|
| Opnåelig sikkerhed på bærbar computer? Fra : Martin Nielsen |
Dato : 29-04-04 21:53 |
|
Hej med jer,
Forestil jer, at I har en række bærbare computere på et nætværk. Netværket
er i øvrigt beskyttet af firewall, IDS, antivirus etc., men I oplever nu et
behov for at benytte de bærbare udenfor netværket - dels koblet sammen med
kollegaer i hubs eller krydsede kabler (og derfor delt til "gud og hver
mand", og måske til 'everyone'!!), men der er også behov hos brugerne for at
tilgå webmail etc. via en GIVEN internetopkobling.
Lyder farligt, yes - indrømmet!
Der er i øvrigt antivirus, samt en "ny-udviklet" firewall, der scanner og
spærer centralt for porte, protokoller og windows-processer. Herudover kan
særskilte IP trustes og blockes (er desværre ikke pt. voldsomt bekendt med
disse private firewall's, så jeg ved ikke om nævnte funktionalitet er som
andre).
Som jeg ser det "mangler" der så en funktionalitet, hvor der trustes på
MAC-adresser, hvilket der desværre ikke er i firewall-klienten. Hvis dette
var tilfældet, ville dette så, efter jeres mening være et setup, jeg skulle
turde sætte i live?
Spørg hvis der mangler informationer.
Martin
| |
Alex Holst (29-04-2004)
| Kommentar Fra : Alex Holst |
Dato : 29-04-04 22:20 |
|
Martin Nielsen wrote:
> Hej med jer,
>
> Forestil jer, at I har en række bærbare computere på et nætværk. Netværket
> er i øvrigt beskyttet af firewall, IDS, antivirus etc., men I oplever nu et
> behov for at benytte de bærbare udenfor netværket - dels koblet sammen med
> kollegaer i hubs eller krydsede kabler (og derfor delt til "gud og hver
> mand", og måske til 'everyone'!!), men der er også behov hos brugerne for at
> tilgå webmail etc. via en GIVEN internetopkobling.
>
> Lyder farligt, yes - indrømmet!
Hvorfor skal disse laptops kobles sammen med andre maskiner: as in, hvad
skal de tilgaa eller dele ud af? Hvor stort antal drejer det sig om?
Hvis du f.eks. stopper alle netvaerksservices paa dine laptops, er der
ikke noget ud over TCP stacken at angribe, og saa kan man ellers proeve
at komme ind saa tosset man vil. Brugeren kan stadigt benytte sine
applikationer.
Jeg ved ikke hvorfor du blander MAC adresser ind i problemet, men det
goer det i hvert fald svaerere at forstaa hvad du gerne vil opnaa.
Hvorfor er det relevant hvordan dit netvaerk er beskyttet mod udefra
kommende trusler, naar du vil koble laptops paa andre netvaerk og
bagefter slaebe dem ind paa dit eget netvaerk igen?
Er din primaere bekymring, at disse laptops slaeber orme med ind paa
netvaerket igen? Er der andre bekymringer?
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
Martin Nielsen (29-04-2004)
| Kommentar Fra : Martin Nielsen |
Dato : 29-04-04 22:46 |
|
"Alex Holst" <a@mongers.org> skrev i en meddelelse
news:40917161$0$162$edfadb0f@dtext02.news.tele.dk...
>
> Hvorfor skal disse laptops kobles sammen med andre maskiner: as in, hvad
> skal de tilgaa eller dele ud af? Hvor stort antal drejer det sig om?
>
Kollegaer skal sidde hos kunder og kobles sammen via hub (uden øvrig
netværk) for at dele filer og appl. Derfor må 192.168.x.x og 169. trustes.
Dette gør så, at når en kollega i anden for bindelse kobler sig på
internettet via hjemmenettet, så kan lille ole eller andre på samme
hjemmenet / kundes net se shares.
> Hvis du f.eks. stopper alle netvaerksservices paa dine laptops, er der
> ikke noget ud over TCP stacken at angribe, og saa kan man ellers proeve
> at komme ind saa tosset man vil. Brugeren kan stadigt benytte sine
> applikationer.
Måske jeg ikke helt forstår dig. Stoppes disse services kan man vel hverken
tilgå hinanden (bærbare imellem) eller tilgå internettet "ude-fra"?
> Jeg ved ikke hvorfor du blander MAC adresser ind i problemet, men det
> goer det i hvert fald svaerere at forstaa hvad du gerne vil opnaa.
> Hvorfor er det relevant hvordan dit netvaerk er beskyttet mod udefra
> kommende trusler, naar du vil koble laptops paa andre netvaerk og
> bagefter slaebe dem ind paa dit eget netvaerk igen?
Jeg vil gerne have en "skal" rundt om den bærbare. Kun de MAC-adresser, der
er trustede må overhovedet kommunikere TIL. Når det er "accepteret", så
kommer 2. level i form af process-styringen etc.
> Er din primaere bekymring, at disse laptops slaeber orme med ind paa
> netvaerket igen? Er der andre bekymringer?
Ja, orme, vira etc. Men også effektiv spærring for andres "browsing" på
computeren / tyveri / manipulation etc.
| |
Alex Holst (29-04-2004)
| Kommentar Fra : Alex Holst |
Dato : 29-04-04 23:15 |
|
Martin Nielsen wrote:
> Måske jeg ikke helt forstår dig. Stoppes disse services kan man vel hverken
> tilgå hinanden (bærbare imellem) eller tilgå internettet "ude-fra"?
Korrekt. Man *kan* saa lade vaere med at stoppe de services der er behov
for, og benytte et IP filter til kun at tillade forbindelser fra en
bestemt netrange, til nogle bestemte porte. Men det er en rodet
loesning, synes jeg. (Formuleringen "at dele filer og appl" kan desuden
betyde lidt af hvert).
Personligt ville jeg fokusere paa at faa defineret sikkerhedskravene
meget mere praecist end beskrevet i dit indlaeg.
Derefter ville jeg interviewe brugerene og se dem arbejde, saa jeg helt
praecist forstaar hvad de har behov for at dele naar de er hos kunder.
Det lader til, at deres arbejdsmetoder skal revideres paa visse punkter.
> Jeg vil gerne have en "skal" rundt om den bærbare. Kun de MAC-adresser, der
> er trustede må overhovedet kommunikere TIL. Når det er "accepteret", så
> kommer 2. level i form af process-styringen etc.
Jeg tror at pengene brugt til administration af MAC adresser er langt
bedre brugt paa undervisning af brugerne, isaer fordi MAC adresser kan
spoofes og maskiner med lovlig adgang kan brydes ind i.
God traening holder laengere.
>>Er din primaere bekymring, at disse laptops slaeber orme med ind paa
>>netvaerket igen? Er der andre bekymringer?
>
> Ja, orme, vira etc. Men også effektiv spærring for andres "browsing" på
> computeren / tyveri / manipulation etc.
Een ting ad gangen. At blive inficeret af en orme og faa sin laptop
stjaalet er to forskellige trusler, der skal loeses paa hver sin vis.
1. Definer sikkerhedskravene.
2. Lav en punktopstillet liste over praecist *hvad* brugerne har behov
for at kunne (ikke *hvordan* de goer tingene nu).
3. Lav et punktopstillet liste over de trusler der vil vaere mod deres
behov.
4. Udarbejd loesninger og procedurer der undgaar de trusler.
Vi kan faktisk kun hjaelpe dig med punkt 3, og kun hvis vi har indsigt i
punkt 1 og 2. Usenet virker ikke som et passende sted til den slags
opgaver. Koeb en sikkerhedsraadgiver i en halv dag, og I skulle vaere
godt paa vej.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
Martin Nielsen (30-04-2004)
| Kommentar Fra : Martin Nielsen |
Dato : 30-04-04 15:05 |
|
"Alex Holst" <a@mongers.org> skrev i en meddelelse
news:40917e72$0$177$edfadb0f@dtext02.news.tele.dk...
> Korrekt. Man *kan* saa lade vaere med at stoppe de services der er behov
> for, og benytte et IP filter til kun at tillade forbindelser fra en
> bestemt netrange, til nogle bestemte porte. Men det er en rodet
> loesning, synes jeg. (Formuleringen "at dele filer og appl" kan desuden
> betyde lidt af hvert).
Der ville i så fald være tale om at åbne for netbios porte til en ip-range,
som givet (også) vil kunne eksistere på et andet (fx. trådløst) netværk. Den
løsning er jeg (heller) ikke meget for. Der er tale om deling af database
(CaseWare - revisionsprogram) og heri liggende Office-filer.
> Personligt ville jeg fokusere paa at faa defineret sikkerhedskravene
> meget mere praecist end beskrevet i dit indlaeg.
>
> Derefter ville jeg interviewe brugerene og se dem arbejde, saa jeg helt
> praecist forstaar hvad de har behov for at dele naar de er hos kunder.
> Det lader til, at deres arbejdsmetoder skal revideres paa visse punkter.
Du kan sige, at jeg er i designfasen, for din forslåede proces er vi nu
igennem. Jeg har navlet det ind til få systematiserede arbejdsprocesser, fra
en hel del "anerkistiske" måder at arbejde på.
> Jeg tror at pengene brugt til administration af MAC adresser er langt
> bedre brugt paa undervisning af brugerne, isaer fordi MAC adresser kan
> spoofes og maskiner med lovlig adgang kan brydes ind i.
> God traening holder laengere.
Vejledning, træning, oplysning, retningslinier. Det er absolut vigtigt -
enig, men - måske jeg er paranoid - jeg føler mig ikke sikker, når en bruger
"nemt" kan oprette et windows-share, der er delt til everyone, endda så let
som ingenting. Fleksibilitet koster på IT-sikkerheden, men hvis der kunne
udformes et sikkerheds-design, hvor der først og fremmest var lukket for
alle "derude" - selv når man var på et offentligt hotspot, så var der så
(næsten) kun de interne IT-sikkerheds-brister at tage sig af.
Er det da "let" at spoofe en MAC-adresse?
> Een ting ad gangen. At blive inficeret af en orme og faa sin laptop
> stjaalet er to forskellige trusler, der skal loeses paa hver sin vis.
>
> 1. Definer sikkerhedskravene.
>
> 2. Lav en punktopstillet liste over praecist *hvad* brugerne har behov
> for at kunne (ikke *hvordan* de goer tingene nu).
>
> 3. Lav et punktopstillet liste over de trusler der vil vaere mod deres
> behov.
>
> 4. Udarbejd loesninger og procedurer der undgaar de trusler.
>
>
> Vi kan faktisk kun hjaelpe dig med punkt 3, og kun hvis vi har indsigt i
> punkt 1 og 2. Usenet virker ikke som et passende sted til den slags
> opgaver. Koeb en sikkerhedsraadgiver i en halv dag, og I skulle vaere
> godt paa vej.
>
Sikkerhedsrådgiverne er bestilt! Jeg forhører mig blot om jeres mening om
designet. Jeg er ikke indehaver af detailviden udi de fineste tekniske
aspekter i IT-sikkerhed - det køber jeg mig til, men jeg har da - nu før
designet skal udformes og besluttes endelig, ideer og meninger.
| |
Kasper Dupont (30-04-2004)
| Kommentar Fra : Kasper Dupont |
Dato : 30-04-04 15:39 |
|
Martin Nielsen wrote:
>
> Er det da "let" at spoofe en MAC-adresse?
Ja: ifconfig eth0 hw ether 00:03:ce:89:0b:47
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
/* Would you like fries with that? */
| |
Bertel Lund Hansen (30-04-2004)
| Kommentar Fra : Bertel Lund Hansen |
Dato : 30-04-04 18:00 |
|
Kasper Dupont skrev:
>> Er det da "let" at spoofe en MAC-adresse?
>Ja: ifconfig eth0 hw ether 00:03:ce:89:0b:47
Og på en Windowssystem skal man blot i den relevante boks angive
en 'netværksadresse' - lidt forvirrende betegnelse skulle jeg
hilse og sige, men det er en virtuel MAC-adresse.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Kasper Dupont (30-04-2004)
| Kommentar Fra : Kasper Dupont |
Dato : 30-04-04 05:39 |
|
Martin Nielsen wrote:
>
> "Alex Holst" <a@mongers.org> skrev i en meddelelse
> news:40917161$0$162$edfadb0f@dtext02.news.tele.dk...
> >
> > Hvorfor skal disse laptops kobles sammen med andre maskiner: as in, hvad
> > skal de tilgaa eller dele ud af? Hvor stort antal drejer det sig om?
> >
>
> Kollegaer skal sidde hos kunder og kobles sammen via hub (uden øvrig
> netværk) for at dele filer og appl. Derfor må 192.168.x.x og 169. trustes.
> Dette gør så, at når en kollega i anden for bindelse kobler sig på
> internettet via hjemmenettet, så kan lille ole eller andre på samme
> hjemmenet / kundes net se shares.
Jeg tror ikke et netværksfilsystem er den bedste løsning i den
situation. En FTP server, hvor der logges ind med brugernavn og
password ville nok være mere passende. Men desværre er der jo
mange FTP servere, som har en elendig record. Under alle
omstændigheder ville jeg være mest tryg ved, at serveren kører
under et seperat brugerid, som kun har adgang til de filer, der
skal kunne tilgås via FTP serveren. Evt. sættes maskinen op, så
man manuelt skal starte FTP serveren, når den skal bruges.
>
> Ja, orme, vira etc. Men også effektiv spærring for andres "browsing" på
> computeren / tyveri / manipulation etc.
I tilfælde af tyveri har du brug for tre ting:
1) Diskkryptering, så uvedkommende ikke kan læse indholdet af
harddisken.
2) En backup, så du ikke mister data.
3) En forsikring, så du ikke har udgift til en ny computer.
Vær opmærksom på, i hvilke tilfælde forsikringen dækker.
Når du skriver manipulation, hvad tænker du så helt specifikt på?
Og har dine laptops brug for at tilgå virksomhedens netværk
udefra? I så fald har du også brug for en VPN klient.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
/* Would you like fries with that? */
| |
Martin Nielsen (30-04-2004)
| Kommentar Fra : Martin Nielsen |
Dato : 30-04-04 15:19 |
|
> Jeg tror ikke et netværksfilsystem er den bedste løsning i den
> situation. En FTP server, hvor der logges ind med brugernavn og
> password ville nok være mere passende. Men desværre er der jo
> mange FTP servere, som har en elendig record. Under alle
> omstændigheder ville jeg være mest tryg ved, at serveren kører
> under et seperat brugerid, som kun har adgang til de filer, der
> skal kunne tilgås via FTP serveren. Evt. sættes maskinen op, så
> man manuelt skal starte FTP serveren, når den skal bruges.
>
Man vil nødvendigvis kunne få tilslutning til en FTP-server, når man sidder
hos kunder. I hvert fald, som vores setup er nu. Men tak for ideen.
> >
> > Ja, orme, vira etc. Men også effektiv spærring for andres "browsing" på
> > computeren / tyveri / manipulation etc.
>
> I tilfælde af tyveri har du brug for tre ting:
> 1) Diskkryptering, så uvedkommende ikke kan læse indholdet af
> harddisken.
> 2) En backup, så du ikke mister data.
> 3) En forsikring, så du ikke har udgift til en ny computer.
> Vær opmærksom på, i hvilke tilfælde forsikringen dækker.
>
> Når du skriver manipulation, hvad tænker du så helt specifikt på?
>
Indtil videre, har vi ikke de bærbare på et "eksternt" netværk, så vi har
bla. af denne grund ikke diskkryptering. Er det muligt at lade alle brugere
af et Windows-domæne have adgang på dette "niveau" til alle lokale diske,
således at kun de vil kunne accesse et windows-share, selvom sharet er delt
til fx. everyone?
Bliver computeren stjålet, trækker jeg på skulderen Det er data, der er
det vigtige - forsikringen (hardware) er der styr på. Bliver data stjålet
(og her tænker jeg på fortroligheden), så er det (rigtig, rigtig) skidt.
> Og har dine laptops brug for at tilgå virksomhedens netværk
> udefra? I så fald har du også brug for en VPN klient.
Visse har VPN, men det er ret tungt at hente og afvikle filer fra netværket.
Har faktisk tænkt på om Citrix vil hjælpe mig. Data er centralt, forbindelse
er krypteret, ingen behov for deling af lokale drev, strong auth. etc.
Eneste "krav" er så, at der skal være en farbar internetforbindelse....
| |
Kasper Dupont (30-04-2004)
| Kommentar Fra : Kasper Dupont |
Dato : 30-04-04 15:43 |
|
Martin Nielsen wrote:
>
> Indtil videre, har vi ikke de bærbare på et "eksternt" netværk, så vi har
> bla. af denne grund ikke diskkryptering.
Det giver overhovedet ingen mening. Diskkrypterings
primære opgave er at beskytte dine data i tilfælde af,
at maskinen bliver stjålet mens den er slukket. Når
maskinen er tændt og password er indtastet beskytter
diskkrypteringen ingenting, så hvis netværksopsætningen
er usikker vil en diskkryptering altså ikke beskytte
dine data.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use abuse@mk.lir.dk and kasperd@mk.lir.dk
/* Would you like fries with that? */
| |
Povl H. Pedersen (30-04-2004)
| Kommentar Fra : Povl H. Pedersen |
Dato : 30-04-04 22:14 |
|
In article <40916b03$0$464$edfadb0f@dread14.news.tele.dk>, Martin Nielsen wrote:
> Hej med jer,
>
> Forestil jer, at I har en række bærbare computere på et nætværk. Netværket
> er i øvrigt beskyttet af firewall, IDS, antivirus etc., men I oplever nu et
> behov for at benytte de bærbare udenfor netværket - dels koblet sammen med
> kollegaer i hubs eller krydsede kabler (og derfor delt til "gud og hver
> mand", og måske til 'everyone'!!), men der er også behov hos brugerne for at
> tilgå webmail etc. via en GIVEN internetopkobling.
>
> Lyder farligt, yes - indrømmet!
>
> Der er i øvrigt antivirus, samt en "ny-udviklet" firewall, der scanner og
> spærer centralt for porte, protokoller og windows-processer. Herudover kan
> særskilte IP trustes og blockes (er desværre ikke pt. voldsomt bekendt med
> disse private firewall's, så jeg ved ikke om nævnte funktionalitet er som
> andre).
>
> Som jeg ser det "mangler" der så en funktionalitet, hvor der trustes på
> MAC-adresser, hvilket der desværre ikke er i firewall-klienten. Hvis dette
> var tilfældet, ville dette så, efter jeres mening være et setup, jeg skulle
> turde sætte i live?
>
> Spørg hvis der mangler informationer.
Brug 802.1x - Så skal brugerne signe på dit netværk med en 802.1x
klient for at komme i et VLAN hvor de kan se centrale ressourcer.
Cisco er i gang med at lave noget med plugin moduler, så der ved logon
kan checkes om der eksempelvis er opdateret Anti-virus på klienten
--
Povl H. Pedersen - NoSpam@my.terminal.dk (yes - it works)
Get 5% discount on VMWare use discount/referral code: MRC-POVPED260
| |
|
|