Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Netzwerk zu Netzwerk Verbindungen

Frage Sicherheit Firewall

Mitglied: JPSelter

JPSelter (Level 1) - Jetzt verbinden

01.07.2008, aktualisiert 13:16 Uhr, 3558 Aufrufe, 5 Kommentare

Diese Frage ist an IT-Sicherheitsbeauftragte gerichtet, da es hier speziell darum geht, ob man solche Verbindungen in einem großem Firmennetzwerk erlauben sollte. Wir hatten heute folgenden Fall: Ein Vertriebler eines Software-Lieferanten kam in die Firma, um ein Portal vorzustellen. Er wollte dazu seinen Laptop in unser Netzwerk einklinken, um dann eine VPN-Verbindung in sein Netzwerk herzustellen.

Punkt a): Der Chef will keine fremden Laptops in seinem Netzwerk, außer Techniker, da es deren Werkzeug ist (sowas wird schriftlich geregelt). Dieser Punkt ist so ok

Punkt b): Unser Netzwerk wird mit einem Fremdnetzwerk verbunden, über VPN. Bei diesem Punkt bin ich mir nicht ganz sicher, ob es nicht zu hart war zu sagen, dass es nicht erlaubt ist. Diesen Fall erlebe ich zum ersten Mal und es gibt noch keine Aussage vom Chef dazu. Wie sicher wäre es? Würdet Ihr es erlauben? Könnten Viren trotzdem durchgeschleust werden? Oder ist die Astaro Firewall auf unserer Seite so sicher (Abwehr von Viren, Paketfilter, etc), dass man es gestatten sollte?

Der arme Mensch sah ganz schön bedrüppelt aus...
Mitglied: aqui
01.07.2008 um 11:35 Uhr
Generell hat dein Chef recht, wenn man so ein Netz wie das eure betreibt.
Es zeigt aber gleichzeitig auch deutlich ein schlecht designtes Netzwerk eurerseits, den diese harsche Reaktion wäre vollkommen überflüssig wenn ihr ein vom Unternehmensnetz getrenntes Gast VLAN oder ein VLAN für externe Besucher eingerichtet hättet wie es in Netzwerken bei Unternehmen heutzutage allgemein üblich ist.

So ein Segment (VLAN) ist, wie oben beschrieben, nicht mit dem Firmennetz verbunden und hat einen direkten Zugang zum Internet ggf. über ACLs um nur bestimmte Dienste zuzulassen und stellt somit keine Gefahr dar. Hier hätte der Vertriebler problemlos sein VPN aufbauen können. (Wozu habt ihr denn sonst eure tolle Astaro ???)

Kein Wunder das der etwas bedrüppelt aussah, denn vermutlich hat er so ein steinzeitliches Netz wie ihr es scheinbar betreibt nicht erwartet !?

Ggf. solltest du also mal deinen Chef etwas zur aktuellen Netzwerktechnik bzw. Design updaten, damit er nicht mehr so (steinzeitlich) reagieren muss !
Ist ja letztlich auch ein Aushängeschild für die Firma....
Bitte warten ..
Mitglied: saerdna
01.07.2008 um 11:37 Uhr
Theorie und Praxis des Tunnels nach "Hause":

Theorie:
Du kommst hier nicht rein und raus schon garnicht
Die gefahr sich Viren und Trojaner zu ziehen ist hoch. Vor allem bei Laptops wo keiner weiss was die Familie damit noch so anstellt wenn er ihn auch Privat nutzt.

Praxis:
Der kommt hier immernoch nicht rein Aber auch nur weil er es mal kurz machen will.
Für den Mitarbeiter einer Fremdfirma der die Zeit hat ein "Change Request" zu starten und einen für uns "Wichtigen Grund" hat geht natürlich alles Port freigeben und los gehts
Wird schon gut gehen

Grüsse
Bitte warten ..
Mitglied: JPSelter
01.07.2008 um 12:04 Uhr
Die VLAN Idee ist nicht neu höre ich gerade. Mein Vorgänger hat das mal abgelehnt, weil wir dann rechtlich als Provider auftreten würden, was wieder andere Maßnahmen erfordert. Ich werde da mal unseren Sachverständigen kontaktieren...
Bitte warten ..
Mitglied: aqui
01.07.2008 um 12:47 Uhr
Das ist Unsinn, denn über die Firewall (oder auch entsprechende Switches) könnt ihr ein Accounting machen für die verwendeten Adressen, oder noch einfacher ihr benutzt einen Proxy wie z.B. den Squid-Proxy zum Protokollieren und Authentifizieren.

Abgesehen davon kann man auch immer mit 802.1x dynamisch ein VLAN im Gastbereich zuweisen und auch über diese Funktion ein Accounting der verwendeten IP Adressen machen. All das ist problemlos umsetzbar.

Rechtlich ist das Providerargument auch unsinnig, denn ihr stellt keinen öffentlichen Zugang zur Verfügung !
Bitte warten ..
Mitglied: JPSelter
01.07.2008 um 13:16 Uhr
Als steinzeitlich will ich das Netz hier nicht beschreiben, da kenne ich noch viel schlimmere Netze, wo alle Scheunentore weit offen sind. Es fehlt ganz einfach nur ein Gäste-VLAN. Bei Lieferanten ist es nicht so schlimm, aber bei Kunden kann so eine Aktion schon sauer aufstoßen (wobei der Kunde andererseits aber auch sehr erfreut sein kann, dass das Netz so schön "dicht" ist).

Das mit dem Gäste-VLAN sollte hier unbedingt gemacht werden. Mit dem Begriff "Accounting" ist doch einfach nur gemeint, dass später nachvollzogen werden kann, wer wann wohin gesurft ist, richtig? Das wäre ja kein Problem.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
DSL, VDSL
Zwei Internet Verbindungen in einem Netzwerk (2)

Frage von andy01090 zum Thema DSL, VDSL ...

Windows Netzwerk
USB-Gerät ins Netzwerk (Domäne) einbinden (3)

Frage von griss0r zum Thema Windows Netzwerk ...

Monitoring
Netzwerk-Qualität Monitoring Toolempfehlung (8)

Frage von michmeie zum Thema Monitoring ...

Windows 10
Plötzlich kein Netzwerk mehr (13)

Frage von ZeroCool23 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...