Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Sicherheit von Fernwartung

Mitglied: koziol
Hallo zusammen,

ich betreue alleine ein Netzwerk mit 8 Servern und div. Clients.

Um im Krankheitsfall / Urlaub / sonstige Abwesenheit bei Problemen schnell reagieren zu können, haben wir einem externen Dienstleister gestattet eine Fernwartung via VPN einzurichten.

Um auch mir für unsere Hauptstelle / Niederlassung die Arbeit etwas zu erleichtern haben wir an allen Clients VPN eingerichtet.

Nun war ich im Urlaub und siehe da es trat Samstags ein Problem auf, dass unser Dienstleister Sonntags gelöst hat.

Mein Chef ist nun ziemlich besorgt, dass dieser Zugriff missbraucht werden kann.

Wie kann ich unsere Fa. am besten absichern, dass unser Dienstleister nur Zugriff hat, wenn wir dies gestatten:

Software im Einsatz: VNC
Hardware: Bintec X1200

Vielen Dank.

CU Werner

Content-Key: 2122

Url: https://administrator.de/contentid/2122

Ausgedruckt am: 24.07.2021 um 15:07 Uhr

Mitglied: BartSimpson
BartSimpson 23.08.2004 um 15:29:28 Uhr
Goto Top
ich würde es über ein zertifkat machen. Das der VPN Tunnel nur aufgebaut wird, wenn der Client mir dem passenden Zertifikat kommt.
Mitglied: Bizzler
Bizzler 23.08.2004 um 16:00:45 Uhr
Goto Top
Ich gehe davon aus, dass der Zugriff auf die internen Systeme über einen VPN-Tunnel erfolgt und Verbindungsaufbauten zum internen System gelogged werden. Dann würde der Dienstleister ziemlich blöd aussehen, wenn er das System mißbräuchlich verwenden würde. GGf. hilft ja auch ein Intrusion-Detection System wie z.B. Snort, aber das macht erst mal einen haufen Arbeit.

Ansonsten wäre ich an Eurer Stelle froh, dass der Zugriff immer möglich ist, denn wenn Ihr mal wirklich Hilfe braucht und es ist gerade deaktiviert, dann ist das System ja auch sinnlos. Alles andere würde ich Vertraglich festlegen mit entsprechenden Strafen bei Vertragsbruch. Solltet Ihr dem Dienstleister gar nicht vertrauen, dann würde ich mir einen anderen suchen.

Gruß

Christoph
Mitglied: linkit
linkit 23.08.2004 um 23:19:09 Uhr
Goto Top
Also zunächst glaube ich am allerwenigsten, daß euer Dienstleister dies ausnützen würde, hierfür ist die Wahrscheinlichkeit relativ gering... da von lebt die Firma. Aber du hast einen Weg in die Firma geöffnet, der alle Sicherheitsmechanismen ausschaltet durch die VPN Verbindung.

Hier ist die Gefahr, daß Viren etc. zum beispiel über die gesicherte Leitung vom Dienstleister unbeabsichtigt zu euch gelangen, da hier ja Firewall nichts aufhält. Oder ein Trojaner lockt Benutzername und Passwort mit und schon kann ein dritter in das System eindringen.
Für solche Szenarien ist die Gefahr wesentlich höher.

Richtig sicher kriegst du so ein System nur mit hohem Software- und Konfigurationsaufwand und einer ziemlichen finanzielle Spritze für Zertifikate. Ein privat betriebener Zertifikatserver hilft nach meiner Erfahrung gar nichts, da sich so ein System realtiv einfach umgehen läßt. Sichere Zertifikate von Verisign beispielsweise sind für Unternehmen, daß du zu betreuen hast, viel zu teuer.

Wie bei allen Dingen in der Technik muß man hier immer Sicherheit und Nutzen gegeüber stellen.


In deinem konkreten Fall würde ich folgendes machen. Ich hoffe die VPN Verbindung läuft über ein gutes System bsp. Routing&RAS in Verbindung mit ISA-Server oder guter HardwareRouter. Hier kannst du relativ einfach VPN ein und ausschalten oder den entsprechenden Port blocken. In diesem Fall ist es ausreichend, wenn man das System nur öffnet für den Fernwartugnsfall.
Mitglied: VNS
VNS 26.08.2004 um 12:11:17 Uhr
Goto Top
Hallo Werner,

wie wäre es, wenn Ihr dem externen Dienstleister ein separates Konto anlegt, welches nach Bedarf durch Euch frei geschaltet wird.
Ferner könnt Ihr anhand eines Logfiles, welches durch einen Parser ausgelesen werden kann auswerten.

Gruss

Stefan
Mitglied: szymmy
szymmy 20.01.2005 um 13:55:19 Uhr
Goto Top
Du hast ja schon ne VPN Leitung, die sicherste und auch von der Übertragung her die Schnellste Lösung ist es die Terminalservices von MS zu benutzen oder besser gleich auf Citrix wechseln.

VPN Client autentisiert sich am Terminalserver -> bei erfolgreichem LOGIN kann man dann auf die anderen Server per RDP springen.

Wenn der Cheff es nun expliziet pro Session freigeben möchte, dann kann man dass über die Serverrichtlinien und Logineinstellungen tun. (Bin kein Microsoft Freak, weiss aber das es geht)

Die Zeiten von VNC sind vorbei :) face-smile
Heiß diskutierte Beiträge
general
Kosten nicht gerechtfertigt? Dienstleister stellt Kosten für "Troubleshooting" bei Neuanschaffung von HCI + CoreSwitchDirty2186Vor 1 TagAllgemeinZusammenarbeit17 Kommentare

Hallo Zusammen, ich interessiere mich für Eure Meinung zu dem Thema Leistungsnachweise von Systemhäusern und Dienstleistern und deren Berechnung von Leistungen. Da sich hier ja ...

info
Phishing Mail mit schädlichen Images in freier Wildbahn (.IMG Datei)wolfbleVor 1 TagInformationViren und Trojaner12 Kommentare

Moin Moin an alle Gestern bekam ich eine EMail mit irgendwelchen komischen Sepa Einzugsankündigungen die man angeblich der angehängten Datei entnehmen kann. Ging so um ...

question
Listet Microsoft Default ACLs von Windows?DerWoWussteVor 1 TagFrageSicherheit18 Kommentare

Moin Kollegen. Nach dem Sicherheits-GAU "Hivenightmare" stellt sich mir die Frage, wie ich in Zukunft sicherstellen kann, dass die ACLs der Systemdateien in Windows korrekt ...

question
Erfahrungen mit CodeTwo Exchange Migration von 2016-2019dlohnierVor 1 TagFrageExchange Server18 Kommentare

Hallo, ich möchte unseren Exchange Server 2016 der noch auf WIndows 2016 läuft auf einen Server 2019 mit Exchange 2019 migrieren. Habe das Tool "CodeTwo ...

question
Doppelte A-Records in DNSBPeterVor 1 TagFrageWindows Server10 Kommentare

Hallo, unsere Windows Notebooks registrieren sich im DNS mit ihrer Lan- und Wlan Adresse. D.h. es gibt 2 gleiche Namen mit 2 unterschiedlichen IP-Adressen. Wie ...

question
RAM-Zugriff auf einem neuen High-Performance Server, teilweise um Welten langsamer als auf einer WorkstationMysticFoxDEVor 9 StundenFrageBenchmarks21 Kommentare

Moin Zusammen, mir ist gestern beim Optimieren eines neuen Servers eine Sonderheit aufgefallen, die ich mir so beim besten Willen, momentan absolut nicht erklären kann. ...

question
UniFi Switch 16 mit VLANnewbie1Vor 1 TagFrageRouter & Routing16 Kommentare

Hallo Forenmitglieder, VLAN Problem mit Switch UniFi US-16-150W-EU. Auf dem UniFi-Controller (als Software auf meiner Synology-NAS) habe ich VLAN's erstellt. Auf dem Switch habe ich ...

question
AD-Domäne über VPN beitreten -Ist das möglich?EnrixkVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo, ich bräuchte mal einen Rat von einem Netzwerkprofi. Ich habe bei mir zuhause ein Heimnetzwerk mit AD-Domäne, entsprechenden Ordnerfreigaben, NAS und servergespeicherten Windows-Profilen. Wenn ...