WinFuture-Forum.de: Suche Pfw Für Roadwarrior! - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
  • 2 Seiten +
  • 1
  • 2

Suche Pfw Für Roadwarrior!


#1 Mitglied ist offline   PaxTrax 

  • Gruppe: aktive Mitglieder
  • Beiträge: 39
  • Beigetreten: 21. Februar 02
  • Reputation: 0

geschrieben 06. Juli 2006 - 21:03

Stop! Ich kenne die Einstellung vieler "Sicherheitsexperten" hier im Forum und was ich nicht benötige sind Aussagen, dass man einfach mal die Dienste deaktiviert etc. - danke.

Zum Thema:
Aus der Historie entstanden nutzen unsere RoadWarrior Symantec Client Security 3.0 zur Absicherung der Rechner. Das Symantec PFW nicht jederman "Geschmack" ist setze ich jetzt einfach mal voraus und mir liegt das Ding auch recht schwer im Magen. Für die, die Client Security nicht kennen - ist wie die "normale" PFW von Symantec, aber über eine Serversoftware vorkonfigurierbar und administriebar.

Im Grunde funktioniert das so: RoadWarrior PFW kennt verschiedene Profile. Diese können aufgrund von Gateway-MAC-Adressen oder vielen anderen Lokalitäten definiert werden. Steck der Nutzer also das Netzwerkkabel in einer vertrauensvollen vordefinierten Umgebung ein, so gilt ein Regelwerk hierfür. Ist er unterwegs in anderen bekannten Netzen dann gilt ein anderes Profil und wenn das Netzwerk völlig unbekannt ist, gibt es immernoch ein Default Profil.

Damit wird auch beim parallelen Zugriff in mehrere Netze immer das richtige Regelwerk getroffen - ohne zutun des Nutzer. Man kann dem Nutzer dabei auch alle Rechte entziehen, so dass nur die vordefinierten Regeln gelten.

Warum ich überlege die Lizenzen zu verlängern:
- Sehr Ressourcenfressend
- Es gibt ab und zu "komische" Situationen die nur durch einen Neustart zu lösen sind
- Wenn man dem Nutzer das Recht gibt die Regeln zu erweitern und das Adminregelwerk aktualisiert so können beide Regeln nicht migriert werden - das Adminregelwerk überschreibt alles gnadenlos.
- Das Adminproblem ist recht unflexibel und schlecht zu administrieren zum Abrufen der aktuellen Status einer Firewall

Daher die Frage....welche Erfahrungen habt ihr mit Enterprise-PFWs und was würdert ihr empfehlen?
0

Anzeige



#2 _Breaker_

  • Gruppe: Gäste

geschrieben 07. Juli 2006 - 05:58

Ipcop?
0

#3 Mitglied ist offline   PaxTrax 

  • Gruppe: aktive Mitglieder
  • Beiträge: 39
  • Beigetreten: 21. Februar 02
  • Reputation: 0

geschrieben 07. Juli 2006 - 06:12

Beitrag anzeigenZitat (Breaker: 07.07.2006, 07:58)

Ipcop?

IPCop für jedes Notebook? Ich versteh Deinen Ansatz jetzt leider überhaupt nicht. Kannst du das bitte etwas erläutern?
0

#4 Mitglied ist offline   shiversc 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.713
  • Beigetreten: 27. März 03
  • Reputation: 26
  • Geschlecht:Männlich
  • Interessen:IT-Systeme

geschrieben 07. Juli 2006 - 07:56

nein damit war gemeint das netzwerk an sich zu sichern. leider sind wir aber schon gleich an den punkt angelangt über den du mit den "experten" nicht reden wolltest. von daher drehst du dich nur im kreis.
Admin akbar
0

#5 Mitglied ist offline   PaxTrax 

  • Gruppe: aktive Mitglieder
  • Beiträge: 39
  • Beigetreten: 21. Februar 02
  • Reputation: 0

geschrieben 07. Juli 2006 - 16:56

Beitrag anzeigenZitat (shiversc: 07.07.2006, 09:56)

nein damit war gemeint das netzwerk an sich zu sichern. leider sind wir aber schon gleich an den punkt angelangt über den du mit den "experten" nicht reden wolltest. von daher drehst du dich nur im kreis.

Ich dreh mich im Kreis? :(

Die Notebooknutzer (RoadWarrior) fahren zwischen verschiedenen (dritten) Standorten und loggen sich in das lokale Netz ein. Damit obliegt die Absicherung des Netzwerkes nicht unserer Gewalt. Ergo -> man benötigt andere Mittel sich zu schützen.

Ich hoffe Du verstehst mich jetzt klaren, damit wir nicht im Kreis drehen ;(
0

#6 Mitglied ist offline   schrämp 

  • Gruppe: aktive Mitglieder
  • Beiträge: 525
  • Beigetreten: 09. März 06
  • Reputation: 0
  • Wohnort:/dev/full

geschrieben 07. Juli 2006 - 20:11

Beitrag anzeigenZitat (PaxTrax: 07.07.2006, 17:56)

Ich dreh mich im Kreis? :D

Die Notebooknutzer (RoadWarrior) fahren zwischen verschiedenen (dritten) Standorten und loggen sich in das lokale Netz ein. Damit obliegt die Absicherung des Netzwerkes nicht unserer Gewalt. Ergo -> man benötigt andere Mittel sich zu schützen.

Ich hoffe Du verstehst mich jetzt klaren, damit wir nicht im Kreis drehen ;)


soviel zum Thema selbsternannte Experten ;) tja soll auch Firmen geben die Notebooks einsetzen weil die Mitarbeiter unterwegs sind und nicht nur weils Stilischer ist :)

es gibt sicher im Netz Tests wo man verschiedenste Desktop Firewalls testet und gegenüberstellt (-> http://www.tecchanne...herheit/402411/ ), du kannst dir ja mal Outpost anschaun (von Agnitum)
I will never have what others have
there never was to be
but i made a sacrifice
in the cause o f liberty

You have your normal lifes to live
and thats as it should be
for you have some leisure time
please pause and think of me.

0

#7 _Breaker_

  • Gruppe: Gäste

geschrieben 07. Juli 2006 - 20:14

Was spricht gegen eine korrekte Konfiguration der Dienste, um von vornherein keine Angriffsfläche zu bieten?
Benutzerrechte helfen auch dabei, schau am besten mal hier im Sicherheitsforum hier in die Stickys, da ist alles recht gut beschrieben.
0

#8 Mitglied ist offline   shiversc 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.713
  • Beigetreten: 27. März 03
  • Reputation: 26
  • Geschlecht:Männlich
  • Interessen:IT-Systeme

geschrieben 07. Juli 2006 - 20:16

ich stell mir jetzt die frage ob der aufwand den du betreibst überhaupt nötig ist. diese frage stelle ich mir! ich kenne aber nicht die infastruktur des netzwerkes.

ich würde prüfen mit welchen aufwand man ipsec oder vpn nutzen könnte. da weiß man was man hat.

aber vl hat noch jemand anders eine idee für dein problem.
Admin akbar
0

#9 Mitglied ist offline   schrämp 

  • Gruppe: aktive Mitglieder
  • Beiträge: 525
  • Beigetreten: 09. März 06
  • Reputation: 0
  • Wohnort:/dev/full

geschrieben 07. Juli 2006 - 20:39

Beitrag anzeigenZitat (shiversc: 07.07.2006, 21:16)

ich stell mir jetzt die frage ob der aufwand den du betreibst überhaupt nötig ist. diese frage stelle ich mir! ich kenne aber nicht die infastruktur des netzwerkes.

ich würde prüfen mit welchen aufwand man ipsec oder vpn nutzen könnte. da weiß man was man hat.

aber vl hat noch jemand anders eine idee für dein problem.


er ist vielleicht nur der, der es umsetzen soll und nicht der Entscheidungsträger :D man sollte nicht glauben was für unfähige Leute in Führungspositionen im IT Berich unterwegs sind
I will never have what others have
there never was to be
but i made a sacrifice
in the cause o f liberty

You have your normal lifes to live
and thats as it should be
for you have some leisure time
please pause and think of me.

0

#10 Mitglied ist offline   PaxTrax 

  • Gruppe: aktive Mitglieder
  • Beiträge: 39
  • Beigetreten: 21. Februar 02
  • Reputation: 0

geschrieben 07. Juli 2006 - 20:48

Beitrag anzeigenZitat (Breaker: 07.07.2006, 22:14)

Was spricht gegen eine korrekte Konfiguration der Dienste, um von vornherein keine Angriffsfläche zu bieten?
Benutzerrechte helfen auch dabei, schau am besten mal hier im Sicherheitsforum hier in die Stickys, da ist alles recht gut beschrieben.

Im Grunde gebe ich Dir absolut Recht. Wenn man die Dienste auf das notwendigste reduziert und die Benutzerrechte entsprechend anpasst, dann ist man auf der sicheren Seite.

Doch hier kommt das Problem:
Die Leute die den Rechner bedienen kennen sich nicht so sehr mit der Materie aus und die Dienste werden in einem Netzwerk benötigt, im anderen dürfen sie aber nicht aktiv werden. Auch lassen sich die Rechte nicht ortsabhängig definieren. Daher ist der Einsatz einer PFW mit Profilen die der Admin bestimmt (und damit den Nutzer hierbei entlastet) für diesen Zweck eine sinnvolle Maßnahme.
Ich möchte dieses Thema ob oder ob nicht auch vermeiden. Mir geht es prinzipell um Alternativen der oben genannten Software.

Danke

@shiversc:
VIelleicht verstehen wir uns hier falsch. Es geht nicht darum in unsicheren Netzwerken eine Verbindung nach Hause per VPN etc. aufzubauen, sondern aktiv in fremden Netzen zu arbeiten. Nur soll dies möglichst vordefiniert mit Hilfe einer PFW geschehen (beschriben siehe weiter in diesem Post). Daher bringt der Einsatz von VPN/IPSec an dieser Stelle leider keine Abhilfe.

@schrämp:
So in der Art :D

Dieser Beitrag wurde von PaxTrax bearbeitet: 07. Juli 2006 - 20:49

0

#11 Mitglied ist offline   ShadowHunter 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.199
  • Beigetreten: 31. August 04
  • Reputation: 1

geschrieben 07. Juli 2006 - 22:07

Zitat

Die Leute die den Rechner bedienen kennen sich nicht so sehr mit der Materie aus und die Dienste werden in einem Netzwerk benötigt, im anderen dürfen sie aber nicht aktiv werden.

Welche Dienste werden in einem Netzwerk benötigt und im anderen nicht?
Wenn die Leute keine Ahnung haben sollen sie sich an jemanden wenden, der damit Ahnung hat, für was gibt es den Dienstleistung.
"Wir können Regierungen nicht trauen, wir müssen sie kontrollieren"
(Marco Gercke)
0

#12 Mitglied ist offline   PaxTrax 

  • Gruppe: aktive Mitglieder
  • Beiträge: 39
  • Beigetreten: 21. Februar 02
  • Reputation: 0

geschrieben 07. Juli 2006 - 22:17

Beitrag anzeigenZitat (ShadowHunter: 08.07.2006, 00:07)

Welche Dienste werden in einem Netzwerk benötigt und im anderen nicht?
Wenn die Leute keine Ahnung haben sollen sie sich an jemanden wenden, der damit Ahnung hat, für was gibt es den Dienstleistung.

Teilweise selbst geschriebene und teils Windows Dienste. Dabei sind teilweise die Nutzer parallel in mehreren Netzen. Darum geht es an dieser Stelle aber nicht! Und die Leute sind ja nicht da sich mit Sicherheit von WIndowssystemen zu befassen. Wir fangen wirklich langsam uns auf der Stelle zu drehen.

Meine Frage war: Welche anderen zentral administriebaren PFW kennt ihr und könnt ihr empfehlen/nicht empfehlen?

Dieser Beitrag wurde von PaxTrax bearbeitet: 07. Juli 2006 - 22:39

0

#13 Mitglied ist offline   shiversc 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.713
  • Beigetreten: 27. März 03
  • Reputation: 26
  • Geschlecht:Männlich
  • Interessen:IT-Systeme

geschrieben 07. Juli 2006 - 22:20

achso, ja ich denke da verstehen wir uns falsch...
da ich den nutzen eine pfw nicht erkennen kann, steige ich an dieser stelle aus. :D
Admin akbar
0

#14 Mitglied ist offline   ShadowHunter 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.199
  • Beigetreten: 31. August 04
  • Reputation: 1

geschrieben 07. Juli 2006 - 22:20

Das glaub ich dir ja, dass müssten die Leute ja auch nicht :D
Dafür sind ja andere da.
Ich versteh nur nicht, warum du dich scheinbar so wehrst gegen Alternativen zur Verwendung dieser PFW?!
"Wir können Regierungen nicht trauen, wir müssen sie kontrollieren"
(Marco Gercke)
0

#15 Mitglied ist offline   PaxTrax 

  • Gruppe: aktive Mitglieder
  • Beiträge: 39
  • Beigetreten: 21. Februar 02
  • Reputation: 0

geschrieben 07. Juli 2006 - 22:48

Beitrag anzeigenZitat (ShadowHunter: 08.07.2006, 00:20)

Ich versteh nur nicht, warum du dich scheinbar so wehrst gegen Alternativen zur Verwendung dieser PFW?!

Mir fehlen ganz einfach die Alternativen. Stell Dir vor du hast einen Mitarbeiter der als Entwickler tätig ist und verschiedene Programme für andere schreibt. Dabei kommen die verschiedensten Protokolle und Dienste zum Einsatz. Dieser Mitarbeiter mag ein super Programmierer sein, der alle Freiheiten des Systems benötigt (u.a. auch Admin-Rechte), aber er ist kein SIcherheitsexperte. Dieser Mitarbeiter ist jetzt in verschiedensten Firmen mit für uns verschiedenen Vertrauensstufen unterwegs (innerhalb des Netzwerkes).

Mein Ziel ist nun eine Zwischenschicht einzusetzen, die diese Vertrauensstufe in Form vom Profilen/Filtern zum Ausdruck bringt und zentral administrierbar macht (geht auch wunderbar in Gruppen). So habe ich die Möglichkeit nur Programme mit dem vorher registrierten Hash Zugriff auf das Netzwerk mit Gateway MAC xxxxxxxxxxxx zu geben, oder auch den Firmen Rechte auf z.B. Web Services zu gewähren. Das muß aber unabhängig vom Mitarbeiter zu realisieren sein. Diese gerade beschriebene Zwischenschicht ist meine PFW. Sie ist da um Firehole und Co. Parole zu bieten oder im Internet alle Attacken abzuhalten, aber sie soll mit einer zentrale definierten Whitelist nur Dinge nach draußen/rein lassen die ich bestimme.

Welche komfortablen Alternativen habe ich da - ganz ehrlich?
0

Thema verteilen:


  • 2 Seiten +
  • 1
  • 2

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0