Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Absicherung: Rechner von Fremdfirmen im Firmennetz via ISDN

Frage Sicherheit Firewall

Mitglied: tanita

tanita (Level 1) - Jetzt verbinden

17.02.2007, aktualisiert 22.03.2007, 5482 Aufrufe, 12 Kommentare

Der Rechner einer Fremdfirma muss mit seiner Firma sensible Daten austauschen können. Als Betriebssystem Windows XP, möglicher vom eigenen Firmennetz abgeschotteter Zugang via ISDN.

Hallo,

ich habe einen Arbeitsauftrag erhalten, dabei soll ein Rechner (BS=WinXP) einer Fremdfirma sensible daten aus unserem Firmennetz zu sich übertragen können. Der Rechner darf nicht in das Firmennetz, d.h. er ist autark. An diesem Rechner werden Daten eingescannt und bei der Fremdfirma weiter verarbeitet. Als möglichen Zugang ist mit einer Fritz-Karte ISDN angedacht.

Ich erinnere mich aus entfernten Gesprächen, es gibt eine Art ISDN-Vlan bei der Telekom, wobei auf Antrag ISDN-Anschlüsse in eine Gruppe eintragen wird, sodass es mehr oder weniger 'sicher' einzustufen gilt. Richtig?

Könnte mir vorstellen, das dies eine gute alternative wäre, den Recher einmal vom Firmennetz abzuschotten, andererseits eine sichere Möglichkeit zu bieten, die Daten zu übertragen. Falls nötig, könnte man das mit einem Tool noch verschlüsseln.

Wenn es sowas gibt, kann mir jemand sagen, wie das 'richtig' heisst?

Wie gross die zu übertragenden Daten sind, weiss ich (noch) nicht, d.h. ISDN könnte u.U. zu langsam sein.

Hätte jemand eine andere oder bessere Alternative?


Danke,
Gruß T.
Mitglied: 16061
17.02.2007 um 14:26 Uhr
Hy,

vpn verbindung via dsl tuts auch. Gesicherte Verbindung ist kaum entschlüsselbar.

Fremd PC in Active Directory im eigenen Netzwerk aufnehmen und mit eingeschränkten User rechten ausstatten. BSP: ScriptProzessor disablen, ReadOnly auf Dateien, usw.

Einfach mal bei www.t-systems.de nachschauen

Gruß

admin01
Bitte warten ..
Mitglied: tanita
17.02.2007 um 14:44 Uhr
Hi

vpn verbindung via dsl tuts auch. Gesicherte
Verbindung ist kaum entschlüsselbar.

Dachte ich auch schon daran, muss erstmal abklären, ob auf der Gegenstelle ein entsprechendes VPN-GW bestünde. Man sollte ja allg. meinen ja.. Trotzdem, bedarf Abklärung.

Fremd PC in Active Directory im eigenen
Netzwerk aufnehmen und mit
eingeschränkten User rechten ausstatten.
BSP: ScriptProzessor disablen, ReadOnly auf

Also dann doch über das Firmennetz.. Ich betreuden den AD nicht, werde das als Möglichkeit jedenfalls angeben!

Danke schonmal!
Gruß T.
Bitte warten ..
Mitglied: spacyfreak
17.02.2007 um 15:00 Uhr
i hate this forum - doppelpost, und keine mögl. es selber zu löschen.
Bitte warten ..
Mitglied: spacyfreak
17.02.2007 um 15:00 Uhr
Also soll ein Windows Rechner auf einen Windows Rechner zugreifen - mögl. sicher, mögl. billig.

Wie wäre es mit SSH? Auf dem Win Rechner in deiner Firma freesshd installieren.
Auf der FW in deiner Firma Port 22 öffnen- möglichst jedoch NUR für die IP des entfernten Fremdfirmen-Mitarbeiters, falls er ne feste IP hat. Sonst rattern die Scriptkiddies drauf los und jagen Port 22.

Der Fremdfirmenmitarbeiter installiert bei sich dagegen einen SSH Client (www.ssh.com kostenlos) oder WinSCP und kann per Drag u. Drop die Daten rüberziehen.

SSH ist so sicher wie VPN, kost aber keinen Cent. Und es ist zuverlässig wie sau.
Bitte warten ..
Mitglied: tanita
17.02.2007 um 15:31 Uhr
Vorab nochmal kurz: Die Auftragsbeschreibung ist jedoch sehr Lückenhaft.. Was ich bisher als Grundbedingung rausziehen konnte, habe ich oben beschrieben. Mir fehlen die Hintergründe, welche techn. Mittel z.B. bei der Fremdfirma bestehen.. Die muss ich noch erfragen, deshalb sammele ich schonmal Möglichkeiten. Jenachdem woran es hängt, wird es in die entsprechende Richtung weiter gehen.

Wie wäre es mit SSH?

Wäre auch gut, nach unseren 'Bestimmungen' dürfte jedoch die Verschlüsselung im Hausnetz nicht direkt vom PC aus gehen.

Hätten die openVPN, könnten die tatsächlich mit eingeschränkten Rechten aus unserem Hausnetz über user openVPN-Relay ihre Daten nach aussen schicken. Hätten die das nicht, wäre ssh eine Super Alternative, allerdings fehlte dann noch der Zugang ins Internet (autark, entweder ISDN o. DSL).

Ich danke Euch schonmal für die bisherigen Hints, bei mir fängt es an zu rattern, sodass ich Möglichkeiten und offenen Fakts formulieren kann.

Gruß T.
Bitte warten ..
Mitglied: filippg
17.02.2007 um 18:53 Uhr
Hallo,

das ISDN-VLAN der Telekom bietet wohl lediglich eine geschlossene Benutzergruppe zum ISDN-Verbindungsaufbau. D.h. du kannst damit zwar verhindern, dass sich dritte einwählen, hast aber dein Firmennetz in keinster Weise gegenüber den erwünschten Nutzern abgesichert.
Saubere Lösung wäre ein eigenes LAN, das zu eurem Netz hin mit eigener Firewall abgesichert ist, die lediglich einen Zugriff auf genau die gewünschten Daten zulässt (am besten auch nicht direkt, sondern auf einen Proxy, der wiederum nur auf diese Daten kann). Aus dem Internet ist dieses LAN nur durch Aufbau eines VPNs erreichbar (sprich: entsprechende Firewall).

Filipp
Bitte warten ..
Mitglied: spacyfreak
17.02.2007 um 20:03 Uhr
Jo die Meinungen wieviel Sicherheit man für ein bestimmtes Problem tatsächlich braucht gehen weit auseinander - die Frage ist immer, wie paranoid wollen wir sein, und wer bezahlt die Rechnung der Paranoia.

Erfahrungsgemäss passieren die meisten Probleme durch infizierte Rechner, Anklicken von Emailanhängen, Würmer die ungepatchte Windows PCs ohne Firewall besuchen, arbeiten mit Adminrechten etc.

Die SSH Lösung ist in 10 Minuten gemacht, der Tunnel ist todsicher, und es kostet keinen Heller.

Man kann freilich auch VPN nehmen, da es die IT-Vertriebler jahrelang gepredigt haben - Geschäft mit der Angst.

Wir sollten als Admins jedoch meiner Meinung nach davor Angst haben, was WIRKLICH gefährlich ist. Ob man nun ne komplizierte, fehleranfällige Lösung die statt 100 eben 150% Sicherheit bietet oder ne einfache - es kommt aufs selbe ´hinaus.
Bitte warten ..
Mitglied: filippg
17.02.2007 um 20:17 Uhr
Erfahrungsgemäss passieren die meisten
Probleme durch infizierte Rechner, Anklicken
von Emailanhängen, Würmer die
ungepatchte Windows PCs ohne Firewall
besuchen, arbeiten mit Adminrechten etc.
Eben eben. Und wenn man einen Kunden ins eigene Netz lässt, dann besitzt das Netz nicht mehr den Sicherheitsstatus, den man selber implementiert hat, sondern eine Schnittmenge aus diesem und dem des Kunden. Und dieser Schnitt kann schmerzhaft sein.


Die SSH Lösung ist in 10 Minuten
gemacht, der Tunnel ist todsicher, und es
kostet keinen Heller.
Todsicher ist in der IT sowieso nichts, ausser dass es immer irgendeinen Trottel gibt, der es schaft, dass System zu sprengen... und VPN-Software gibt es auch zuhauf kostenlos.
Bitte warten ..
Mitglied: Northwind
17.02.2007 um 20:29 Uhr
Hallo,

Du beschreibst dass die Daten via ISDN übertragen werden soll? Was für Datenmengen sollen übertragen werden?

Um Daten zwischen zwei PC´s via ISDN zu übertragen, ist AVM mit den Fritz!-Produkten ne sehr gute Lösung.

Ist in beiden Rechnern evtl. ne Fritz!-Card o.ä. vorhanden?
Bitte warten ..
Mitglied: spacyfreak
18.02.2007 um 01:49 Uhr
Eben eben. Und wenn man einen Kunden ins
eigene Netz lässt, dann besitzt das Netz
nicht mehr den Sicherheitsstatus, den man
selber implementiert hat, sondern eine
Schnittmenge aus diesem und dem des Kunden.
Und dieser Schnitt kann schmerzhaft sein.

Todsicher ist in der IT sowieso nichts,
ausser dass es immer irgendeinen Trottel
gibt, der es schaft, dass System zu
sprengen... und VPN-Software gibt es auch
zuhauf kostenlos.

Wenn der externe eben einen Zugriff auf ne bestimmte Maschine braucht, dann braucht er ihn eben. Man kann alles freilich auch soo sicher machen dass keiner mehr arbeiten kann.
VPNs gibts kostenlos - so einfach u. schnell wie nen ssh tunnel klarzumachen, bei gleicher Sicherheit, da gibz keine Alternative im vPn Bereich.
Bitte warten ..
Mitglied: tanita
19.03.2007 um 14:39 Uhr
Hallo,

konnte jetzt erst wieder Weiteres erfahren, bzw. es sieht so aus:

Es ist ein Rechner der quasi als Schnittstelle für sensibele Daten dient. Über diesen werden die Daten bidirektional durch ISDN mittels einer Verschlüsselungssoftware ausgetauscht.
Die Schlüssel dazu müssen über ein definierten Trustcenter zertifiziert werden. Aktuell ist der Rechner standalone, die übertragenen Daten werden auf dem Rechner entschlüsselt und täglich via USB-Stick auf eine Unix-Maschine gebracht, auf welche andere Anwendungen dann zugreifen.

Wäre der Zugriff nicht bidirektional, würden wir auf der TK-Anlage einkommende Anrufe blocken, geht so leider nicht. Jetzt stellt sich eben die Frage, wie hoch ist das Risoko, diesen Rechner nicht doch in das Firmennetz zu hängen.. :?

Gruß T.
Bitte warten ..
Mitglied: tanita
22.03.2007 um 10:06 Uhr
i hate this forum - doppelpost, und keine
mögl. es selber zu löschen.
Ist mir auch schon passiert, hatte dem Admin ne Mail gschickt, er möchte doch bitte die n-Post löschen. Hat er auch erledigt, ihm ist dieses Problem bewusst - bei GElegenheit ;)

Gruß T.
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(1)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Windows 10
gelöst Installationsproblem sql server 2014 auf windos 10 rechner (23)

Frage von jensgebken zum Thema Windows 10 ...

Windows Userverwaltung
gelöst Rechner die nicht in der Domäne sind aufspüren (13)

Frage von M.Marz zum Thema Windows Userverwaltung ...

TK-Netze & Geräte
gelöst Internetanschluss Umstellung von ISDN und ADSL auf reinen IP Anschluss (61)

Frage von Dobby zum Thema TK-Netze & Geräte ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...