10
Sicherheit bei Nutzung fremder USB Sticks
Hallo Gemeinschaft!
Ich stehe vor einem Sicherheitsproblem, bei dem ich gern eure Meinungen hören möchte und natürlich wäre ich auch über Lösungsansätze dankbar.
Folgende Problematik liegt zugrunde:
Der Kunde kommt zu uns und bringt seine Daten (z.B. Lohnzettel) auf dem USB-Stick mit. Gleich vorweg, Stick verbieten ist keine Lösung!
Der USB-Stick wird vom Verkäufer angesteckt und der Virus freut sich...
Meine Idee wäre jetzt folgende:
Ich erstelle auf der Firewall ein VLAN, hänge dort einen Rechner rein, der nichts als Virenscan tut und via Firewallregel zwar Internet darf (muss ja Virenupdates holen können) aber sonst keinen Zugriff auf das LAN bekommt. Verkäufer nimmt Stick und prüft ihn an diesem Rechner, wenn clean, darf er die Daten an seinem PC runterziehen.
Wie würdet ihr das lösen und welchen Virenscanner würdet ihr nehmen?
Ich stehe vor einem Sicherheitsproblem, bei dem ich gern eure Meinungen hören möchte und natürlich wäre ich auch über Lösungsansätze dankbar.
Folgende Problematik liegt zugrunde:
Der Kunde kommt zu uns und bringt seine Daten (z.B. Lohnzettel) auf dem USB-Stick mit. Gleich vorweg, Stick verbieten ist keine Lösung!
Der USB-Stick wird vom Verkäufer angesteckt und der Virus freut sich...
Meine Idee wäre jetzt folgende:
Ich erstelle auf der Firewall ein VLAN, hänge dort einen Rechner rein, der nichts als Virenscan tut und via Firewallregel zwar Internet darf (muss ja Virenupdates holen können) aber sonst keinen Zugriff auf das LAN bekommt. Verkäufer nimmt Stick und prüft ihn an diesem Rechner, wenn clean, darf er die Daten an seinem PC runterziehen.
Wie würdet ihr das lösen und welchen Virenscanner würdet ihr nehmen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 389555
Url: https://administrator.de/contentid/389555
Ausgedruckt am: 17.11.2024 um 23:11 Uhr
10 Kommentare
Neuester Kommentar
hänge dort einen Rechner rein, der nichts als Virenscan tut
...und auch keinesfalls Winblows als Betriebssystem hat !!!Lesenswert dazu:
Bad-USB geskriptet abwehren (ab Windows 8)
und via Firewallregel zwar Internet darf (muss ja Virenupdates holen können
Ja, aber nur über einen Proxy und nicht einfach so ans Netz. Nur so weit öffnen wie unbedingt nötig. Du könntest auch eine VM nehmen, die nach jedem Scan gekillt wird und neu bereit steht. Vor dem Scan hat sie die Updates für den Virenscan erhalten. Vor dem Einstecken und während dem Scan gibt´s aber keins.
Also wenn du so "krüppelhaft" eine Lösung implementieren willst.
Dann machs doch folgendermaßen:
1 PC der durch Firewall Daten auf FTP hochladen darf, exact die IP und Port gibste frei.
Dann daten transferieren. Fremden USB Stick >> niemals an einem der Produktiven PCs anschließen.
Es gibt wohl krasse Schädlinge die auf Hardware Basis das BIOS angreifen, kannst den PC dannach quasi in die tonne werfen im ernstfall...
da hilft auch keine anti viren software oder sonst was.....
Ansonsten antiviren schutz >>
Sophos Endpoint Protection
und übliche Verdächtige wie Symantec Endpoint protection, Kaspersky, usw...
Nur Sophos Enpoint Protection ist schon krass >> haben mechanismus um verschlüsselungstrojaner z.B. aufzuhalten und sonstiges, dafür keine client firewall.... auber auf Antiviren gebiet find ich die schon recht krass. Auch Applikations Kontrolle kann man da gleich mit aktivieren... also ziemlich vieles...
Dann machs doch folgendermaßen:
1 PC der durch Firewall Daten auf FTP hochladen darf, exact die IP und Port gibste frei.
Dann daten transferieren. Fremden USB Stick >> niemals an einem der Produktiven PCs anschließen.
Es gibt wohl krasse Schädlinge die auf Hardware Basis das BIOS angreifen, kannst den PC dannach quasi in die tonne werfen im ernstfall...
da hilft auch keine anti viren software oder sonst was.....
Ansonsten antiviren schutz >>
Sophos Endpoint Protection
und übliche Verdächtige wie Symantec Endpoint protection, Kaspersky, usw...
Nur Sophos Enpoint Protection ist schon krass >> haben mechanismus um verschlüsselungstrojaner z.B. aufzuhalten und sonstiges, dafür keine client firewall.... auber auf Antiviren gebiet find ich die schon recht krass. Auch Applikations Kontrolle kann man da gleich mit aktivieren... also ziemlich vieles...
Hallo
Wir haben das über eine Provaia datenschleuse gelöst diese besteht aus einem gehärteten Linux mit 2-4 Virenschutzprogrammen.
Nach dem Scan kann man die Daten dann zum Beispiel auf ein Netzlaufwerk kopieren. Zum sperren der USB Ports nutzen wir egosecure diese Software kann sich mit der datenschleuse Koppel.
Das ganze BSI zertifiziert
Wir haben das über eine Provaia datenschleuse gelöst diese besteht aus einem gehärteten Linux mit 2-4 Virenschutzprogrammen.
Nach dem Scan kann man die Daten dann zum Beispiel auf ein Netzlaufwerk kopieren. Zum sperren der USB Ports nutzen wir egosecure diese Software kann sich mit der datenschleuse Koppel.
Das ganze BSI zertifiziert
Hallo,
sind denn die Dateiformate einheitlich?
Du könntest einen PC mit Skript nehmen.
Der prüft den USB-Stick und kopiert dann nur die erwünschten Daten auf das intere LAN.
Stefan
sind denn die Dateiformate einheitlich?
Du könntest einen PC mit Skript nehmen.
Der prüft den USB-Stick und kopiert dann nur die erwünschten Daten auf das intere LAN.
Stefan
Moin,
Separater Laptop mit USB-Buchse und UMTS/LTE.
USB-Stick in Laptop stecken, Stick prüfen mit lokaler Software und/oder mit c't Desinfect von CD
Dateien öffnen und Aktivitäten beobachten
Dateien schließen
Dateien bei Virustotal hochladen und prüfen
Dateien per E-Mail über UMTS/LTE an Euer System schicken
In eurem System prüft dann ggf. die UTM und die lokale Schutzsoftware nochmal.
Ein gebrauchter Laptop findet sich.
c't Desinfect gibt es online für 4.50 EUR
https://shop.heise.de/katalog/ct-12-2016
Ein UMTS/LTE-Stick + Datenkarte gibt's auch für kleines Geld.
Die Einrichtung kostet noch mal Zeit oder Geld - je nach dem wer es macht.
Aber alles in Summe kostet deutlich weniger, als ein aktiv werdender Virus.
Und jeder weiß, ALLES FREMDE und ALLE Sticks, die das Haus mal verlassen haben oder fremdgegangen sind, müssen an den Läppi und Beichte ablegen.
Gruß
Separater Laptop mit USB-Buchse und UMTS/LTE.
USB-Stick in Laptop stecken, Stick prüfen mit lokaler Software und/oder mit c't Desinfect von CD
Dateien öffnen und Aktivitäten beobachten
Dateien schließen
Dateien bei Virustotal hochladen und prüfen
Dateien per E-Mail über UMTS/LTE an Euer System schicken
In eurem System prüft dann ggf. die UTM und die lokale Schutzsoftware nochmal.
Ein gebrauchter Laptop findet sich.
c't Desinfect gibt es online für 4.50 EUR
https://shop.heise.de/katalog/ct-12-2016
Ein UMTS/LTE-Stick + Datenkarte gibt's auch für kleines Geld.
Die Einrichtung kostet noch mal Zeit oder Geld - je nach dem wer es macht.
Aber alles in Summe kostet deutlich weniger, als ein aktiv werdender Virus.
Und jeder weiß, ALLES FREMDE und ALLE Sticks, die das Haus mal verlassen haben oder fremdgegangen sind, müssen an den Läppi und Beichte ablegen.
Gruß
Hi.
"Der USB-Stick wird vom Verkäufer angesteckt und der Virus freut sich..." - worüber freut sich der Virus? Es passiert erst einmal gar nichts, wenn ein Stick angesteckt wird, der eine verseuchte Datei enthält. Startet man diese Datei, wird der Virenscanner diese eh scannen. Habt ihr auf dem Schleusen-PC denn vor, mehrere Virenscanner einzusetzen, also tatsächlich anders zu scannen, als auf den Mitarbeiter-PCs?
Du könntest generell erst einmal verbieten, Executables von Sticks überhaupt auszuführen, siehe https://getadmx.com/?Category=Windows_7_2008R2&Policy=Microsoft.Poli ...
"Der USB-Stick wird vom Verkäufer angesteckt und der Virus freut sich..." - worüber freut sich der Virus? Es passiert erst einmal gar nichts, wenn ein Stick angesteckt wird, der eine verseuchte Datei enthält. Startet man diese Datei, wird der Virenscanner diese eh scannen. Habt ihr auf dem Schleusen-PC denn vor, mehrere Virenscanner einzusetzen, also tatsächlich anders zu scannen, als auf den Mitarbeiter-PCs?
Du könntest generell erst einmal verbieten, Executables von Sticks überhaupt auszuführen, siehe https://getadmx.com/?Category=Windows_7_2008R2&Policy=Microsoft.Poli ...
Vielen Dank für die vielen Anregungen.
Ich werd mal schauen, wie wir das zukünftig umsetzen werden.
Möglicherweise wird es tatsächlich auf einen isolierten Rechner hinauslaufen, der auch im Bedarfsfall schnell wieder neu aufgesetzt ist.
Per USB noch nen Drucker ran und die Dokumente können gleich ausgedruckt werden.
Alle im Netz befindlichen Rechner bekommen USB-Verbot
Ich werd mal schauen, wie wir das zukünftig umsetzen werden.
Möglicherweise wird es tatsächlich auf einen isolierten Rechner hinauslaufen, der auch im Bedarfsfall schnell wieder neu aufgesetzt ist.
Per USB noch nen Drucker ran und die Dokumente können gleich ausgedruckt werden.
Alle im Netz befindlichen Rechner bekommen USB-Verbot
Ick freu mir !!
Keine Tastatur, keine Maus - weil alle USB-Ports mit Kleber geschützt sind. Endlich mal ein ruhiger Tag im Büro....
Keine Tastatur, keine Maus - weil alle USB-Ports mit Kleber geschützt sind. Endlich mal ein ruhiger Tag im Büro....
So isses ;)
