Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Absicherung: Rechner von Fremdfirmen im Firmennetz via ISDN

Mitglied: tanita

tanita (Level 1) - Jetzt verbinden

17.02.2007, aktualisiert 22.03.2007, 5552 Aufrufe, 12 Kommentare

Der Rechner einer Fremdfirma muss mit seiner Firma sensible Daten austauschen können. Als Betriebssystem Windows XP, möglicher vom eigenen Firmennetz abgeschotteter Zugang via ISDN.

Hallo,

ich habe einen Arbeitsauftrag erhalten, dabei soll ein Rechner (BS=WinXP) einer Fremdfirma sensible daten aus unserem Firmennetz zu sich übertragen können. Der Rechner darf nicht in das Firmennetz, d.h. er ist autark. An diesem Rechner werden Daten eingescannt und bei der Fremdfirma weiter verarbeitet. Als möglichen Zugang ist mit einer Fritz-Karte ISDN angedacht.

Ich erinnere mich aus entfernten Gesprächen, es gibt eine Art ISDN-Vlan bei der Telekom, wobei auf Antrag ISDN-Anschlüsse in eine Gruppe eintragen wird, sodass es mehr oder weniger 'sicher' einzustufen gilt. Richtig?

Könnte mir vorstellen, das dies eine gute alternative wäre, den Recher einmal vom Firmennetz abzuschotten, andererseits eine sichere Möglichkeit zu bieten, die Daten zu übertragen. Falls nötig, könnte man das mit einem Tool noch verschlüsseln.

Wenn es sowas gibt, kann mir jemand sagen, wie das 'richtig' heisst?

Wie gross die zu übertragenden Daten sind, weiss ich (noch) nicht, d.h. ISDN könnte u.U. zu langsam sein.

Hätte jemand eine andere oder bessere Alternative?


Danke,
Gruß T.
Mitglied: 16061
17.02.2007 um 14:26 Uhr
Hy,

vpn verbindung via dsl tuts auch. Gesicherte Verbindung ist kaum entschlüsselbar.

Fremd PC in Active Directory im eigenen Netzwerk aufnehmen und mit eingeschränkten User rechten ausstatten. BSP: ScriptProzessor disablen, ReadOnly auf Dateien, usw.

Einfach mal bei www.t-systems.de nachschauen

Gruß

admin01
Bitte warten ..
Mitglied: tanita
17.02.2007 um 14:44 Uhr
Hi

vpn verbindung via dsl tuts auch. Gesicherte
Verbindung ist kaum entschlüsselbar.

Dachte ich auch schon daran, muss erstmal abklären, ob auf der Gegenstelle ein entsprechendes VPN-GW bestünde. Man sollte ja allg. meinen ja.. Trotzdem, bedarf Abklärung.

Fremd PC in Active Directory im eigenen
Netzwerk aufnehmen und mit
eingeschränkten User rechten ausstatten.
BSP: ScriptProzessor disablen, ReadOnly auf

Also dann doch über das Firmennetz.. Ich betreuden den AD nicht, werde das als Möglichkeit jedenfalls angeben!

Danke schonmal!
Gruß T.
Bitte warten ..
Mitglied: spacyfreak
17.02.2007 um 15:00 Uhr
i hate this forum - doppelpost, und keine mögl. es selber zu löschen.
Bitte warten ..
Mitglied: spacyfreak
17.02.2007 um 15:00 Uhr
Also soll ein Windows Rechner auf einen Windows Rechner zugreifen - mögl. sicher, mögl. billig.

Wie wäre es mit SSH? Auf dem Win Rechner in deiner Firma freesshd installieren.
Auf der FW in deiner Firma Port 22 öffnen- möglichst jedoch NUR für die IP des entfernten Fremdfirmen-Mitarbeiters, falls er ne feste IP hat. Sonst rattern die Scriptkiddies drauf los und jagen Port 22.

Der Fremdfirmenmitarbeiter installiert bei sich dagegen einen SSH Client (www.ssh.com kostenlos) oder WinSCP und kann per Drag u. Drop die Daten rüberziehen.

SSH ist so sicher wie VPN, kost aber keinen Cent. Und es ist zuverlässig wie sau.
Bitte warten ..
Mitglied: tanita
17.02.2007 um 15:31 Uhr
Vorab nochmal kurz: Die Auftragsbeschreibung ist jedoch sehr Lückenhaft.. Was ich bisher als Grundbedingung rausziehen konnte, habe ich oben beschrieben. Mir fehlen die Hintergründe, welche techn. Mittel z.B. bei der Fremdfirma bestehen.. Die muss ich noch erfragen, deshalb sammele ich schonmal Möglichkeiten. Jenachdem woran es hängt, wird es in die entsprechende Richtung weiter gehen.

Wie wäre es mit SSH?

Wäre auch gut, nach unseren 'Bestimmungen' dürfte jedoch die Verschlüsselung im Hausnetz nicht direkt vom PC aus gehen.

Hätten die openVPN, könnten die tatsächlich mit eingeschränkten Rechten aus unserem Hausnetz über user openVPN-Relay ihre Daten nach aussen schicken. Hätten die das nicht, wäre ssh eine Super Alternative, allerdings fehlte dann noch der Zugang ins Internet (autark, entweder ISDN o. DSL).

Ich danke Euch schonmal für die bisherigen Hints, bei mir fängt es an zu rattern, sodass ich Möglichkeiten und offenen Fakts formulieren kann.

Gruß T.
Bitte warten ..
Mitglied: filippg
17.02.2007 um 18:53 Uhr
Hallo,

das ISDN-VLAN der Telekom bietet wohl lediglich eine geschlossene Benutzergruppe zum ISDN-Verbindungsaufbau. D.h. du kannst damit zwar verhindern, dass sich dritte einwählen, hast aber dein Firmennetz in keinster Weise gegenüber den erwünschten Nutzern abgesichert.
Saubere Lösung wäre ein eigenes LAN, das zu eurem Netz hin mit eigener Firewall abgesichert ist, die lediglich einen Zugriff auf genau die gewünschten Daten zulässt (am besten auch nicht direkt, sondern auf einen Proxy, der wiederum nur auf diese Daten kann). Aus dem Internet ist dieses LAN nur durch Aufbau eines VPNs erreichbar (sprich: entsprechende Firewall).

Filipp
Bitte warten ..
Mitglied: spacyfreak
17.02.2007 um 20:03 Uhr
Jo die Meinungen wieviel Sicherheit man für ein bestimmtes Problem tatsächlich braucht gehen weit auseinander - die Frage ist immer, wie paranoid wollen wir sein, und wer bezahlt die Rechnung der Paranoia.

Erfahrungsgemäss passieren die meisten Probleme durch infizierte Rechner, Anklicken von Emailanhängen, Würmer die ungepatchte Windows PCs ohne Firewall besuchen, arbeiten mit Adminrechten etc.

Die SSH Lösung ist in 10 Minuten gemacht, der Tunnel ist todsicher, und es kostet keinen Heller.

Man kann freilich auch VPN nehmen, da es die IT-Vertriebler jahrelang gepredigt haben - Geschäft mit der Angst.

Wir sollten als Admins jedoch meiner Meinung nach davor Angst haben, was WIRKLICH gefährlich ist. Ob man nun ne komplizierte, fehleranfällige Lösung die statt 100 eben 150% Sicherheit bietet oder ne einfache - es kommt aufs selbe ´hinaus.
Bitte warten ..
Mitglied: filippg
17.02.2007 um 20:17 Uhr
Erfahrungsgemäss passieren die meisten
Probleme durch infizierte Rechner, Anklicken
von Emailanhängen, Würmer die
ungepatchte Windows PCs ohne Firewall
besuchen, arbeiten mit Adminrechten etc.
Eben eben. Und wenn man einen Kunden ins eigene Netz lässt, dann besitzt das Netz nicht mehr den Sicherheitsstatus, den man selber implementiert hat, sondern eine Schnittmenge aus diesem und dem des Kunden. Und dieser Schnitt kann schmerzhaft sein.


Die SSH Lösung ist in 10 Minuten
gemacht, der Tunnel ist todsicher, und es
kostet keinen Heller.
Todsicher ist in der IT sowieso nichts, ausser dass es immer irgendeinen Trottel gibt, der es schaft, dass System zu sprengen... und VPN-Software gibt es auch zuhauf kostenlos.
Bitte warten ..
Mitglied: Northwind
17.02.2007 um 20:29 Uhr
Hallo,

Du beschreibst dass die Daten via ISDN übertragen werden soll? Was für Datenmengen sollen übertragen werden?

Um Daten zwischen zwei PC´s via ISDN zu übertragen, ist AVM mit den Fritz!-Produkten ne sehr gute Lösung.

Ist in beiden Rechnern evtl. ne Fritz!-Card o.ä. vorhanden?
Bitte warten ..
Mitglied: spacyfreak
18.02.2007 um 01:49 Uhr
Eben eben. Und wenn man einen Kunden ins
eigene Netz lässt, dann besitzt das Netz
nicht mehr den Sicherheitsstatus, den man
selber implementiert hat, sondern eine
Schnittmenge aus diesem und dem des Kunden.
Und dieser Schnitt kann schmerzhaft sein.

Todsicher ist in der IT sowieso nichts,
ausser dass es immer irgendeinen Trottel
gibt, der es schaft, dass System zu
sprengen... und VPN-Software gibt es auch
zuhauf kostenlos.

Wenn der externe eben einen Zugriff auf ne bestimmte Maschine braucht, dann braucht er ihn eben. Man kann alles freilich auch soo sicher machen dass keiner mehr arbeiten kann.
VPNs gibts kostenlos - so einfach u. schnell wie nen ssh tunnel klarzumachen, bei gleicher Sicherheit, da gibz keine Alternative im vPn Bereich.
Bitte warten ..
Mitglied: tanita
19.03.2007 um 14:39 Uhr
Hallo,

konnte jetzt erst wieder Weiteres erfahren, bzw. es sieht so aus:

Es ist ein Rechner der quasi als Schnittstelle für sensibele Daten dient. Über diesen werden die Daten bidirektional durch ISDN mittels einer Verschlüsselungssoftware ausgetauscht.
Die Schlüssel dazu müssen über ein definierten Trustcenter zertifiziert werden. Aktuell ist der Rechner standalone, die übertragenen Daten werden auf dem Rechner entschlüsselt und täglich via USB-Stick auf eine Unix-Maschine gebracht, auf welche andere Anwendungen dann zugreifen.

Wäre der Zugriff nicht bidirektional, würden wir auf der TK-Anlage einkommende Anrufe blocken, geht so leider nicht. Jetzt stellt sich eben die Frage, wie hoch ist das Risoko, diesen Rechner nicht doch in das Firmennetz zu hängen.. :?

Gruß T.
Bitte warten ..
Mitglied: tanita
22.03.2007 um 10:06 Uhr
i hate this forum - doppelpost, und keine
mögl. es selber zu löschen.
Ist mir auch schon passiert, hatte dem Admin ne Mail gschickt, er möchte doch bitte die n-Post löschen. Hat er auch erledigt, ihm ist dieses Problem bewusst - bei GElegenheit ;)

Gruß T.
Bitte warten ..
Ähnliche Inhalte
Datenschutz
USV Strategie Absicherung der Server
Frage von Thor01Datenschutz7 Kommentare

Hallo zusammen, momentan gibt es bei uns in der Firma die Überlegung wie man den am besten seine Server ...

LAN, WAN, Wireless

Absicherung des kabelgebundenen Heimnetzwerks

gelöst Frage von gregmanLAN, WAN, Wireless14 Kommentare

Hallo ihr, ich erweitere in meinem Haus Schritt für Schritt das Heimnetzwerk und baue bis zu diesem Zeitpunkt auf ...

Webbrowser

Homepage wird im Firmennetz langsam geöffnet

gelöst Frage von Dr.CornwallisWebbrowser11 Kommentare

Hallo Gemeinde! Ich habe folgendes Problem in meinem Netzwerk. Unsere Homepage funktioniert vom eigenen Firmennetz aus sehr langsam(ca.1-3 min ...

Netzwerke

VPN, Lager, Firmennetz

Frage von DomFryNetzwerke6 Kommentare

Hallo zusammen, aktuell würde ich gerne folgende Anforderung erfüllen: VPN-Verbindung zwischen Lager (Dyndns, Fritzbox 7390) und Hauptgebäude (Fixe Ip, ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 14 StundenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 14 StundenSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 1 TagDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 1 TagSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
Exchange Server
Exchange Postfach Einbindung Betriebs-rat -Arzt, Bewerbung .
gelöst Frage von YellowcakeExchange Server23 Kommentare

Hey ich habe da mal eine Denksport Aufgabe bekommen Genutzt wird ein Exchange Server 2010. hier gibt es den ...

Windows Server
Downgrade von Windows Server 2016 auf 2012 - Wie vorgehen?
Frage von EstefaniaWindows Server13 Kommentare

Guten Ich habe eine Frage an Erfahrene unter euch. Durch einen InPlace Upgrade wurde Windows Server 2012 auf die ...

Datenschutz
Telematikinfrastruktur Erfahrungsaustausch
Frage von MOS6581Datenschutz12 Kommentare

Moin, unter meinen Kunden befinden sich auch einige Ärzte, welche sich künftig mit der Telematikinfrastruktur-Geschichte der Gematik herumärgern dürfen. ...

Windows Server
Delgegierte OU via RDP verwalten - Objektverwaltung zuweisen
gelöst Frage von TOAOICEWindows Server12 Kommentare

Hallo, ich habe folgendes Problem. Ich möchte in meiner Domäne (Server2016), einer Gruppe (OUAdmin) Berechtigungen auf die OU Test ...