Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN-Zugang für externe Firma vernünftig absichern

Mitglied: Noctarius

Noctarius (Level 1) - Jetzt verbinden

06.02.2008, aktualisiert 21:53 Uhr, 5140 Aufrufe, 6 Kommentare

Hallo,

ich habe folgendes Problem wo mir persönlich momentan ein guter Ansatzpunkt zur Lösung fehlt.

Wir haben bei uns im Haus einen Server (SuSE Linux Enterprise Server) auf welchem eine spezielle Verlagssoftware läuft. Diese wird regelmäßig von einer externen Firma gewartet und geupdated. Den Zugang zum System haben wir über einen VPN Zugang (OpenVPN) gelöst, welcher direkt in der Firewall integriert ist.

Mein "Problem" besteht darin, dass man der VPN Verbindung erstens keine feste IP zuweisen kann (aber man im Normalfall vom DHCP immer die selbe IP bekommt - das wäre also nicht alzu schlimm dies abzusichern) und zweitens, und hier ist das eigentliche Problem, über den Server trotzdem ein Zugang zum gesammten Netzwerk besteht.

Ich habe im Moment absolut keine Idee wie ich verhindern kann, dass die Mitarbeiter dieser externen Firma über den Verlagsserver ins interne Netz gelangen, da er ja für unsere Mitarbeiter zwangsläufig erreichbar sein muss.

Die einzige Möglichkeit die ich momentan sehe wäre die interne Firewall des Servers zu konfigurieren, was aber selbstverständlich sinnfrei ist, da die Mitarbeiter der anderen Firma über Rootrechte verfügen müssen um die Updates einzuspielen.

Kann man unter Linux einem bestimmten Benutzer verbieten ins interne Netz zuzugreifen und evtl den Zugang zur Firewallkonfiguration abschalten? Ich hoffe, dass ich mit meiner Vermutung falsch liege, dass es dafür keine Möglichkeit gibt.

Gruß
Noctarius
Mitglied: AndreasHoster
06.02.2008 um 13:42 Uhr
Technisch geht alles, Aufwand und Kosten steigen halt.
Variante 1:
Zwischen Server und internes Netz eine Firewall packen und nur Zugriffe von Innen auf den Server zulassen, aber nicht vom Server nach Innen.

Variante 2:
Da bei einem normalen Linux bei root einfach keine Überprüfung der Rechte stattfindet, kannst Du ihm nicht einfach die Kontrolle über die Firewall-Konfig entziehen.
Jetzt gibt es Erweiterungen zu Linux: SELinux und AppArmor um Berechtigungen feiner verteilen zu können.
Aus der AppArmor FAQ:
Can AppArmor be used to create restricted login shells?
AppArmor can be used to create "roles" (in the RBAC sense) that operate as restricted shells in Linux. This even works on root shells. For instance, suppose you have some junior system administrators in your enterprise, and their job is to do system log analysis looking for problems. They need root access to do this, but you don't feel comfortable trusting them; they might be evil, or they might just make mistakes. So you want to allow them to only have *part* of root's privilege to access the system log, but *not* the power to mess with the Oracle database, reboot the machine, etc.
http://developer.novell.com/wiki/index.php/Apparmor_FAQ

Beides dürfte ein Heidenspaß zum einrichten werden, aber damit könntest Du Dein Ziel erreichen. Ansonsten hilft eventuell ein bischen Vertrauen. Wie weit käme die Firma denn, ohne weitere Passwörter für das interne Netz?
Bitte warten ..
Mitglied: Noctarius
06.02.2008 um 13:47 Uhr
Klingt ansich sehr gut, denke Variante 2 wäre der geeignetere Weg (vermutlich aber auch mehr Aufwand).

Theoretisch kommen sie von dem Server aus an jede Freigabe. Aber die Frage war gut, theoretisch könnte ich dem Computer in der Domäne einfach die Rechte für Freigaben entziehen

Das werde ich nachher mal ausprobieren, ansonsten schau ich mir AppArmor mal genauer an, muss denen ja nur nen eigenen Root-Account dafür machen und diesem in der Rolle Netzzugriff wegnehmen wenn ich das richtig verstanden habe.
Bitte warten ..
Mitglied: Rafiki
06.02.2008 um 20:55 Uhr
God or root, what is the difference?
Wer einmal root / Administrator auf einem Computer im Netzwerk ist kann alle Computer in dem LAN erreichen.

Die Passworte, die auf dem Linux Rechner verwendet werden, dürfen sonst nirgends verwendet werden. Ihr müsst davon ausgehen das die passwd Datei kopiert und dechiffriert wurde. Dem Angreifer liegen die Passworte vermutlich in Klartext vor.

Nach meiner Meinung habt ihr eine schlechte Ausgangssituation dadurch das die externe Firma root Zugriff auf einen Server hat der in eurem Netzwerk steht. Unter der Annahme dass ein (ehemaliger) Mitarbeiter der externen Firma versucht Daten in eurem Netzwerk auszuspionieren könnt ihr versuchen diesem Angreifer das Leben schwer zu machen.

Überlegt euch mal ob es möglich ist diesen einen Server in sein eigenes Mininetzwerk zu stellen und mit einer eigenen Firewall von eurem restlichen Netzwerk zu trennen. Dann ist der root auf dem Server ur noch der König in seiner Badewanne. Z.B. eine kleine Cisco ASA 5505 oder ASA 5540 Firewall hat genug Datendurchsatz für eine 100Mbit bzw. 1Gbit Anbindung. Das VPN für die externe Firma würde dann auf der zusätzlichen Firewall enden.

Cisco ASA 5540, ca. EUR 10.000, 4* 1Gbit
Cisco ASA 5505, ca. EUR 280, 100Mbit
http://www.cisco.com/go/asa


Gruß Rafiki

PS: Ich habe Cisco hier nur als ein gängiges Beispiel aufgeführt. Das soll bitte von unseren fleißigen Moderatoren nicht als Werbung für dieses Produkt verstanden werden. Natürlich gibt es auch viele andere gute Hersteller und auch mit Linux kann man sich eine solche Firewall selber bauen.
Bitte warten ..
Mitglied: Noctarius
06.02.2008 um 21:19 Uhr
Da es bei uns üblich ist, dass regelmäßig die Passwörter geändert werden (das hat der alte Admin wenigstens in der Domäne eingestellt) ist es nicht schlimm wenn ich alle Passwörter sofort ablaufen lassen würde.

Es gab einige "Unstimmingkeiten" in der Netzsicherheit als ich Anfang des Monats das Netzwerk übernommen habe. Unter anderem eben diese (aus meiner Sicht nicht triviale Kleinigkeit). Zum Glück weiss ich, dass bei der externen Firma nur 3 Leute das Passwort kennen, damit ist die Gruppe der Leute die etwas anstellen könnten klein gehalten (unter der Annahme, diese wissen wie man mit so etwas umgeht).

Aber ich denke ich werde den 42HE um eine kleine HE erweitern und wirklich auf Nummer sicher gehen indem ich den Server in sein eigenes Netz verbanne und nur noch eingehenden Traffic zulasse bzw die VPN bis ins neue Netz verlänger.

Danke für Eure Ratschläge. Die Sache mit dem eigenen Netzwerk war auch meine Überlegung aber ich hatte gehofft es geht "billiger" ;)

Gruß Noctarius
Bitte warten ..
Mitglied: Rafiki
06.02.2008 um 21:49 Uhr
Noch "billiger" ?
Evtl. genügt es schon den Server zu virtualisieren und die VM nur über eine zweite VM mit einem Linux Router zu kontrollieren.
Bitte warten ..
Mitglied: Noctarius
06.02.2008 um 21:53 Uhr
Nee schon was gefunden

Hab grad gesehen, dass die Firewall noch ne freie ETH hat, dahinter werd ich dann den Verlagsserver klemmen. Damit sollte das dann schon funktionieren.

Der Server virtuallisieren ist insofern schwierig und kostenspielig, als dass die gesamte Software durch eben diese externe Firma gesichert, auf- und zurückgespielt werden müsste.

Aber mit dem freien Port sollte es dann ohne große Mühe gehen.

Danke nochmal
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
Externen Netzwerkanschluss absichern
gelöst Frage von klattiNetzwerkmanagement8 Kommentare

Hallo, folgende Situation: Es gibt eine IP-Kamera, die ausserhalb eines Gebäudes installiert ist. Diese legt Alarmbilder auf einer SAMBA-Freigabe ...

SEO
Externe Firma für SEO?
Frage von windowstimoSEO5 Kommentare

Hallo, kennt jemand von euch externe professionelle Firmen, die den Webauftritt des Unternehmen in den Suchmaschinen optimieren? Auf Software ...

Windows Netzwerk
VPN von zu Hause in die Firma
gelöst Frage von 119785Windows Netzwerk9 Kommentare

Hallo Leute, ich bin neu hier aber ich denke ich bin hier richtig. Also hier die Frage: wenn ich ...

Ubuntu

VPN Zugang zu CISCO-Zugang schlägt fehl

Frage von EnzephaloNUbuntu2 Kommentare

Hallo Ich versuche gerade von meinem virtuellen XUBUNTU 14.04 (falls von Belang: läuft in Virtualbox) auf einen Cisco-Router-VPN-Zugang zu ...

Neue Wissensbeiträge
Backup

2016 - Restore mit WBAdmin - iSCSI Device als Sicherungsziel

Erfahrungsbericht von Henere vor 54 MinutenBackup

Servus zusammen, was mich eben einige graue Haare gekostet hat Server 2016. Ich habe meinem Server eine weitere M2 ...

Humor (lol)
(Part num your Hacked phone. +XX XXXXXX5200)
Erfahrungsbericht von Henere vor 2 TagenHumor (lol)5 Kommentare

Mein Handy hat aber ne ganz andere Endnummer. Muss ich mir jetzt Sorgen machen ? :-) Vielleicht betrifft es ...

Exchange Server

Letztes Update für Exchange 2016 CU9 war in gewisser Weise destruktiv

Erfahrungsbericht von DerWoWusste vor 2 TagenExchange Server7 Kommentare

Kurzer Erfahrungsbericht zu Exchange2016-KB4340731-x64 Der Exchangeserver hat wie gewöhnlich versucht, es in der Nacht automatisch zu installieren - abgesehen ...

Erkennung und -Abwehr

Neue Sicherheitslücke Foreshadow (L1TF) gefährdet fast alle Intel-Prozessoren

Information von Frank vor 3 TagenErkennung und -Abwehr3 Kommentare

Eine neue Sicherheitslücke, genannt Foreshadow (alias L1TF) wurde auf der Usenix Security 18 von einem Team internationaler Experten veröffentlicht. ...

Heiß diskutierte Inhalte
Netzwerke
Netzwerk-Architektur mit VLANs
Frage von niLuxxNetzwerke40 Kommentare

Liebe Community, Ich hätte eine kurze Frage an euch. Ich werde in Kürze das Netzwerk unserer (sehr) kleinen Firma ...

Netzwerke
SSH - Wieso werde ich nach VPN Verbindung rausgeschmissen?
Frage von VernoxVernaxNetzwerke10 Kommentare

Hallo, ich habe es endlich geschafft mein Handy mit einer VPN Verbindung an meinen Router anzuschließen. Nach der Login ...

Microsoft
Ist es möglich ein reines Volume C Datenbackup in eine Hyper-V VM zu konvertieren?
Frage von Frank84Microsoft10 Kommentare

Hallo zusammen, ich habe hier ein Backup vorliegen, das ausschließlich das komplette C:\ Volume eines physischen Server 2012 enthält. ...

Windows Server
Freigaben per Default nur für Domänen-Benutzer
Frage von tierwoWindows Server8 Kommentare

Hallo gibt es eine Möglichkeit, einen Server 2016 so zu konfigurieren (z.B. per GPO), dass Freigaben die erstellt werden ...