substyle 20 Geschrieben 18. März 2008 Melden Teilen Geschrieben 18. März 2008 Hi, ja ne p2p Liste mit Hashes ist was feines, vor allem wenn man es über php oder so macht, so dass keine doppelten Einträge entstehen. Daraus könnte man auch gleich ne fertige GPO Vorlage Scripten .. ach ne was wäre das scheen ;) Ich würde es unterstützen. Nebenbei, die IPCop Lösung benötig 20Min bis sie läuft. Also Mittagspause .. ähh .. welche Pause? .. kürzen .. subby Zitieren Link zu diesem Kommentar
guybrush 19 Geschrieben 18. März 2008 Autor Melden Teilen Geschrieben 18. März 2008 Hi, ja ne p2p Liste mit Hashes ist was feines, vor allem wenn man es über php oder so macht, so dass keine doppelten Einträge entstehen. Daraus könnte man auch gleich ne fertige GPO Vorlage Scripten .. ach ne was wäre das scheen ;) Ich würde es unterstützen. Nebenbei, die IPCop Lösung benötig 20Min bis sie läuft. Also Mittagspause .. ähh .. welche Pause? .. kürzen .. subby also stimmst du mir prinzipiell zu - ich dachte, dein beitrag geht mehr in die richtung: "ach, lasst den ****sinn, machts gleich meine lösung..." aber prinzipiell zum l7-filter: ist es möglich, ein "intermediate device" zwischen firewall/router und lan zu hängen, ohne dass ich an den gatewayeinstellungen o.ä. was ändern muss? da bei uns sehr viel über die wan-leitung in die aussenstellen läuft, wär das schon pipifein (das geht dann über meine linuxkenntnisse) Zitieren Link zu diesem Kommentar
firefox80 10 Geschrieben 18. März 2008 Melden Teilen Geschrieben 18. März 2008 also ich dreh auf meinem astaro gateway einfach den p2p blocker auf und ruhe is im netz ;) bei der zeit, die du da reinstecken willst, könnte sich ein astaro web gateway für dich ja auch schon rechnen... (ich kenne deine umgebung ja nicht) IM/P2P-Applikationskontrolle - Steuerung und Verwaltung der Zugriffs- und Verwendungsmöglichkeiten von IM/P2P-Applikationen, wie zum Beispiel Skype, um unerwünschte Kommunikationskanäle und fragwürdige Datenübertragungen zu unterbinden. Der Einsatz bestimmter Applikationen lässt sich auf spezifische IP-Adressen beschränken. Administratoren können sich von Fall zu Fall warnen lassen oder die Kommunikation komplett verbieten. Astaro Internet Security - Astaro Web Gateway - Anbieter von Unified Threat Management (UTM) Lösungen LG Zitieren Link zu diesem Kommentar
guybrush 19 Geschrieben 18. März 2008 Autor Melden Teilen Geschrieben 18. März 2008 die astaro kenn ich, ich hab sie von der version 5 bis 6.3.1 daheim laufen gehabt. nur ist das halt wieder eine budgetfrage. da bei uns jetzt die firewalls komplett redundant ausgestattet werden, ein nas kommt ins haus, vmware esx usw... -> da werd ich kein budget dafür bekommen. es ist ja nun keine offizielle anforderung der GL, sondern etwas, was ich realisieren möchte und dann sagen kann: "sodala, und jetzt hab ich einen blocker installiert, der unerwünschten p2p-traffic blockiert". ein schritt weiter zur amortisierung ;-) Zitieren Link zu diesem Kommentar
firefox80 10 Geschrieben 18. März 2008 Melden Teilen Geschrieben 18. März 2008 Tjo, die Dinger kosten einiges das ist klar. Astaro Security Gateways kann man übrigens auch redundant auslegen, aber so wies ausschaut, ist eure Entscheidung in dieser Richtung ja eh schon gefallen. Das Astaro Web Gateway wird erst ab nächstem Monat verkauft und ist für solche Situationen gedacht, wo es schon eine Firewall gibt. Unter 100 User sind die Dinger aber weniger interessant. Vielleicht interessiert die GL ja auch der Mehrnutzen für Virenfilter, URL-Filter, IM-Filter (evtl. Mail Filter bei ASG). Andere Idee: Ich habe hier ein paar Anwendungen auf der Client Firewall von F-Secure geblockt. Ich denke die geht aber nur auf Dateinamen los... Zitieren Link zu diesem Kommentar
guybrush 19 Geschrieben 18. März 2008 Autor Melden Teilen Geschrieben 18. März 2008 Tjo, die Dinger kosten einiges das ist klar.Astaro Security Gateways kann man übrigens auch redundant auslegen, aber so wies ausschaut, ist eure Entscheidung in dieser Richtung ja eh schon gefallen. ich weiss, aber ich kenn die astaro auch vom funktionsumfang her, und die sind wirklich genial. ich hatte zwar beim ersten mal einrichten probleme, bis ich mal ins inet konnte, aber dann, als die ersten hürden gefallen sind, hats gleich funktioniert. das webinterface lahmt zwar, aber naja, soll ja bei der (von mir noch ungetesteten v7) anders sein. "entscheidung von uns" gibt es dahingehend keine - es ist ein "kleines" projekt von mir, welches ich einfach gern implementieren würde (mittlerweile, angefangen hats ja ein paar posts vorher mit der grurili). aber ich schau´s mir mal an, wenn das teil draussen ist, vielleicht ists ja doch interessant (nächstes jahr...) ABER: würde sich sonst noch wer anschließen, um die liste zu pflegen? Zitieren Link zu diesem Kommentar
Stephan Betken 43 Geschrieben 18. März 2008 Melden Teilen Geschrieben 18. März 2008 ABER: würde sich sonst noch wer anschließen, um die liste zu pflegen? Nur die Filesharungtools? Bei einigen Kunden ist es auch beliebt so wichtige Programme wie Solitär oder Ähnliches zu sperren (da gibt´s ja mittlerweile auch schon einige Versionen von). Vielleicht wäre eine Liste mit Hashwerten doch einen Vorschlag (in einem eigenen Thread) wert. Aber da braucht es dann doch ein paar Leute mehr, damit diese Liste erstellt und aktuell gehalten werden könnte. Zitieren Link zu diesem Kommentar
Marco7488 12 Geschrieben 18. März 2008 Melden Teilen Geschrieben 18. März 2008 Ähm Solitär etc. lässt sich doch ganz simpel sperren indem man es einfach deinstalliert ;) Der Weg ist ja wars***einlich bekannt. Wenn nicht -> Systemsteuerung -> Software -> Komponente hinzufügen / entfernen -> Zubehör -> Spiele und Zack da wars dann gelöscht :) Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 18. März 2008 Melden Teilen Geschrieben 18. März 2008 ich glaube nicht, dass das installieren der software an sich illegal ist. man müsste das erstmal per firmenrichtlinie verbieten, und jeder müsste den schrieb dann unterschreiben. dann könnte man da die user belangen (wenn man das will - bei uns werden die zügel allerdings nicht so straff gehalten) Eventuell solltest du mal dem GF berichten, dass er soetwas in seinem eigenen Firmeninteresse nicht dulden sollte und eine entsprechende Vereinbarung vorbereiten. aus diesem grund würde ich mal mit den dateinamen anfangen, hashwerte könnte man ja noch nachreichen -> wäre das nicht ein kleines mcseboard.de-projekt? jeder, der mitmacht übernimmt einfach ein programm, und maintained die versionen. so ist es leicht, den überblick zu bewahren. ich würde mich da schon beteiligen.... Du fängst meiner Meinung nach an der falschen Seite an. Denn wenn dein Chef das nicht will, bist du auch schlecht dran. Und wenn er es will, sollte als erstes Mal die organisatorische Grundlage geschaffen werden. Das technische kann man hinterher immer noch erledigen. Aber selbst wenn du jetzt mit SRP anfängst, ist das ein eher mühseeliges Geschäft. Einzig sinnvoll wäre eben mit Whitelists statt mit Blacklists zu arbeiten. Hier mal was zum Nachlesen: SRP - Software Restriction Policies Bye Norbert Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 18. März 2008 Melden Teilen Geschrieben 18. März 2008 Ähm Solitär etc. lässt sich doch ganz simpel sperren indem man es einfach deinstalliert ;) Der Weg ist ja wars***einlich bekannt. Wenn nicht -> Systemsteuerung -> Software -> Komponente hinzufügen / entfernen -> Zubehör -> Spiele und Zack da wars dann gelöscht :) Schon richtig... Nur gehts hier um einiges mehr als nur Software zu deinstallieren. Es geht darum, gezielt den Start von bestimmten Executables zu verhindern. Und nicht immer handelt es sich dabei um installierte Software, ich denk da nur an Portable Apps und Konsorten. Die Idee ansich klingt gut. Vielleicht sollte man das ganze auch eher in einer Art adm-Template aufziehen, welches einer hier ehrenamtlich pflegt, und jeder kann per Posting in dem entsprechenden Thread den Namen eines definierten Executables + Version + Hash hinzufügen. In dem Fall braucht es dann nur einen verantwortlichen Maintainer für das Template bzw. für die Pflege der Liste, aus der sich das adm-Template befüllen lässt. // Edit: Vielleicht kann man hier auch Mr. Gruppenrichtlinien Mark Heitbrink mit ins Boot holen, der auf seiner Seite Gruppenrichtlinien - Übersicht, FAQ und Tutorials schon so einiges an Beispiel-Templates zur Verfügung stellt. Vielleicht hält der ja auch was von der Idee. Zitieren Link zu diesem Kommentar
Stephan Betken 43 Geschrieben 18. März 2008 Melden Teilen Geschrieben 18. März 2008 Ähm Solitär etc. lässt sich doch ganz simpel sperren indem man es einfach deinstalliert ;) Der Weg ist ja wars***einlich bekannt. Wenn nicht -> Systemsteuerung -> Software -> Komponente hinzufügen / entfernen -> Zubehör -> Spiele und Zack da wars dann gelöscht :) Ähmmm. Schade nur, dass die Windows-Spiele nicht installiert werden müssen, sich auch locker über einen Download vom eigenen Webspace oder per Mail auf den Rechner bringen lassen. Und "Zack", da war´s wieder da. @PhoenixCP mit einem Template könnte es schwer werden, da ja doch verschiedene Fälle erschlagen werden müssten. Bei den einen geht es um Filesharing, bei anderen um Spiele und es soll tatsächlich Leute geben, die damit verhindern, dass bestimmte Client-Software vom Buchhaltungsprogramm gestartet werden kann. Obwohl bei dem Letzten der Sinn mal dahingestellt ist. Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 18. März 2008 Melden Teilen Geschrieben 18. März 2008 Du fängst meiner Meinung nach an der falschen Seite an. Denn wenn dein Chef das nicht will, bist du auch schlecht dran. Und wenn er es will, sollte als erstes Mal die organisatorische Grundlage geschaffen werden. Das technische kann man hinterher immer noch erledigen. Aber selbst wenn du jetzt mit SRP anfängst, ist das ein eher mühseeliges Geschäft. Einzig sinnvoll wäre eben mit Whitelists statt mit Blacklists zu arbeiten. Hier mal was zum Nachlesen: SRP - Software Restriction Policies Bye Norbert Je nachdem welche Bedürfnisse man hat. Siehe benannter Link Welches Standardregelwerk man letztlich wählt, hängt von der Umgebung ab, in der die Arbeitsplatzcomputer stehen. In einem Netzwerk, das hohen Sicherheitsanforderungen entsprechen muss, wird man eher zur "Disallowed" ("nichts ist erlaubt ausser das, was ich explizit durch andere Regeln freischalte") greifen, während man in anderen Umgebungen jegliche Software "unrestricted" laufen lassen wird und nur unerwünschte Programme (wie zum Beispiel Peer-to-Peer-Filesharing Tools oder ähnliches) zu unterbinden. Sprich: Ob ich jetzt die Sachen in nem Blacklistverfahren handhabe oder in nem Whitelistverfahren, muss ich so und so überlegen. Aber um die entsprechenden Listen aufzubauen, muss ich trotzdem erstmal die Hashes kennen. Und wenn ich den TO richtig verstehe, will er eher alles unrestricted laufen lassen, ausser das, was er explizit (und dann wahrscheinlich auch in Absprache mit der GF) verbietet. Man könnte die entsprechende Liste (sofern sich denn hier ein freiwilliger Maintainer findet) evtl. nach Absprache mit den Admins auch auf ServerHowTo zur Nutzung zur Verfügung stellen. Vorstellbar so nach dem Motto: heute will ich Office 2007 auch noch erlauben, also hol ich mir die aktuelle Liste und suche mir die Hashes raus. Zitieren Link zu diesem Kommentar
Stephan Betken 43 Geschrieben 18. März 2008 Melden Teilen Geschrieben 18. März 2008 Man könnte die entsprechende Liste (sofern sich denn hier ein freiwilliger Maintainer findet) evtl. nach Absprache mit den Admins auch auf ServerHowTo zur Nutzung zur Verfügung stellen. Vorstellbar so nach dem Motto: heute will ich Office 2007 auch noch erlauben, also hol ich mir die aktuelle Liste und suche mir die Hashes raus. Scheint mir auch am Sinnvollsten. Es müsste aber dennoch eine Möglichkeit geben, dass auch andere Daten übermitteln könnten, die man dann nur noch irgendwie verifizieren müsste. Da benötigt man dann aber auch wieder die verwendete Software. Zu beachten wäre dann noch, dass bei nach dem Installieren von Updates die Softwarehashes auch hinzugefügt werden. Ich hab leider nicht alles an Software, wäre aber gerne bereit (soweit zeitlich möglich) entsprechend mitzuwirken. Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 18. März 2008 Melden Teilen Geschrieben 18. März 2008 Und wenn ich den TO richtig verstehe, will er eher alles unrestricted laufen lassen, ausser das, was er explizit (und dann wahrscheinlich auch in Absprache mit der GF) verbietet. Das ist aber normalerweise ein Weg, den es sich nicht lohnt zu gehen. Denn gerade in dem Bereich gibt es so viele Tools und Versionen, dass man sowieso nicht hinterher kommt. Ist wie mit Pornoseiten. Entweder du verbietest alles und erlaubst Whitelists, oder du mußt damit leben, dass man sich die netten Damen und Herren unbekleidet anschauen kann. ;) Ich war neulich auch beim Kunden: Wir haben nur eine Firewallregel aktiviert. Alles ausgehend erlauben ausser Port 8080 ;) Super... Bye Norbert Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 18. März 2008 Melden Teilen Geschrieben 18. März 2008 Das ist aber normalerweise ein Weg, den es sich nicht lohnt zu gehen. Denn gerade in dem Bereich gibt es so viele Tools und Versionen, dass man sowieso nicht hinterher kommt. Ist wie mit Pornoseiten. Entweder du verbietest alles und erlaubst Whitelists, oder du mußt damit leben, dass man sich die netten Damen und Herren unbekleidet anschauen kann. ;) Auch wieder richtig. Nur je nach Softwareportfolio im eigenen Unternehmen hat man da auch einiges zu pflegen. Wie rum auch immer, ich denke in einem Punkt treffen wir uns auf jeden Fall: die Hashes brauchen wir :) Ich war neulich auch beim Kunden: Wir haben nur eine Firewallregel aktiviert. Alles ausgehend erlauben ausser Port 8080 ;) Super... Autsch :D Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.