/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Er en PocketPC med WLAN forbundet -> PC = ~
Fra : Povl H. Pedersen


Dato : 27-11-04 09:50

Jeg har haft lidt diskussion med en kollega. Jeg mener at en
PocketPC (som en high-end Compaq iPaq) med WLAN, Bluetooth og USB
uddør en trussel mod en virksomheds netværk når den forbindes
(med kabel eller eksempelvis BlueTooth) til en stationær ubeskytte
PC på virksomhedens netværk.

Har jeg ret ? Er der en reelt trussel ? Skal man stille øgede
krav til PC'ere hvortil der sluttes sådant udstyr (personlig firewall,
også inde på virksomhedens netværk) ? Andet der skal med i
overvejelser ?

Kan man få en iPaq til at route IP trafik mellem WLAN/BT/USB ?
Hvor let er det ? (bare et enkelt flag der skal sættes, eller skal
den have et sykke proxy-agtigt software ?)

Vi tillader ikke i dag WLAN adaptere i maskiner der ikke er særligt
hærdede og låst ned. Er vi for paranoide, eller bare fornuftige ?
--
Povl H. Pedersen - NoSpam@my.terminal.dk (yes - it works)
Fastnet - IP telefoni: 5 kr/md Se http://www.musimi.dk

 
 
Alex Holst (28-11-2004)
Kommentar
Fra : Alex Holst


Dato : 28-11-04 18:31

Povl H. Pedersen wrote:
> Kan man få en iPaq til at route IP trafik mellem WLAN/BT/USB?

Det kraever noget software der kan staa for at forwarde pakkerne, men
jeg kan i hvert fald sagtens faa min iPAQ til at hoppe paa et wireless
net mens den staar i sin cradle.

> Vi tillader ikke i dag WLAN adaptere i maskiner der ikke er særligt
> hærdede og låst ned. Er vi for paranoide, eller bare fornuftige ?

Det er meget almindeligt at forbyde andre aktive forbindelser naar der
er hul ind til corp.net. Tidligere var man mest bekymret over modems
installeret paa arbejdsstationer, saa blev det brugerens lokalnet ved en
VPN forbindelse og nu er andre enheder ved at blive et muligt problem.

I det hele taget ser jeg intet uhensigtsmaessigt i kun at tillade
godkendte enheder i tilladte konfigurationer at koble sig op paa interne
netvaerk.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Povl H. Pedersen (28-11-2004)
Kommentar
Fra : Povl H. Pedersen


Dato : 28-11-04 21:54

In article <41aa0b38$0$177$edfadb0f@dtext02.news.tele.dk>, Alex Holst wrote:
> Povl H. Pedersen wrote:
>> Kan man få en iPaq til at route IP trafik mellem WLAN/BT/USB?
>
> Det kraever noget software der kan staa for at forwarde pakkerne, men
> jeg kan i hvert fald sagtens faa min iPAQ til at hoppe paa et wireless
> net mens den staar i sin cradle.

Men hvor meget software ? Er det bare at sætte et IP forwarding flag ?

>> Vi tillader ikke i dag WLAN adaptere i maskiner der ikke er særligt
>> hærdede og låst ned. Er vi for paranoide, eller bare fornuftige ?
>
> Det er meget almindeligt at forbyde andre aktive forbindelser naar der
> er hul ind til corp.net. Tidligere var man mest bekymret over modems
> installeret paa arbejdsstationer, saa blev det brugerens lokalnet ved en
> VPN forbindelse og nu er andre enheder ved at blive et muligt problem.
>
> I det hele taget ser jeg intet uhensigtsmaessigt i kun at tillade
> godkendte enheder i tilladte konfigurationer at koble sig op paa interne
> netvaerk.

Nej, men hvor hårde kan man være overfor bærbare ? Ofte vil
brugere af disse have den som legetøj, og vil ikke acceptere at
de ikke kan installere hjemmebank og andet snavs. Det er klart at
vi eransvarlige for software på maskinerne, så måske et par skriftlige
advarsler til folk med ikke-autoriseret software vil gøre det lidt
lettere at styre de bærbare.

--
Povl H. Pedersen - NoSpam@my.terminal.dk (yes - it works)
Fastnet - IP telefoni: 5 kr/md Se http://www.musimi.dk

Alex Holst (29-11-2004)
Kommentar
Fra : Alex Holst


Dato : 29-11-04 04:33

Povl H. Pedersen <povlhp@povl-h-pedersens-computer.local> wrote:
> In article <41aa0b38$0$177$edfadb0f@dtext02.news.tele.dk>, Alex Holst wrote:
> > Det kraever noget software der kan staa for at forwarde pakkerne, men
> > jeg kan i hvert fald sagtens faa min iPAQ til at hoppe paa et wireless
> > net mens den staar i sin cradle.
>
> Men hvor meget software ? Er det bare at saette et IP forwarding flag ?

Saa vidt jeg kan forstaa, skal forwarding support bygges ind i Windows
CE med Platform Builder og er ikke umiddelbart tilgaengeligt paa de
fleste PDAer.

Jeg vil tro at Windows CE SDK har et bedre svar, men jeg har ikke haft
tid til at kigge paa det endnu. Det kan hentes gratis fra microsoft.com

> Nej, men hvor harde kan man vaere overfor baerbare ? Ofte vil
> brugere af disse have den som legetoj, og vil ikke acceptere at
> de ikke kan installere hjemmebank og andet snavs. Det er klart at
> vi eransvarlige for software pa maskinerne, sa maske et par skriftlige
> advarsler til folk med ikke-autoriseret software vil gore det lidt
> lettere at styre de baerbare.

Mjah, det kraever naturligvis at nogen oppefra har sagt god for den
slags, men det antager jeg egenligt at du godt er klar over.

Hvis I indsamler audit logs fra maskinerne kan du bruge Windows'
muligheder for at logge access til .exe filer og paa den maade se hvad
der bliver koert paa maskinerne i jeres organisation.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Povl H. Pedersen (29-11-2004)
Kommentar
Fra : Povl H. Pedersen


Dato : 29-11-04 18:29

In article <ushq72-4h4.ln1@miracle.mongers.org>, Alex Holst wrote:
> Povl H. Pedersen <povlhp@povl-h-pedersens-computer.local> wrote:
>> In article <41aa0b38$0$177$edfadb0f@dtext02.news.tele.dk>, Alex Holst wrote:
>> > Det kraever noget software der kan staa for at forwarde pakkerne, men
>> > jeg kan i hvert fald sagtens faa min iPAQ til at hoppe paa et wireless
>> > net mens den staar i sin cradle.
>>
>> Men hvor meget software ? Er det bare at saette et IP forwarding flag ?
>
> Saa vidt jeg kan forstaa, skal forwarding support bygges ind i Windows
> CE med Platform Builder og er ikke umiddelbart tilgaengeligt paa de
> fleste PDAer.
>
> Jeg vil tro at Windows CE SDK har et bedre svar, men jeg har ikke haft
> tid til at kigge paa det endnu. Det kan hentes gratis fra microsoft.com

OK. En anden trussel er også at folk opgraderer til Linux.

>> Nej, men hvor harde kan man vaere overfor baerbare ? Ofte vil
>> brugere af disse have den som legetoj, og vil ikke acceptere at
>> de ikke kan installere hjemmebank og andet snavs. Det er klart at
>> vi eransvarlige for software pa maskinerne, sa maske et par skriftlige
>> advarsler til folk med ikke-autoriseret software vil gore det lidt
>> lettere at styre de baerbare.
>
> Mjah, det kraever naturligvis at nogen oppefra har sagt god for den
> slags, men det antager jeg egenligt at du godt er klar over.

Ja. Det er jeg klar over. Den politiske er planlagt på et fremtidigt
møde tilstrækkeligt højt oppe. Men det koster penge at skifte en bærbar
ud med 2x stationær (en legemaskine hjemme + en arbejdsPC), og den bærbare
har ikke tydeligt fremstået som en gratis hjemmePC.

Har mest lyst til at låse dem, og kun tillade godkendte apps. Men
det er svært, da det som regel er folk højere oppe som har bærbare.
Og så er der "mellemklassen" som er rodehovederne.

--
Povl H. Pedersen - NoSpam@my.terminal.dk (yes - it works)
Fastnet - IP telefoni: 5 kr/md Se http://www.musimi.dk

Søg
Reklame
Statistik
Spørgsmål : 177577
Tips : 31968
Nyheder : 719565
Indlæg : 6409068
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste