tanita
Goto Top

nearshoring - Remoteanbindung

Im Rahmen von nearshoring geht es um die Remoteanbindung der Fremdfirma zum SW-Entwickeln im eigenen Firmennetz.

Hallo,

ich bräuchte mal Hints:

Es geht darum, eine Fremdfirma, welche bei uns Software entwickeln soll, in unser Firmennetz anzubinden.

Im ersten Schritt ist gefordert:

- chat-Client
- Outlook/Webacess
- Transferverzeichnis (CIFS)
- SVN (je nach Berechtigungen), ssh
- http/https
- (Domain-Kennung/ADS - noch unklar, wird aber kommen)
- diverse Entwickler-Tools: eclipse, PL-SQL usw.

Im Gespräch ist, mittels einem VPN-Client sich an unser netz zu verbinden und mit RDP auf einen Rechner in unserem Netz zu verbinden und dort zu entwickeln. Über die Rechte wird noch diskutiert. Aber bekanntlich bekommen/brauchen Entwickler Adminrechte, d.h. die Risiken müssen noch gegenüber gestellt werden.

Im Gespräch ist auch ein eigenes Entwickler-LAN, wie das abgetrennt wird, sprich via VLAN oder über eigenens Interface als DMZ ist noch nicht ausdiskutiert. Denn je nachdem, was für die Anwendungen an Ports geöffnet werden muss, macht der Aufwand mehr oder weniger Sinn..

Wie würdet Ihr das machen? hat jemand Erfahrung mit nearshoring?

Vielen Dank im voraus für Hinweise.

Gruß T.

Content-ID: 69618

Url: https://administrator.de/forum/nearshoring-remoteanbindung-69618.html

Ausgedruckt am: 24.12.2024 um 03:12 Uhr

gnarff
gnarff 27.09.2007 um 01:41:03 Uhr
Goto Top
Hallo Tanita!
Nearshoring ist in etwa das Gegenteil von Offshoring und hat nichts mit IT-Sicherheit zu tun, wie du Dich hier informieren kannst.

Wenn Du weißt, was genau gewünscht und gefordert ist, dann kannst Du ja mal etwas spezifischer werden..
Eins kann ich dir schon jetzt sagen CHATCLIENTS - das kommt überhaupt nicht in Frage; das ist absurd...

saludos
gnarff
tanita
tanita 27.09.2007 um 11:41:23 Uhr
Goto Top
Hallo gnarff,

ich weiss schon, dass nearshoring das Gegenteil von offshoring ist (Betonung: meine persönliche Meinung dazu und eine evtl. Diskussion darüber lasse ich aussen vor..). Wir haben testweise einen Partner aus Rumänien gewählt. Und dieser gilt nur in unser Firmennetz anzubinden, damit die von Rumänien aus in unserem Netz auf unseren Systemen entwickeln können.

Ich sehe da schon ein hohes Sicherheitsrisiko, denn sobald die Adminrechte haben, machen wir potentiell an einer Stelle auf.. Und je nach Berechtigung macht u.U. auch ein eigenes Netz kaum Sinn.. denn wenn wieder alle Ports geöffnet werden müssen..

Für den ersten Schritt habe ich die Anforderungen, welche die erstmal benötigen oben beschrieben. Sind die unverständlich?

Über Vorschläge, Kritik und/oder eine Diskussion würde ich mich freuen.

Danke,
Gruß T.
gnarff
gnarff 28.09.2007 um 01:15:53 Uhr
Goto Top
hallo tanita,

Für den ersten Schritt habe ich die
Anforderungen, welche die erstmal
benötigen oben beschrieben. Sind die
unverständlich?

Ja, weil unsortiert, werde aber trotzdem versuchen darauf zu antworten:

Chat-Client
Es gibt keine sicheren Chatclients -Verbot durchsetzen!

Outlook/Webaccess
via SSL

CIFS
Standardmaessig unter Server 2003 abgeschaltet und schwer zu sichern; aber nicht unmoeglich...
CIFS Dienste absichern

SVN
Reden wir von Subversion?
Besser SVK version control system
SSH oder HTTPS...egal welche Berechtigung.

Microsoft Internet Security and Acceleration Server 2006 einplanen

Ein stabiles Sicherheitsmanagement erarbeiten, welches auch fuer die rumaenische Seite bindend ist.

Das Entwickler-Netzwerk von dem übrigen Netzwerk abzutrennen, halte ich für eine exzellente Idee...

saludos
gnarff
tanita
tanita 28.09.2007 um 09:36:19 Uhr
Goto Top
> unverständlich?
>
Ja, weil unsortiert, werde aber trotzdem
versuchen darauf zu antworten:

Ok, über die Reihenfolge der Auflistung habe ich mir nicht wirklich Gedanken gemacht. Das ist jedoch so die Anforderungen, wie sie mir zugetragen wurden. Erweitert seit gestern noch um:

  • Shared Desktop
  • Whiteboard

Das allerdings erst in der nächsten Version. Primär geht es darum, den Zugriff und das Arbeiten damit testen zu können.


Chat-Client
Es gibt keine sicheren Chatclients -Verbot
durchsetzen!
... SVN, ja, damit ist subversion gemeint

Das Sind die Anforderungen, die umgesetzt werden sollen.. kann lediglich Empfehlungen aussprechen.

Wird zum Testen in der ersten Version wohl auf eine VPNbasierte RDP-Zugriff hinauslaufen.. Aber die Hinweise sind gut und als Maßnahmen in der Risikobewertung anzubringen.

Danke,
Gruß T.
gnarff
gnarff 28.09.2007 um 16:46:58 Uhr
Goto Top
Erweitert seit gestern
noch um:

  • Shared Desktop
  • Whiteboard

Extrem Resoucenfressend!
Damit dürft Ihr euch nun endgültig von einer integrierten Netzwerklösung verabschieden; das ist ja so einfach gar nicht mehr zu sichern. Hier bedarf es einer vom übrigen Firmennetzwerk abgekoppelten Lösung.

Das allerdings erst in der nächsten
Version.

Da es hier um Security-Assets geht, muss bei der Planung die Zukunftssicherheit gewährleistet sein.
D.h., das einzurichtende Netzwerk, die Hardware und zu implementierende Sicherheitsmaßnahmen müssen schon jetzt in der Lage sein auch den erweiterten Anforderungen der zweiten Version genüge zu leisten.
Das wird nicht billig!

Ich habe sehr den Eindruck, dass da im Hintergrund ein CEO und CIO wild in der Wundertüte graben und mit Wunschkonfetti um sich werfen, ohne wirklich zu wissen worauf sie sich da einlassen.

Wenn Du Lust hast, schick mir doch mal eine PN mit eurem Firmenprofil -nur um zu sehen, mit wem ich es zu tun habe und ob überhaupt genug Kapital dahinter steckt, ein solches Projekt vernünftig zu realisieren und mir ein Bild von den möglichen Assets zu machen.
Vllt. noch ein paar signifikante Eckdaten nennen, um Dir weiter anraten zu können.

saludos
gnarff
tanita
tanita 28.09.2007 um 16:54:43 Uhr
Goto Top
Extrem Resoucenfressend!
Damit dürft Ihr euch nun endgültig
von einer integrierten Netzwerklösung
verabschieden; das ist ja so einfach gar
nicht mehr zu sichern. Hier bedarf es einer
vom übrigen Firmennetzwerk abgekoppelten
Lösung.

Jupp, wird auch abgekoppelt.. Für mich jetzt nur die Überlegung, ob es über ein VLAN reicht, oder über eine DMZ an der FW

>
> Das allerdings erst in der
nächsten
> Version.
>
Da es hier um Security-Assets geht, muss bei
der Planung die Zukunftssicherheit
gewährleistet sein.
D.h., das einzurichtende Netzwerk, die
Hardware und zu implementierende
Sicherheitsmaßnahmen müssen schon
jetzt in der Lage sein auch den erweiterten
Anforderungen der zweiten Version genüge
zu leisten.
Das wird nicht billig!

Das wird es auch nicht!



Ich habe sehr den Eindruck, dass da im
Hintergrund ein CEO und CIO wild in der
Wundertüte graben und mit Wunschkonfetti
um sich werfen, ohne wirklich zu wissen
worauf sie sich da einlassen.

*daumen*

Wenn Du Lust hast, schick mir doch mal eine
PN mit eurem Firmenprofil -nur um zu sehen,
mit wem ich es zu tun habe und ob
überhaupt genug Kapital dahinter steckt,
ein solches Projekt vernünftig zu
realisieren. Vllt. noch ein paar signifikante
Eckdaten nennen, um Dir weiter anraten zu
können.

Nehme mir bitte nicht übel, dass ich das nicht kann/darf.. kann nur so viel sagen, potentiell wäre Geld da.., allerdings muss der weitere Support usw. auch noch berücksichtigt werden (ich weiss, wer bei den dicken Fischen mit schwimmen will, muss auch..).

Ich muss jedoch 'lediglich' mit den oben genannten Anforderungen eine praktikable Lösung erarbeiten, sprich mit Boardmitteln und/oder eingesetzten VPN-Clients usw. Es soll erstmal getestet werden, ob sich nearshoring überhaupt für uns lohnt.. mit Hängen und Würgen habe ich wenigstens mal eine Liste von Servern bekommen, wo die externen zugreifen sollen.

Kann teilweise selbst nur den Kopf schütteln, aber mir sind massiv die Hände gebunden..


Gruß T.

saludos
gnarff

gnarff
gnarff 28.09.2007 um 19:38:12 Uhr
Goto Top

Jupp, wird auch abgekoppelt.. Für mich
jetzt nur die Überlegung, ob es
über ein VLAN reicht, oder über
eine DMZ an der FW

Nein, reicht es nicht, sondern es bedarf einer Perimeter Architektur, hier im Ueberblick

saludos
gnarff
tanita
tanita 05.11.2007 um 18:00:57 Uhr
Goto Top
Hallo,

danke für's Mitdenken, war zwangsweise ne Weile off.

kurz-Info als Zwischenstand: Es wurde erstmal eine V1 entschieden, d.h. Zugriff in das LAN von aussen über RDP in einem extra VLAN, von dort aus geht es dann weiter..

Gruß T.
tanita
tanita 16.03.2008 um 21:32:57 Uhr
Goto Top
Fazit: diesen Zugang haben wir aktuell mit einem VPN-Client gelöst. Als nächstes wird mit SSL VPN getestet.

Danke an alle,

Servus T.