Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst nearshoring - Remoteanbindung

Mitglied: tanita

tanita (Level 1) - Jetzt verbinden

26.09.2007, aktualisiert 16.03.2008, 4900 Aufrufe, 9 Kommentare

Im Rahmen von nearshoring geht es um die Remoteanbindung der Fremdfirma zum SW-Entwickeln im eigenen Firmennetz.

Hallo,

ich bräuchte mal Hints:

Es geht darum, eine Fremdfirma, welche bei uns Software entwickeln soll, in unser Firmennetz anzubinden.

Im ersten Schritt ist gefordert:

- chat-Client
- Outlook/Webacess
- Transferverzeichnis (CIFS)
- SVN (je nach Berechtigungen), ssh
- http/https
- (Domain-Kennung/ADS - noch unklar, wird aber kommen)
- diverse Entwickler-Tools: eclipse, PL-SQL usw.

Im Gespräch ist, mittels einem VPN-Client sich an unser netz zu verbinden und mit RDP auf einen Rechner in unserem Netz zu verbinden und dort zu entwickeln. Über die Rechte wird noch diskutiert. Aber bekanntlich bekommen/brauchen Entwickler Adminrechte, d.h. die Risiken müssen noch gegenüber gestellt werden.

Im Gespräch ist auch ein eigenes Entwickler-LAN, wie das abgetrennt wird, sprich via VLAN oder über eigenens Interface als DMZ ist noch nicht ausdiskutiert. Denn je nachdem, was für die Anwendungen an Ports geöffnet werden muss, macht der Aufwand mehr oder weniger Sinn..

Wie würdet Ihr das machen? hat jemand Erfahrung mit nearshoring?

Vielen Dank im voraus für Hinweise.

Gruß T.
Mitglied: gnarff
27.09.2007 um 01:41 Uhr
Hallo Tanita!
Nearshoring ist in etwa das Gegenteil von Offshoring und hat nichts mit IT-Sicherheit zu tun, wie du Dich hier informieren kannst.

Wenn Du weißt, was genau gewünscht und gefordert ist, dann kannst Du ja mal etwas spezifischer werden..
Eins kann ich dir schon jetzt sagen CHATCLIENTS - das kommt überhaupt nicht in Frage; das ist absurd...

saludos
gnarff
Bitte warten ..
Mitglied: tanita
27.09.2007 um 11:41 Uhr
Hallo gnarff,

ich weiss schon, dass nearshoring das Gegenteil von offshoring ist (Betonung: meine persönliche Meinung dazu und eine evtl. Diskussion darüber lasse ich aussen vor..). Wir haben testweise einen Partner aus Rumänien gewählt. Und dieser gilt nur in unser Firmennetz anzubinden, damit die von Rumänien aus in unserem Netz auf unseren Systemen entwickeln können.

Ich sehe da schon ein hohes Sicherheitsrisiko, denn sobald die Adminrechte haben, machen wir potentiell an einer Stelle auf.. Und je nach Berechtigung macht u.U. auch ein eigenes Netz kaum Sinn.. denn wenn wieder alle Ports geöffnet werden müssen..

Für den ersten Schritt habe ich die Anforderungen, welche die erstmal benötigen oben beschrieben. Sind die unverständlich?

Über Vorschläge, Kritik und/oder eine Diskussion würde ich mich freuen.

Danke,
Gruß T.
Bitte warten ..
Mitglied: gnarff
28.09.2007 um 01:15 Uhr
hallo tanita,

Für den ersten Schritt habe ich die
Anforderungen, welche die erstmal
benötigen oben beschrieben. Sind die
unverständlich?

Ja, weil unsortiert, werde aber trotzdem versuchen darauf zu antworten:

Chat-Client
Es gibt keine sicheren Chatclients -Verbot durchsetzen!

Outlook/Webaccess
via SSL

CIFS
Standardmaessig unter Server 2003 abgeschaltet und schwer zu sichern; aber nicht unmoeglich...
CIFS Dienste absichern

SVN
Reden wir von Subversion?
Besser SVK version control system
SSH oder HTTPS...egal welche Berechtigung.

Microsoft Internet Security and Acceleration Server 2006 einplanen

Ein stabiles Sicherheitsmanagement erarbeiten, welches auch fuer die rumaenische Seite bindend ist.

Das Entwickler-Netzwerk von dem übrigen Netzwerk abzutrennen, halte ich für eine exzellente Idee...

saludos
gnarff
Bitte warten ..
Mitglied: tanita
28.09.2007 um 09:36 Uhr
> unverständlich?
>
Ja, weil unsortiert, werde aber trotzdem
versuchen darauf zu antworten:

Ok, über die Reihenfolge der Auflistung habe ich mir nicht wirklich Gedanken gemacht. Das ist jedoch so die Anforderungen, wie sie mir zugetragen wurden. Erweitert seit gestern noch um:

  • Shared Desktop
  • Whiteboard

Das allerdings erst in der nächsten Version. Primär geht es darum, den Zugriff und das Arbeiten damit testen zu können.


Chat-Client
Es gibt keine sicheren Chatclients -Verbot
durchsetzen!
... SVN, ja, damit ist subversion gemeint

Das Sind die Anforderungen, die umgesetzt werden sollen.. kann lediglich Empfehlungen aussprechen.

Wird zum Testen in der ersten Version wohl auf eine VPNbasierte RDP-Zugriff hinauslaufen.. Aber die Hinweise sind gut und als Maßnahmen in der Risikobewertung anzubringen.

Danke,
Gruß T.
Bitte warten ..
Mitglied: gnarff
28.09.2007 um 16:46 Uhr
Erweitert seit gestern
noch um:

  • Shared Desktop
  • Whiteboard
Extrem Resoucenfressend!
Damit dürft Ihr euch nun endgültig von einer integrierten Netzwerklösung verabschieden; das ist ja so einfach gar nicht mehr zu sichern. Hier bedarf es einer vom übrigen Firmennetzwerk abgekoppelten Lösung.
Das allerdings erst in der nächsten
Version.
Da es hier um Security-Assets geht, muss bei der Planung die Zukunftssicherheit gewährleistet sein.
D.h., das einzurichtende Netzwerk, die Hardware und zu implementierende Sicherheitsmaßnahmen müssen schon jetzt in der Lage sein auch den erweiterten Anforderungen der zweiten Version genüge zu leisten.
Das wird nicht billig!

Ich habe sehr den Eindruck, dass da im Hintergrund ein CEO und CIO wild in der Wundertüte graben und mit Wunschkonfetti um sich werfen, ohne wirklich zu wissen worauf sie sich da einlassen.

Wenn Du Lust hast, schick mir doch mal eine PN mit eurem Firmenprofil -nur um zu sehen, mit wem ich es zu tun habe und ob überhaupt genug Kapital dahinter steckt, ein solches Projekt vernünftig zu realisieren und mir ein Bild von den möglichen Assets zu machen.
Vllt. noch ein paar signifikante Eckdaten nennen, um Dir weiter anraten zu können.

saludos
gnarff
Bitte warten ..
Mitglied: tanita
28.09.2007 um 16:54 Uhr
Extrem Resoucenfressend!
Damit dürft Ihr euch nun endgültig
von einer integrierten Netzwerklösung
verabschieden; das ist ja so einfach gar
nicht mehr zu sichern. Hier bedarf es einer
vom übrigen Firmennetzwerk abgekoppelten
Lösung.

Jupp, wird auch abgekoppelt.. Für mich jetzt nur die Überlegung, ob es über ein VLAN reicht, oder über eine DMZ an der FW

>
> Das allerdings erst in der
nächsten
> Version.
>
Da es hier um Security-Assets geht, muss bei
der Planung die Zukunftssicherheit
gewährleistet sein.
D.h., das einzurichtende Netzwerk, die
Hardware und zu implementierende
Sicherheitsmaßnahmen müssen schon
jetzt in der Lage sein auch den erweiterten
Anforderungen der zweiten Version genüge
zu leisten.
Das wird nicht billig!

Das wird es auch nicht!



Ich habe sehr den Eindruck, dass da im
Hintergrund ein CEO und CIO wild in der
Wundertüte graben und mit Wunschkonfetti
um sich werfen, ohne wirklich zu wissen
worauf sie sich da einlassen.

*daumen*

Wenn Du Lust hast, schick mir doch mal eine
PN mit eurem Firmenprofil -nur um zu sehen,
mit wem ich es zu tun habe und ob
überhaupt genug Kapital dahinter steckt,
ein solches Projekt vernünftig zu
realisieren. Vllt. noch ein paar signifikante
Eckdaten nennen, um Dir weiter anraten zu
können.

Nehme mir bitte nicht übel, dass ich das nicht kann/darf.. kann nur so viel sagen, potentiell wäre Geld da.., allerdings muss der weitere Support usw. auch noch berücksichtigt werden (ich weiss, wer bei den dicken Fischen mit schwimmen will, muss auch..).

Ich muss jedoch 'lediglich' mit den oben genannten Anforderungen eine praktikable Lösung erarbeiten, sprich mit Boardmitteln und/oder eingesetzten VPN-Clients usw. Es soll erstmal getestet werden, ob sich nearshoring überhaupt für uns lohnt.. mit Hängen und Würgen habe ich wenigstens mal eine Liste von Servern bekommen, wo die externen zugreifen sollen.

Kann teilweise selbst nur den Kopf schütteln, aber mir sind massiv die Hände gebunden..


Gruß T.

saludos
gnarff
Bitte warten ..
Mitglied: gnarff
28.09.2007 um 19:38 Uhr

Jupp, wird auch abgekoppelt.. Für mich
jetzt nur die Überlegung, ob es
über ein VLAN reicht, oder über
eine DMZ an der FW

Nein, reicht es nicht, sondern es bedarf einer Perimeter Architektur, hier im Ueberblick

saludos
gnarff
Bitte warten ..
Mitglied: tanita
05.11.2007 um 18:00 Uhr
Hallo,

danke für's Mitdenken, war zwangsweise ne Weile off.

kurz-Info als Zwischenstand: Es wurde erstmal eine V1 entschieden, d.h. Zugriff in das LAN von aussen über RDP in einem extra VLAN, von dort aus geht es dann weiter..

Gruß T.
Bitte warten ..
Mitglied: tanita
16.03.2008 um 21:32 Uhr
Fazit: diesen Zugang haben wir aktuell mit einem VPN-Client gelöst. Als nächstes wird mit SSL VPN getestet.

Danke an alle,

Servus T.
Bitte warten ..
Neue Wissensbeiträge
Exchange Server
Exchange - Fehler mit 2018-07 Sicherheitsupdate
Tipp von ArnoNymous vor 1 TagExchange Server6 Kommentare

Hallo, es gibt mal wieder Freude mit den MS-Updates. KB4338814 führt dazu, dass der Exchange keine Mails mehr zustellt. ...

Suche Projektpartner

PC Recycling Projekte mit Flüchtlingen und Kids suchen Materialspenden und Mitmacher!

Erfahrungsbericht von NettePCyclePiraten vor 2 TagenSuche Projektpartner7 Kommentare

Hallöchen liebe Kollegen, ich betreue zwei PC-Gruppen im Raum Dortmund: "Ne#e PCycle Pir@ten" & "PCschr@uber Br@mbauer" Wir sind eine ...

iOS
IOS 12.2 beta und OpenVPN iPad und iPhone
Erfahrungsbericht von magicteddy vor 2 TageniOS

Moin, kleiner Hinweis an die experimentierfreudigen unter Euch: Bei der aktuellen beta gibt es ein Problem im Zusammenspiel zwischen ...

Vmware
VMware Tools 10.3 verfügbar
Information von sabines vor 3 TagenVmware

Eine Sicherheitslücke wird mit den Tools der Version 10.3 geschlossen, die Tools müssen auf jeder VM aktualisiert werden. Näheres ...

Heiß diskutierte Inhalte
CPU, RAM, Mainboards
4x 2 GB DDR2 1066 gesucht
gelöst Frage von Windows10GegnerCPU, RAM, Mainboards17 Kommentare

Hallo, ich plane den RAM meines Rechners aufzurüsten. Motherboard: Gigabyte X48 DS5 Der FSB steht bei 259, daher soll ...

Batch & Shell
PowerShell Auflösung zu .txt (Skript als exe) falsche Auflösung?!
Frage von timsen-96Batch & Shell15 Kommentare

Ich habe folgendes Skript um die Bildschirmauflösung herauszufinden, was auch in PowerShell super funktioniert: Add-Type -AssemblyName System.Windows.Forms $Width = ...

Samba
Samba-NAS Zugriff verweigert
gelöst Frage von VernoxVernaxSamba15 Kommentare

hallo ich schaffe es einfach nicht meinem User Rechte zum schreiben zu geben. Ich habe dies alles auf nem ...

Humor (lol)
Windows 10 - immer für Überraschungen gut
gelöst Frage von HenereHumor (lol)15 Kommentare

Eben nach (beim) installieren der neuesten Updates für 1803 :-) Und sorry fürs Handyfoto, aber der musste sein. Nach ...