wunschkind
Goto Top

Internetzugang für (externe) Firmenlaptops erlauben?

Moin zusammen,

mich würde mal interessieren, ob ihr Firmenlaptops den direkten Zugriff aufs Internet erlaubt, wenn diese außer Haus sind.

Hintergrund dabei ist folgender:
Unsere externen Benutzer können sich über eine VPN-Verbindung mit dem Firmenlaptop bei uns einwählen, die Firewall auf dem Rechner blockiert alle anderen Verbindungen außer unserer Einwahl-IP.

Jetzt sitzen die Vertriebler im Hotel und wollen sich einwählen, kommen aber dank Firewall nicht zur Anmeldemaske des Hotel-WLANs (üblicherweise eine Webseite, auf der man sich mit Keycode freischalten kann) und können den VPN-Tunnel nicht aufbauen und folglich nicht arbeiten.

Bleibt die Frage, ob man "einfach" Port 80 und 443 erlaubt - nur die privaten Netze würden ja nicht reichen, da viele Hotels auf externe Webseiten umleiten (gerade bei Ketten haben die nur einen Anmeldeserver).

Ein Terminalserver ist auch nur bedingt eine alternative, da die Leute dann nicht Offline arbeiten könnten.

Wir sind hier gerade bischen im Zwist zwischen Sicherheitsdenken einerseits und Anwenderfreundlichkeit andererseits. Ein bischen best-practice würde mich interessieren oder wie ihr sowas lösen würdet.

Content-ID: 132700

Url: https://administrator.de/contentid/132700

Ausgedruckt am: 23.11.2024 um 02:11 Uhr

wiesi200
wiesi200 04.01.2010 um 15:20:16 Uhr
Goto Top
Wenn ihr einen Virenscanner auf den Laptop's installiert habt warum dann Internet verbieten?
Wunschkind
Wunschkind 04.01.2010 um 15:30:20 Uhr
Goto Top
Weil der Virenscanner nicht zwingend up-to-date ist - wenn alle nur über den internen Proxy surfen, kann ich sicherstellen, das dort wenigstens die neuesten Pattern eingesetzt werden.
freepower
freepower 04.01.2010 um 15:39:59 Uhr
Goto Top
Den Aussendienstlern den Zugriff aufs Internet zu verbieten ist sehr brutal und führt meiner Meinung nach zu unnötigen Leerläufen. Um die privaten Mails zu checken muss er entweder auf eine öffentliche Internetstation ausweichen oder einen privaten Notebook mitführen. Oder das surfen mit dem Mobiletelefon treibt die Verbindungskosten in die Höhe.
Wir haben uns entschlossen, die Anwender möglichst wenig einzuschränken und vertrauen auf einen guten Schutz des PCs vor Malware. Bei uns ist dies Norman Endpointprotection. Die Notebook werden falls am Firmennetz angeschlossen dort updated, kommt er eine Woche nicht in die Firma, erfolgt der Update übers Internet und das automatisch ohne Benutzerintervention. Allerdings konnten wir anlässlich eines Treffens die Aussendienstmitarbeiter über die Gefahren des Internets und den verantwortungsvollen Umgangs damit informieren. Auch steht der Verkaufleiter voll hinter der IT und hat gedroht, dass bei einem Befall der Mitarbeiter fü die Kosten aufkommen müsse. Doch seit wir dies vor 2 oder 3 Jahren eingeführt haben gab es (zum Glück) noch nie einen Zwischenfall der nicht durch Norman abgeblockt werden konnte.
Wunschkind
Wunschkind 04.01.2010 um 15:51:07 Uhr
Goto Top
also das Internet sperren wir nicht, sobald der Laptop eingewählt ist, kann er ganz normal über den Firmenproxy surfen, bekommt Updates für den Virenscanner und kann auf den Mailserver sowie interne Ressourcen.

Innerhalb Deutschlands ist das auch alles halb so wild, UMTS-Karten kosten nicht mehr die Welt und über die Flatrate ist das auch kein Problem mehr, die meisten bei uns haben auch eine.

Nur im Ausland wird das dann halt richtig teuer...
IT-Arsonist
IT-Arsonist 04.01.2010 um 16:01:19 Uhr
Goto Top
hallo,

tip zum thema sicherheitsbedenken. wir setzten bei unseren kunden die vpn-verbinungen wünschen geräte der firma securepoint ein. super dinger. sind eigenständige "server" die unter anderem den datenverkehr kontrollieren, spam erkennen, vpn verbindungen ermöglichen und sichern. desweiteren kann man die aktivitäten der einzelnen vpn user kontrollieren. da alles protokoliert wird. einfach mal auf die firmenseite schauen ;)

mfg
30660
30660 04.01.2010 um 18:03:41 Uhr
Goto Top
Hi Wunschkind.

Du scheinst gedanklich vor lauter Wald die Bäume nciht mehr zu sehen, da du die richtige Lösung eigentlich schon beschrieben hast.
Ich bin selber verantwortlich für die IT Security in Deutschland bei unserer FIrma und sage dir einfach mal, wie die wohl passende Lösung für euch aussehen könnte/sollte:

Absolute No-GOs:

- freier Zugriff auf das Internet
- Admin Rechte für Benutzer auf dem Rechner

...ich gehe mal davon aus, das eure User keine lokalen Adminrechte besitzen und das eure Rechner Windows als OS installiert haben. Eine AD Umgebung wäre weiterhin von Vorteil, da mein Lösungsvorschlag die Einstellung von Gruppenrichtlinien beinhaltet.

1.) Konfiguration von Gruppenrichtlinien

Der Firmenproxy stellt euren zentralen Internetzugangspunkt dar und ist auch dementsprechend gesichert (ich gehe mal von einem IDS System aus, eventuell mehr). Kein Rechner der Firma darf ins Internet, ohne dieses Sicherheitssystem zu passieren. Dazu muss der Firmenproxy fest auf jedem Rechner eingetragen sein. Der beste Weg sind hier die GPOs. Selbst wenn der Proxy manuell geändert wird, überschreiben Sie die Einstellungen beim nächsten Reboot. Änderungen am Proxy sollte nur der IT erlaubt sein. Hat ein USer lokale Admin Rechte, bringen alle Einstellungen nichts.
Wenn ein User nun surfen will, MUSS er die Verbindung über VPN aufbauen.

2.) Konfiguration der Firewall

Eure Firewall muss gar nicht so hart eingestellt sein, wie sie es ist. Da die User eh nur noch über VPN und den Firmenproxy surfen können, muss die Firewall wie folgt konfiguriert werden:

- Erlaube allen Anwendungen/allen lokalen Ports den Aufbaue zu eurem VPN Gatewayüber die benötigten Remote Ports.
- Erlaube alle internen Netzwerke/Geräte (ob ihr das auf Basis einer Subnetzfreischaltung oder explizit für jeden Server und Dienst macht, müsst ihr wissen. Hat beides Vor- und Nachteile).
- Verbiete alles andere


Wie läuft der gesamte Weg nun ab?

Der User wählt sich über VPN in das Unternehmensnetzwerk ein, da er anders keine Verbindung aufbauen kann. Nun ist er im internen Netzwerk und wird dort zusätzlich von den Sicherheitssystemen geschützt, da der gesamte Internetverkehr nur noch über den Proxy läuft. Problem gelöst.


Einziges Manko, und dafür gibt es noch keine Lösung die nicht gleichzeitig ein Loch in die Sicherheitsinfrastruktur reißt:
Die Login-Seiten von WLAN Netzwerken sind nicht erreichbar. Ein Workaround wäre, die regelmäßig auf Achse gehenden Mitarbeiter (z.B. Außendienstler) eine UMTS Karte besorgen. Der Abruf von Emails, etc verbraucht nicht viel Bandbreite. Mit ca 20€ / Monat kann man heute als Firma schon einen Vertrag mit 5GB Inklusivvolumen bekommen und das hat von unseren MAs noch keiner geschafft. Für das Ausland gibt es auch entsprechende Tarife, die gebucht werden können. Um das ganze noch weiter zu vereinfachen, bzw. die Kosten gering zu halten: Beschaffung von zentralen UMTS Karte speziell für das Ausland, die dann bei Bedarf angefragt werden können.
wiesi200
wiesi200 04.01.2010 um 18:55:00 Uhr
Goto Top
Hier währ dann ein Virenscanner mit alternativer Updatequelle pratktisch.
Alternativ für Leute die fast nur untewegs sind. Ein Virenscanner der sich nur über's Internet aktualisiert
maretz
maretz 04.01.2010 um 21:14:49 Uhr
Goto Top
Moin,

also bei uns is das durchaus erlaubt. Hat den ganz einfachen Grund: Wenn die Leute unterwegs sind dann müssen die auch mal was nachgucken können - oder eben im Hotel auch mal einfach nur am Abend ne runde Surfen. Natürlich ist das sicherheitstechnisch nen Problem - aber man muss auch immer mal sehen das man mit Menschen umgeht. Und wer von euch würde gerne Abends in nem Fremden Land auf dem Zimmer sitzen und nur stupide an die Wand gucken? Rausgehen? Ggf. in einigen Ländern nich sooo gut wenn man da als normaler Europäer Abends allein durch die Gegend wandert... Fernsehen? Super - freie Auswahl zwischen 5 Russischen und 3 Rumänischen Sendern oder sowas. Und am besten ist dann auf dem Laptop (weil es ja nen Firmengerät ist) keine MP3 oder sonstwas.

Und hier kann ich dann verstehen wenn die Leute auch mal nen bisserl Surfen wollen - oder einfach nur per ICQ/Skype sich mit den Freunden unterhalten wollen. Hier verlasse ich mich dann darauf das der Virenscanner seinen Dienst tut - und das die Leute sich an die Vereinbarung halten das die eben trotzdem nichts runterladen u.ä... Und bis heute bin ich da nicht wirklich enttäuscht worden. Und solange denke ich das ich mit dem Weg ganz gut leben kann - ist zwar technisch nicht so sicher aber die Leute sind dafür zufriedener wenn die Unterwegs sind...

Und zum Schluss: Ich bin auch als Admin selbst viel unterwegs. Dabei kommt es auch mal vor das ich 3-x Tage irgendwo in nem Hotel rumhänge - und dabei nehme ich mein Laptop ebenfalls um damit zu surfen usw. Hier würde ich jedem Admin auch mal empfehlen unter seinem "Es muss alles sicher sein"-Hut hervorzugucken und zu überlegen wie er sich fühlen würde wenn er irgendwo ne Woche in nem Hotel rumhängt - in einem Land indem er nicht mal die Schrift lesen kann (sei es russisch, arabisch oder wat auch immer). Und wer mir jetzt sagt das er als Admin nicht auch den Rechner privat nutzt der lügt entweder oder der hat meinen Respekt. ICH möchte jedoch nicht schon abends um 7 schlafen gehen nur weil man nicht wirklich was anderes im Hotel machen kann..
DerWoWusste
DerWoWusste 05.01.2010 um 00:31:42 Uhr
Goto Top
Hi.
Best Practice? Das hängt doch rein vom Schutzbedarf ab,
Es gibt Laptops, die bekommen 2 Betriebssysteme, die voneinander nichts wissen oder Kapselung mit virtuellen Maschinen oder auch Laptops die nach jedem Gang außer Haus per Image betankt werden. Es gibt Hardware-VPN zur Firma, es gibt harte software restriction policies usw. - alles mit Unmengen von Aufwand verbunden. Die ganz Harten lassen natürlich Firmenrechner gar nicht ans Internet - auch die internen nicht, und wenn dann nur per Remoteverbindung und da nur auf gewisse Seiten.

Macht Euch einen Plan, welchen Komfort Ihr erhalten wollt und was Ihr dabei auf's Spiel setzt. Welches Risiko besteht realistisch betrachtet, welche Kosten und Mühen rechtfertigt das?
Nur Du kennst Eure Daten und Eure Benutzermanieren. Wir sind da eher Hardliner, aber mir ist durchaus bewusst, dass ernstzunehmende Sicherheit immer eine Gratwanderung in der Nähe der Unbenutzbarkeit sein wird.

Etwas was ich für jeden für einfach umsetzbar halte und was deshalb ein Grundstein sein muss:
-keine Adminrechte (evtl. auch Schutz gegen Boot-CDs durch Vollverschlüsselung oder Syskey)
-Up-to-date
-Browser evtl. gesandboxt (z.B. IE7/8 im protected mode [nur] unter Vista oder W7, evtl. noch verschärft ohne jeglichen Lesezugriff auf Datenverzeichnisse - Stichwort Integrity levels, no-read-up) - eine schöne Maßnahme, leider nicht für xp.
-(Auto-)Startverzeichnisse u.Ä. verrammeln (kafu.exe von Heise automatisiert das)

Da wird es dann schon sehr eng für die Experten, die allein durch Ihre Surfgewohnheiten schon glänzen, hier die Seuche einzuschleppen. Selbst dann, wenn sie bewusst böse Executables runterladen und munter ausführen, passiert meist gar nichts, da diese unter den Randbedingungen nicht anständig laufen und spätestens beim Neustart Geschichte sind.
Einen Virenscanner würde ich als kleinste unter den Maßnahmen sehen, eine Software restriction policy (mit Whitelist) als die wirkungsvollste, aber auch die anstrengendste.
Wunschkind
Wunschkind 05.01.2010 um 07:41:17 Uhr
Goto Top
erstmal Danke für die ausführliche Beschreibung ;)

Ungefähr so sieht es ja bei uns auch aus, Internet gibt es eh nur über nen Proxy und die Client-Firewall ist bereits so konfiguriert, dass nur die VPN-Verbindung zugelassen wird (und genaugenommen die Patterns vom AV-Hersteller).

Und wie gesagt, in D ist das mit UMTS kein Problem, allerdings wenn die dann in Taiwan oder was weiß ich wo rumgurken, dann kommen dort mit UMTS untragbare Rechnungen zustande, da gibt es auch keine sinnvollen Tariferweiterungen, gerade Ländergruppe 3 ist schweineteuer.
Wunschkind
Wunschkind 05.01.2010 um 07:46:27 Uhr
Goto Top
kannst du mir das mit dem Image betanken mal näher erläutern? Wenn ich dich richtig verstehe, machst du das Notebook einmal platt, sobald das extern war? Da reißen die uns hier den Kopf ab... ich hab noch Win2000-Benutzer, die sich beharrlich gegen ein XP-Update wehren, weil sie angeblich ihre Arbeitsumgebung nicht wiederhergestellt bekommen...

Zur Zeit überlegen wir, das mal mit einer VM zu versuchen, die Frage ist, ob sowas dann performant läuft - Notebook ist halt kein Bladecenter *g*


Es ist ja auch nicht so, das wir den Leuten das Surfen verbieten wollen, weil die nur Blödsinn machen, die wollen ja arbeiten und (auch mein) Gehalt verdienen, da kommt ja schnell die "Umsatz-Machen"-Keule, da können wir noch so viel von Sicherheit reden...
DerWoWusste
DerWoWusste 05.01.2010 um 21:31:02 Uhr
Goto Top
Hi.
Zum Image: Du hast mich recht verstanden. Aber wir machen das nicht so, es ist eine Extremmaßnahme, die denkbar ist.
Zu VMs: Nimm doch eine kleine Linux-VM zum Browsen mit an Bord - zieht wenig Ressourcen und ist schonmal recht sicher. Gibt's vorgefertigt und natürlich kostenfrei hier: http://www.vmware.com/appliances/directory/80
Zitat:
Safeguard Personal Information: The Browser Appliance can be configured to automatically reset itself after each use so personal information is never stored permanently
maretz
maretz 05.01.2010 um 22:40:19 Uhr
Goto Top
Moin,

ganz ehrlich: Fahren die Leute bei euch auch noch mit nem VW-Käfer als Firmenwagen weil die kein anderes Auto wollen? Und weil die sich nicht umgewöhnen wollen darf auch das ganze Büro nie umgebaut werden - allein wenn die Topfpflanze mal verschoben wird dann geht schon die Welt unter?

HIER muss man denen einfach mal klar machen das es zwar gewisse Freiheiten bei der EDV geben kann - aber diese nicht unbegrenzt sind. Für Windows 2000 gibt es praktisch keinen Support mehr, keine Updates, Security-Fixes usw... Für den IE6 (oder gabs unter 2000 schon den 7er?) gibt es genauso keine Updates usw. mehr. Und somit ist hier eine gute Chance das die sich durch irgendeinen Script-Virus o.ä. was auf den Rechner ziehen gar nicht mal sooo klein.

Dazu kommt das die EDV jede Software dann auf mehreren Rechnern testen muss... Der nächste möchte dann Vista in 64bit mit dem traditionellen alt-Suaheli-Schriftsatz... Und der Koreanische Kollege hat sein Windows 7 mit 32 Bit doch mal gleich auf Chinesisch gestellt - und du musst jetzt dafür sorgen das die Software auf jedem dieser Systeme läuft? Ihr müsst echt ganz schön viel Langeweile haben - oder ihr haut die Software einfach drauf und testet "on good luck" ob die dann läuft oder nich...

Von daher gibt es da für mich eigentlich keine Diskussion - hier wird bei den Rechnern genau EIN Betriebssystem zugelassen und nur in begründeten Ausnahmefällen (z.B. Laptop wurde gekauft und nicht darauf geachtet das es keine XP-Treiber mehr gibt) ein anderes OS zugelassen...