Suche Pfw Für Roadwarrior!
#1
geschrieben 06. Juli 2006 - 21:03
Zum Thema:
Aus der Historie entstanden nutzen unsere RoadWarrior Symantec Client Security 3.0 zur Absicherung der Rechner. Das Symantec PFW nicht jederman "Geschmack" ist setze ich jetzt einfach mal voraus und mir liegt das Ding auch recht schwer im Magen. Für die, die Client Security nicht kennen - ist wie die "normale" PFW von Symantec, aber über eine Serversoftware vorkonfigurierbar und administriebar.
Im Grunde funktioniert das so: RoadWarrior PFW kennt verschiedene Profile. Diese können aufgrund von Gateway-MAC-Adressen oder vielen anderen Lokalitäten definiert werden. Steck der Nutzer also das Netzwerkkabel in einer vertrauensvollen vordefinierten Umgebung ein, so gilt ein Regelwerk hierfür. Ist er unterwegs in anderen bekannten Netzen dann gilt ein anderes Profil und wenn das Netzwerk völlig unbekannt ist, gibt es immernoch ein Default Profil.
Damit wird auch beim parallelen Zugriff in mehrere Netze immer das richtige Regelwerk getroffen - ohne zutun des Nutzer. Man kann dem Nutzer dabei auch alle Rechte entziehen, so dass nur die vordefinierten Regeln gelten.
Warum ich überlege die Lizenzen zu verlängern:
- Sehr Ressourcenfressend
- Es gibt ab und zu "komische" Situationen die nur durch einen Neustart zu lösen sind
- Wenn man dem Nutzer das Recht gibt die Regeln zu erweitern und das Adminregelwerk aktualisiert so können beide Regeln nicht migriert werden - das Adminregelwerk überschreibt alles gnadenlos.
- Das Adminproblem ist recht unflexibel und schlecht zu administrieren zum Abrufen der aktuellen Status einer Firewall
Daher die Frage....welche Erfahrungen habt ihr mit Enterprise-PFWs und was würdert ihr empfehlen?
Anzeige
#3
geschrieben 07. Juli 2006 - 06:12
#4
geschrieben 07. Juli 2006 - 07:56
#5
geschrieben 07. Juli 2006 - 16:56
Zitat (shiversc: 07.07.2006, 09:56)
Ich dreh mich im Kreis?
Die Notebooknutzer (RoadWarrior) fahren zwischen verschiedenen (dritten) Standorten und loggen sich in das lokale Netz ein. Damit obliegt die Absicherung des Netzwerkes nicht unserer Gewalt. Ergo -> man benötigt andere Mittel sich zu schützen.
Ich hoffe Du verstehst mich jetzt klaren, damit wir nicht im Kreis drehen
#6
geschrieben 07. Juli 2006 - 20:11
Zitat (PaxTrax: 07.07.2006, 17:56)
Die Notebooknutzer (RoadWarrior) fahren zwischen verschiedenen (dritten) Standorten und loggen sich in das lokale Netz ein. Damit obliegt die Absicherung des Netzwerkes nicht unserer Gewalt. Ergo -> man benötigt andere Mittel sich zu schützen.
Ich hoffe Du verstehst mich jetzt klaren, damit wir nicht im Kreis drehen
soviel zum Thema selbsternannte Experten tja soll auch Firmen geben die Notebooks einsetzen weil die Mitarbeiter unterwegs sind und nicht nur weils Stilischer ist
es gibt sicher im Netz Tests wo man verschiedenste Desktop Firewalls testet und gegenüberstellt (-> http://www.tecchanne...herheit/402411/ ), du kannst dir ja mal Outpost anschaun (von Agnitum)
there never was to be
but i made a sacrifice
in the cause o f liberty
You have your normal lifes to live
and thats as it should be
for you have some leisure time
please pause and think of me.
#7 _Breaker_
geschrieben 07. Juli 2006 - 20:14
Benutzerrechte helfen auch dabei, schau am besten mal hier im Sicherheitsforum hier in die Stickys, da ist alles recht gut beschrieben.
#8
geschrieben 07. Juli 2006 - 20:16
ich würde prüfen mit welchen aufwand man ipsec oder vpn nutzen könnte. da weiß man was man hat.
aber vl hat noch jemand anders eine idee für dein problem.
#9
geschrieben 07. Juli 2006 - 20:39
Zitat (shiversc: 07.07.2006, 21:16)
ich würde prüfen mit welchen aufwand man ipsec oder vpn nutzen könnte. da weiß man was man hat.
aber vl hat noch jemand anders eine idee für dein problem.
er ist vielleicht nur der, der es umsetzen soll und nicht der Entscheidungsträger man sollte nicht glauben was für unfähige Leute in Führungspositionen im IT Berich unterwegs sind
there never was to be
but i made a sacrifice
in the cause o f liberty
You have your normal lifes to live
and thats as it should be
for you have some leisure time
please pause and think of me.
#10
geschrieben 07. Juli 2006 - 20:48
Zitat (Breaker: 07.07.2006, 22:14)
Benutzerrechte helfen auch dabei, schau am besten mal hier im Sicherheitsforum hier in die Stickys, da ist alles recht gut beschrieben.
Im Grunde gebe ich Dir absolut Recht. Wenn man die Dienste auf das notwendigste reduziert und die Benutzerrechte entsprechend anpasst, dann ist man auf der sicheren Seite.
Doch hier kommt das Problem:
Die Leute die den Rechner bedienen kennen sich nicht so sehr mit der Materie aus und die Dienste werden in einem Netzwerk benötigt, im anderen dürfen sie aber nicht aktiv werden. Auch lassen sich die Rechte nicht ortsabhängig definieren. Daher ist der Einsatz einer PFW mit Profilen die der Admin bestimmt (und damit den Nutzer hierbei entlastet) für diesen Zweck eine sinnvolle Maßnahme.
Ich möchte dieses Thema ob oder ob nicht auch vermeiden. Mir geht es prinzipell um Alternativen der oben genannten Software.
Danke
@shiversc:
VIelleicht verstehen wir uns hier falsch. Es geht nicht darum in unsicheren Netzwerken eine Verbindung nach Hause per VPN etc. aufzubauen, sondern aktiv in fremden Netzen zu arbeiten. Nur soll dies möglichst vordefiniert mit Hilfe einer PFW geschehen (beschriben siehe weiter in diesem Post). Daher bringt der Einsatz von VPN/IPSec an dieser Stelle leider keine Abhilfe.
@schrämp:
So in der Art
Dieser Beitrag wurde von PaxTrax bearbeitet: 07. Juli 2006 - 20:49
#11
geschrieben 07. Juli 2006 - 22:07
Zitat
Welche Dienste werden in einem Netzwerk benötigt und im anderen nicht?
Wenn die Leute keine Ahnung haben sollen sie sich an jemanden wenden, der damit Ahnung hat, für was gibt es den Dienstleistung.
(Marco Gercke)
#12
geschrieben 07. Juli 2006 - 22:17
Zitat (ShadowHunter: 08.07.2006, 00:07)
Wenn die Leute keine Ahnung haben sollen sie sich an jemanden wenden, der damit Ahnung hat, für was gibt es den Dienstleistung.
Teilweise selbst geschriebene und teils Windows Dienste. Dabei sind teilweise die Nutzer parallel in mehreren Netzen. Darum geht es an dieser Stelle aber nicht! Und die Leute sind ja nicht da sich mit Sicherheit von WIndowssystemen zu befassen. Wir fangen wirklich langsam uns auf der Stelle zu drehen.
Meine Frage war: Welche anderen zentral administriebaren PFW kennt ihr und könnt ihr empfehlen/nicht empfehlen?
Dieser Beitrag wurde von PaxTrax bearbeitet: 07. Juli 2006 - 22:39
#13
geschrieben 07. Juli 2006 - 22:20
da ich den nutzen eine pfw nicht erkennen kann, steige ich an dieser stelle aus.
#14
geschrieben 07. Juli 2006 - 22:20
Dafür sind ja andere da.
Ich versteh nur nicht, warum du dich scheinbar so wehrst gegen Alternativen zur Verwendung dieser PFW?!
(Marco Gercke)
#15
geschrieben 07. Juli 2006 - 22:48
Zitat (ShadowHunter: 08.07.2006, 00:20)
Mir fehlen ganz einfach die Alternativen. Stell Dir vor du hast einen Mitarbeiter der als Entwickler tätig ist und verschiedene Programme für andere schreibt. Dabei kommen die verschiedensten Protokolle und Dienste zum Einsatz. Dieser Mitarbeiter mag ein super Programmierer sein, der alle Freiheiten des Systems benötigt (u.a. auch Admin-Rechte), aber er ist kein SIcherheitsexperte. Dieser Mitarbeiter ist jetzt in verschiedensten Firmen mit für uns verschiedenen Vertrauensstufen unterwegs (innerhalb des Netzwerkes).
Mein Ziel ist nun eine Zwischenschicht einzusetzen, die diese Vertrauensstufe in Form vom Profilen/Filtern zum Ausdruck bringt und zentral administrierbar macht (geht auch wunderbar in Gruppen). So habe ich die Möglichkeit nur Programme mit dem vorher registrierten Hash Zugriff auf das Netzwerk mit Gateway MAC xxxxxxxxxxxx zu geben, oder auch den Firmen Rechte auf z.B. Web Services zu gewähren. Das muß aber unabhängig vom Mitarbeiter zu realisieren sein. Diese gerade beschriebene Zwischenschicht ist meine PFW. Sie ist da um Firehole und Co. Parole zu bieten oder im Internet alle Attacken abzuhalten, aber sie soll mit einer zentrale definierten Whitelist nur Dinge nach draußen/rein lassen die ich bestimme.
Welche komfortablen Alternativen habe ich da - ganz ehrlich?