lcer00
Goto Top

Sicherer Softwaredownload für Server

Hallo,

wie bekomme ich ein herunterzuladende Software sicher auf einen kritischen Server (Tier 0). Es geht um Antivirus-Management-Server-Updates, Clientverwaltungs-Server-Updates etc. ohne Autoupdatefunktion, die als Installationsdatei aus dem Internet heruntergeladen werden müssen.

Grundsätzlich fallen mir da folgende Varianten ein.
  • Download über einen "unsicheren" Internet-erlaubten Client. Von dort aus kopiert man die Datei auf den Zielserver. Dazu muss der "Internetbenutzer" Zugriff auf den Server erhalten.
  • Identifizieren der Download-URL, dann Download direkt vom Server oder von einem Verwaltungssystem aus. Dazu muss der Server/Verwaltungssystem ins Internet dürfen.
  • USB-Stick. Dazu muss die Verwendung von USB-Sticks auf Server und Client gestattet werden.

Wie macht Ihr das?

Grüße

lcer

Content-Key: 93430794108

Url: https://administrator.de/contentid/93430794108

Printed on: May 18, 2024 at 17:05 o'clock

Member: Vision2015
Vision2015 Sep 27, 2023 at 10:30:59 (UTC)
Goto Top
Moin...

USB-Stick. Dazu muss die Verwendung von USB-Sticks auf Server und Client gestattet werden.

genau So!
oder
Identifizieren der Download-URL, dann Download direkt vom Server oder von einem Verwaltungssystem aus. Dazu muss der Server/Verwaltungssystem ins Internet dürfen.
wäre das beste... wie oft willst du den mit dem USB Stick zum Server rennen?

Frank
Member: Th0mKa
Th0mKa Sep 27, 2023 at 10:35:18 (UTC)
Goto Top
Wie macht Ihr das?

Moin,

da Tier 0 weder Internetzugriff hat noch aus niedrigeren Sicherheitsebenen erreicht werden darf gibt es hier die klassiche Turnschuhmethode. Die Software wird an einem speziellen PC runtergeladen, dort gescannt/MD5 Hashes verglichen, dann auf CD/DVD gebrannt und in die Tier0 Umgebung getragen.

USB Stick scheidet aus weil man damit Daten aus Tier 0 abziehen könnte.

/Thomas
Member: MacLeod
MacLeod Sep 27, 2023 at 10:49:56 (UTC)
Goto Top
Hallo
Für diverse Corporate Antivirensoftware kann man einen eigenen Updateserver installieren, den man dann über NAT absichert. So können sich interne Clients die updates ziehen. Vielleicht ist eure Lösung ja mit dabei.
MfG,
MacLeod
Member: user217
user217 Sep 27, 2023 at 11:02:53 (UTC)
Goto Top
Das ist eher ein philosophische frage, github spoofing, Microsoft Zertifikate uvm. sicher doch eh nix.
Wenn es jemand darauf anlegt kapert er einen patterupdatespiegelserver usw.
Wenn man sich ansieht wieviele Namhafte Hersteller bis vor nicht allzulanger Zeit noch nicht mal TLS 1.2 + cert auf die Reihe gekriegt haben dann erübrigt sich die Frage eh..
Member: Th0mKa
Th0mKa Sep 27, 2023 at 11:42:34 (UTC)
Goto Top
Quote from @user217:
Wenn man sich ansieht wieviele Namhafte Hersteller bis vor nicht allzulanger Zeit noch nicht mal TLS 1.2 + cert auf die Reihe gekriegt haben dann erübrigt sich die Frage eh..

Deine Antwort lautet also "Füße auf den Tisch und nichts machen"?
Member: DarkZoneSD
DarkZoneSD Sep 27, 2023 at 17:10:51 (UTC)
Goto Top
wie bekomme ich ein herunterzuladende Software sicher auf einen kritischen Server (Tier 0). Es geht um Antivirus-
Ich schaufel mir temporär den Port für FTP oder SFTP frei und schicke das ganze dann per WinSCP. Ansonsten Curl den direkten Downloadlink
curl https://WichtigesUpdate.com/download --output $env:USERPROFILE\Ueberlebenswichtigesupdate.exe

Mal aber nebenbei, was bedeutet Tier 0? Ich nehme mal an höchste Sicherheitsstufe, aber wie heißt das Abstufungsmodell? Ich kenne das System nicht, würde mich mal interessieren face-smile

Grüße und schönen Abend
Member: em-pie
em-pie Sep 27, 2023 at 21:04:45 (UTC)
Goto Top
Moin,

man könnte sich a) eines Paketverwaltungssystem bedienen, bei dem das Tier0-system die Verbindung initiiert. Der Paketmanagementserver muss natürlich auch gesichert sein und darf nur sichere Software enthalten.
Oder b) wäre die Möglichkeit, Software über ein Unix-Sytem heunterzuladen, zu scannen, eine ISO zu bauen und anschlie0end die ISO via VMware/ HyperV (wenn das System virtuell ist) zu mounten.

Mal aber nebenbei, was bedeutet Tier 0? Ich nehme mal an höchste Sicherheitsstufe, aber wie heißt das Abstufungsmodell? Ich kenne das System nicht, würde mich mal interessieren face-smile
Da hast du etwas zum lesen: https://www.ip-insider.de/haertungsmassnahmen-fuer-das-active-directory- ...
Member: iDeathz
iDeathz Sep 27, 2023 at 21:42:01 (UTC)
Goto Top
Zitat von @DarkZoneSD:

wie bekomme ich ein herunterzuladende Software sicher auf einen kritischen Server (Tier 0). Es geht um Antivirus-
Ich schaufel mir temporär den Port für FTP oder SFTP frei und schicke das ganze dann per WinSCP. Ansonsten Curl den direkten Downloadlink
curl https://WichtigesUpdate.com/download --output $env:USERPROFILE\Ueberlebenswichtigesupdate.exe

Mal aber nebenbei, was bedeutet Tier 0? Ich nehme mal an höchste Sicherheitsstufe, aber wie heißt das Abstufungsmodell? Ich kenne das System nicht, würde mich mal interessieren face-smile

Grüße und schönen Abend

Das Modell nennt sich ESAE - Enhanced Security Admin Environment
Member: lcer00
lcer00 Sep 28, 2023 at 07:17:04 (UTC)
Goto Top
Hallo,

@Th0mKa
Ich würde meine eigenen Daten per USB-Stick abziehen. Soweit würde ich mir selbst über den Weg trauen. Da der USB-Stick aber einen potentiellen Angriffsvektor darstellt, würde ich das lieber nicht per USB machen.

@iDeathz @DarkZoneSD
Enhanced Security Admin Environment, was die ältere Microsoft-Empfehlung eines 3-Stufigen Tier-Modells abgelöst hat. Ist aber eigentlich egal, ob mit oder ohne Modell - das Problem bleibt.

@user217
Von den früheren und heutigen Philosophen habe die wenigsten praktische Probleme gelöst.

@em-pie
Paketverwaltungssystem ist gut, aber das ist dann wieder eine zusätzliche Tier0-Komponente mit zusätzlichem Aufwand.

@DarkZoneSD
Die Idee, einen unsicheren Rechner als Webserver, von dem sich der Tier0-Admin ohne Authentifizierung die Dateien herunterladen kann, klingt eigentlich ganz gut. Wenn man das zu temporär freischaltet, sollte das einigermaßen sicher machbar sein.

Grüße

lcer
Member: Dani
Dani Sep 28, 2023 at 19:40:32 (UTC)
Goto Top
Moin,
wie bekomme ich ein herunterzuladende Software sicher auf einen kritischen Server (Tier 0).
Diese Einstufung habt ihr, für euch vorgenommen, oder? Weil an sich solch ein System eigentlich im Vergleich zu einem DC, Exchange bei Tier1 sehe.

Es geht um Antivirus-Management-Server-Updates, Clientverwaltungs-Server-Updates etc. ohne Autoupdatefunktion, die als Installationsdatei aus dem Internet heruntergeladen werden müssen.
von wie viele Dateien reden wir pro Tag? Wie groß sind diese Dateien? Wie kritisch ist, wenn Updates nicht zeitnah bereitgestellt werden?

Ist aber eigentlich egal, ob mit oder ohne Modell - das Problem bleibt.
Ist es eigentlich nicht. Denn ein Tier 0 darf auf Tier 1 zugreifen. Aber ein Tier 1 niemals auf auf ein Tier 0 System. Das ist laut Definition und auch Verbindungsaufbau entscheidend.

Gibt es namentlich unbekannte Software her, eine Rollen Trennung vorzunehmen? So dass du den Download und Dateiserver als Tier 1 deklarieren kannst und das Management weiterhin Tier 0 bleiben kann.


Gruß,
Dani