commodorec64
Goto Top

Internetverkehr Netzwerkverkehr im Firmennetzwerk über RJ45 verschleiern

Mit einer normalen Anbindung/Einbindung in ein Firmennetzwerk über RJ45 Anschluss und DHCP bzw fester IP, können ja Administratoren auf Routern und Switchen den Internetverkehr mitschneiden/einsehen. Ebenso über eine Wlanverbindung wo der Router dann auch in das Firmennetzwerk eingebunden ist und über die selben Router und Switche läuft.

Wie kann man verhindern das jegliche Zugriffe auf das Internet, wie Webseiten, IP Adressen usw. auch für Admins nicht nachverfolgt werden können ?

Geht das mit einer VPN Verbindung wie z.B. Cyberghost oder NordVPN ?
Ich hatte VPN Verbindungen immer eher für das öffentliche Netz gedacht wo man sowieso nicht an Router und Switche rankommt.
Oder gibt es noch andere Möglichkeiten bzw. wie würdet Ihr das machen ?

Der Hintergrund ist der, dass einige Benutzer (Geschäftsführer und Abteilungsleiter) Anträge gestellt haben das eine vollständige Verschlüsselung vom Arbeitsplatzrechner bis ins Internet bzw. auf die Firmenserver erstellt wird, so dass auch die Admins bei diesen Verbindungen nichts einsehen oder mitschneiden können.

LG

Content-ID: 4219481164

Url: https://administrator.de/forum/internetverkehr-netzwerkverkehr-im-firmennetzwerk-ueber-rj45-verschleiern-4219481164.html

Ausgedruckt am: 25.12.2024 um 18:12 Uhr

fisi-pjm
fisi-pjm 10.10.2022 um 11:59:27 Uhr
Goto Top
Block alles, was kein HTTPS spricht und setze eine Firewall ein, die keine SSL Inspection unterstützt.
tagol01
tagol01 10.10.2022 um 12:15:56 Uhr
Goto Top
Hallo,

wenn du den Admin nicht vertraust, dann hast du ein Problem.

Im eigenem Netzwerk werden alle HTTPS Verbindungen mitgelesen,
wie soll ansonsten ein Virus / Trojaner gefunden werden?

Wie ist dein Netzwerk aufgebaut?
Wenn das so wichtige Dokumente sind, wie willst du sicher stellen, das es bis zu Ziel verschlüsselt übertragen wird.
Da hilft nur eine Clinte-to-Clinte VPN mit Erlaubnis der Admins.
Razer1
Razer1 10.10.2022 um 12:22:04 Uhr
Goto Top
Die GF hat ja viel vetrauen in ihre Admins.
So eine Position hat sehr viel mit Vertrauen zu tun. Kann ich diesem nicht mehr vertrauen wird alles schwierig.
Ich denke auch dass der Admin wenig interesse daran hat dort dann weiter zu Arbeiten wenn ihm so wenig vertrauen endgegen gebracht wird, er hat ja immerhin noch Zugriff auf den rest des Netzwerkes, Dateiablagen, AD usw.

Da würde ich eventuell einmal aufklären was die Position bedeutet und wo die grenzen sind. Ich denke das kann aber auch besser ein Admin / wer vom Fach beantworten. Bei der Frage würde ich schätzen das du nicht genug einblick in die Technischen Details hast um da aufzuklären (wenn ich mich irre tut es mir leid)

Zum Thema zurück. Auch in einem internen Netzwerk sollte jeder verkehr verschlüsselt sein, HTTP einfach blockieren. DNS wird mit AD z.b. schwieriger, und auch das untersteht dem Admin.

Merke:
Internet mit HTTPS / DNSSEC geht oder VPN
Intranet wird schwer, schwachstelle wird da der Server, bis dahin sollte aber eh verschlüsselt sein.


P.S.: Sollte es verschiedene Admin mit verschiedenen Rollen geben kann das ggf. abweichen wenn z.B. einer rein Netze macht usw.

P.P.S.: Ich würde evtl. auch mal hinterfragen was den das Ziel sein soll? Wo gibt es bedenken, welche Daten sind den so sensibel die nicht eh im Zugriff vom Admin auf dem Server liegen. Gibt es keine eklärung soll dort evtl. etwas verschleiert werden? Oder Privates nicht ersichtlich sein? Das könnte man noch ewig weiter spinnen.
Lochkartenstanzer
Lochkartenstanzer 10.10.2022 um 12:24:04 Uhr
Goto Top
Moin,

Dann wird es Zeit, das die Geschäftsführung mit den Admins redet. Diekönnen dann den GF sagen, was er machen muß, um sein Ziel zu erreichen. Und wenn er den Admin bei sowas nicht traut, hat er Eingang anderes Problem.

lks

PS: Ein externer Dienstleister, der das zusammen mit Euren Admins und eurer GF löst, wäre auch denkbar. Aber hier in Forum kann keiner Dir ohne Einblick in Eure Umgebung verraten, was für Euch die beste Lösung wäre.

PPS: Die GF soll sich einfach einen vom LAN getrennten PC leisten, der per LTE im Internet hängt. Dann haben Eure Admins (i.d.R.) keinen Zugriff auf die İnterbetverbindung.
DerMaddin
DerMaddin 10.10.2022 um 12:30:39 Uhr
Goto Top
Wie soll man das technisch "verschleiern"? Der TCP-Header ist nicht verschlüsselt nur die transportierten Daten darin. In dem Header sind Informationen enthalten wie Absenderadresse und Zieladresse, Paketnummer, Sequenz etc. Dies sind essentiell wichtige Metadaten, damit es richtig geroutet wird und der entfernte Server die Pakete wieder zu einem vollständigen Satz zusammen setzen kann.

Jeder bessere Router oder Firewall kann die einen Report der Verbindungen zeigen, egal ob HTTPS oder VPN. Raus oder rein macht keinen Unterschied, es muss immer eine Quelle und ein Ziel bekannt sein.

Eine "vollständige Verschlüsselung" - was soll das sein? Ende-zu-Ende? Jede normale HTTPS-Verbindung in einem Browser ist eine Ende-zu-Ende verschlüsselte Verbindung.
Vision2015
Vision2015 10.10.2022 um 12:33:17 Uhr
Goto Top
Moin...
Zitat von @CommodoreC64:

Mit einer normalen Anbindung/Einbindung in ein Firmennetzwerk über RJ45 Anschluss und DHCP bzw fester IP, können ja Administratoren auf Routern und Switchen den Internetverkehr mitschneiden/einsehen. Ebenso über eine Wlanverbindung wo der Router dann auch in das Firmennetzwerk eingebunden ist und über die selben Router und Switche läuft.
oha... administratoren haben ja nix besseres zu tun, als eure tätigkeiten einzushehen.
hast du eine Ahnung von was für Datenmengen wir da reden?

Wie kann man verhindern das jegliche Zugriffe auf das Internet, wie Webseiten, IP Adressen usw. auch für Admins nicht nachverfolgt werden können ?
das kommt auf eure infrastruktur an... natürlich ist das möglich!


Geht das mit einer VPN Verbindung wie z.B. Cyberghost oder NordVPN ?
hihi... nun, Nord VPN darf also mitlesen, und vor eurem Admin habt ihr Angst face-smile

Ich hatte VPN Verbindungen immer eher für das öffentliche Netz gedacht wo man sowieso nicht an Router und Switche rankommt.
Oder gibt es noch andere Möglichkeiten bzw. wie würdet Ihr das machen ?
wenn ich irgendwas mitlesen will, installiere ich einen sniffer (Strafbar) dann nützt dir dein VPN gerödel auch nix!

Der Hintergrund ist der, dass einige Benutzer (Geschäftsführer und Abteilungsleiter) Anträge gestellt haben das eine vollständige Verschlüsselung vom Arbeitsplatzrechner bis ins Internet bzw. auf die Firmenserver erstellt wird, so dass auch die Admins bei diesen Verbindungen nichts einsehen oder mitschneiden können.
oha... vollständige Verschlüsselung face-smile
nee nee... so wird das nix!
warum fragt ihr nicht mal eure Admins dazu?

LG
Frank
maretz
maretz 10.10.2022 um 12:40:54 Uhr
Goto Top
Wenn die das wollen einfache Lösung: Gib denen nen Laptop mit 4G-/SIM-Karte und die sollen "eigenes" Internet nehmen...
chgorges
chgorges 10.10.2022 um 12:52:05 Uhr
Goto Top
Zitat von @maretz:

Wenn die das wollen einfache Lösung: Gib denen nen Laptop mit 4G-/SIM-Karte und die sollen "eigenes" Internet nehmen...

Um so das Firmennetz zu unterwandern und alles, was kreucht und fleucht, einzuschleusen xD
CommodoreC64
CommodoreC64 10.10.2022 um 12:54:19 Uhr
Goto Top
Ja, genau so ist es wie ihr teilweise denkt.
Es gibt einen Admin der soll "entsorgt" werden (fragt nicht wer das sein soll) und als Vorbereitung sollen eben solche "gesicherten" Verbindungen geschaffen werden damit da nichts sichtbar gemacht werden kann was nicht gesehen werden soll.
Die GF wollen Ja-Sager haben und keinen Admin der Entscheidungen aus technischen und kalkulatorischen Gründen anzweifelt und kritisiert weil sie ja sowieso nichts technisch verstehen und keine Widerworte mögen.

LG
kpunkt
kpunkt 10.10.2022 um 12:56:40 Uhr
Goto Top
Zitat von @chgorges:

Um so das Firmennetz zu unterwandern und alles, was kreucht und fleucht, einzuschleusen xD

Mit Heißkleber die Ports zukleistern. Mailclient entsprechend präparieren. Und gleich einen Keylogger mit drauf....
Njord90
Njord90 10.10.2022 um 13:07:44 Uhr
Goto Top
Zitat von @CommodoreC64:

Ja, genau so ist es wie ihr teilweise denkt.
Es gibt einen Admin der soll "entsorgt" werden (fragt nicht wer das sein soll) und als Vorbereitung sollen eben solche "gesicherten" Verbindungen geschaffen werden damit da nichts sichtbar gemacht werden kann was nicht gesehen werden soll.
Die GF wollen Ja-Sager haben und keinen Admin der Entscheidungen aus technischen und kalkulatorischen Gründen anzweifelt und kritisiert weil sie ja sowieso nichts technisch verstehen und keine Widerworte mögen.

LG

Wenn die GF den Admin los werden will (aus welchen Gründen auch immer) wird halt die Kündigung ausgesprochen mit sofortiger Freistellung.
Der darf dann noch begleitet seinen Arbeitsplatz räumen und gut ist.

Die gesicherten Verbindungen bringen halt auch nichts wenn der Admin trotzdem Zugriff auf die Server hat.

Als Ausgleich der fehlenden Arbeitskraft in dem Moment kann die GF dann ja einen externen Dienstleister beauftragen. Je nachdem von welcher Sorte der Dienstleister ist haben Sie dann auch Ihren perfekten JA-Sager gefunden.
Vision2015
Vision2015 10.10.2022 um 13:07:52 Uhr
Goto Top
Moin...
Zitat von @CommodoreC64:

Ja, genau so ist es wie ihr teilweise denkt.
OHA....
Es gibt einen Admin der soll "entsorgt" werden (fragt nicht wer das sein soll) und als Vorbereitung sollen eben solche "gesicherten" Verbindungen geschaffen werden damit da nichts sichtbar gemacht werden kann was nicht gesehen werden soll.
hm... nicht das es dein Job ist, der entsorgt werden soll.... wärst nicht der erste!
Die GF wollen Ja-Sager haben und keinen Admin der Entscheidungen aus technischen und kalkulatorischen Gründen anzweifelt und kritisiert weil sie ja sowieso nichts technisch verstehen und keine Widerworte mögen.
hm... dann gehört die GF ausgetausch, nicht der Admin!

LG
Frank
DerMaddin
DerMaddin 10.10.2022 um 13:11:05 Uhr
Goto Top
Wenn ein Admin "bösswillig" ist, dann nutzen solche Vorkehrungen nichts. Immer hin Admin heißt "ich kann deine Daten/Mails lesen" - wenn man es wirklich möchte. Intern kann man Quelle und Ziel (und nächster Hop) nicht verbergen. Das sind nun mal TCP/IP Standards, die so funktionieren müssen.

Wenn der Admin Zugriff auf einen der GF/AL Geräte hat, dann nützt auch keine "Vollverschlüsselung", egal wie die auch aussehen mag.
aqui
aqui 10.10.2022 aktualisiert um 13:40:30 Uhr
Goto Top
Wie kann man verhindern das jegliche Zugriffe auf das Internet, wie Webseiten, IP Adressen usw. auch für Admins nicht nachverfolgt werden können ?
Das machst du immer mit Macsec, IEEE 802.1AE auf der Switchinfrastruktur selber was gute, aktuelle Switches meist supporten.
Oder indem du den Client Traffic ganz einfach mit IPsec oder einem anderen VPN Protokoll selber verschlüsselst. (Always on VPN etc.)
Guckst du z.B. auch hier:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Merkzettel: VPN Installation mit Wireguard
Merkzettel: VPN Installation mit OpenVPN

Geht das mit einer VPN Verbindung wie z.B. Cyberghost oder NordVPN ?
Nein, denn öffentliche VPN Provider sind ja völliger Unsinn. Da machst du den Bock zum Gärtner, denn die kenne ja alle deine Schlüssel und geben sie auch an die raus die sie eigentlich nicht haben sollen. Vom Rest was die mit solchen Traffic machen nicht zu reden. Siehe auch hier was alles zu dem Unsinn mit öffentlichen VPNs sagt.
maretz
maretz 10.10.2022 um 13:36:14 Uhr
Goto Top
Zitat von @chgorges:

Zitat von @maretz:

Wenn die das wollen einfache Lösung: Gib denen nen Laptop mit 4G-/SIM-Karte und die sollen "eigenes" Internet nehmen...

Um so das Firmennetz zu unterwandern und alles, was kreucht und fleucht, einzuschleusen xD

Stimmt - wenn Geschäftsführung und (bei Genehmigung) die Abteilungsleiter über das Risiko informiert wurden genau das. Genauso wie die ggf. das Laptop ja auch zuhause am Netz nutzen und sich da jeden Kram laden (ggf. im Homeoffice). Und? Wo ist das Problem? Die ADMINS sind idR. nicht die Chefetage und können zwar das Risiko ansprechen aber nix entscheiden. Wenn dann von Oben kommt "is ok, wollen wir trotzdem" sind auch Admins nur kleine Räder im Getriebe die sich dann entweder drehen oder ersetzt werden.
137960
137960 10.10.2022 um 13:47:05 Uhr
Goto Top
Es kann ja durchaus auch andere, plausible Gründe geben, warum man verhindern möchte, dass selbst Admins mitlesen können.

Dann nimmt man zur Kommunikation:

- Wire (ziemlich sicherer Messenger) und
- GPG-Verschlüsselung für Mails.

Bei den Mails sollte man bedenken, dass manche Mailclients die Betreffzeilen nicht verschlüsseln, d.h. der Betreff sollte dann generisch gehalten werden (also kein "Kündigung Mitarbeiter XYZ"). Außerdem muss man den Mailclient so einstellen, dass Zwischensicherungen, die automatisch erstellt werden, wenn man längere Texte schreibt, ebenfalls verschlüsselt werden. Oder die Zwischensicherungen ausschalten.

Wire kann innerhalb oder außerhalb des Firmennetzwerkes genutzt werden und funktioniert genauso wie Telegram.

Die beiden Maßnahmen sorgen dafür, dass kein Admin mitlesen kann, sofern nicht andere technische Maßnahmen, die einen Straftatbestand darstellen würden, installiert werden (z.B. Keylogger).

Wem GPG noch zu kompliziert ist, nimmt "age", siehe den Artikel auf heise: https://www.heise.de/news/age-1-0-0-Neue-und-simplere-GPG-Alternative-61 ....
TwistedAir
TwistedAir 10.10.2022 um 16:24:33 Uhr
Goto Top
old school: Blatt Papier + Kugelschreiber + Umlaufmappe face-wink
Lochkartenstanzer
Lochkartenstanzer 10.10.2022 um 20:10:49 Uhr
Goto Top
Zitat von @TwistedAir:

old school: Blatt Papier + Kugelschreiber + Umlaufmappe face-wink

Aber im abschließbaren Kasten damit der Transport Layer (=Büro- oder Postbote) nicht mitliest. face-smile

lks
CommodoreC64
CommodoreC64 11.10.2022 um 13:35:19 Uhr
Goto Top
Ihr habt ja Recht. Leider wird hier in der Firma nicht mehr logisch überlegt oder gehandelt. Es gilt das Prinzip "Ich will egal was kommt". Aber danke für eure Antworten, wie von mir schon vermutet gibt es keinen praktikablen Ansatz.

LG
aqui
Lösung aqui 11.10.2022 um 15:35:31 Uhr
Goto Top
wie von mir schon vermutet gibt es keinen praktikablen Ansatz.
Dann hast du nicht richtig gelesen oder verstanden. MacSec und always on VPN sind durchaus praktikable Ansätze die in Praxis auch breit angewand werden bei solchen Anforderungen. Aber vermutlich hast du das übersehen. Egal...
Wenn es allerdings in der Firma generell am logischen und überlegten Handeln hapert und das auch die IT Abteilung inkludiert hast du so oder so ein völlig anders gelagertes Problem das rein gar nichts mit deiner eigentlichen Fragestellung zu tun hat! Weisst du aber sicher auch selber...?!

Wenns das denn war bleibt dir ja nur noch deinen Thread hier als erledigt zu schliessen!
CommodoreC64
CommodoreC64 11.10.2022 um 19:03:05 Uhr
Goto Top
Zitat von @aqui:

wie von mir schon vermutet gibt es keinen praktikablen Ansatz.
Dann hast du nicht richtig gelesen oder verstanden. MacSec und always on VPN sind durchaus praktikable Ansätze die in Praxis auch breit angewand werden bei solchen Anforderungen. Aber vermutlich hast du das übersehen. Egal...
Wenn es allerdings in der Firma generell am logischen und überlegten Handeln hapert und das auch die IT Abteilung inkludiert hast du so oder so ein völlig anders gelagertes Problem das rein gar nichts mit deiner eigentlichen Fragestellung zu tun hat! Weisst du aber sicher auch selber...?!

Wenns das denn war bleibt dir ja nur noch deinen Thread hier als erledigt zu schliessen!

Vieles richtig, aber wenn der Aufwand nicht rechtfertigt das "handeln ohne echte Notwendigkeit" nur der Grund für die Anforderung ist, dann werde ich mich nicht in ein Scharmützel begeben für Rechtfertigungen und Erklärungen gegenüber fachfremden Personen die nur ihren Willen und ihr Ego durchsetzen wollen. Würden sowieso nicht verstehen was ich Ihnen sagen würde. Ich hatte einfach gehofft das ich etwas übersehen hatte was einfach umzusetzen wäre.
Aber vielen dank für Deine Anmerkungen und auch die Antworten der Anderen.
So wie du richtig sagts, ich mach jetzt zu.

LG
fisi-pjm
fisi-pjm 12.10.2022 um 08:18:39 Uhr
Goto Top
Zitat von @CommodoreC64:

Zitat von @aqui:

wie von mir schon vermutet gibt es keinen praktikablen Ansatz.
Dann hast du nicht richtig gelesen oder verstanden. MacSec und always on VPN sind durchaus praktikable Ansätze die in Praxis auch breit angewand werden bei solchen Anforderungen. Aber vermutlich hast du das übersehen. Egal...
Wenn es allerdings in der Firma generell am logischen und überlegten Handeln hapert und das auch die IT Abteilung inkludiert hast du so oder so ein völlig anders gelagertes Problem das rein gar nichts mit deiner eigentlichen Fragestellung zu tun hat! Weisst du aber sicher auch selber...?!

Wenns das denn war bleibt dir ja nur noch deinen Thread hier als erledigt zu schliessen!

Vieles richtig, aber wenn der Aufwand nicht rechtfertigt das "handeln ohne echte Notwendigkeit" nur der Grund für die Anforderung ist, dann werde ich mich nicht in ein Scharmützel begeben für Rechtfertigungen und Erklärungen gegenüber fachfremden Personen die nur ihren Willen und ihr Ego durchsetzen wollen. Würden sowieso nicht verstehen was ich Ihnen sagen würde. Ich hatte einfach gehofft das ich etwas übersehen hatte was einfach umzusetzen wäre.
Aber vielen dank für Deine Anmerkungen und auch die Antworten der Anderen.
So wie du richtig sagts, ich mach jetzt zu.

LG

Auch wenn das Thema schon zu ist. Ich würde die Sache anders angehen. Eine technisch mögliche Lösung nicht zu nennen, obwohl bekannt, kann dir irgendwann auf die Füße fallen. Wenn du keine Prokura hast und somit nicht mitverantwortlich für die Finanzen deiner Firma bist, dann würde ich das geplante Vorgehen zur Umsetzung, die zu erwartenden Kosten (geschätzt, auch für Fremdfirmen, falls man Dinge selbst nicht umsetzen kann) und die Vor- (verbesserte Datensicherheit) und Nachteile (schlechtere Performance, mehr aufwand bei der Netzwerkkonfiguration und Planung, etc.), die sich daraus ergeben, aufschlüsseln und vorlegen. Das wird dann nicht auf dich zurückfallen und kann dir nicht als fehlendes Kompetenz ausgelegt werden, sondern dokumentiert maximal das Ego deines Vorgesetzten.

Grüße
PJM