jpselter
Goto Top

Netzwerk zu Netzwerk Verbindungen

Diese Frage ist an IT-Sicherheitsbeauftragte gerichtet, da es hier speziell darum geht, ob man solche Verbindungen in einem großem Firmennetzwerk erlauben sollte. Wir hatten heute folgenden Fall: Ein Vertriebler eines Software-Lieferanten kam in die Firma, um ein Portal vorzustellen. Er wollte dazu seinen Laptop in unser Netzwerk einklinken, um dann eine VPN-Verbindung in sein Netzwerk herzustellen.

Punkt a): Der Chef will keine fremden Laptops in seinem Netzwerk, außer Techniker, da es deren Werkzeug ist (sowas wird schriftlich geregelt). Dieser Punkt ist so ok

Punkt b): Unser Netzwerk wird mit einem Fremdnetzwerk verbunden, über VPN. Bei diesem Punkt bin ich mir nicht ganz sicher, ob es nicht zu hart war zu sagen, dass es nicht erlaubt ist. Diesen Fall erlebe ich zum ersten Mal und es gibt noch keine Aussage vom Chef dazu. Wie sicher wäre es? Würdet Ihr es erlauben? Könnten Viren trotzdem durchgeschleust werden? Oder ist die Astaro Firewall auf unserer Seite so sicher (Abwehr von Viren, Paketfilter, etc), dass man es gestatten sollte?

Der arme Mensch sah ganz schön bedrüppelt aus...

Content-ID: 91004

Url: https://administrator.de/contentid/91004

Ausgedruckt am: 22.11.2024 um 22:11 Uhr

aqui
aqui 01.07.2008 um 11:35:09 Uhr
Goto Top
Generell hat dein Chef recht, wenn man so ein Netz wie das eure betreibt.
Es zeigt aber gleichzeitig auch deutlich ein schlecht designtes Netzwerk eurerseits, den diese harsche Reaktion wäre vollkommen überflüssig wenn ihr ein vom Unternehmensnetz getrenntes Gast VLAN oder ein VLAN für externe Besucher eingerichtet hättet wie es in Netzwerken bei Unternehmen heutzutage allgemein üblich ist.

So ein Segment (VLAN) ist, wie oben beschrieben, nicht mit dem Firmennetz verbunden und hat einen direkten Zugang zum Internet ggf. über ACLs um nur bestimmte Dienste zuzulassen und stellt somit keine Gefahr dar. Hier hätte der Vertriebler problemlos sein VPN aufbauen können. (Wozu habt ihr denn sonst eure tolle Astaro ???)

Kein Wunder das der etwas bedrüppelt aussah, denn vermutlich hat er so ein steinzeitliches Netz wie ihr es scheinbar betreibt nicht erwartet !?

Ggf. solltest du also mal deinen Chef etwas zur aktuellen Netzwerktechnik bzw. Design updaten, damit er nicht mehr so (steinzeitlich) reagieren muss !
Ist ja letztlich auch ein Aushängeschild für die Firma....
saerdna
saerdna 01.07.2008 um 11:37:28 Uhr
Goto Top
Theorie und Praxis des Tunnels nach "Hause":

Theorie:
Du kommst hier nicht rein und raus schon garnicht face-smile
Die gefahr sich Viren und Trojaner zu ziehen ist hoch. Vor allem bei Laptops wo keiner weiss was die Familie damit noch so anstellt wenn er ihn auch Privat nutzt.

Praxis:
Der kommt hier immernoch nicht rein face-smile Aber auch nur weil er es mal kurz machen will.
Für den Mitarbeiter einer Fremdfirma der die Zeit hat ein "Change Request" zu starten und einen für uns "Wichtigen Grund" hat geht natürlich alles face-smile Port freigeben und los gehts face-smile
Wird schon gut gehen face-smile

Grüsse
JPSelter
JPSelter 01.07.2008 um 12:04:41 Uhr
Goto Top
Die VLAN Idee ist nicht neu höre ich gerade. Mein Vorgänger hat das mal abgelehnt, weil wir dann rechtlich als Provider auftreten würden, was wieder andere Maßnahmen erfordert. Ich werde da mal unseren Sachverständigen kontaktieren...
aqui
aqui 01.07.2008 um 12:47:32 Uhr
Goto Top
Das ist Unsinn, denn über die Firewall (oder auch entsprechende Switches) könnt ihr ein Accounting machen für die verwendeten Adressen, oder noch einfacher ihr benutzt einen Proxy wie z.B. den Squid-Proxy zum Protokollieren und Authentifizieren.

Abgesehen davon kann man auch immer mit 802.1x dynamisch ein VLAN im Gastbereich zuweisen und auch über diese Funktion ein Accounting der verwendeten IP Adressen machen. All das ist problemlos umsetzbar.

Rechtlich ist das Providerargument auch unsinnig, denn ihr stellt keinen öffentlichen Zugang zur Verfügung !
JPSelter
JPSelter 01.07.2008 um 13:16:18 Uhr
Goto Top
Als steinzeitlich will ich das Netz hier nicht beschreiben, da kenne ich noch viel schlimmere Netze, wo alle Scheunentore weit offen sind. Es fehlt ganz einfach nur ein Gäste-VLAN. Bei Lieferanten ist es nicht so schlimm, aber bei Kunden kann so eine Aktion schon sauer aufstoßen (wobei der Kunde andererseits aber auch sehr erfreut sein kann, dass das Netz so schön "dicht" ist).

Das mit dem Gäste-VLAN sollte hier unbedingt gemacht werden. Mit dem Begriff "Accounting" ist doch einfach nur gemeint, dass später nachvollzogen werden kann, wer wann wohin gesurft ist, richtig? Das wäre ja kein Problem.