5
Netzwerk zu Netzwerk Verbindungen
Diese Frage ist an IT-Sicherheitsbeauftragte gerichtet, da es hier speziell darum geht, ob man solche Verbindungen in einem großem Firmennetzwerk erlauben sollte. Wir hatten heute folgenden Fall: Ein Vertriebler eines Software-Lieferanten kam in die Firma, um ein Portal vorzustellen. Er wollte dazu seinen Laptop in unser Netzwerk einklinken, um dann eine VPN-Verbindung in sein Netzwerk herzustellen.
Punkt a): Der Chef will keine fremden Laptops in seinem Netzwerk, außer Techniker, da es deren Werkzeug ist (sowas wird schriftlich geregelt). Dieser Punkt ist so ok
Punkt b): Unser Netzwerk wird mit einem Fremdnetzwerk verbunden, über VPN. Bei diesem Punkt bin ich mir nicht ganz sicher, ob es nicht zu hart war zu sagen, dass es nicht erlaubt ist. Diesen Fall erlebe ich zum ersten Mal und es gibt noch keine Aussage vom Chef dazu. Wie sicher wäre es? Würdet Ihr es erlauben? Könnten Viren trotzdem durchgeschleust werden? Oder ist die Astaro Firewall auf unserer Seite so sicher (Abwehr von Viren, Paketfilter, etc), dass man es gestatten sollte?
Der arme Mensch sah ganz schön bedrüppelt aus...
Punkt a): Der Chef will keine fremden Laptops in seinem Netzwerk, außer Techniker, da es deren Werkzeug ist (sowas wird schriftlich geregelt). Dieser Punkt ist so ok
Punkt b): Unser Netzwerk wird mit einem Fremdnetzwerk verbunden, über VPN. Bei diesem Punkt bin ich mir nicht ganz sicher, ob es nicht zu hart war zu sagen, dass es nicht erlaubt ist. Diesen Fall erlebe ich zum ersten Mal und es gibt noch keine Aussage vom Chef dazu. Wie sicher wäre es? Würdet Ihr es erlauben? Könnten Viren trotzdem durchgeschleust werden? Oder ist die Astaro Firewall auf unserer Seite so sicher (Abwehr von Viren, Paketfilter, etc), dass man es gestatten sollte?
Der arme Mensch sah ganz schön bedrüppelt aus...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 91004
Url: https://administrator.de/contentid/91004
Printed on: April 25, 2024 at 20:04 o'clock
5 Comments
Latest comment
Generell hat dein Chef recht, wenn man so ein Netz wie das eure betreibt.
Es zeigt aber gleichzeitig auch deutlich ein schlecht designtes Netzwerk eurerseits, den diese harsche Reaktion wäre vollkommen überflüssig wenn ihr ein vom Unternehmensnetz getrenntes Gast VLAN oder ein VLAN für externe Besucher eingerichtet hättet wie es in Netzwerken bei Unternehmen heutzutage allgemein üblich ist.
So ein Segment (VLAN) ist, wie oben beschrieben, nicht mit dem Firmennetz verbunden und hat einen direkten Zugang zum Internet ggf. über ACLs um nur bestimmte Dienste zuzulassen und stellt somit keine Gefahr dar. Hier hätte der Vertriebler problemlos sein VPN aufbauen können. (Wozu habt ihr denn sonst eure tolle Astaro ???)
Kein Wunder das der etwas bedrüppelt aussah, denn vermutlich hat er so ein steinzeitliches Netz wie ihr es scheinbar betreibt nicht erwartet !?
Ggf. solltest du also mal deinen Chef etwas zur aktuellen Netzwerktechnik bzw. Design updaten, damit er nicht mehr so (steinzeitlich) reagieren muss !
Ist ja letztlich auch ein Aushängeschild für die Firma....
Es zeigt aber gleichzeitig auch deutlich ein schlecht designtes Netzwerk eurerseits, den diese harsche Reaktion wäre vollkommen überflüssig wenn ihr ein vom Unternehmensnetz getrenntes Gast VLAN oder ein VLAN für externe Besucher eingerichtet hättet wie es in Netzwerken bei Unternehmen heutzutage allgemein üblich ist.
So ein Segment (VLAN) ist, wie oben beschrieben, nicht mit dem Firmennetz verbunden und hat einen direkten Zugang zum Internet ggf. über ACLs um nur bestimmte Dienste zuzulassen und stellt somit keine Gefahr dar. Hier hätte der Vertriebler problemlos sein VPN aufbauen können. (Wozu habt ihr denn sonst eure tolle Astaro ???)
Kein Wunder das der etwas bedrüppelt aussah, denn vermutlich hat er so ein steinzeitliches Netz wie ihr es scheinbar betreibt nicht erwartet !?
Ggf. solltest du also mal deinen Chef etwas zur aktuellen Netzwerktechnik bzw. Design updaten, damit er nicht mehr so (steinzeitlich) reagieren muss !
Ist ja letztlich auch ein Aushängeschild für die Firma....
Theorie und Praxis des Tunnels nach "Hause":
Theorie:
Du kommst hier nicht rein und raus schon garnicht
Die gefahr sich Viren und Trojaner zu ziehen ist hoch. Vor allem bei Laptops wo keiner weiss was die Familie damit noch so anstellt wenn er ihn auch Privat nutzt.
Praxis:
Der kommt hier immernoch nicht rein Aber auch nur weil er es mal kurz machen will.
Für den Mitarbeiter einer Fremdfirma der die Zeit hat ein "Change Request" zu starten und einen für uns "Wichtigen Grund" hat geht natürlich alles Port freigeben und los gehts
Wird schon gut gehen
Grüsse
Theorie:
Du kommst hier nicht rein und raus schon garnicht
Die gefahr sich Viren und Trojaner zu ziehen ist hoch. Vor allem bei Laptops wo keiner weiss was die Familie damit noch so anstellt wenn er ihn auch Privat nutzt.
Praxis:
Der kommt hier immernoch nicht rein
Aber auch nur weil er es mal kurz machen will.Für den Mitarbeiter einer Fremdfirma der die Zeit hat ein "Change Request" zu starten und einen für uns "Wichtigen Grund" hat geht natürlich alles
Port freigeben und los gehts Wird schon gut gehen
Grüsse
Die VLAN Idee ist nicht neu höre ich gerade. Mein Vorgänger hat das mal abgelehnt, weil wir dann rechtlich als Provider auftreten würden, was wieder andere Maßnahmen erfordert. Ich werde da mal unseren Sachverständigen kontaktieren...
Das ist Unsinn, denn über die Firewall (oder auch entsprechende Switches) könnt ihr ein Accounting machen für die verwendeten Adressen, oder noch einfacher ihr benutzt einen Proxy wie z.B. den Squid-Proxy zum Protokollieren und Authentifizieren.
Abgesehen davon kann man auch immer mit 802.1x dynamisch ein VLAN im Gastbereich zuweisen und auch über diese Funktion ein Accounting der verwendeten IP Adressen machen. All das ist problemlos umsetzbar.
Rechtlich ist das Providerargument auch unsinnig, denn ihr stellt keinen öffentlichen Zugang zur Verfügung !
Abgesehen davon kann man auch immer mit 802.1x dynamisch ein VLAN im Gastbereich zuweisen und auch über diese Funktion ein Accounting der verwendeten IP Adressen machen. All das ist problemlos umsetzbar.
Rechtlich ist das Providerargument auch unsinnig, denn ihr stellt keinen öffentlichen Zugang zur Verfügung !
Als steinzeitlich will ich das Netz hier nicht beschreiben, da kenne ich noch viel schlimmere Netze, wo alle Scheunentore weit offen sind. Es fehlt ganz einfach nur ein Gäste-VLAN. Bei Lieferanten ist es nicht so schlimm, aber bei Kunden kann so eine Aktion schon sauer aufstoßen (wobei der Kunde andererseits aber auch sehr erfreut sein kann, dass das Netz so schön "dicht" ist).
Das mit dem Gäste-VLAN sollte hier unbedingt gemacht werden. Mit dem Begriff "Accounting" ist doch einfach nur gemeint, dass später nachvollzogen werden kann, wer wann wohin gesurft ist, richtig? Das wäre ja kein Problem.
Das mit dem Gäste-VLAN sollte hier unbedingt gemacht werden. Mit dem Begriff "Accounting" ist doch einfach nur gemeint, dass später nachvollzogen werden kann, wer wann wohin gesurft ist, richtig? Das wäre ja kein Problem.
