5
Sicherheit von Fernwartung
Hallo zusammen,
ich betreue alleine ein Netzwerk mit 8 Servern und div. Clients.
Um im Krankheitsfall / Urlaub / sonstige Abwesenheit bei Problemen schnell reagieren zu können, haben wir einem externen Dienstleister gestattet eine Fernwartung via VPN einzurichten.
Um auch mir für unsere Hauptstelle / Niederlassung die Arbeit etwas zu erleichtern haben wir an allen Clients VPN eingerichtet.
Nun war ich im Urlaub und siehe da es trat Samstags ein Problem auf, dass unser Dienstleister Sonntags gelöst hat.
Mein Chef ist nun ziemlich besorgt, dass dieser Zugriff missbraucht werden kann.
Wie kann ich unsere Fa. am besten absichern, dass unser Dienstleister nur Zugriff hat, wenn wir dies gestatten:
Software im Einsatz: VNC
Hardware: Bintec X1200
Vielen Dank.
CU Werner
ich betreue alleine ein Netzwerk mit 8 Servern und div. Clients.
Um im Krankheitsfall / Urlaub / sonstige Abwesenheit bei Problemen schnell reagieren zu können, haben wir einem externen Dienstleister gestattet eine Fernwartung via VPN einzurichten.
Um auch mir für unsere Hauptstelle / Niederlassung die Arbeit etwas zu erleichtern haben wir an allen Clients VPN eingerichtet.
Nun war ich im Urlaub und siehe da es trat Samstags ein Problem auf, dass unser Dienstleister Sonntags gelöst hat.
Mein Chef ist nun ziemlich besorgt, dass dieser Zugriff missbraucht werden kann.
Wie kann ich unsere Fa. am besten absichern, dass unser Dienstleister nur Zugriff hat, wenn wir dies gestatten:
Software im Einsatz: VNC
Hardware: Bintec X1200
Vielen Dank.
CU Werner
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2122
Url: https://administrator.de/contentid/2122
Printed on: April 25, 2024 at 11:04 o'clock
5 Comments
Latest comment
ich würde es über ein zertifkat machen. Das der VPN Tunnel nur aufgebaut wird, wenn der Client mir dem passenden Zertifikat kommt.
Ich gehe davon aus, dass der Zugriff auf die internen Systeme über einen VPN-Tunnel erfolgt und Verbindungsaufbauten zum internen System gelogged werden. Dann würde der Dienstleister ziemlich blöd aussehen, wenn er das System mißbräuchlich verwenden würde. GGf. hilft ja auch ein Intrusion-Detection System wie z.B. Snort, aber das macht erst mal einen haufen Arbeit.
Ansonsten wäre ich an Eurer Stelle froh, dass der Zugriff immer möglich ist, denn wenn Ihr mal wirklich Hilfe braucht und es ist gerade deaktiviert, dann ist das System ja auch sinnlos. Alles andere würde ich Vertraglich festlegen mit entsprechenden Strafen bei Vertragsbruch. Solltet Ihr dem Dienstleister gar nicht vertrauen, dann würde ich mir einen anderen suchen.
Gruß
Christoph
Ansonsten wäre ich an Eurer Stelle froh, dass der Zugriff immer möglich ist, denn wenn Ihr mal wirklich Hilfe braucht und es ist gerade deaktiviert, dann ist das System ja auch sinnlos. Alles andere würde ich Vertraglich festlegen mit entsprechenden Strafen bei Vertragsbruch. Solltet Ihr dem Dienstleister gar nicht vertrauen, dann würde ich mir einen anderen suchen.
Gruß
Christoph
Also zunächst glaube ich am allerwenigsten, daß euer Dienstleister dies ausnützen würde, hierfür ist die Wahrscheinlichkeit relativ gering... da von lebt die Firma. Aber du hast einen Weg in die Firma geöffnet, der alle Sicherheitsmechanismen ausschaltet durch die VPN Verbindung.
Hier ist die Gefahr, daß Viren etc. zum beispiel über die gesicherte Leitung vom Dienstleister unbeabsichtigt zu euch gelangen, da hier ja Firewall nichts aufhält. Oder ein Trojaner lockt Benutzername und Passwort mit und schon kann ein dritter in das System eindringen.
Für solche Szenarien ist die Gefahr wesentlich höher.
Richtig sicher kriegst du so ein System nur mit hohem Software- und Konfigurationsaufwand und einer ziemlichen finanzielle Spritze für Zertifikate. Ein privat betriebener Zertifikatserver hilft nach meiner Erfahrung gar nichts, da sich so ein System realtiv einfach umgehen läßt. Sichere Zertifikate von Verisign beispielsweise sind für Unternehmen, daß du zu betreuen hast, viel zu teuer.
Wie bei allen Dingen in der Technik muß man hier immer Sicherheit und Nutzen gegeüber stellen.
In deinem konkreten Fall würde ich folgendes machen. Ich hoffe die VPN Verbindung läuft über ein gutes System bsp. Routing&RAS in Verbindung mit ISA-Server oder guter HardwareRouter. Hier kannst du relativ einfach VPN ein und ausschalten oder den entsprechenden Port blocken. In diesem Fall ist es ausreichend, wenn man das System nur öffnet für den Fernwartugnsfall.
Hier ist die Gefahr, daß Viren etc. zum beispiel über die gesicherte Leitung vom Dienstleister unbeabsichtigt zu euch gelangen, da hier ja Firewall nichts aufhält. Oder ein Trojaner lockt Benutzername und Passwort mit und schon kann ein dritter in das System eindringen.
Für solche Szenarien ist die Gefahr wesentlich höher.
Richtig sicher kriegst du so ein System nur mit hohem Software- und Konfigurationsaufwand und einer ziemlichen finanzielle Spritze für Zertifikate. Ein privat betriebener Zertifikatserver hilft nach meiner Erfahrung gar nichts, da sich so ein System realtiv einfach umgehen läßt. Sichere Zertifikate von Verisign beispielsweise sind für Unternehmen, daß du zu betreuen hast, viel zu teuer.
Wie bei allen Dingen in der Technik muß man hier immer Sicherheit und Nutzen gegeüber stellen.
In deinem konkreten Fall würde ich folgendes machen. Ich hoffe die VPN Verbindung läuft über ein gutes System bsp. Routing&RAS in Verbindung mit ISA-Server oder guter HardwareRouter. Hier kannst du relativ einfach VPN ein und ausschalten oder den entsprechenden Port blocken. In diesem Fall ist es ausreichend, wenn man das System nur öffnet für den Fernwartugnsfall.
Hallo Werner,
wie wäre es, wenn Ihr dem externen Dienstleister ein separates Konto anlegt, welches nach Bedarf durch Euch frei geschaltet wird.
Ferner könnt Ihr anhand eines Logfiles, welches durch einen Parser ausgelesen werden kann auswerten.
Gruss
Stefan
wie wäre es, wenn Ihr dem externen Dienstleister ein separates Konto anlegt, welches nach Bedarf durch Euch frei geschaltet wird.
Ferner könnt Ihr anhand eines Logfiles, welches durch einen Parser ausgelesen werden kann auswerten.
Gruss
Stefan
Du hast ja schon ne VPN Leitung, die sicherste und auch von der Übertragung her die Schnellste Lösung ist es die Terminalservices von MS zu benutzen oder besser gleich auf Citrix wechseln.
VPN Client autentisiert sich am Terminalserver -> bei erfolgreichem LOGIN kann man dann auf die anderen Server per RDP springen.
Wenn der Cheff es nun expliziet pro Session freigeben möchte, dann kann man dass über die Serverrichtlinien und Logineinstellungen tun. (Bin kein Microsoft Freak, weiss aber das es geht)
Die Zeiten von VNC sind vorbei
VPN Client autentisiert sich am Terminalserver -> bei erfolgreichem LOGIN kann man dann auf die anderen Server per RDP springen.
Wenn der Cheff es nun expliziet pro Session freigeben möchte, dann kann man dass über die Serverrichtlinien und Logineinstellungen tun. (Bin kein Microsoft Freak, weiss aber das es geht)
Die Zeiten von VNC sind vorbei
