svenguenter
Goto Top

Tor im Netzwerk

Hallo,

eine Frage die mich aus akuten Grund sehr Interessiert. In unserem Unternehmen müssen wir aus programmtechnischen Gründen den Usern Adminrechte geben.
Nun scheint jemand Tor (Privoxy) genutzt zu haben, da unsere Firmenip irgendwo aufgeschlagen ist. Wie kann ich Tor und (JAP) verbieten und oder herausbekommen wer Tor genutzt hat.


Gruß

Sven Günter

Content-ID: 107337

Url: https://administrator.de/forum/tor-im-netzwerk-107337.html

Ausgedruckt am: 22.12.2024 um 10:12 Uhr

Logan000
Logan000 28.01.2009 um 09:56:37 Uhr
Goto Top
Moin Moin

...oder herausbekommen wer Tor genutzt hat.
Sowohl TOR als auch JAP werden wohl eine .EXE haben. Such diese und verhau den lokalen Admin des PCs auf dem du fündig wirst.

Gruß L.
Driver401
Driver401 28.01.2009 um 09:58:07 Uhr
Goto Top
Dazu müsste man ein wenig mehr über Euer Netzwerk wissen. Linux/Unix - Großrechner - oder einfach Windowss? face-wink

Naja, sollte es Windows sein (wozu sollten User auch sonst Adminrechte brauchen), würde ich Einschränkungen über Gruppenrichtlinien vornehmen. Admin oder nicht spielt dabei keine Rolle, solange die Adminrechte nicht soweit gehen, die Domäne zu ändern und somit auch die Policies.

Herauszubekommen, wer Tor benutzt hat, dürfte schwierig werden, da ich davon ausgehe daß die Benutzung nirgendwo protokolliert ist. Die Benutzung selbst hinterlässt meines Wissens auch keine Spuren - allerhöchstens noch in temporären Dateien des Browsers - falls diese nicht gelöscht wurden. Vielleicht hat derjenige aber auch ein Lesezeichen gesetzt......

BTW, wenn Du solche Spezialisten hast, solltest Du auch ein Auge auf Fernadmin-Tools wie z.B. den Teamviewer haben. Das ist noch viel gefährlicher als ein anonymer Inernetzugang.

Gruß
Jürgen

Edit: Sorry, Tor ist ja eine Client-Server-Sache - natürlich hat Logan recht, da muss es eine EXE geben.... da war ich zu voreilig.
SvenGuenter
SvenGuenter 28.01.2009 um 10:00:06 Uhr
Goto Top
Haben wir schon. Augenscheinlich scheint er schön brav zu installieren und zu deinstallieren. Somit könnte oder kann man nur was finden wenn er es installiert hat. Da aber ein dauerhaftes scannen aller Maschinen nicht in Frage kommt ist das leider keine alternative. Deswegen meine Frage an die Adminspezies, wie man da was suchen oder protokollieren kann. Gibt es Ports die man dichtmachen kann damit Tor nicht mehr klappt?
SvenGuenter
SvenGuenter 28.01.2009 um 10:02:31 Uhr
Goto Top
Es ist eine Windowsumgebung.
Wie muss ich die Gruppenrichtlinien denn anpassen bzw. die Policies das sowas wie Tor nicht mehr genutzt werden kann?
seTTembrinY
seTTembrinY 28.01.2009 um 10:46:56 Uhr
Goto Top
Hallo Sven,

lies mal hier: http://www.windowsnetworking.com/articles_tutorials/Software-Restrictio ...

Aber dass ist auch keine wirkliche Lösung, es wird immer am Filenamen bzw Pfad festgemacht. Bei soviel Kreativität Deiner User finden die schnell heraus dass sie das File nur umbennen oder umkopieren müssen.

Ich würde es eher komplett anderst angehen. Mach doch an Deiner Firewall einfach den 80 und 443 zu und erlaube es nur für einen Proxyserver den alle benutzen müssen. Und in den dortigen Logfiles findest Du dann den Verursacher bzw kannst auch über Regeln den Zugriff auf Tor verbieten.

Gruß,
Sven
SvenGuenter
SvenGuenter 28.01.2009 um 11:51:42 Uhr
Goto Top
Wie kann ich in den Logs des Proxy den Verursacher erkennen? Soviel ich weiß macht Tor doch ncihts andres als über Port 80 eine Verbindung auf einen TOr Server zu machen. Dort wird dann die angeforderte Seite geholt und wieder zurückgeleitet. Das einzige was ich in den Verbindungen im Proxy zu sehen bekomme ist das dort Port 80 Connectiopns aufgebaut wurden.


Gruß

Sven
45877
45877 28.01.2009 um 13:05:43 Uhr
Goto Top
man kann tor/privoxy ja vom usb stick starten, dann wird man auch schlecht die exe finden können. es gibt blacklists mit den aktuellen tor server, wenn man die blockt sollte es auch vorbei sein mit dem anonymen surfen in der firma.
Gagarin
Gagarin 28.01.2009 um 13:11:21 Uhr
Goto Top
Und du solltest die IP des Tor Entry Servers sehen. Was sagt denn euer FW und IDS log?

Wie meinst du eigentlich das eigentlich wenn du sagst das ihr aus programmtechnischen Gruenden den Usern Adminrechte geben musst?

Aus IT-Sicherheitstechnischer sicht ist so ein Netzwerk nicht sicher zu bekommen. Und da ist die Benutzung von TOR noch das kleinste Problem.

Fast jedes Programm laesst sich mit ein bisschen Muehe dazu bewegen das es auch unter eingeschraenkten Rechten laeuft.
Logan000
Logan000 28.01.2009 um 13:28:10 Uhr
Goto Top
Moin

Wie meinst du eigentlich das eigentlich wenn du sagst das ihr aus programmtechnischen Gruenden den Usern Adminrechte geben musst?
Fast jedes Programm laesst sich mit ein bisschen Muehe dazu bewegen das es auch unter eingeschraenkten Rechten laeuft.
Stimmt. aber manchmal ist nicht das Programm das Problem sondern die Tätigkeit.
Programmierung und Administration haben doch immer mind. Zugriff auf ein Lokalen AdminAccount.

Gruß L.
Gagarin
Gagarin 28.01.2009 um 13:33:31 Uhr
Goto Top
@Logan000

Da hast du natuerlich vollkommen recht aber ich wuerde meinen Admins auf die Finger hauen wenn selbige sich unter Adminrechten im Internet bewegen. Dazu gibt es keinen Grund.

Und desweiteren, ein Admin der TOR auf einem Firmenrechner installiert gehoert entlassen.
45877
45877 28.01.2009 um 14:08:30 Uhr
Goto Top
Zitat von @Gagarin:
@Logan000


Und desweiteren, ein Admin der TOR auf einem Firmenrechner
installiert gehoert entlassen.

Dafür kann es ja auch gute Gründe geben.
51705
51705 28.01.2009 um 20:45:26 Uhr
Goto Top
Zitat von @Gagarin:
... ein Admin der TOR auf einem Firmenrechner installiert gehoert entlassen.

Warum?
DerWoWusste
DerWoWusste 28.01.2009 um 23:13:39 Uhr
Goto Top
@ seTTembrinY
es wird immer am Filenamen bzw Pfad festgemacht
stimmt doch gar nicht. Hashregeln gibt es auch.
DerWoWusste
DerWoWusste 28.01.2009 um 23:20:52 Uhr
Goto Top
Wenn eine Software Restriction Policy zu hart zu administrieren scheint (wenn nicht, sollte das die Lösung sein), dann überleg doch, wie man Installationen sichtbar machen kann. Du kannst das Windowsverzeichnis überwachen (auditing auf Schreibzugriffe), das ist schonmal ein Anfang. Generell solltest Du die Leute unterschreiben lassen, dass sie die Adminrechte nur zu einem bestimmten Zweck bekommen haben und die Rechner abgesehen davon weiterhin nicht von ihnen zu verwalten sind.

Über Szenarien wie "aus programmtechnischen Gründen den Usern Adminrechte geben" kann man lange philosophieren, aber Du bietest hier keinen Ansatz. Wäre es denkbar, dass (falls es nur ein paar Programme sind), Du diese über runas startest (Batch mit eingespeichertem Kennwort [sanur oder verschlüsselt runasspc]) und das Konto generell schwach bleibt?
Driver401
Driver401 29.01.2009 um 09:26:21 Uhr
Goto Top
Letztendlich ist es inzwischen doch egal ob der User Adminrechte hat oder nicht - es gibt genügend Software-Tools für Möchtegernadmins, die die Sicherheitspolicy eines Netzwerks aushebeln können - und sei es nur weil es ein unbedarfter User nur mal ausprobieren will. Ich sag nur Teamviewer. Das Ding ist unter normalen Benutzerrechte (auch vom USB-Stick) zu starten und ermöglicht Vollzugriff aufs Netz von draussen - durch sämtliche Firewalls hindurch.

Da helfen letztendlich auch die schriftlichen Policies nichts, die der User unterschreibt und die ihm arbeitsrechtliche Konsequenzen androhen. Es wird immer den ein oder andren geben, der sich nicht dran hält - ganz abgesehen vom absichtlichen Einsatz solcher Tools zu Spionagezwecken o.ä..

Was generell fehlt ist eine vernünftige Möglichkeit, solche unnütze Software - sei es Teamviewer oder Tor oder was auch immer - im Netzwerk gar nicht erst zuzulassen. Soweit ich weiß, gibt es mit M$-Bordmitteln keinen einfach-administrierbaren Weg dafür. Von Sophos scheint es da was zu geben (Application Discovery in Verbindung mit Enterprise Endpoint) aber getestet hab ich es auch noch nicht.

siehe auch
Fernwartung wie z.B. Teamviewer, Netviewer, etc. wie kann man das in einem Unternehmen unterbinden
... wir werden das immer wieder diskutieren solange es keine vernünftige Lösung gibt, die Ausführung von nicht zugelassener Software zu unterbinden.

Gruß
Jürgen
Logan000
Logan000 29.01.2009 um 11:57:25 Uhr
Goto Top
Moin Moin
Zitat von @Driver401:
Letztendlich ist es inzwischen doch egal ob der User Adminrechte hat
oder nicht ....
Wa? Das ist jetzt nicht dein Ernst oder?

Ich bin mir zwar sicher das man es nicht total verhindern kann aber ein guter Ansatz ist die Einfallstore dicht zumachen.
D.h. per GPO Zugriff auf alle Lokalen LW (Hdd, CD/DVD, USB) verweigern und nur die Netz LW freigeben die der User benötigt.

Gruß L.
Gagarin
Gagarin 29.01.2009 um 13:08:37 Uhr
Goto Top
@425
Ohje... ich fasse es nicht
Ich muss mich da L. leider voellig anschliessen.

Wenn ich mein Netz und meine Betriebssysteme nich dicht mache dann habe ich einfach verloren.

Es ist moeglich sich auch admin rechte zu verschaffen aber ich muss es doch so schwer wie moeglich machen.

Ein Einbruch ist moeglich, dafuer brauche ich nur ein Brecheisen, aber dennoch schliese ich doch meine Tuer ab.

Es ist definitiv nicht egal was fuer eine Rechtestruktur vorherrscht. Wenn man seinen Usern volle Rechte gibt handelt man entweder grob fahrlaessig oder man ist faul.

Desweiteren wuerde ich mir ernsthaft sorgen machen wenn ich den Verkehr von bestimmten Anwendungen nicht unterbinden kann. Auch Teamviewer kann man blocken.
Driver401
Driver401 29.01.2009 um 13:34:16 Uhr
Goto Top
Halt... da habt ihr mich jetzt falsch verstanden!

Natürlich werde ich einen Teufel tun und meinen Usern Adminrechte geben... ich wollte damit lediglich deutlich machen, daß bereits ein "normaler" User ohne Adminrechte entsprechende Programme ausführen kann und das ist die momentan sich immer stärker entwickelnde Gefahr!

Selbstverständlich muss man sein Netz, respektive den Rechner entsprechend dicht machen.
Allerdings ist das eben nur begrenzt möglich. USB deaktivieren klingt ja toll, aber es geht doch schon los, daß man immer mehr USB-Arbeitsplatzdrucker hat. Viele User brauchen für ihre Arbeit ein CD oder DVD-Laufwerk. Zugriff auf lokales Laufwerk verweigern? Auch das geht nur in begrenztem Maße.
Es gibt nicht immer Systemumgebungen wo das alles so leicht zu beschränken ist. Oder anders gefragt - wo geht das schon?

Und Teamviewer blocken mag schon gehen - indem ich den Server dieser Firma blocke. Diesen und jeden anderen von irgendwelcher derartiger Software, die derzeit zu haben ist. Hast Du das alles gemacht? Nein? Aha. Hatte ich bislang auch nicht....
Tor macht da keine Ausnahme - klar kannste über Blacklists die Server sperren, aber wie schnell sind die veraltet?
Ich bin nach wie vor der Meinung, man muss das anders angehen.

Jürgen
Gagarin
Gagarin 29.01.2009 um 13:57:37 Uhr
Goto Top
Wer sagt denn das man USB komplett deaktivieren soll? Es langt schon wenn man einfach bestimmte Kopiervorgaenge oder Aufrufe von ausfuehrbar Dateien vom Wechseldatentraeger blockt.

Unser Proxy blockt die Anwendung Teamviewer nebst Derivate nicht nur die IP. Der Rest wird von unserem IDS erkannt und dann werden unsere Proxyregeln demnach angepasst.

Die Firma fuer die ich arbeiten darf operiert Weltweit. Diese Umgebung ist hochkomplex aber auch diese kann man so anpassen, um nicht einschraenken zu sagen, das sie halbwegs sicher ist.

IT Security wird immer noch mehr als Stiefmuetterlich behandelt. Das ist das eigentlich Problem.
Driver401
Driver401 29.01.2009 um 14:12:24 Uhr
Goto Top
Zitat von @Gagarin:
IT Security wird immer noch mehr als Stiefmuetterlich behandelt. Das
ist das eigentlich Problem.

Da geb ich Dir absolut recht.
DerWoWusste
DerWoWusste 29.01.2009 um 20:27:22 Uhr
Goto Top
@Driver401/Jürgen
Was generell fehlt ist eine vernünftige Möglichkeit, solche unnütze Software ... im Netzwerk gar nicht erst zuzulassen. Soweit ich weiß, gibt es mit M$-Bordmitteln keinen einfach-administrierbaren Weg dafür
Nach einem einfachen Weg darfst Du hier nicht fragen. Selbstverständlich ist diese Aufgabe eine der schwersten. Mit Bordmitteln kannst Du eine Whitelist, eine "nur-die-dürfen"-Liste erstellen und an Hashwerte von den Dateien kleben. Was willst Du mehr? Das für die Ausnahmen und das Pflegen derselben erheblicher administrativer (Dauer-)Aufwand angesagt ist, ist klar wie Kloßbrühe. Aber so läuft doch ein hart administriertes Netzwerk: Sicherheit hoch, Adminaufwand hoch, Funktionalität gering. Eingesetzte Software bekommt immer zuerst der Admin zu sehen (denn sonst läuft diese dank der Whitelist eh nicht).
Driver401
Driver401 30.01.2009 um 09:25:19 Uhr
Goto Top
Zitat von @DerWoWusste:
Nach einem einfachen Weg darfst Du hier nicht fragen.
Selbstverständlich ist diese Aufgabe eine der schwersten.

Ach, ich finde schon daß ich das darf. Ich bin jemand, der Arbeiten ungern doppelt macht. Ich hinterfrage halt auch gerne die Anforderungen mit einem "Wieso" und "Warum" und nehmen nicht alles einfach als gegeben hin.
Deshalb frage ich hier eben:
Wieso muss jeder Admin das Rad neu erfinden und sich selbst irgendeine Lösung zusammenpfriemeln. Oder wie gesagt, den Adminaufwand entsprechend hoch ansetzen.
Wieso ist diese Aufgabe eine der schwersten? Muss das so sein?
Wieso gibt es keine einfache Möglichkeit, die eingesetzte ausgeführte Software im Netzwerk zu erlauben/verbieten.
Doch, gibt es schon - aber eben von Drittanbietern - (und wie die genau funktionieren kann ich aufgrund fehlender Testmöglichkeit derzeit nicht beurteilen).

btw, ich habe über GPO die Ausführung bestimmter Programme verboten - aber ich habe nirgendwo im Netz eine Liste gefunden, die ich als Hilfe dazunehmen könnte - und sei es nur um den korrekten Namen der jeweiligen Programmdatei einzutragen.
Inwieweit das jetzt ein Schutz ist, sei mal dahingestellt - aber ich muss mich doch wundern, daß es da nix fertiges gibt - daß das alles so umständlich sein muss.

Jürgen
DerWoWusste
DerWoWusste 30.01.2009 um 18:25:37 Uhr
Goto Top
aber ich muss mich doch wundern, daß es da nix fertiges gibt - daß das alles so umständlich sein muss.
DA wunder ich mich nicht. Software ist dynamisch (Updates/neue versionen kommen doch alle naslang). und der einzig gute Schutz ist die Hashregel. Wie soll die nun vorgefertigt funktionieren, wer hält diese Vorlage auf Stand? Das muß der Admin selbst machen.