kano90
Goto Top

RECOBS - Verbreitungsgrad

Moin moin,
ich würde mich gerne mal umhören, ob ich zu den Paranoiden zähle:

Systeme sind alle getrennt vom Internet, Zugriff nur via RECOBS möglich.

Sicherheitszwischenfälle: 0

Setzt ihr auch grafische Firewalls/RECOBS ein oder versucht ihr immer noch mit noch mehr Schlangenöl, Next-Gen-Krempel und DPI Herr der Lage zu werden?

Euren Meinungen und Erfahrungen interessieren mich brennend.

Viele Grüße

Content-ID: 82015947177

Url: https://administrator.de/forum/recobs-verbreitungsgrad-82015947177.html

Ausgedruckt am: 21.12.2024 um 16:12 Uhr

NordicMike
NordicMike 06.09.2023 um 06:23:12 Uhr
Goto Top
Naja, dann ist der Browser schon mal wo anders, aber nicht der Rest des Netzwerks. Das heißt dein Next Gen Krempel muss immer noch dein Netzwerk schützen.

Emails, USB Sticks, von extern erreichbare Dienste usw können immer noch ihr Unwesen treiben.

Recobs ist nur als zusätzliches Mittel interessant. Ich könnte mir vorstellen, dass es die Administration verkompliziert. Lokale Downloads, lokale USB Headsets oder Kartenleser, sowie webbasierende Konferenzsysteme werden nicht mehr direkt verbunden, machen es komplizierter und Fehleranfälliger.
Lochkartenstanzer
Lochkartenstanzer 06.09.2023 um 07:21:23 Uhr
Goto Top
Moin,

Recobs verlagert nur das Problem statt es zu lösen.

lks
commodity
commodity 06.09.2023 aktualisiert um 08:37:26 Uhr
Goto Top
Auch wenn der Ausgangspost für mich eher nach Marketing klingt (ReCoBS ist ja ein Konzept, der Hinweis auf eine bestimmte Firma daher eher irreführend) ist das Thema ja nicht uninteressant.

Firmen, die aus ziemlich simplen Standardkonzepten allerdings ein Geschäftsmodell entwickeln und damit die Kosten der IT-Sicherheit unnötig in die Höhe treiben, sind mir aber suspekt. Ein ReCoBS sollte im Prinzip jede IT-Abteilung locker selbst aufsetzen können, was wegen der Individualität die Sicherheit vielleicht gar fördert. Bei der Sicherheit am Perimeter würde ich mich jedenfalls nicht auf die OS-Kompetenzen einer kleinen Butze aus Berlin verlassen wollen.

Recobs verlagert nur das Problem statt es zu lösen.
@Lochkartenstanzer, kannst Du das näher erläutern? Wenn die Clients, wie das Konzept vorsieht, komplett vom externen Netz getrennt werden, gibt es ja einen erheblichen Sicherheitsgewinn.

Allerdings ist das mit der Netztrennung ja so eine Sache. Wie wir alle wissen, sind regelmäßige Updates ein wesentlicher Faktor für ein sicheres System. Ebenso wollen/sollen MA ja auch per Mail, Messenger u.ä. kommunizieren. Erforderliche Fernwartung wäre auch ein Thema. Kann mir nicht vorstellen, dass heute darauf verzichtet wird.

Daneben gibt es andere Angriffsvektoren, worauf der Kollege @NordicMike zutreffend hinweist, für die ein Schutz erforderlich ist:
Emails, USB Sticks, von extern erreichbare Dienste

Also, lieber TO,
Systeme sind alle getrennt vom Internet
Erläuter das doch bitte mal: Wie darf man sich das bei Euch in der Praxis vorstellen?

D'accord bin ich mit den Zweifeln an
Schlangenöl, Next-Gen-Krempel und DPI
Es mag auch hier einzelne gute Konzepte geben. Im Regelfall sind das IMO eher Mittel zur Verantwortungsverschiebung und Gewissensberuhigung, denn echter Sicherheit. Eine Cashcow, die bis zum Exitus geritten wird und einer der Gründe sein dürfte, warum (zumindest Klein-)Betriebe zunehmend in der Cloud ihr Heil suchen - was - ich zitiere nochmals den Kollegen @Lochkartenstanzer:
... verlagert nur das Problem statt es zu lösen.

Viele Grüße, commodity
Kano90
Kano90 06.09.2023 um 09:25:25 Uhr
Goto Top
Guten Morgen,
es sollte keineswegs nach Werbung klingen.

Ein RECOBS selbst aufzusetzen, halte ich für gewagt. Ein Windows-System als RECOBS System ist ein nogo. RDP ist viel zu anfällig. Ein gehärteter Linux-Kernel mit RSBAC Config unumgänglich. Das kann eine Standard-Windows-IT-Abteilung ableisten?

Ich möchte wirklich keine Werbung machen, aber oben genannte Firma ist in allen Bundesbehörden, Kritis und co. vertreten.

Wie sieht unser Leben aus?

  • Antivirusupdates über Mirrortool in der DMZ
  • Mail on premise mit zwei SMTP-Relays um die DMZ zu trennen sowie doppeltem Virenscan - typische Maillinkattacken laufen ins Leere
  • Fernwartung für Dienstleister via Reverse VNC und Guacamole
  • Videokonferenzen mit separaten Internet-Opfer-PCs
  • USB-Sticks völlig verboten
  • externes Webportal mit zwei Virenscannern als Dateischleuse
  • externe Dienste sind runtergelockt teils zusätzlich HTACCESS und Clientcertauth

Sicherheit ist immer ein Kompromiss - die GF trägt das Konzept mit.
Lochkartenstanzer
Lochkartenstanzer 06.09.2023 um 09:55:28 Uhr
Goto Top
Zitat von @commodity:

Recobs verlagert nur das Problem statt es zu lösen.
@Lochkartenstanzer, kannst Du das näher erläutern? Wenn die Clients, wie das Konzept vorsieht, komplett vom externen Netz getrennt werden, gibt es ja einen erheblichen Sicherheitsgewinn.

Die Leute müssen irgendwie auf den Server kommen, also ist mindestens RDP oder irgendeine andere Verbindung zu den "internen" Systemen notwendig. Also ist da kein vollständige Trennung. Und die meisten Implementationen werden vermutlich den RDP-Client auf der "Arbeitsmaschine" laufen lassen, daß man die verbindung ggf. exploiten kann. (siehe z.B. https://threatpost.com/windows-bug-rdp-exploit-unprivileged-users/177599 ..).

lks
DerWoWusste
DerWoWusste 06.09.2023 um 10:34:12 Uhr
Goto Top
Wir nutzen ReCoBS seit 20 Jahren.
Früher per Linux und XServer, seit 14 Jahren per Windows-Terminalserver (RemoteApp).

Brnigt sehr viel und macht nahezu keine Schwierigkeiten.
Lochkartenstanzer
Lochkartenstanzer 06.09.2023 um 11:01:08 Uhr
Goto Top
Zitat von @DerWoWusste:

Brnigt sehr viel und macht nahezu keine Schwierigkeiten.

Man muß sich allerdings bewußt sein, daß die anderen Einfallsstore natürlich immer noch vorhanden sind.

lks
DerWoWusste
DerWoWusste 06.09.2023 um 11:25:44 Uhr
Goto Top
Ja, äh, ganz blöd darf man nie sein, oder? Alle Probleme löst es nicht, aber:
  • lokal installierte Malware kommt nicht raus (eine nutzbare Brücke zum Recobs-Rechner besteht nicht)
  • Browser-Drive-By-Infektionen sind stark erschwert, wenn Recobs-Server gehärtet ist (z.B. Applocker)
Lochkartenstanzer
Lochkartenstanzer 06.09.2023 um 11:44:48 Uhr
Goto Top
Zitat von @DerWoWusste:

Ja, äh, ganz blöd darf man nie sein, oder?

Ich habe schon viel Blödheit erlebt. Manche fixieren sich so auf einen Punkt, daß sie die anderen vergessen. So als ob man die Haustür verammelt aber dabei das offene Fenster daneben "nicht sieht".

lks
commodity
commodity 06.09.2023 aktualisiert um 12:30:22 Uhr
Goto Top
oben genannte Firma ist in allen Bundesbehörden, Kritis und co. vertreten.
Vielleicht bin ich ja paranoid, aber solche Sätze klingen nach Marketing pur. Auch wenn Du den Namen oben rausgenommen hast. Das wäre Insiderwissen, das nur ein Firmenmitarbeiter haben kann. Und mit RSBAC (das sich in 15 Jahren in der Linux-Welt nicht erkennbar verbreitet hat) wird gleich der nächste Begriff gedropt, der zielstrebig auf die Firma verweist. Als ob das die einzige ReCoBS-Lösung wäre face-wink

Zudem ist der Informationswert nahe Null. Soll das etwa ein Aushängeschild für gute IT sein, wenn man die Tools der Behörden nimmt? Deutscher Behörden? Na dann... YMMD face-big-smile
Klar gibt es auch in Behörden exzellente Kollegen. Einige sind hier gar vertreten face-smile Das sagt aber wenig bis nichts über die Konzepte, Tools und die Dienstleister aus, gell?

Sorry, für mich bleibt es ein Marketingpost.

ReCoBS unterliegt entgegen Deiner Darstellung keinen besonderen Schutzanforderungen und ist tendenziell sogar als Opfersystem ausgelegt. Dem durch eine Berliner Minibutze exotisch "gehärteten" Kernel soll ich vertrauen, wo ich davon ausgehen kann, dass die spezifischen Kernelanpassungen bei Sicherheitsvorfällen sehr wahrscheinlich deutlich später einfließen, als in den Community-Standardkernel eines auf Sicherheit ausgerichteten Systems? Das man ja auch als einfacher Admin härten kann. Und diese eventuelle Sicherheit soll dann wieviel kosten? Aber es gibt sicherlich einen Usecase auch dafür.

Ist halt meine Meinung, dass Sicherheit nicht durch exotische Maßnahmen erreicht wird, sondern eher durch gute, anerkannte Standards und entsprechende Qualifikation der Beteiligten. Es sind die vielfältigen kommerziellen Partikularinteressen, die den verbreiteten Mangel an IT-Sicherheit befeuern, statt ihn zu lösen.

Viele Grüße, commodity
DerWoWusste
DerWoWusste 06.09.2023 um 13:04:18 Uhr
Goto Top
@commodity
Dem durch eine Berliner Minibutze exotisch "gehärteten" Kernel...
Recobs ist nicht vom BSI/von keiner Berliner Minibutze. Es ist unter dem Begriff als Konzept vom BSI beschrieben.
Du kannst jegliche Übertragung des Bildinhaltes eines auf einem Remotesystem laufenden Browsers so bezeichnen.
commodity
commodity 06.09.2023 aktualisiert um 13:45:17 Uhr
Goto Top
Recobs ist nicht vom BSI/von keiner Berliner Minibutze.
Ich weiß, genau das meine ich ja - und habe es auch so geschrieben. Ich habe nichts gegen ReCoBS eingewendet. Der TO hatte aber im ersten Post (mittlerweile ist der Teil gelöscht) - auf eine ganz spezielle Firma hingewiesen, auf die im zweiten Post auch recht Marktschreierisch verwiesen wird. So als ob die Minibutze bzw. deren Umsetzung von ReCoBS das Maß aller Dinge sei. Was es nicht ist face-wink

Nochmal für alle Lesefaulen: ReCoBS ist ein Konzept. Das durchaus sinnvoll sein kann. Kein Grund aber, dem Marketinggewäsch hierzu vermeintlich Berufener zu verfallen.

Viele Grüße, commodity
Kano90
Kano90 06.09.2023 um 13:57:20 Uhr
Goto Top
Entschuldigt bitte. Ich wollte hier keine Marketing Aktion starten. Wirklich nicht.

Mein Interesse lag einfach darin, zu erfahren, wie viele von euch RECOBS Lösungen nutzen und wer lieber immer noch versucht die Clientseite weiter abzudichten.

Ja ein RECOBS dient als Opfersystem - egal ob Windows oder Linux.
commodity
commodity 06.09.2023 um 17:23:58 Uhr
Goto Top
KP. Das Konzept ist ja durchaus interessant. Kam halt ein bisschen komisch rüber, aber Schwamm drüber. Es gibt halt viele Herangehensweisen und viele Ausgangslagen. Die Bundesbehörde hat sicher andere Bedürfnisse bzw. Möglichkeiten als das Kleinunternehmen. Aber alle haben Fachpersonalmangel, denke ich. Wenn auch aus verschiedenen Gründen.

Aber gerade im behördlichen Bereich ist es IMO einer der Kernfehler, dass oft Lösungen gekauft werden, die aus verbogenen Standards gebaut und damit faktisch trotz FOSS zur Blackbox wurden, statt das man selbst konsequent mit den etablierten Standards arbeitet und die Lösungen ggf. für sich transparent anpasst. Langfristige Qualifikation ist dann kaum möglich, wenn sie allein produktorientiert erfolgt. Was wiederum der Sicherheit schadet.

Viele Grüße, commodity
DerWoWusste
DerWoWusste 06.09.2023 aktualisiert um 17:44:54 Uhr
Goto Top
Ja ein RECOBS dient als Opfersystem - egal ob Windows oder Linux.
Unsinn. Opfersystem ist es nicht. Da nur der Browser funktionieren muss, kannst du das System extrem härten, was du bei den normalen Clients gar nicht in der Ausprägung tun kannst ohne ständig Nebeneffekte zu haben.

Wir hatten in 20 Jahren nie ein Sicherheitsproblem auf dem Recobs. Applocker schießt alles ab. (Vor Applocker war's auf Linux, da sind wir davon ausgegangen, dass (damals) die meiste gängige Malware gar nicht auf Linux läuft).
C.R.S.
C.R.S. 07.09.2023 um 20:02:01 Uhr
Goto Top
Hallo,

ReCoBS sind in sicherheitsbewussten Einrichtungen vergleichsweise verbreitet, würde ich sagen, ohne dass dies notwendigerweise mit höchsten Standards einhergehen müsste.

Reguläre Landes- und Bundesverwaltungen setzen es seit mindestens zehn Jahren gerne ein; in anderen Behörden- und Behördendienstleistungskontexten ist es praktisch erforderlich, um die Anforderungen an die Netzwerkstruktur umzusetzen (es ist kein "Opfersystem", sondern eine technische Funktionstrennung, wie ein Jump-Host; also einfach eine Antwort auf die Frage, welche Art von System und Systeminteraktion man an welcher Stelle in der Infrastruktur haben möchte).

Im weitesten Sinne werden sie in Unternehmen auch als Vehikel für M&A-Integrationen genutzt, vordergründig natürlich um Anwender auf Systeme zu bringen, aber auch unter dem Sicherheitsaspekt der heterogenen Infrastruktur.

Grüße
Richard
commodity
commodity 08.09.2023 um 10:07:16 Uhr
Goto Top
Opfersystem ist es nicht.
Wahrscheinlich versteht Ihr den Terminus anders. Das Opfern ist natürlich keine Primäraufgabe.
Die IMO einzige öffentliche Spezifikation stammt IMO hier vom BSI. Dort lese man unter
5.7 ReCoBS-Server als „Opferrechner“
und wisse, was im konkreten Fall mit dem Terminus gemeint ist face-smile

Viele Grüße, commodity

Die umfassendere Spezifikation des BSI findet sich hier. Dort ist dieser Aspekt aber nicht so beschrieben, jedenfalls habe ich ihn nicht gefunden.