08. februar 2006 - 18:47Der er
10 kommentarer og 2 løsninger
NETOP og sikkerheden i denne
Hvordan er jer andres erfaringer med sikkerheden i dette fjernstyringsprogram.
Her tænker jeg på et setup, hvor der sidder x antal helpdesk medarbejdere, en gateway server som står i lan miljø på helpdesk medarb. net. Denne gateway server står bag en firewall og skal kunne fjernadm forskellige host "overalt" på internettet. DVS. vilkårlige ipadresser.. (som dog ville kunne defineres) Der er denne "helpdesk website" som host pc kan hente en konfig konfiguration hos til den pågældende opkobling. Skal den rent sikkerhedsmæssigt være i helpdesk miljø eller er det ok at den er på en normal weebsite???
Hekt generelt udgør disse fjernadministrations værktøjer altid en sikkerhedstrudsel. en Evt hacker har brug for sådanne værktøjer for at kunne gøre det han ønsker, enten henter han dem selv op (på den ene eller den anden måde) eller også anvender han noget der allerede ligger der.
Med dit setup ville jeg kræve en stateful inspection firewall, helst en applikations proxy der kender netop's software. Alternativ køre tingene gennem en VPN tunnel og så altid lade tunnelen etablerer fra jeres net og ud og efter forudgående positiv validering af klienten i den anden ende. man må ikke kunne tilgå netop's software udefra
Det der er humlen er at tilsikre at forbindelsen etableres udefra, at man er sikker på hvem forbindelsen etableres til og at der er firewall funktionalitet der er avanceret nok til at kunne håndtere trafikken. Det er i sær vigtigt at beskytte adgangen til funktionaliteten når der ikke er nogen på arbejde.
Det er lidt lige som adgangskontrol. Når man har vagten og medarbejder på arbejde, så kan trafik forekomme, ellers ikke og selv i dagligdagen undersøges trafikken
For mig at se.. er der vel ikke de store problemer ( når jeg nævner at jeg ikke er i tvivl om at vores firewall er avanceret nok til at filtrere denne trafik. - skulle dog nok ændre standard portene som den bruger ?? og lægge disse port oplysninger i konfigfilerne, som host pc kan downloade)
Helpdesk medarbejderne skal jo gøre noget aktivt for at starte denne session ??
først bør konfigfilerne, som host pc skal downloade, beskyttes så kun de rigtige host får adgang til denne.
For det andet er det ikke nok at flytte porten, en portscanning finder stadig den nye port og at finde ud af hvad der kører bagved en åben port er ikke en umulig opgave.
Hvis helpdesk arbejderne skal gøre noget aktivt for at starte sessionen er du kommet langt hend af vejen, du skal dog stadig sørge for at applikationen er låst når helpdesk medarbejderne ikke er på.
Det hele afhænger dog af en trudselsvurdering og en risikovurdering. hvis der ikke er den store trudsel og ikke er den store risiko, så behøver du heller ikke gøre meget
Jeg havde forestillet mig at konfig filerne skal krypteres.. hvor stærkt de kan .. har jeg dog ikke lige undersøgt endnu og ved ikke hvad de kan give af problemer hos hostpc at de er krypteret.. som så er et andet aspekt....
Ja.. selvfølgelig har du ret i det med at scanne for åbne porte.. en tanke torsk herfra..
Dog vil jeg som udgangspunkt altid mene at det der er ment som værende et sikkert miljø altid kan og er sårbart og derfor også en risiko jeg skal tage alvorligt...!!
Jeg har tænkt mig at kontakte danware imorgen for at høre om der er noget specielt jeg kan gøre for at SIKRE mig at der ALTID skal gøres noget aktivt hos helpdesk for at aktivere sessionerne ( med mindre i andre har et godt tips til dette.) og til det andet er det nok i fremtiden noget der skal være tilgængeligt 24/7 og kan derfor ikke sætte nogle restræktioner op for tidsrummet..
Lyder fornuftigt og hvis konfigfilerne er krypterede, kan du faktisk med et private key/public key system sikre at kun autoriserede personer haf adgang til disse. Du gør det at du holder din public key inden for dørene og så fordeler denne på en sikker måde. Dette kan gøre s ved at afleverer den personlig (en key er en tekststreng der kan skrives på et stykke papir) eller sendes med post, eller e-mailes (hvis du ersikker på e-mail adressen og på at mail systemet ikke er kompromitteres. Du kan også SMS'se den til et mobil nummer og derer sikkert en række muligheder jeg ike har tænkt på.
Hvis filen er krypteret med din private nøgle kan kun din offentlige nøgle låse den op og hvis du har fat i hvem der har denne nøgle, så har du fat i hvem der kan åbne konfig filerne
Se på http://www.pgpi.org hvor pgp kan downloades. jeg mener at de ældre versioner er gratis ellers kan GNUpg det samme
Takker mange gange for input og gode råd indtil vidre.. Håber det er ok at jeg tildeler dig nogle velfortjente points når jeg i morgen er blevet noget mere klarsynet over denne sag / problemstilling vedr sikkerheden..
hvis du har flere tvivls punkter så vender du bare tilbage, har du behov for yderligere sikkerhed, så er der et par emner vi ikke rigtigt har berørt endnu, f.eks. mulighed for at placerer "netop serveren" (hvis man kan kalde den det) i DMZ og uddybende om brug af VPN
Jeg havde faktisk overvejet muligheden af DMZ.. men har ikke helt undersøgt perspektiverne heri... VPN er et område jeg er nødt til at høre noget mere detaljeret om.. Her er mit kendskab desværre for dårligt på nuværende tidspunkt..
DMZ er en god ide. Her kan du placerer "netop serveren" og på den måde sikre resten af dit net skulle den blive kompromitteret.
VPN er relativt let at sætte op, XP og Win2000 understøtter IPSec fra starten, der kan bruges til at beskytte punkt til punkt forbindelser. Desværre har IPSec NAT problemer så en anden mulighed kunne være PPTP som protokol, der er lidt ældre, men som alle Microsoft systemer understøtter. Her taler vi om VPN til at sikre forbindelsen, men også til at sikre at kun dem der kender pre-shared-key kan logge på via VPN og få adgang til fjern support
Det har kunne lade sig gøre at sætte det ret sikkert op.. både med filtrering af brugeraut. og det andet jeg nævner... Du får dine point velfortjent.. har desværre ikke så meget tid til at uddybe mit setup.. så hvis der er nogle der vil have det må I lige skrive og jeg vil vende tilbage til det..
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.