5
Suche betriebswirtschaftlich sinnvolle Ferwartungslösung
Hallo zusammen!
Ich demnächst bei uns auf der Arbeit einige Konzepte für bestimmte Möglichkeiten vorstellen, wie von uns aus Fernwartungen am besten durchgeführt werden können. Der Sachverhalt ist folgender:
Wir sind Software-Ausrüster für individuelle Systemlösungen und betreuen ziemlich viele Objekte hauptsächlich im Bundesgebiet. Wir führen momentan auf viele, nicht einheitliche Arten und Weisen Fernwartungen durch. Viele unserer Kunden haben nur relativ kleine Netzwerkumgebungen in Arbeitsgruppenorganisation (Windows NT bis Win 2003) und beschäftigen i. d. R. keinen Admin. Es besteht auch in den meisten Fällen keine Anbindung an das Internet für die zu betreuenden Netze. Das einzige, was dort dann zur Verfügung steht, ist eine ISDN-Leitung, welche momentan mit PC-Anywhere (Einwahl über ISDN Capi bzw. eingehende Anrufe) genutzt wird. Die Einwahl, welche dann über "eingehende Anrufe" (in den DFÜ-Einstellungen) durchgeführt werden, sind mir eigentlich ein erheblicher Dorn im Auge, da ich hier eine hohe Gefahr darin sehe, daß unsere Sicherheitsperimeter dadurch umgangen werden. Es wird hier zwar über ISDN eine Einwahl durchgeführt, allerdings steht dann eine TCP-Verbindung von dem betreffenden Rechner in ein fremdes Netz (und umgekehrt) zur Verfügung. Teilweise erfolgt die Einwahl sogar über preiswerte ISDN-Router.
Eine weitere Voraussetzung soll sein, daß unsere Supporter, welche die Fernwartung durchführen, diese ggf. auch von unterwegs bzw. von sich aus zu Hause, machen können.
Kann mir jemand in dieser Problematik ggf. weiterhelfen bzw. irgendwelche Anregungen für Lösungsmöglichkeiten, die nicht nur für Großkonzerne erschwinglich sind, geben?
Besten Dank im Voraus!
Gruß
Tom
Ich demnächst bei uns auf der Arbeit einige Konzepte für bestimmte Möglichkeiten vorstellen, wie von uns aus Fernwartungen am besten durchgeführt werden können. Der Sachverhalt ist folgender:
Wir sind Software-Ausrüster für individuelle Systemlösungen und betreuen ziemlich viele Objekte hauptsächlich im Bundesgebiet. Wir führen momentan auf viele, nicht einheitliche Arten und Weisen Fernwartungen durch. Viele unserer Kunden haben nur relativ kleine Netzwerkumgebungen in Arbeitsgruppenorganisation (Windows NT bis Win 2003) und beschäftigen i. d. R. keinen Admin. Es besteht auch in den meisten Fällen keine Anbindung an das Internet für die zu betreuenden Netze. Das einzige, was dort dann zur Verfügung steht, ist eine ISDN-Leitung, welche momentan mit PC-Anywhere (Einwahl über ISDN Capi bzw. eingehende Anrufe) genutzt wird. Die Einwahl, welche dann über "eingehende Anrufe" (in den DFÜ-Einstellungen) durchgeführt werden, sind mir eigentlich ein erheblicher Dorn im Auge, da ich hier eine hohe Gefahr darin sehe, daß unsere Sicherheitsperimeter dadurch umgangen werden. Es wird hier zwar über ISDN eine Einwahl durchgeführt, allerdings steht dann eine TCP-Verbindung von dem betreffenden Rechner in ein fremdes Netz (und umgekehrt) zur Verfügung. Teilweise erfolgt die Einwahl sogar über preiswerte ISDN-Router.
Eine weitere Voraussetzung soll sein, daß unsere Supporter, welche die Fernwartung durchführen, diese ggf. auch von unterwegs bzw. von sich aus zu Hause, machen können.
Kann mir jemand in dieser Problematik ggf. weiterhelfen bzw. irgendwelche Anregungen für Lösungsmöglichkeiten, die nicht nur für Großkonzerne erschwinglich sind, geben?
Besten Dank im Voraus!
Gruß
Tom
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 12358
Url: https://administrator.de/contentid/12358
Printed on: April 19, 2024 at 16:04 o'clock
5 Comments
Latest comment
Hallo Tom S,
erstmal eine Frage: Wählt Ihr Euch bei Euren Kunden ein oder wählen sich die Kunden bei Euch ein?
Falls ihr Euch bei den Kunden einwählt, dann liegt die Zugriffskontrolle bei Euch, also die Kontrolle darüber, wann zu welchem Netzwerk eine Verbindung besteht und wann nicht.
In diesem Falle würde ich mir um Sicherheit nicht allzu viele Gedanken machen.
Es ist doch höhst unwahrscheinlich, das in einer kleinen Kunden-Firma ohne eigene Administration, ein begnadeter Hacker sitzt, der Euch was böses möchte.
Falls die Einwahl kundenseitig stattfindet, kannst Du Eurem Einwahlserver sicher mitteilen, dass nur ausgewählte Rufnummern eine Verbindung erhalten.
Wenn Dir das nicht reicht, dann bau für den Einwahlserver und Eure Fernwartungsrechner ein eigenes physikalisch abgegrenztes Netzwerk auf. So kann dann keiner an Eure unternehmenskritischen Daten heran.
Etwas anders sieht es mit Fernwartung von unterwegs per Laptop aus. Dann besteht eine Verbindung zu einem Rechner, der sicher auch vertrauliche Daten enthält.
Wenn Dir da eine Personal-Firewall nicht ausreicht, dann installiere auf den Laptops je zwei Betriebssysteme auf je einer primären Partition mit entsprechendem Bootmanager, der jeweis eine Partition als versteckt definiert. Das normale Arbeiten mit Firmendaten findet dann auf einer Systempartition statt und Fernwartung, nach umbooten, auf der anderen Systempartition. Man hat dann selbst keinen Zugriff auf schützenswerte Daten und somit sicher auch kein Fremder.
Um welche Art von Gefährdung durch Deine Kunden machst Du Dir eigentlich Sorgen?
Natürlich sollte so oder so jeder Rechner einen angemessenen Virenschutz haben, um ihn vor Viren der Allgemeinheit und den Viren Deiner Kunden zu bewahren.
Individuelle ISDN-Verbindungen sind für meinen Geschmack in Puncto Sicherheit einer VPN-Verbindung übers Internet vorzuziehen.
RealVNC ist übrigens ein schönes, schlankes Fernsteuerprogramm und im Gegensatz zu PCAnywhere ist es Freeware. RealVNC gibt es auch als Kaufversion, aber die Freeware Variante läßt zumindest bei mir keine Wünsche offen.
Gruß Frank
erstmal eine Frage: Wählt Ihr Euch bei Euren Kunden ein oder wählen sich die Kunden bei Euch ein?
Falls ihr Euch bei den Kunden einwählt, dann liegt die Zugriffskontrolle bei Euch, also die Kontrolle darüber, wann zu welchem Netzwerk eine Verbindung besteht und wann nicht.
In diesem Falle würde ich mir um Sicherheit nicht allzu viele Gedanken machen.
Es ist doch höhst unwahrscheinlich, das in einer kleinen Kunden-Firma ohne eigene Administration, ein begnadeter Hacker sitzt, der Euch was böses möchte.
Falls die Einwahl kundenseitig stattfindet, kannst Du Eurem Einwahlserver sicher mitteilen, dass nur ausgewählte Rufnummern eine Verbindung erhalten.
Wenn Dir das nicht reicht, dann bau für den Einwahlserver und Eure Fernwartungsrechner ein eigenes physikalisch abgegrenztes Netzwerk auf. So kann dann keiner an Eure unternehmenskritischen Daten heran.
Etwas anders sieht es mit Fernwartung von unterwegs per Laptop aus. Dann besteht eine Verbindung zu einem Rechner, der sicher auch vertrauliche Daten enthält.
Wenn Dir da eine Personal-Firewall nicht ausreicht, dann installiere auf den Laptops je zwei Betriebssysteme auf je einer primären Partition mit entsprechendem Bootmanager, der jeweis eine Partition als versteckt definiert. Das normale Arbeiten mit Firmendaten findet dann auf einer Systempartition statt und Fernwartung, nach umbooten, auf der anderen Systempartition. Man hat dann selbst keinen Zugriff auf schützenswerte Daten und somit sicher auch kein Fremder.
Um welche Art von Gefährdung durch Deine Kunden machst Du Dir eigentlich Sorgen?
Natürlich sollte so oder so jeder Rechner einen angemessenen Virenschutz haben, um ihn vor Viren der Allgemeinheit und den Viren Deiner Kunden zu bewahren.
Individuelle ISDN-Verbindungen sind für meinen Geschmack in Puncto Sicherheit einer VPN-Verbindung übers Internet vorzuziehen.
RealVNC ist übrigens ein schönes, schlankes Fernsteuerprogramm und im Gegensatz zu PCAnywhere ist es Freeware. RealVNC gibt es auch als Kaufversion, aber die Freeware Variante läßt zumindest bei mir keine Wünsche offen.
Gruß Frank
Hallo,
was spricht den gegen eine Lösung mit kleinen ISDN-Routern? Da kann mit mit festem Callback schon mal ausschließen, das ein "Falscher" sich in die Netze einwählt. Vor allem haben Router den Vorteil, das die stabiler laufen als Windows-PC mit PCanywhere oder sonstige RAS-Dienste unter Win. (Habe ich zumindest die leidige Erfahrung machen müssen). Und bei Routern kann auch kein Kunde drannrumfummelt und mal hier und da klicken und so.... Für die Remoteadministration gibt es ja genug Tool (VNC, Dameware (wird pro Admin bezahlt, nicht pro Client), ........). Wegen der Sicherheit gibt es ja verschiedene Möglichkeiten: DMZ, Firewall, Virenscanner, Eigenes Netz..... da kommte es drauf an was genau ihr da von euch aus beim Kunden machen müßt. Die Router von heute haben auch alle ein FW, mit der man schon eine Menge abhalten kann.
Was die Einwahl der Supporter angeht, da würde ich mich als Kunde auf jeden Fall weigern das sich da "jeder von überall" einwählen kann!! Denn das ich ein ziehmlich großes Sicherheitsloch, wenn der Router (oder was auch immer) _alle_ eingehenden Ruf annimmt!! Da würde ich das so machen, das die sich bei euch in der Firma einwählen und von da aus dann die Ferbindung zum Kunden aufbauen. Da stellste bei euch eine TerminalServer ins Netz und dann können die ganz bequem von da arbeiten. So mußt Du auch nicht bei allen Supportern die RAS-Verbindungen auf den Laptops pflegen, sondern nur zentral bei euch in der Firma!
Hoffe Dankanstöße gegeben zu haben...
was spricht den gegen eine Lösung mit kleinen ISDN-Routern? Da kann mit mit festem Callback schon mal ausschließen, das ein "Falscher" sich in die Netze einwählt. Vor allem haben Router den Vorteil, das die stabiler laufen als Windows-PC mit PCanywhere oder sonstige RAS-Dienste unter Win. (Habe ich zumindest die leidige Erfahrung machen müssen). Und bei Routern kann auch kein Kunde drannrumfummelt und mal hier und da klicken und so.... Für die Remoteadministration gibt es ja genug Tool (VNC, Dameware (wird pro Admin bezahlt, nicht pro Client), ........). Wegen der Sicherheit gibt es ja verschiedene Möglichkeiten: DMZ, Firewall, Virenscanner, Eigenes Netz..... da kommte es drauf an was genau ihr da von euch aus beim Kunden machen müßt. Die Router von heute haben auch alle ein FW, mit der man schon eine Menge abhalten kann.
Was die Einwahl der Supporter angeht, da würde ich mich als Kunde auf jeden Fall weigern das sich da "jeder von überall" einwählen kann!! Denn das ich ein ziehmlich großes Sicherheitsloch, wenn der Router (oder was auch immer) _alle_ eingehenden Ruf annimmt!! Da würde ich das so machen, das die sich bei euch in der Firma einwählen und von da aus dann die Ferbindung zum Kunden aufbauen. Da stellste bei euch eine TerminalServer ins Netz und dann können die ganz bequem von da arbeiten. So mußt Du auch nicht bei allen Supportern die RAS-Verbindungen auf den Laptops pflegen, sondern nur zentral bei euch in der Firma!
Hoffe Dankanstöße gegeben zu haben...
Hallo!
Danke für die Tips. Die Anregungen klingen ganz gut. Generell wählen wir uns immer bei den Kunden ein (meißt mit Rückruffunktion). Das Problem, welches ich bei den ISDN-Routern sehe, ist, daß hierbei die Domänenamen sämtlicher sich online befindlichen Netze für alle sichtbar sind. D. h. im Extremfall sieht der eine Kunde den Domänenenamen eines anderen gerader supporteten Kunden. Zusätzlich habe ich den starken Verdacht, daß hierdurch evtl. ein Wurmbefall aus einem fremden Netz in unser bzw. andere fremde Netze wandern kann.
Ein separates Netz würde ich bzw. die Supporter deswegen nur sehr ungern einrichten, weil diese momenatn von deren Rechnern aus dem Hausnetz die Fernwartung durchführen und leider nicht dazu zu bewegen sind, sich für den Support in ein anderes Büro zu begeben.
Prinzipiell bin ich ja auch für eine ISDN-Einwahl, nur manchmal wäre eine etwas "dickere" Leitung nicht schlecht, da online auch schonmal einige MB mehr übertragen werden sollen. Hierauf kann ich aber zur Not verzichten.
Gruß
Tom
Danke für die Tips. Die Anregungen klingen ganz gut. Generell wählen wir uns immer bei den Kunden ein (meißt mit Rückruffunktion). Das Problem, welches ich bei den ISDN-Routern sehe, ist, daß hierbei die Domänenamen sämtlicher sich online befindlichen Netze für alle sichtbar sind. D. h. im Extremfall sieht der eine Kunde den Domänenenamen eines anderen gerader supporteten Kunden. Zusätzlich habe ich den starken Verdacht, daß hierdurch evtl. ein Wurmbefall aus einem fremden Netz in unser bzw. andere fremde Netze wandern kann.
Ein separates Netz würde ich bzw. die Supporter deswegen nur sehr ungern einrichten, weil diese momenatn von deren Rechnern aus dem Hausnetz die Fernwartung durchführen und leider nicht dazu zu bewegen sind, sich für den Support in ein anderes Büro zu begeben.
Prinzipiell bin ich ja auch für eine ISDN-Einwahl, nur manchmal wäre eine etwas "dickere" Leitung nicht schlecht, da online auch schonmal einige MB mehr übertragen werden sollen. Hierauf kann ich aber zur Not verzichten.
Gruß
Tom
Das Problem mit dem mögliche Datenfransfer von Kunde-Firma-Kunde kannst Du doch durch entsprechendes Routing und eine nette kleine Firewall ganz einfach ausschallten. Denn wenn ihr beim Kunden z.B. nur auf eine Maschine müßt, dann bekommt auch nur die den Router als GW. Das braucht ja nicht gleich das ganze Netz. Entsprechndes auch auf eurer Seite.
Was die "lauffaulen" Supporter angeht, habe ich das früher ganz einfach gelöst, indem ich denen die "RAS-Rechner" per VNC zur Verfügung gestellt habe. So brauchen die sich nicht bewegen, und ich brauchte nur auf den "RAS-Rechnern" die Remoteverbindungen, TCPIP Settimgs und und und einrichten.
Was die "lauffaulen" Supporter angeht, habe ich das früher ganz einfach gelöst, indem ich denen die "RAS-Rechner" per VNC zur Verfügung gestellt habe. So brauchen die sich nicht bewegen, und ich brauchte nur auf den "RAS-Rechnern" die Remoteverbindungen, TCPIP Settimgs und und und einrichten.
Hallo!
Ich denke, ich werde das Konzept in richtung separatem Netz über DMZ realisieren. Ist, glaube ich, vom Aufwand her dann am einfachsten bzw. kostengünstigsten.
Danke für die Anregungen!
Gruß
Tom
Ich denke, ich werde das Konzept in richtung separatem Netz über DMZ realisieren. Ist, glaube ich, vom Aufwand her dann am einfachsten bzw. kostengünstigsten.
Danke für die Anregungen!
Gruß
Tom
