VPN-Zugang für externe Firma vernünftig absichern
Hallo,
ich habe folgendes Problem wo mir persönlich momentan ein guter Ansatzpunkt zur Lösung fehlt.
Wir haben bei uns im Haus einen Server (SuSE Linux Enterprise Server) auf welchem eine spezielle Verlagssoftware läuft. Diese wird regelmäßig von einer externen Firma gewartet und geupdated. Den Zugang zum System haben wir über einen VPN Zugang (OpenVPN) gelöst, welcher direkt in der Firewall integriert ist.
Mein "Problem" besteht darin, dass man der VPN Verbindung erstens keine feste IP zuweisen kann (aber man im Normalfall vom DHCP immer die selbe IP bekommt - das wäre also nicht alzu schlimm dies abzusichern) und zweitens, und hier ist das eigentliche Problem, über den Server trotzdem ein Zugang zum gesammten Netzwerk besteht.
Ich habe im Moment absolut keine Idee wie ich verhindern kann, dass die Mitarbeiter dieser externen Firma über den Verlagsserver ins interne Netz gelangen, da er ja für unsere Mitarbeiter zwangsläufig erreichbar sein muss.
Die einzige Möglichkeit die ich momentan sehe wäre die interne Firewall des Servers zu konfigurieren, was aber selbstverständlich sinnfrei ist, da die Mitarbeiter der anderen Firma über Rootrechte verfügen müssen um die Updates einzuspielen.
Kann man unter Linux einem bestimmten Benutzer verbieten ins interne Netz zuzugreifen und evtl den Zugang zur Firewallkonfiguration abschalten? Ich hoffe, dass ich mit meiner Vermutung falsch liege, dass es dafür keine Möglichkeit gibt.
Gruß
Noctarius
ich habe folgendes Problem wo mir persönlich momentan ein guter Ansatzpunkt zur Lösung fehlt.
Wir haben bei uns im Haus einen Server (SuSE Linux Enterprise Server) auf welchem eine spezielle Verlagssoftware läuft. Diese wird regelmäßig von einer externen Firma gewartet und geupdated. Den Zugang zum System haben wir über einen VPN Zugang (OpenVPN) gelöst, welcher direkt in der Firewall integriert ist.
Mein "Problem" besteht darin, dass man der VPN Verbindung erstens keine feste IP zuweisen kann (aber man im Normalfall vom DHCP immer die selbe IP bekommt - das wäre also nicht alzu schlimm dies abzusichern) und zweitens, und hier ist das eigentliche Problem, über den Server trotzdem ein Zugang zum gesammten Netzwerk besteht.
Ich habe im Moment absolut keine Idee wie ich verhindern kann, dass die Mitarbeiter dieser externen Firma über den Verlagsserver ins interne Netz gelangen, da er ja für unsere Mitarbeiter zwangsläufig erreichbar sein muss.
Die einzige Möglichkeit die ich momentan sehe wäre die interne Firewall des Servers zu konfigurieren, was aber selbstverständlich sinnfrei ist, da die Mitarbeiter der anderen Firma über Rootrechte verfügen müssen um die Updates einzuspielen.
Kann man unter Linux einem bestimmten Benutzer verbieten ins interne Netz zuzugreifen und evtl den Zugang zur Firewallkonfiguration abschalten? Ich hoffe, dass ich mit meiner Vermutung falsch liege, dass es dafür keine Möglichkeit gibt.
Gruß
Noctarius
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-Key: 80054
Url: https://administrator.de/contentid/80054
Ausgedruckt am: 29.03.2024 um 08:03 Uhr
6 Kommentare
Neuester Kommentar
Technisch geht alles, Aufwand und Kosten steigen halt.
Variante 1:
Zwischen Server und internes Netz eine Firewall packen und nur Zugriffe von Innen auf den Server zulassen, aber nicht vom Server nach Innen.
Variante 2:
Da bei einem normalen Linux bei root einfach keine Überprüfung der Rechte stattfindet, kannst Du ihm nicht einfach die Kontrolle über die Firewall-Konfig entziehen.
Jetzt gibt es Erweiterungen zu Linux: SELinux und AppArmor um Berechtigungen feiner verteilen zu können.
Aus der AppArmor FAQ:
Can AppArmor be used to create restricted login shells?
AppArmor can be used to create "roles" (in the RBAC sense) that operate as restricted shells in Linux. This even works on root shells. For instance, suppose you have some junior system administrators in your enterprise, and their job is to do system log analysis looking for problems. They need root access to do this, but you don't feel comfortable trusting them; they might be evil, or they might just make mistakes. So you want to allow them to only have *part* of root's privilege to access the system log, but *not* the power to mess with the Oracle database, reboot the machine, etc.
http://developer.novell.com/wiki/index.php/Apparmor_FAQ
Beides dürfte ein Heidenspaß zum einrichten werden, aber damit könntest Du Dein Ziel erreichen. Ansonsten hilft eventuell ein bischen Vertrauen. Wie weit käme die Firma denn, ohne weitere Passwörter für das interne Netz?
Variante 1:
Zwischen Server und internes Netz eine Firewall packen und nur Zugriffe von Innen auf den Server zulassen, aber nicht vom Server nach Innen.
Variante 2:
Da bei einem normalen Linux bei root einfach keine Überprüfung der Rechte stattfindet, kannst Du ihm nicht einfach die Kontrolle über die Firewall-Konfig entziehen.
Jetzt gibt es Erweiterungen zu Linux: SELinux und AppArmor um Berechtigungen feiner verteilen zu können.
Aus der AppArmor FAQ:
Can AppArmor be used to create restricted login shells?
AppArmor can be used to create "roles" (in the RBAC sense) that operate as restricted shells in Linux. This even works on root shells. For instance, suppose you have some junior system administrators in your enterprise, and their job is to do system log analysis looking for problems. They need root access to do this, but you don't feel comfortable trusting them; they might be evil, or they might just make mistakes. So you want to allow them to only have *part* of root's privilege to access the system log, but *not* the power to mess with the Oracle database, reboot the machine, etc.
http://developer.novell.com/wiki/index.php/Apparmor_FAQ
Beides dürfte ein Heidenspaß zum einrichten werden, aber damit könntest Du Dein Ziel erreichen. Ansonsten hilft eventuell ein bischen Vertrauen. Wie weit käme die Firma denn, ohne weitere Passwörter für das interne Netz?
God or root, what is the difference?
Wer einmal root / Administrator auf einem Computer im Netzwerk ist kann alle Computer in dem LAN erreichen.
Die Passworte, die auf dem Linux Rechner verwendet werden, dürfen sonst nirgends verwendet werden. Ihr müsst davon ausgehen das die passwd Datei kopiert und dechiffriert wurde. Dem Angreifer liegen die Passworte vermutlich in Klartext vor.
Nach meiner Meinung habt ihr eine schlechte Ausgangssituation dadurch das die externe Firma root Zugriff auf einen Server hat der in eurem Netzwerk steht. Unter der Annahme dass ein (ehemaliger) Mitarbeiter der externen Firma versucht Daten in eurem Netzwerk auszuspionieren könnt ihr versuchen diesem Angreifer das Leben schwer zu machen.
Überlegt euch mal ob es möglich ist diesen einen Server in sein eigenes Mininetzwerk zu stellen und mit einer eigenen Firewall von eurem restlichen Netzwerk zu trennen. Dann ist der root auf dem Server ur noch der König in seiner Badewanne. Z.B. eine kleine Cisco ASA 5505 oder ASA 5540 Firewall hat genug Datendurchsatz für eine 100Mbit bzw. 1Gbit Anbindung. Das VPN für die externe Firma würde dann auf der zusätzlichen Firewall enden.
Cisco ASA 5540, ca. EUR 10.000, 4* 1Gbit
Cisco ASA 5505, ca. EUR 280, 100Mbit
http://www.cisco.com/go/asa
Gruß Rafiki
PS: Ich habe Cisco hier nur als ein gängiges Beispiel aufgeführt. Das soll bitte von unseren fleißigen Moderatoren nicht als Werbung für dieses Produkt verstanden werden. Natürlich gibt es auch viele andere gute Hersteller und auch mit Linux kann man sich eine solche Firewall selber bauen.
Wer einmal root / Administrator auf einem Computer im Netzwerk ist kann alle Computer in dem LAN erreichen.
Die Passworte, die auf dem Linux Rechner verwendet werden, dürfen sonst nirgends verwendet werden. Ihr müsst davon ausgehen das die passwd Datei kopiert und dechiffriert wurde. Dem Angreifer liegen die Passworte vermutlich in Klartext vor.
Nach meiner Meinung habt ihr eine schlechte Ausgangssituation dadurch das die externe Firma root Zugriff auf einen Server hat der in eurem Netzwerk steht. Unter der Annahme dass ein (ehemaliger) Mitarbeiter der externen Firma versucht Daten in eurem Netzwerk auszuspionieren könnt ihr versuchen diesem Angreifer das Leben schwer zu machen.
Überlegt euch mal ob es möglich ist diesen einen Server in sein eigenes Mininetzwerk zu stellen und mit einer eigenen Firewall von eurem restlichen Netzwerk zu trennen. Dann ist der root auf dem Server ur noch der König in seiner Badewanne. Z.B. eine kleine Cisco ASA 5505 oder ASA 5540 Firewall hat genug Datendurchsatz für eine 100Mbit bzw. 1Gbit Anbindung. Das VPN für die externe Firma würde dann auf der zusätzlichen Firewall enden.
Cisco ASA 5540, ca. EUR 10.000, 4* 1Gbit
Cisco ASA 5505, ca. EUR 280, 100Mbit
http://www.cisco.com/go/asa
Gruß Rafiki
PS: Ich habe Cisco hier nur als ein gängiges Beispiel aufgeführt. Das soll bitte von unseren fleißigen Moderatoren nicht als Werbung für dieses Produkt verstanden werden. Natürlich gibt es auch viele andere gute Hersteller und auch mit Linux kann man sich eine solche Firewall selber bauen.