Sicherer Softwaredownload für Server
Hallo,
wie bekomme ich ein herunterzuladende Software sicher auf einen kritischen Server (Tier 0). Es geht um Antivirus-Management-Server-Updates, Clientverwaltungs-Server-Updates etc. ohne Autoupdatefunktion, die als Installationsdatei aus dem Internet heruntergeladen werden müssen.
Grundsätzlich fallen mir da folgende Varianten ein.
Wie macht Ihr das?
Grüße
lcer
wie bekomme ich ein herunterzuladende Software sicher auf einen kritischen Server (Tier 0). Es geht um Antivirus-Management-Server-Updates, Clientverwaltungs-Server-Updates etc. ohne Autoupdatefunktion, die als Installationsdatei aus dem Internet heruntergeladen werden müssen.
Grundsätzlich fallen mir da folgende Varianten ein.
- Download über einen "unsicheren" Internet-erlaubten Client. Von dort aus kopiert man die Datei auf den Zielserver. Dazu muss der "Internetbenutzer" Zugriff auf den Server erhalten.
- Identifizieren der Download-URL, dann Download direkt vom Server oder von einem Verwaltungssystem aus. Dazu muss der Server/Verwaltungssystem ins Internet dürfen.
- USB-Stick. Dazu muss die Verwendung von USB-Sticks auf Server und Client gestattet werden.
Wie macht Ihr das?
Grüße
lcer
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 93430794108
Url: https://administrator.de/forum/sicherer-softwaredownload-fuer-server-93430794108.html
Ausgedruckt am: 25.12.2024 um 14:12 Uhr
10 Kommentare
Neuester Kommentar
Moin...
genau So!
oder
Frank
USB-Stick. Dazu muss die Verwendung von USB-Sticks auf Server und Client gestattet werden.
genau So!
oder
Identifizieren der Download-URL, dann Download direkt vom Server oder von einem Verwaltungssystem aus. Dazu muss der Server/Verwaltungssystem ins Internet dürfen.
wäre das beste... wie oft willst du den mit dem USB Stick zum Server rennen?Frank
Wie macht Ihr das?
Moin,
da Tier 0 weder Internetzugriff hat noch aus niedrigeren Sicherheitsebenen erreicht werden darf gibt es hier die klassiche Turnschuhmethode. Die Software wird an einem speziellen PC runtergeladen, dort gescannt/MD5 Hashes verglichen, dann auf CD/DVD gebrannt und in die Tier0 Umgebung getragen.
USB Stick scheidet aus weil man damit Daten aus Tier 0 abziehen könnte.
/Thomas
Das ist eher ein philosophische frage, github spoofing, Microsoft Zertifikate uvm. sicher doch eh nix.
Wenn es jemand darauf anlegt kapert er einen patterupdatespiegelserver usw.
Wenn man sich ansieht wieviele Namhafte Hersteller bis vor nicht allzulanger Zeit noch nicht mal TLS 1.2 + cert auf die Reihe gekriegt haben dann erübrigt sich die Frage eh..
Wenn es jemand darauf anlegt kapert er einen patterupdatespiegelserver usw.
Wenn man sich ansieht wieviele Namhafte Hersteller bis vor nicht allzulanger Zeit noch nicht mal TLS 1.2 + cert auf die Reihe gekriegt haben dann erübrigt sich die Frage eh..
Quote from @user217:
Wenn man sich ansieht wieviele Namhafte Hersteller bis vor nicht allzulanger Zeit noch nicht mal TLS 1.2 + cert auf die Reihe gekriegt haben dann erübrigt sich die Frage eh..
Wenn man sich ansieht wieviele Namhafte Hersteller bis vor nicht allzulanger Zeit noch nicht mal TLS 1.2 + cert auf die Reihe gekriegt haben dann erübrigt sich die Frage eh..
Deine Antwort lautet also "Füße auf den Tisch und nichts machen"?
wie bekomme ich ein herunterzuladende Software sicher auf einen kritischen Server (Tier 0). Es geht um Antivirus-
Ich schaufel mir temporär den Port für FTP oder SFTP frei und schicke das ganze dann per WinSCP. Ansonsten Curl den direkten Downloadlinkcurl https://WichtigesUpdate.com/download --output $env:USERPROFILE\Ueberlebenswichtigesupdate.exe
Mal aber nebenbei, was bedeutet Tier 0? Ich nehme mal an höchste Sicherheitsstufe, aber wie heißt das Abstufungsmodell? Ich kenne das System nicht, würde mich mal interessieren
Grüße und schönen Abend
Moin,
man könnte sich a) eines Paketverwaltungssystem bedienen, bei dem das Tier0-system die Verbindung initiiert. Der Paketmanagementserver muss natürlich auch gesichert sein und darf nur sichere Software enthalten.
Oder b) wäre die Möglichkeit, Software über ein Unix-Sytem heunterzuladen, zu scannen, eine ISO zu bauen und anschlie0end die ISO via VMware/ HyperV (wenn das System virtuell ist) zu mounten.
man könnte sich a) eines Paketverwaltungssystem bedienen, bei dem das Tier0-system die Verbindung initiiert. Der Paketmanagementserver muss natürlich auch gesichert sein und darf nur sichere Software enthalten.
Oder b) wäre die Möglichkeit, Software über ein Unix-Sytem heunterzuladen, zu scannen, eine ISO zu bauen und anschlie0end die ISO via VMware/ HyperV (wenn das System virtuell ist) zu mounten.
Mal aber nebenbei, was bedeutet Tier 0? Ich nehme mal an höchste Sicherheitsstufe, aber wie heißt das Abstufungsmodell? Ich kenne das System nicht, würde mich mal interessieren
Da hast du etwas zum lesen: https://www.ip-insider.de/haertungsmassnahmen-fuer-das-active-directory- ...Zitat von @DarkZoneSD:
Mal aber nebenbei, was bedeutet Tier 0? Ich nehme mal an höchste Sicherheitsstufe, aber wie heißt das Abstufungsmodell? Ich kenne das System nicht, würde mich mal interessieren
Grüße und schönen Abend
wie bekomme ich ein herunterzuladende Software sicher auf einen kritischen Server (Tier 0). Es geht um Antivirus-
Ich schaufel mir temporär den Port für FTP oder SFTP frei und schicke das ganze dann per WinSCP. Ansonsten Curl den direkten Downloadlinkcurl https://WichtigesUpdate.com/download --output $env:USERPROFILE\Ueberlebenswichtigesupdate.exe
Mal aber nebenbei, was bedeutet Tier 0? Ich nehme mal an höchste Sicherheitsstufe, aber wie heißt das Abstufungsmodell? Ich kenne das System nicht, würde mich mal interessieren
Grüße und schönen Abend
Das Modell nennt sich ESAE - Enhanced Security Admin Environment
Moin,
Gibt es namentlich unbekannte Software her, eine Rollen Trennung vorzunehmen? So dass du den Download und Dateiserver als Tier 1 deklarieren kannst und das Management weiterhin Tier 0 bleiben kann.
Gruß,
Dani
wie bekomme ich ein herunterzuladende Software sicher auf einen kritischen Server (Tier 0).
Diese Einstufung habt ihr, für euch vorgenommen, oder? Weil an sich solch ein System eigentlich im Vergleich zu einem DC, Exchange bei Tier1 sehe.Es geht um Antivirus-Management-Server-Updates, Clientverwaltungs-Server-Updates etc. ohne Autoupdatefunktion, die als Installationsdatei aus dem Internet heruntergeladen werden müssen.
von wie viele Dateien reden wir pro Tag? Wie groß sind diese Dateien? Wie kritisch ist, wenn Updates nicht zeitnah bereitgestellt werden?Ist aber eigentlich egal, ob mit oder ohne Modell - das Problem bleibt.
Ist es eigentlich nicht. Denn ein Tier 0 darf auf Tier 1 zugreifen. Aber ein Tier 1 niemals auf auf ein Tier 0 System. Das ist laut Definition und auch Verbindungsaufbau entscheidend.Gibt es namentlich unbekannte Software her, eine Rollen Trennung vorzunehmen? So dass du den Download und Dateiserver als Tier 1 deklarieren kannst und das Management weiterhin Tier 0 bleiben kann.
Gruß,
Dani