Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Sicherer Zugang ins Internet aus Firmennetz

Frage Sicherheit

Mitglied: chrismass

chrismass (Level 1) - Jetzt verbinden

17.08.2011 um 22:42 Uhr, 7140 Aufrufe, 15 Kommentare, 1 Danke

Hallo zusammen!
Bin nicht sicher ob ich den Beitrag hier oder doch eher im Bereich Netzwerk eröffnen soll. Grundsätzlich geht es mir um die Frage, wie ich eine möglichst sichere Möglichkeit für den Internetzugriff aus einem Firmennetz realisieren kann.

Also derzeit greifen alle User unserer Domäne über einen Proxy, Firewall und Gateway auf das Internet zu. Alle Clients sind wiederum mit Virenscanner, Anti-Spyware, Personal-Firewall ausgestattet. Ich denke das ist so insgesamt eine recht typische Konstellation die wohl öfters Verwendung findet. Nach all den Übergriffen von Hackern in der letzten Zeit, bestehen derzeit bei uns große Bedenken ob dies auch alles ausreicht. Deshalb sollen wir einige Vorschläge bringen, wie sich der Internetzugriff noch besser absichern lässt.

Ich bin nicht konkret darüber informiert, wie der "Einbruch" in die einzelnen Netzwerke gelang. Ich gehe aber mal stark davon aus, dass es den Hackern gelang eine Schadsoftware auf einem System mit Internetzugang zu platzieren. Wahrscheinlich ein Windows System. Wie die Netzwerke abgesichert waren ist mir natürlich auch nicht bekannt.

Eine Idee die mir nun durch den Kopf schwirrt klingt vielleicht etwas abenteuerlich, aber ich stelle sie mal hier zur Diskussion.

Der Proxy, und somit der eigentliche Internetzugang wird aus der Domäne entfernt. Die Clients in der Domäne dürfen somit nicht mehr direkt auf das Internet zugreifen. Im Netzwerk möchte ich mehrere Virtuelle Maschinen mit einer Linux Distribution auf einer oder mehreren ESXi betreiben. Die ESXi bzw. die virtuellen Linux Workstations wären nicht teil der Domäne aber über das interne Netzwerk erreichbar. Diese Linux Workstations wären nun tatsächlich nur zum surfen da. Die Benutzer würden sich mit vorkonfiguriertenm VNC Viewer auf die Linux-Workstations verbinden. Außer dem Browser soll der Benutzer nichts starten können. Die Verbindung zum Internet soll nun wieder über einen neu konfigurierten Proxy, Firewall und Gateway hergestellt werden.

Ich denke dass so zumindest keine Schadsoftware direkt aus dem Internet auf die Clients gelangt. Sollte es doch gelingen aus dem Internet die Firewall zu durchdringen, wäre der Angreifer an der virtuellen Linux Kiste und meiner Meinung nach am Endpunkt angelangt.


Ich sehe aber direkt schon einige Probleme bzw. Schwierigkeiten:
- Download von Dateien. Wie kommen Dateien auf den Client in der Domäne? (vielleicht über ein Austauschverzeichnis auf einem weiteren PC?)
- Drucken für den Benutzer im eigenen Büro nicht mehr möglich!?
- kopieren von Text bzw. Bildern aus Webseiten
- Mailverkehr / Mailserver hätte separate Verbindung
- Die Benutzer aus der Domäne müssten alle auf den Linux-Workstations eingerichtet werden. Bei über 200 Usern ... sehr viel Arbeit ...


Na ja ich bin mal auf eure Meinungen, Antworten und womöglich Alternativen gespannt.


Grüße
Chris
Mitglied: education
17.08.2011 um 22:54 Uhr
ist bullshit.
sobald die leute wieder dateien aus dem inet haben hast wieder eine schadsoftware.

Anständiger Router (nicht aus den 100€ bereich)
Firewall
Proxy
Virenscanner ( zentrale Verwaltung )
User ohne rechte vorallem keine rechte was am virenscanner zu machen

mehr brauchst nicht.
Bitte warten ..
Mitglied: filippg
17.08.2011 um 23:03 Uhr
Hallo,

es gibt Firmen, bei denen Office-Rechner tatsächlich gar nicht in's Internet kommen und auch nicht auf EMails zugreifen können. Das beides erfolgt dann wie von dir beschrieben mittels eines Terminal Viewers (RDP, VNC,...) oder sogar mit separaten Workstations am Arbeitsplatz.
Aber ich denke, man sollte da "die Kirche im Dorf" lassen. Definitiv senkt das die Produktivität und sorgt für Frustration bei den Nutzern. Und wenn man es den Nutzern zu schwer macht, werden die sehr erfinderisch beim Umgehen der Sicherheitsmaßnahmen - das kann dazu führen, dass das ganze theoretisch hoch sichere Konstrukt am Ende viel unsicherer ist als ein "herkömmliches"-System. Z.B. weil die Nutzer sich einen UMTS-Router besorgen, ihren PC dann temporär immer mal daran koppeln, und dann direkt im Internet unterwegs sind. Ich würde daher vorschlagen, beim Standard zu bleiben: Auf den PCs eine gute Virenschutzlösung (zentral überwacht mit Detektion für ungeschützte Maschinen im Netz, am besten auch mit Host Intrusion Prevention), Firewall so dicht, dass die Clients nur über den Proxy in's Internet kommen, und statt eines einfachen Webcache-Proxys eine Lösung, die den Datenstrom auf Schadcode untersucht).

Gruß

Filipp
Bitte warten ..
Mitglied: DevTig
17.08.2011 um 23:22 Uhr
Hallo,

Wie schon angeregt wurde, reicht eine gut justierte Firewall, Proxy mit Viren und Content Scanner (z..B. Squid-Proxy) und einem guten Client Virenscanner mit Zentraler Verwaltung aus.
Ich würde sogar soweit gehen und via GPO die Windows Firewall mit entsprechenden Settings auf Laptops (ja auch Desktops) zu aktivieren - sofern kein VPN Client mit eigener FW auf dem Client installiert ist.

Die Konfiguration die Du vorschlägst hat man normalerweise in Entwicklungsbetrieben die Man(n) - Frau auch - nur über Separierungsanlagen betreten darf. (Ganz schön teurer Spaß)

Unterm Strich solltet Ihr eine Kosten nutzen Analyse durchführen, welche auf die Ist / Soll und NiceToHave Variante eingeht und auch den Nutzen und das handling der Lösungen berücksichtigt.

Und um mal auf die Angriffe zu kommen - die meisten Angriffe kommen von innen, wie etliche Studien belegen.
Also Adminrechte nur da, wo sie wirklich gebraucht werden.

Grüße DevTig

Edit:
Sicherer Email Empfang könnte man über Reverse-Proxy realisieren.
Bitte warten ..
Mitglied: DerWoWusste
17.08.2011 um 23:34 Uhr
@education
ist bullshit.
Alles andere als das. Meiner Meinung nach einer der sichersten Ansätze, kaum zu toppen.
sobald die leute wieder dateien aus dem inet haben hast wieder eine schadsoftware
Und was soll die anstellen ohne Zugang nach außen? Dann ist der eine Rechner eben verseucht, na und? Wenn Du nicht gerade netzwerkintern durch vernachlässigtes Updating (und evtl. nicht vorhandene Firewallregeln) Würmern Tür und Tor öffnest, ist das ein kleineres Problem, die Ausbreitung kann nicht erfolgen.
Wir nutzen so ein Setup seit Jahren, denn uns war vor allem wichtig, dass von Viren keine Dokumente nach außen geschafft werden können.
Bitte warten ..
Mitglied: Dani
17.08.2011 um 23:40 Uhr
Hi Chris,
es hängt immer davon ab was ihr schützen wollt und wie hoch der Schaden sein kann. Danach würde ich erfassen, was müssen die User im Internet machen müssen und über welches Programm (FTP, Onlinebanking, HTTP). Daran würde ich die Sicherheitsstufe festlegen.

Wir setzen dabei auf ein 2stufiges Sicherheitssystem. In der Zentrale steht eine Internetstandleitung an der zwei Sonicwall mit IPS, Firewall, Contentfilter, Appcontrol und AV Gateway Service im HA-Modus laufen.
Für die E-Mails haben wir Baracuda im Einsatz. Diese hängt über ein DMZ Port an der Firewall. Somit wird der Internetvkehr (Surfen, FTP, E-Mails) schon mal grob gefiltert.
Auf den Clients ist Trend Micro Antivirenscanner, Firewall und ApplicationControl installiert. Somit kann je Team, Mitarbeiter, Aufgabenbereich evtl. noch genauer freigeben/eingeschränkt werden.

Somit hast du für den Surfverkehr / E-Mailverkehr immer zwei verschieden Engines. Sollte Sonicwall / Baracuda eine defekte Virensigantur ausliefen steht immer noch der Trendmicro zur Seite und kann schlimmers verhinden.


Grüße,
Dani
Bitte warten ..
Mitglied: DerWoWusste
17.08.2011 um 23:41 Uhr
@filippg
Aber ich denke, man sollte da "die Kirche im Dorf" lassen. Definitiv senkt das die Produktivität und sorgt für Frustration bei den Nutzern
Wir nutzen das so. Unsere Nutzer sind alles andere als technische Genies und haben dennoch keinen Frust und finden die Lösung gut - sie haben sogar den Sicherheitsaspekt kapiert.
wenn man es den Nutzern zu schwer macht, werden die sehr erfinderisch beim Umgehen der Sicherheitsmaßnahmen
Gut, dann fangen wir mit Deinem Erfindungsreichtum mal an. Wie würdest Du das von Dir genannte Setup umgehen? Ach, da steht's schon: UMTS. Und wie setzt Du das ohne Adminrechte um, wenn Du noch nicht mal DHCP nutzen darfst?
[statt dessen] eine Lösung, die den Datenstrom auf Schadcode untersucht
Kenne ich. Aber glaub nicht, dass damit weniger Frust aufkommt. Denn solche Systeme folgen dem Grundsatz "was ich nicht erkennen/beurteilen kann, das lass ich nicht (nach außen oder innen) durch" - was meinst Du, wie viele Ausnahmen man da laufend nachpflegen muss, das ist wirklich ein Komfortverlust.
Bitte warten ..
Mitglied: DerWoWusste
18.08.2011 um 00:13 Uhr
Okay, ich hab erstmal andere Kommentare separat "angezählt" - nicht übel nehmen, Kollegen.

Chris, wir haben mehr als 6 Jahre die Linux-Variante genutzt (KDE Desktop). Ein paar Jahre mit VNC, dann mit der Kombi FreeNX und NoMachine. Lief ganz passabel. Nun sind wir seit einem halben Jahr auf 2008R2 mit Browser als RemoteApp umgestiegen - kostet, läuft jedoch noch schmerz- und für uns Admins wartungsfreier. Ich hab das Projekt gemacht und kann Dir gerne Auskunft geben.

Zu Deinen potentiellen Problemen:
Download von Dateien
Linux: Sambashare nutzen
Windows: Freigabe nutzen, die vom Client aus nur lesbar ist
Drucken für den Benutzer im eigenen Büro nicht mehr möglich!?
Warum?
Win: Mit TS Easyprint kein Problem.
Linux: CUPS Druckserver genutzt.
kopieren von Text bzw. Bildern aus Webseiten
Text ist kein Problem.
Linux via NoMachine: nur Text möglich, Bilder muss man speichern
Win: Text kein Problem - Bilder: muss ich schauen, bin gerade verunsichert. - Edit: Win: geht auch mit Bildern.
Mailverkehr
Win: Kannst Du ebenso als RemoteApp machen, kein Problem. Hier kommen je nach Anwendung natürlich nochmal weitere Lizenzkosten auf Dich zu.
Linux: kein Problem
Die Benutzer aus der Domäne müssten alle auf den Linux-Workstations eingerichtet werden. Bei über 200 Usern ... sehr viel Arbeit ...
Kommt auf Eure Linux-Skills an. Ein SingleSignon haben wir damals noch nicht angestrebt, erst jetzt mit dem Win-TS (dort kinderleicht).

Edit: Nochwas - warum willst Du es mit mehreren Remoteservern machen? Ein gut ausgestatteter Server kann vielleicht nicht 200 Surfer gleichzeitig bedienen, aber sicher schon 50. Und wieviele von den 200 wollen denn wirklich parallel surfen? (die sollen arbeiten ;)
Edit2: das Konzept ist auch dem BSI bekannt, genannt ReCoBS. Aber das BSI ist paranoid in diesem Fall, ebenso ist dieses Pamphlet einfach unterirdisch: https://www.bsi.bund.de/ContentBSI/Themen/Internet_Sicherheit/Gefaehrdun ... bzw. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/r ... oder kurz https://www.bsi.bund.de/ContentBSI/Themen/Internet_Sicherheit/Gefaehrdun ...
Bitte warten ..
Mitglied: DevTig
18.08.2011 um 00:49 Uhr
Da raucht nicht mal weit zu gucken

Auch MS wartet mit solchen Dingen auf. Wenn man sich danach richten würde wäre ein PC wohl eher ein überteurer Taschenrechner.
Bitte warten ..
Mitglied: DerWoWusste
18.08.2011 um 00:55 Uhr
Da raucht nicht mal weit zu gucken
Äh - bitte? Wir nutzen das ja auf Win. Und wer raucht/guckt weit?
Bitte warten ..
Mitglied: chrismass
18.08.2011 um 08:37 Uhr
Also vielen Dank für eure Beiträge. Ich werde mir in jedem Fall noch das ReCoBs vom BSI ansehen. Eure Anregungen helfen mir in jedem Fall bei unserer internen Diskussion weiter.

@DerWoWusste: Nun ja mt der Aussage "über 200 Benutzer" habe ich wohl etwas untertrieben ... Ich habe keine genauen Zahlen zur Hand aber auf Grund des Traffic schätze ich dass ein gleichzeitiges surfen von 200 Personen schon mal drin sein kann. Bei uns wird einerseits sehr viel recherchiert, andererseits weis ich auch dass sehr viel privat gesurft wird. Dies wird bei uns von oberster Ebene aus sehr toleriert.

@all: Bei der Wahl der virtuellen Workstation hatte ich mich spontan für Linux Desktops entschieden weil meiner Meinung nach einige Vorteile bestehen:
- Schadsoftware, Trojaner usw. zielen ja in der Regel auf Windows Sicherheitslücken ab. Die Probleme hätte ich grundsätzlich bei einer Linux-Maschine nicht.
- Kosten für die Lizenzen
- Einschränkung der Linux-Workstation auf Browser und unbedingt erforderliche Programme bzw. Services.

natürlich habe ich auch Nachteile:
- erhöhter administrativer Aufwand bezüglich Linux (--> Skills sind noch nicht in der Tiefe vorhanden)
- Single Sign On in der Domäne nicht möglich (--> weil die Workstations ja nicht an der Domäne teilnehmen)
- Benutzer sind zu 99% Windows gewohnt (Wobei ich hier einfach sagen muss, der Benutzer soll ja gar nicht viel am System tun außer den Browser starten. Und wenn wir eine gute Anleitung mitgeben muss der User halt auch mal was neues lernen )


Ich habe heute ein erstes Meeting mit der Projektgruppe. Ich denke dass dort noch mehrere andere Lösungsvorschläge kommen werden. Für die erste Diskussion bin ich aber schon mal gerüstet.
Melde mich hier wieder wenn es etwas konkreter wird. (es darf aber weiter diskutiet werden )
Bitte warten ..
Mitglied: aqui
18.08.2011 um 09:24 Uhr
Linux spricht ja problemlos LDAP und ist damit ans AD koppelbar. Auch wenns also 1200 User sind ist das das kleinste Problem....
http://en.gentoo-wiki.com/wiki/Active_Directory_Authentication_using_LD ... usw. es gibt zig Anleitungen zu dem Thema..
Bitte warten ..
Mitglied: DerWoWusste
18.08.2011 um 09:27 Uhr
Für mich ist das Hauptargument für ReCoBS: Daten kommen so nicht ungewollt vom Client ins Internet (allenfalls der Inhalt der Zwischenablage ist gefährdet). Lösungen mit Firewall, Virenscanner und Sicherheitspaketen können das nicht zuverlässig leisten, ganz egal, wie gut eingestellt sie sind.
Bitte warten ..
Mitglied: chrismass
19.08.2011 um 07:29 Uhr
In unserem ersten Projektmeeting wurde nun der Secure Browser "BitBox" der Firma Sirrix vorgeschlagen. Hier ist mal ein Link zum Produktblatt als PDF.
Die BitBox ist eine vorkonfigurierte virtuelle Maschine (VirtualBox von Oracle) in der ein eigenes Betriebssystem (Debian) im Hintergrund gestartet wird und direkt nur den Browser (IceWeasel=Firefox) startet. Der Browser läuft dasnn abgekapselt vom restlichen Betriebssystem. Bei uns hat der Einsatz dieser Software direkt allgemeinen Zuspruch erhalten, weil es keinen großen administrativen Aufwand bedeutet die Software einzuführen und zu betreiben.
Kennt jemand das Produkt? Habt ihr damit schon Erfahrungen gemacht? Die single User Version ist komplett frei verfügbar.
Bitte warten ..
Mitglied: DerWoWusste
19.08.2011 um 09:44 Uhr
Und was kostet die Enterpriseversion?
Das Konzept ist schon lange bekannt: http://www.vmware.com/appliances/directory/80 hab ich 2006 mal getestet.
Das Dingen an dem Konzept wird sein: wieweit kann die Maschine mit den Anforderungen mitwachsen? Wenn die sich auf einen sicheren Zustand resettet, dann gehen auch sinnvolle Einstellungen wie benötigte Plugins verloren. Müsst Ihr mal durchspielen. Aber das Konzept ist auch schön, wenn man nicht gerade alte Kisten rumstehen hat, die schon an einer virtuellen Maschine leistungstechnisch verzweifeln.
Bitte warten ..
Mitglied: chrismass
19.08.2011 um 12:44 Uhr
Na ja was ich so unter der Hand mitbekommen habe soll die 1 Jahreslizenz Pro Client ca. 3€ kosten ... aber am Montag stellt die Firma ihr Produkt samt Fakten vor.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerkgrundlagen
gelöst PFSense kein Internet Zugang (6)

Frage von Phill93 zum Thema Netzwerkgrundlagen ...

Router & Routing
gelöst Mikrotik - Clients haben keinen Internet Zugang (43)

Frage von 118080 zum Thema Router & Routing ...

Windows 10
Kein Internet: Nach Windows-Update weltweit Computer offline (7)

Link von transocean zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
RODC über VPN - Verbindung weg (10)

Frage von stefan2k1 zum Thema Windows Server ...