Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst nearshoring - Remoteanbindung

Mitglied: tanita

tanita (Level 1) - Jetzt verbinden

26.09.2007, aktualisiert 16.03.2008, 4908 Aufrufe, 9 Kommentare

Im Rahmen von nearshoring geht es um die Remoteanbindung der Fremdfirma zum SW-Entwickeln im eigenen Firmennetz.

Hallo,

ich bräuchte mal Hints:

Es geht darum, eine Fremdfirma, welche bei uns Software entwickeln soll, in unser Firmennetz anzubinden.

Im ersten Schritt ist gefordert:

- chat-Client
- Outlook/Webacess
- Transferverzeichnis (CIFS)
- SVN (je nach Berechtigungen), ssh
- http/https
- (Domain-Kennung/ADS - noch unklar, wird aber kommen)
- diverse Entwickler-Tools: eclipse, PL-SQL usw.

Im Gespräch ist, mittels einem VPN-Client sich an unser netz zu verbinden und mit RDP auf einen Rechner in unserem Netz zu verbinden und dort zu entwickeln. Über die Rechte wird noch diskutiert. Aber bekanntlich bekommen/brauchen Entwickler Adminrechte, d.h. die Risiken müssen noch gegenüber gestellt werden.

Im Gespräch ist auch ein eigenes Entwickler-LAN, wie das abgetrennt wird, sprich via VLAN oder über eigenens Interface als DMZ ist noch nicht ausdiskutiert. Denn je nachdem, was für die Anwendungen an Ports geöffnet werden muss, macht der Aufwand mehr oder weniger Sinn..

Wie würdet Ihr das machen? hat jemand Erfahrung mit nearshoring?

Vielen Dank im voraus für Hinweise.

Gruß T.
Mitglied: gnarff
27.09.2007 um 01:41 Uhr
Hallo Tanita!
Nearshoring ist in etwa das Gegenteil von Offshoring und hat nichts mit IT-Sicherheit zu tun, wie du Dich hier informieren kannst.

Wenn Du weißt, was genau gewünscht und gefordert ist, dann kannst Du ja mal etwas spezifischer werden..
Eins kann ich dir schon jetzt sagen CHATCLIENTS - das kommt überhaupt nicht in Frage; das ist absurd...

saludos
gnarff
Bitte warten ..
Mitglied: tanita
27.09.2007 um 11:41 Uhr
Hallo gnarff,

ich weiss schon, dass nearshoring das Gegenteil von offshoring ist (Betonung: meine persönliche Meinung dazu und eine evtl. Diskussion darüber lasse ich aussen vor..). Wir haben testweise einen Partner aus Rumänien gewählt. Und dieser gilt nur in unser Firmennetz anzubinden, damit die von Rumänien aus in unserem Netz auf unseren Systemen entwickeln können.

Ich sehe da schon ein hohes Sicherheitsrisiko, denn sobald die Adminrechte haben, machen wir potentiell an einer Stelle auf.. Und je nach Berechtigung macht u.U. auch ein eigenes Netz kaum Sinn.. denn wenn wieder alle Ports geöffnet werden müssen..

Für den ersten Schritt habe ich die Anforderungen, welche die erstmal benötigen oben beschrieben. Sind die unverständlich?

Über Vorschläge, Kritik und/oder eine Diskussion würde ich mich freuen.

Danke,
Gruß T.
Bitte warten ..
Mitglied: gnarff
28.09.2007 um 01:15 Uhr
hallo tanita,

Für den ersten Schritt habe ich die
Anforderungen, welche die erstmal
benötigen oben beschrieben. Sind die
unverständlich?

Ja, weil unsortiert, werde aber trotzdem versuchen darauf zu antworten:

Chat-Client
Es gibt keine sicheren Chatclients -Verbot durchsetzen!

Outlook/Webaccess
via SSL

CIFS
Standardmaessig unter Server 2003 abgeschaltet und schwer zu sichern; aber nicht unmoeglich...
CIFS Dienste absichern

SVN
Reden wir von Subversion?
Besser SVK version control system
SSH oder HTTPS...egal welche Berechtigung.

Microsoft Internet Security and Acceleration Server 2006 einplanen

Ein stabiles Sicherheitsmanagement erarbeiten, welches auch fuer die rumaenische Seite bindend ist.

Das Entwickler-Netzwerk von dem übrigen Netzwerk abzutrennen, halte ich für eine exzellente Idee...

saludos
gnarff
Bitte warten ..
Mitglied: tanita
28.09.2007 um 09:36 Uhr
> unverständlich?
>
Ja, weil unsortiert, werde aber trotzdem
versuchen darauf zu antworten:

Ok, über die Reihenfolge der Auflistung habe ich mir nicht wirklich Gedanken gemacht. Das ist jedoch so die Anforderungen, wie sie mir zugetragen wurden. Erweitert seit gestern noch um:

  • Shared Desktop
  • Whiteboard

Das allerdings erst in der nächsten Version. Primär geht es darum, den Zugriff und das Arbeiten damit testen zu können.


Chat-Client
Es gibt keine sicheren Chatclients -Verbot
durchsetzen!
... SVN, ja, damit ist subversion gemeint

Das Sind die Anforderungen, die umgesetzt werden sollen.. kann lediglich Empfehlungen aussprechen.

Wird zum Testen in der ersten Version wohl auf eine VPNbasierte RDP-Zugriff hinauslaufen.. Aber die Hinweise sind gut und als Maßnahmen in der Risikobewertung anzubringen.

Danke,
Gruß T.
Bitte warten ..
Mitglied: gnarff
28.09.2007 um 16:46 Uhr
Erweitert seit gestern
noch um:

  • Shared Desktop
  • Whiteboard
Extrem Resoucenfressend!
Damit dürft Ihr euch nun endgültig von einer integrierten Netzwerklösung verabschieden; das ist ja so einfach gar nicht mehr zu sichern. Hier bedarf es einer vom übrigen Firmennetzwerk abgekoppelten Lösung.
Das allerdings erst in der nächsten
Version.
Da es hier um Security-Assets geht, muss bei der Planung die Zukunftssicherheit gewährleistet sein.
D.h., das einzurichtende Netzwerk, die Hardware und zu implementierende Sicherheitsmaßnahmen müssen schon jetzt in der Lage sein auch den erweiterten Anforderungen der zweiten Version genüge zu leisten.
Das wird nicht billig!

Ich habe sehr den Eindruck, dass da im Hintergrund ein CEO und CIO wild in der Wundertüte graben und mit Wunschkonfetti um sich werfen, ohne wirklich zu wissen worauf sie sich da einlassen.

Wenn Du Lust hast, schick mir doch mal eine PN mit eurem Firmenprofil -nur um zu sehen, mit wem ich es zu tun habe und ob überhaupt genug Kapital dahinter steckt, ein solches Projekt vernünftig zu realisieren und mir ein Bild von den möglichen Assets zu machen.
Vllt. noch ein paar signifikante Eckdaten nennen, um Dir weiter anraten zu können.

saludos
gnarff
Bitte warten ..
Mitglied: tanita
28.09.2007 um 16:54 Uhr
Extrem Resoucenfressend!
Damit dürft Ihr euch nun endgültig
von einer integrierten Netzwerklösung
verabschieden; das ist ja so einfach gar
nicht mehr zu sichern. Hier bedarf es einer
vom übrigen Firmennetzwerk abgekoppelten
Lösung.

Jupp, wird auch abgekoppelt.. Für mich jetzt nur die Überlegung, ob es über ein VLAN reicht, oder über eine DMZ an der FW

>
> Das allerdings erst in der
nächsten
> Version.
>
Da es hier um Security-Assets geht, muss bei
der Planung die Zukunftssicherheit
gewährleistet sein.
D.h., das einzurichtende Netzwerk, die
Hardware und zu implementierende
Sicherheitsmaßnahmen müssen schon
jetzt in der Lage sein auch den erweiterten
Anforderungen der zweiten Version genüge
zu leisten.
Das wird nicht billig!

Das wird es auch nicht!



Ich habe sehr den Eindruck, dass da im
Hintergrund ein CEO und CIO wild in der
Wundertüte graben und mit Wunschkonfetti
um sich werfen, ohne wirklich zu wissen
worauf sie sich da einlassen.

*daumen*

Wenn Du Lust hast, schick mir doch mal eine
PN mit eurem Firmenprofil -nur um zu sehen,
mit wem ich es zu tun habe und ob
überhaupt genug Kapital dahinter steckt,
ein solches Projekt vernünftig zu
realisieren. Vllt. noch ein paar signifikante
Eckdaten nennen, um Dir weiter anraten zu
können.

Nehme mir bitte nicht übel, dass ich das nicht kann/darf.. kann nur so viel sagen, potentiell wäre Geld da.., allerdings muss der weitere Support usw. auch noch berücksichtigt werden (ich weiss, wer bei den dicken Fischen mit schwimmen will, muss auch..).

Ich muss jedoch 'lediglich' mit den oben genannten Anforderungen eine praktikable Lösung erarbeiten, sprich mit Boardmitteln und/oder eingesetzten VPN-Clients usw. Es soll erstmal getestet werden, ob sich nearshoring überhaupt für uns lohnt.. mit Hängen und Würgen habe ich wenigstens mal eine Liste von Servern bekommen, wo die externen zugreifen sollen.

Kann teilweise selbst nur den Kopf schütteln, aber mir sind massiv die Hände gebunden..


Gruß T.

saludos
gnarff
Bitte warten ..
Mitglied: gnarff
28.09.2007 um 19:38 Uhr

Jupp, wird auch abgekoppelt.. Für mich
jetzt nur die Überlegung, ob es
über ein VLAN reicht, oder über
eine DMZ an der FW

Nein, reicht es nicht, sondern es bedarf einer Perimeter Architektur, hier im Ueberblick

saludos
gnarff
Bitte warten ..
Mitglied: tanita
05.11.2007 um 18:00 Uhr
Hallo,

danke für's Mitdenken, war zwangsweise ne Weile off.

kurz-Info als Zwischenstand: Es wurde erstmal eine V1 entschieden, d.h. Zugriff in das LAN von aussen über RDP in einem extra VLAN, von dort aus geht es dann weiter..

Gruß T.
Bitte warten ..
Mitglied: tanita
16.03.2008 um 21:32 Uhr
Fazit: diesen Zugang haben wir aktuell mit einem VPN-Client gelöst. Als nächstes wird mit SSL VPN getestet.

Danke an alle,

Servus T.
Bitte warten ..
Neue Wissensbeiträge
E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 1 TagE-Mail7 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 1 TagHyper-V

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Sicherheits-Tools

Trend Micro WorryFree Business Security (WFBS) 10 - neuer Patch 1470 verfügbar

Tipp von VGem-e vor 1 TagSicherheits-Tools1 Kommentar

Servus, mal sehen, ob mit Patch 1470, zu finden unter dann die angeblich fehlerhafte Funktion, die unter W10 im ...

Server-Hardware

Lösung für Ersatz eines defekter Raid-Controllers

Anleitung von wellknown vor 2 TagenServer-Hardware4 Kommentare

Hallo, da ich nichts gefunden habe und selbst eine Lösung brauchte, hier eine kleine Anleitung für alle die vor ...

Heiß diskutierte Inhalte
Windows Server
Mit der alten Domäneprofil anmelden ohne Server
gelöst Frage von SyosseWindows Server37 Kommentare

Hallo Jungs Folgendes Szenario: Ich habe bei einem sehr kleinen Unternehmen (2Personen) den Server migriert, soweit hat alles geklappt. ...

Sicherheits-Tools
Virenprogramm lässt Programme nicht starten
Frage von SurferGirlSicherheits-Tools23 Kommentare

Hallo, ich bin neu hier, ich hoffe ich habe die richtige Rubrik gewählt. Falls nicht, tut es mir leid. ...

Windows Server
SQL Server Instanz (Eplan) auf WIN 2008 RC2 Server frisst RAM ohne Limit
Frage von derinderinderinWindows Server17 Kommentare

Hallo Zusammen, Wir haben hier einen Windows 2008 RC2 Server. Darauf läuft ein SQL Server Express 2014 Version 12.0.4232.0. ...

Windows 10
Best Practice für Schulungsräume
Frage von Sn0wFoxWindows 1016 Kommentare

Hallo, leider bin ich auch nach langer Suche nicht auf eine zufriedenstellende Nicht-Cloud-Lösung gestoßen und wollte mal Fragen ob ...