Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Tor im Netzwerk

Frage Netzwerke

Mitglied: SvenGuenter

SvenGuenter (Level 1) - Jetzt verbinden

28.01.2009, aktualisiert 09:45 Uhr, 6986 Aufrufe, 23 Kommentare

Hallo,

eine Frage die mich aus akuten Grund sehr Interessiert. In unserem Unternehmen müssen wir aus programmtechnischen Gründen den Usern Adminrechte geben.
Nun scheint jemand Tor (Privoxy) genutzt zu haben, da unsere Firmenip irgendwo aufgeschlagen ist. Wie kann ich Tor und (JAP) verbieten und oder herausbekommen wer Tor genutzt hat.


Gruß

Sven Günter
Mitglied: Logan000
28.01.2009 um 09:56 Uhr
Moin Moin

...oder herausbekommen wer Tor genutzt hat.
Sowohl TOR als auch JAP werden wohl eine .EXE haben. Such diese und verhau den lokalen Admin des PCs auf dem du fündig wirst.

Gruß L.
Bitte warten ..
Mitglied: Driver401
28.01.2009 um 09:58 Uhr
Dazu müsste man ein wenig mehr über Euer Netzwerk wissen. Linux/Unix - Großrechner - oder einfach Windowss?

Naja, sollte es Windows sein (wozu sollten User auch sonst Adminrechte brauchen), würde ich Einschränkungen über Gruppenrichtlinien vornehmen. Admin oder nicht spielt dabei keine Rolle, solange die Adminrechte nicht soweit gehen, die Domäne zu ändern und somit auch die Policies.

Herauszubekommen, wer Tor benutzt hat, dürfte schwierig werden, da ich davon ausgehe daß die Benutzung nirgendwo protokolliert ist. Die Benutzung selbst hinterlässt meines Wissens auch keine Spuren - allerhöchstens noch in temporären Dateien des Browsers - falls diese nicht gelöscht wurden. Vielleicht hat derjenige aber auch ein Lesezeichen gesetzt......

BTW, wenn Du solche Spezialisten hast, solltest Du auch ein Auge auf Fernadmin-Tools wie z.B. den Teamviewer haben. Das ist noch viel gefährlicher als ein anonymer Inernetzugang.

Gruß
Jürgen

Edit: Sorry, Tor ist ja eine Client-Server-Sache - natürlich hat Logan recht, da muss es eine EXE geben.... da war ich zu voreilig.
Bitte warten ..
Mitglied: SvenGuenter
28.01.2009 um 10:00 Uhr
Haben wir schon. Augenscheinlich scheint er schön brav zu installieren und zu deinstallieren. Somit könnte oder kann man nur was finden wenn er es installiert hat. Da aber ein dauerhaftes scannen aller Maschinen nicht in Frage kommt ist das leider keine alternative. Deswegen meine Frage an die Adminspezies, wie man da was suchen oder protokollieren kann. Gibt es Ports die man dichtmachen kann damit Tor nicht mehr klappt?
Bitte warten ..
Mitglied: SvenGuenter
28.01.2009 um 10:02 Uhr
Es ist eine Windowsumgebung.
Wie muss ich die Gruppenrichtlinien denn anpassen bzw. die Policies das sowas wie Tor nicht mehr genutzt werden kann?
Bitte warten ..
Mitglied: seTTembrinY
28.01.2009 um 10:46 Uhr
Hallo Sven,

lies mal hier: http://www.windowsnetworking.com/articles_tutorials/Software-Restrictio ...

Aber dass ist auch keine wirkliche Lösung, es wird immer am Filenamen bzw Pfad festgemacht. Bei soviel Kreativität Deiner User finden die schnell heraus dass sie das File nur umbennen oder umkopieren müssen.

Ich würde es eher komplett anderst angehen. Mach doch an Deiner Firewall einfach den 80 und 443 zu und erlaube es nur für einen Proxyserver den alle benutzen müssen. Und in den dortigen Logfiles findest Du dann den Verursacher bzw kannst auch über Regeln den Zugriff auf Tor verbieten.

Gruß,
Sven
Bitte warten ..
Mitglied: SvenGuenter
28.01.2009 um 11:51 Uhr
Wie kann ich in den Logs des Proxy den Verursacher erkennen? Soviel ich weiß macht Tor doch ncihts andres als über Port 80 eine Verbindung auf einen TOr Server zu machen. Dort wird dann die angeforderte Seite geholt und wieder zurückgeleitet. Das einzige was ich in den Verbindungen im Proxy zu sehen bekomme ist das dort Port 80 Connectiopns aufgebaut wurden.


Gruß

Sven
Bitte warten ..
Mitglied: 45877
28.01.2009 um 13:05 Uhr
man kann tor/privoxy ja vom usb stick starten, dann wird man auch schlecht die exe finden können. es gibt blacklists mit den aktuellen tor server, wenn man die blockt sollte es auch vorbei sein mit dem anonymen surfen in der firma.
Bitte warten ..
Mitglied: Gagarin
28.01.2009 um 13:11 Uhr
Und du solltest die IP des Tor Entry Servers sehen. Was sagt denn euer FW und IDS log?

Wie meinst du eigentlich das eigentlich wenn du sagst das ihr aus programmtechnischen Gruenden den Usern Adminrechte geben musst?

Aus IT-Sicherheitstechnischer sicht ist so ein Netzwerk nicht sicher zu bekommen. Und da ist die Benutzung von TOR noch das kleinste Problem.

Fast jedes Programm laesst sich mit ein bisschen Muehe dazu bewegen das es auch unter eingeschraenkten Rechten laeuft.
Bitte warten ..
Mitglied: Logan000
28.01.2009 um 13:28 Uhr
Moin

Wie meinst du eigentlich das eigentlich wenn du sagst das ihr aus programmtechnischen Gruenden den Usern Adminrechte geben musst?
Fast jedes Programm laesst sich mit ein bisschen Muehe dazu bewegen das es auch unter eingeschraenkten Rechten laeuft.
Stimmt. aber manchmal ist nicht das Programm das Problem sondern die Tätigkeit.
Programmierung und Administration haben doch immer mind. Zugriff auf ein Lokalen AdminAccount.

Gruß L.
Bitte warten ..
Mitglied: Gagarin
28.01.2009 um 13:33 Uhr
@Logan000

Da hast du natuerlich vollkommen recht aber ich wuerde meinen Admins auf die Finger hauen wenn selbige sich unter Adminrechten im Internet bewegen. Dazu gibt es keinen Grund.

Und desweiteren, ein Admin der TOR auf einem Firmenrechner installiert gehoert entlassen.
Bitte warten ..
Mitglied: 45877
28.01.2009 um 14:08 Uhr
Zitat von Gagarin:
@Logan000


Und desweiteren, ein Admin der TOR auf einem Firmenrechner
installiert gehoert entlassen.

Dafür kann es ja auch gute Gründe geben.
Bitte warten ..
Mitglied: 51705
28.01.2009 um 20:45 Uhr
Zitat von Gagarin:
... ein Admin der TOR auf einem Firmenrechner installiert gehoert entlassen.

Warum?
Bitte warten ..
Mitglied: DerWoWusste
28.01.2009 um 23:13 Uhr
@ seTTembrinY
es wird immer am Filenamen bzw Pfad festgemacht
stimmt doch gar nicht. Hashregeln gibt es auch.
Bitte warten ..
Mitglied: DerWoWusste
28.01.2009 um 23:20 Uhr
Wenn eine Software Restriction Policy zu hart zu administrieren scheint (wenn nicht, sollte das die Lösung sein), dann überleg doch, wie man Installationen sichtbar machen kann. Du kannst das Windowsverzeichnis überwachen (auditing auf Schreibzugriffe), das ist schonmal ein Anfang. Generell solltest Du die Leute unterschreiben lassen, dass sie die Adminrechte nur zu einem bestimmten Zweck bekommen haben und die Rechner abgesehen davon weiterhin nicht von ihnen zu verwalten sind.

Über Szenarien wie "aus programmtechnischen Gründen den Usern Adminrechte geben" kann man lange philosophieren, aber Du bietest hier keinen Ansatz. Wäre es denkbar, dass (falls es nur ein paar Programme sind), Du diese über runas startest (Batch mit eingespeichertem Kennwort [sanur oder verschlüsselt runasspc]) und das Konto generell schwach bleibt?
Bitte warten ..
Mitglied: Driver401
29.01.2009 um 09:26 Uhr
Letztendlich ist es inzwischen doch egal ob der User Adminrechte hat oder nicht - es gibt genügend Software-Tools für Möchtegernadmins, die die Sicherheitspolicy eines Netzwerks aushebeln können - und sei es nur weil es ein unbedarfter User nur mal ausprobieren will. Ich sag nur Teamviewer. Das Ding ist unter normalen Benutzerrechte (auch vom USB-Stick) zu starten und ermöglicht Vollzugriff aufs Netz von draussen - durch sämtliche Firewalls hindurch.

Da helfen letztendlich auch die schriftlichen Policies nichts, die der User unterschreibt und die ihm arbeitsrechtliche Konsequenzen androhen. Es wird immer den ein oder andren geben, der sich nicht dran hält - ganz abgesehen vom absichtlichen Einsatz solcher Tools zu Spionagezwecken o.ä..

Was generell fehlt ist eine vernünftige Möglichkeit, solche unnütze Software - sei es Teamviewer oder Tor oder was auch immer - im Netzwerk gar nicht erst zuzulassen. Soweit ich weiß, gibt es mit M$-Bordmitteln keinen einfach-administrierbaren Weg dafür. Von Sophos scheint es da was zu geben (Application Discovery in Verbindung mit Enterprise Endpoint) aber getestet hab ich es auch noch nicht.

siehe auch
http://administrator.info/Fernwartung_wie_z.B._Teamviewer,_Netviewer,_e ...
... wir werden das immer wieder diskutieren solange es keine vernünftige Lösung gibt, die Ausführung von nicht zugelassener Software zu unterbinden.

Gruß
Jürgen
Bitte warten ..
Mitglied: Logan000
29.01.2009 um 11:57 Uhr
Moin Moin
Zitat von Driver401:
Letztendlich ist es inzwischen doch egal ob der User Adminrechte hat
oder nicht ....
Wa? Das ist jetzt nicht dein Ernst oder?

Ich bin mir zwar sicher das man es nicht total verhindern kann aber ein guter Ansatz ist die Einfallstore dicht zumachen.
D.h. per GPO Zugriff auf alle Lokalen LW (Hdd, CD/DVD, USB) verweigern und nur die Netz LW freigeben die der User benötigt.

Gruß L.
Bitte warten ..
Mitglied: Gagarin
29.01.2009 um 13:08 Uhr
@425
Ohje... ich fasse es nicht
Ich muss mich da L. leider voellig anschliessen.

Wenn ich mein Netz und meine Betriebssysteme nich dicht mache dann habe ich einfach verloren.

Es ist moeglich sich auch admin rechte zu verschaffen aber ich muss es doch so schwer wie moeglich machen.

Ein Einbruch ist moeglich, dafuer brauche ich nur ein Brecheisen, aber dennoch schliese ich doch meine Tuer ab.

Es ist definitiv nicht egal was fuer eine Rechtestruktur vorherrscht. Wenn man seinen Usern volle Rechte gibt handelt man entweder grob fahrlaessig oder man ist faul.

Desweiteren wuerde ich mir ernsthaft sorgen machen wenn ich den Verkehr von bestimmten Anwendungen nicht unterbinden kann. Auch Teamviewer kann man blocken.
Bitte warten ..
Mitglied: Driver401
29.01.2009 um 13:34 Uhr
Halt... da habt ihr mich jetzt falsch verstanden!

Natürlich werde ich einen Teufel tun und meinen Usern Adminrechte geben... ich wollte damit lediglich deutlich machen, daß bereits ein "normaler" User ohne Adminrechte entsprechende Programme ausführen kann und das ist die momentan sich immer stärker entwickelnde Gefahr!

Selbstverständlich muss man sein Netz, respektive den Rechner entsprechend dicht machen.
Allerdings ist das eben nur begrenzt möglich. USB deaktivieren klingt ja toll, aber es geht doch schon los, daß man immer mehr USB-Arbeitsplatzdrucker hat. Viele User brauchen für ihre Arbeit ein CD oder DVD-Laufwerk. Zugriff auf lokales Laufwerk verweigern? Auch das geht nur in begrenztem Maße.
Es gibt nicht immer Systemumgebungen wo das alles so leicht zu beschränken ist. Oder anders gefragt - wo geht das schon?

Und Teamviewer blocken mag schon gehen - indem ich den Server dieser Firma blocke. Diesen und jeden anderen von irgendwelcher derartiger Software, die derzeit zu haben ist. Hast Du das alles gemacht? Nein? Aha. Hatte ich bislang auch nicht....
Tor macht da keine Ausnahme - klar kannste über Blacklists die Server sperren, aber wie schnell sind die veraltet?
Ich bin nach wie vor der Meinung, man muss das anders angehen.

Jürgen
Bitte warten ..
Mitglied: Gagarin
29.01.2009 um 13:57 Uhr
Wer sagt denn das man USB komplett deaktivieren soll? Es langt schon wenn man einfach bestimmte Kopiervorgaenge oder Aufrufe von ausfuehrbar Dateien vom Wechseldatentraeger blockt.

Unser Proxy blockt die Anwendung Teamviewer nebst Derivate nicht nur die IP. Der Rest wird von unserem IDS erkannt und dann werden unsere Proxyregeln demnach angepasst.

Die Firma fuer die ich arbeiten darf operiert Weltweit. Diese Umgebung ist hochkomplex aber auch diese kann man so anpassen, um nicht einschraenken zu sagen, das sie halbwegs sicher ist.

IT Security wird immer noch mehr als Stiefmuetterlich behandelt. Das ist das eigentlich Problem.
Bitte warten ..
Mitglied: Driver401
29.01.2009 um 14:12 Uhr
Zitat von Gagarin:
IT Security wird immer noch mehr als Stiefmuetterlich behandelt. Das
ist das eigentlich Problem.

Da geb ich Dir absolut recht.
Bitte warten ..
Mitglied: DerWoWusste
29.01.2009 um 20:27 Uhr
@Driver401/Jürgen
Was generell fehlt ist eine vernünftige Möglichkeit, solche unnütze Software ... im Netzwerk gar nicht erst zuzulassen. Soweit ich weiß, gibt es mit M$-Bordmitteln keinen einfach-administrierbaren Weg dafür
Nach einem einfachen Weg darfst Du hier nicht fragen. Selbstverständlich ist diese Aufgabe eine der schwersten. Mit Bordmitteln kannst Du eine Whitelist, eine "nur-die-dürfen"-Liste erstellen und an Hashwerte von den Dateien kleben. Was willst Du mehr? Das für die Ausnahmen und das Pflegen derselben erheblicher administrativer (Dauer-)Aufwand angesagt ist, ist klar wie Kloßbrühe. Aber so läuft doch ein hart administriertes Netzwerk: Sicherheit hoch, Adminaufwand hoch, Funktionalität gering. Eingesetzte Software bekommt immer zuerst der Admin zu sehen (denn sonst läuft diese dank der Whitelist eh nicht).
Bitte warten ..
Mitglied: Driver401
30.01.2009 um 09:25 Uhr
Zitat von DerWoWusste:
Nach einem einfachen Weg darfst Du hier nicht fragen.
Selbstverständlich ist diese Aufgabe eine der schwersten.

Ach, ich finde schon daß ich das darf. Ich bin jemand, der Arbeiten ungern doppelt macht. Ich hinterfrage halt auch gerne die Anforderungen mit einem "Wieso" und "Warum" und nehmen nicht alles einfach als gegeben hin.
Deshalb frage ich hier eben:
Wieso muss jeder Admin das Rad neu erfinden und sich selbst irgendeine Lösung zusammenpfriemeln. Oder wie gesagt, den Adminaufwand entsprechend hoch ansetzen.
Wieso ist diese Aufgabe eine der schwersten? Muss das so sein?
Wieso gibt es keine einfache Möglichkeit, die eingesetzte ausgeführte Software im Netzwerk zu erlauben/verbieten.
Doch, gibt es schon - aber eben von Drittanbietern - (und wie die genau funktionieren kann ich aufgrund fehlender Testmöglichkeit derzeit nicht beurteilen).

btw, ich habe über GPO die Ausführung bestimmter Programme verboten - aber ich habe nirgendwo im Netz eine Liste gefunden, die ich als Hilfe dazunehmen könnte - und sei es nur um den korrekten Namen der jeweiligen Programmdatei einzutragen.
Inwieweit das jetzt ein Schutz ist, sei mal dahingestellt - aber ich muss mich doch wundern, daß es da nix fertiges gibt - daß das alles so umständlich sein muss.

Jürgen
Bitte warten ..
Mitglied: DerWoWusste
30.01.2009 um 18:25 Uhr
aber ich muss mich doch wundern, daß es da nix fertiges gibt - daß das alles so umständlich sein muss.
DA wunder ich mich nicht. Software ist dynamisch (Updates/neue versionen kommen doch alle naslang). und der einzig gute Schutz ist die Hashregel. Wie soll die nun vorgefertigt funktionieren, wer hält diese Vorlage auf Stand? Das muß der Admin selbst machen.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (4)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Windows Netzwerk
USB-Gerät ins Netzwerk (Domäne) einbinden (3)

Frage von griss0r zum Thema Windows Netzwerk ...

Webbrowser
Zero-Day-Lücke in Firefox bedroht Tor-Anwender (1)

Link von runasservice zum Thema Webbrowser ...

Sicherheits-Tools
Tor hinter (eigenem) Proxy (8)

Frage von mrserious73 zum Thema Sicherheits-Tools ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...