in der IT sowieso nichts, ausser dass es immer irgendeinen Trottel gibt, der es schaft, dass System zu sprengen... und VPN-Software gibt es auch zuhauf kostenlos.gemacht, der Tunnel ist todsicher, und es
kostet keinen Heller.
Hallo,
Du beschreibst dass die Daten via ISDN übertragen werden soll? Was für Datenmengen sollen übertragen werden?
Um Daten zwischen zwei PC´s via ISDN zu übertragen, ist AVM mit den Fritz!-Produkten ne sehr gute Lösung.
Ist in beiden Rechnern evtl. ne Fritz!-Card o.ä. vorhanden?
Du beschreibst dass die Daten via ISDN übertragen werden soll? Was für Datenmengen sollen übertragen werden?
Um Daten zwischen zwei PC´s via ISDN zu übertragen, ist AVM mit den Fritz!-Produkten ne sehr gute Lösung.
Ist in beiden Rechnern evtl. ne Fritz!-Card o.ä. vorhanden?
Eben eben. Und wenn man einen Kunden ins
eigene Netz lässt, dann besitzt das Netz
nicht mehr den Sicherheitsstatus, den man
selber implementiert hat, sondern eine
Schnittmenge aus diesem und dem des Kunden.
Und dieser Schnitt kann schmerzhaft sein.
Todsicher ist in der IT sowieso nichts,
ausser dass es immer irgendeinen Trottel
gibt, der es schaft, dass System zu
sprengen... und VPN-Software gibt es auch
zuhauf kostenlos.
#
eigene Netz lässt, dann besitzt das Netz
nicht mehr den Sicherheitsstatus, den man
selber implementiert hat, sondern eine
Schnittmenge aus diesem und dem des Kunden.
Und dieser Schnitt kann schmerzhaft sein.
Todsicher ist in der IT sowieso nichts,
ausser dass es immer irgendeinen Trottel
gibt, der es schaft, dass System zu
sprengen... und VPN-Software gibt es auch
zuhauf kostenlos.
#
Wenn der externe eben einen Zugriff auf ne bestimmte Maschine braucht, dann braucht er ihn eben. Man kann alles freilich auch soo sicher machen dass keiner mehr arbeiten kann.
VPNs gibts kostenlos - so einfach u. schnell wie nen ssh tunnel klarzumachen, bei gleicher Sicherheit, da gibz keine Alternative im vPn Bereich.
Hallo,
konnte jetzt erst wieder Weiteres erfahren, bzw. es sieht so aus:
Es ist ein Rechner der quasi als Schnittstelle für sensibele Daten dient. Über diesen werden die Daten bidirektional durch ISDN mittels einer Verschlüsselungssoftware ausgetauscht.
Die Schlüssel dazu müssen über ein definierten Trustcenter zertifiziert werden. Aktuell ist der Rechner standalone, die übertragenen Daten werden auf dem Rechner entschlüsselt und täglich via USB-Stick auf eine Unix-Maschine gebracht, auf welche andere Anwendungen dann zugreifen.
Wäre der Zugriff nicht bidirektional, würden wir auf der TK-Anlage einkommende Anrufe blocken, geht so leider nicht. Jetzt stellt sich eben die Frage, wie hoch ist das Risoko, diesen Rechner nicht doch in das Firmennetz zu hängen.. :?
Gruß T.
konnte jetzt erst wieder Weiteres erfahren, bzw. es sieht so aus:
Es ist ein Rechner der quasi als Schnittstelle für sensibele Daten dient. Über diesen werden die Daten bidirektional durch ISDN mittels einer Verschlüsselungssoftware ausgetauscht.
Die Schlüssel dazu müssen über ein definierten Trustcenter zertifiziert werden. Aktuell ist der Rechner standalone, die übertragenen Daten werden auf dem Rechner entschlüsselt und täglich via USB-Stick auf eine Unix-Maschine gebracht, auf welche andere Anwendungen dann zugreifen.
Wäre der Zugriff nicht bidirektional, würden wir auf der TK-Anlage einkommende Anrufe blocken, geht so leider nicht. Jetzt stellt sich eben die Frage, wie hoch ist das Risoko, diesen Rechner nicht doch in das Firmennetz zu hängen.. :?
Gruß T.
i hate this forum - doppelpost, und keine
mögl. es selber zu löschen.
Ist mir auch schon passiert, hatte dem Admin ne Mail gschickt, er möchte doch bitte die n-Post löschen. Hat er auch erledigt, ihm ist dieses Problem bewusst - bei GElegenheit ;)mögl. es selber zu löschen.
Gruß T.
