eras 10 Geschrieben 3. November 2008 Melden Teilen Geschrieben 3. November 2008 Ich denke der Titel sagt schon alles :) Aus aktuellem Anlass stelle ich mir diese Frage, ich bin der Meinung das diese Form von Internetzugang fast zu 100% sicher ist bzw. Datenverkehr für dritte nicht abhörbar ist. (Wenn man z.b. im Zug sitzt und per Laptop und "Funkmodem" im Internet surft). Sehe ich das richtig? Zitieren Link zu diesem Kommentar
Squire 211 Geschrieben 3. November 2008 Melden Teilen Geschrieben 3. November 2008 Hi, das siehst Du definitiv falsch! Für Ermittlungsbehörden ist das durchaus kein Problem. "Abhörsicher" ist erst ein VPN mit vernünftiger Verschlüsselung Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 3. November 2008 Melden Teilen Geschrieben 3. November 2008 Hi, nichts, ich wiederhole, nichts ist "fast 100% abhörsicher". Mag sein, daß ein VPN sicherer ist, jedoch bietet das Clientsystem selbst immer noch genügend Angriffsfläche. Von daher die Frage: Worum geht es Dir genau? Das "im Internet surfen" wird in den vielen Fällen erst einmal kein Staatsgeheimnis sein - zumal der Traffic ja an anderer Stelle sowieso entschlüsselt vorliegt. Daher ist die Diskussion im Grunde wenig fruchtbar, wenn Du nicht vorher ein wenig spezifizierst, welche "Sicherheitsstufe" Du überhaupt erreichen willst. :) Viele Grüße olc Zitieren Link zu diesem Kommentar
eras 10 Geschrieben 3. November 2008 Autor Melden Teilen Geschrieben 3. November 2008 Naja ist mehr oder weniger eine Frage rein aus Interesse. Wir haben in unserer Firma eine Terminalserverfarm welche über inet erreichbar ist und https verschlüsselt. Die Server dahinter stehen in einer DMZ. Nun ist die Diskussion aufgekommen ob man die Möglichkeit schaffen sollte, für User welche so ein "Funkmodem" haben, sich dort einloggen zu können. Von unserer Netzwerkabteilung wurde das abgelehnt mit der Begründung das da "leicht" jemand mithören könnte wenn sich der betroffene User an einem öffentlichen Platz aufhaltet (Z.b. er arbeitet während einer Zugfahrt auf den Terminalservern). Mich geht das ganze zwar sowieso nix an, aber ich bin der Meinung dass das durchaus sicher ist und ohne sündhaft teuere Hardware nicht machbar ist. Soweit ich weiß würde man da einen IMSI Catcher brauchen welcher für normalsterbliche Hacker ohnehin nicht leistbar ist und selbst dann müsste man ja noch die https Verschlüsselung knacken. Seh ich das alles richtig? Wie gesagt mich betrifft der Fall in der Firma nicht, aber es hätte mich nur interessiert. Außerdem muss ich zugeben das unsere Sicherheitsanforderungen wirklich extrem hoch sind da es sich um eine Bank handelt. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 3. November 2008 Melden Teilen Geschrieben 3. November 2008 Hi eras, im Grunde ändern Deine Angaben die Ausgangssituation vollkommen. SSL / TLS ist "hinreichend" sicher, was die Verschlüsselung als solches angeht. Die Verschlüsselung ist (egal ob bei einer Bank oder anderen Unternehmen) also in diesem Fall schlichtweg nicht das Problem. Auch kann ein Nutzer von UMTS und Konsorten nichts mit dem HTTPS-Datenstrom anfangen (mal abgesehen von Organisationen mit größeren Rechenzentren :D ;) ). Womit ich explizit nicht sagen möchte, daß ich SSL / TLS "VPNs" den IPSec VPNs vorziehen würde. An diesem Punkt liegt jedoch nicht das Problem, denn ab hier greift die Client-Security, weshalb die meisten Anbieter von SSL / TLS Verschlüsselungslösungen (die als VPN angepreist bzw. genutzt werden) auch gleich noch eine Art von Client-Überprüfungen mitliefern. Hier wird das Betriebssystem auf aktuelle Sicherheitsupdates, aktuellen Virenscanner etc. überprüft, um erst dann einen Zugriff zuzulassen. Das ganze nützt natürlich nichts, wenn die Benutzerkennwörter über Keylogger etc. mitgeschnitten werden. Das ganze hier im Detail auseinander zu nehmen, wird kaum gelingen. Sicherheitskonzepte von Unternehmen füllen streckenweise ganze Bücher. Ich könnte mir aber vorstellen, daß sich hier der ein oder andere Expert / Mod einschalten wird. :D ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 3. November 2008 Melden Teilen Geschrieben 3. November 2008 Naja ist mehr oder weniger eine Frage rein aus Interesse. Wir haben in unserer Firma eine Terminalserverfarm welche über inet erreichbar ist und https verschlüsselt. Die Server dahinter stehen in einer DMZ. Nun ist die Diskussion aufgekommen ob man die Möglichkeit schaffen sollte, für User welche so ein "Funkmodem" haben, sich dort einloggen zu können. Wenn eure TS-Farm über Internet erreichbar ist, dann ist die Frage ob ich per UMTS oder DSL zugreife doch eher wurscht. Denn alles was innerhalb des SSL Tunnels passiert ist wie OLC schon schreibt hinreichend gesichert (je nach Definition) und eher eine Frage ob die auf die Farm zugreifenden Systeme sicher sind. Allerdings ist bspw. bei Citrix ja der reine TS Betrieb gekapselt (so man es denn so konfiguriert) und hat mit dem Client dann höchstens noch die Tastatureingabe gemeinsam. Von unserer Netzwerkabteilung wurde das abgelehnt mit der Begründung das da "leicht" jemand mithören könnte wenn sich der betroffene User an einem öffentlichen Platz aufhaltet (Z.b. er arbeitet während einer Zugfahrt auf den Terminalservern). Hmm ich würde sagen, dass die Wahrscheinlichkeit höher ist, dass jemand von zu Hause aus mit einem ungeschützten WLAN auf euer System zugreift, als dass jemand neben dem ICE herfährt um eventuell die TS Session deiner Kollegen mitzusniffen während er nebenbei noch die SSL Connection knackt. ;) Bye Norbert Zitieren Link zu diesem Kommentar
xcode-tobi 10 Geschrieben 3. November 2008 Melden Teilen Geschrieben 3. November 2008 hi, im grunde wurde ja schon alles gesagt. Die UMTS-Verbindung an sich ist keineswegs sicher! Auf die Client-Security kommt es dann an. Drauf achten, dass VPN's oder wenigstens HTTPS (also SSL/TLS) genutzt wird. Im Audio-Podcast des CCzwei ging es mal um das Thema "Abhören". Ich meine, das müsste diese Sendung gewesen sein: ComputerClub 2 Zitieren Link zu diesem Kommentar
skippa 10 Geschrieben 6. November 2008 Melden Teilen Geschrieben 6. November 2008 hey, zusätzlich würde ich nie eine "normale" ts-farm im internet veröffentlichen, bzw. einfach den port 3389 veröffentlichen. dafür gibt es auch speziell entwickelte techniken... siehe zb. citrix csg (idalerweise mit otp).. wir selbst vertreiben diese lösung auch.. meine das csg dürfte sogar in deiner normalen citrix-lizenz vorhanden sein. dort könntest du dich dann entsprechend mit benutzername, kennwort und one-time-password (code vom token) anmelden. durch diese 3-faktor-auth bekommst du eine maximal-mögliche sicherheit für deine systeme. ebenso ist das citrix-protokoll wesentlich schlanker und besser verwendbar im wan ;-) aber genug off-topic... denke ebenfalls das mitschneiden ist möglich.. ob nun wlan oder umts/gprs.. teilweise hängst du ja sowieso mit einer privaten ip-adresse noch hinter einer nat-firewall vom provider - deutlicher geht es ja nicht ;-) mfg me Zitieren Link zu diesem Kommentar
eras 10 Geschrieben 6. November 2008 Autor Melden Teilen Geschrieben 6. November 2008 wir selbst vertreiben diese lösung auch.. meine das csg dürfte sogar in deiner normalen citrix-lizenz vorhanden sein. dort könntest du dich dann entsprechend mit benutzername, kennwort und one-time-password (code vom token) anmelden. durch diese 3-faktor-auth bekommst du eine maximal-mögliche sicherheit für deine systeme. ebenso ist das citrix-protokoll wesentlich schlanker und besser verwendbar im wan ;-) Ja genau so haben wir das auch, natürlich wird da nicht einfach der RDP Port freigeschaltet :D:rolleyes: Trotzdem: In so nem Funkmodem steckt ja eine SIM Karte drin, im Grunde ist das Ding ja nix anderes als ein umfunktioniertes Handy. Deshalb eben meine Vermutung das ein IMSI Catcher notwendig wäre um überhaupt etwas von dem (verschlüsselten) Traffic abfangen zu können...? Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 9. November 2008 Melden Teilen Geschrieben 9. November 2008 Und genau an dieser Stelle trifft deine Vermutung auch zu. Ich kann die Begründung deiner Netzwerker beim besten Willen nicht nachvollziehen. Egal von wo und wie, ob per Kabel, per WLAN ( am besten noch an nem öffentlichen, unverschlüsselten Hot Spot), oder per UMTS, überall kann man mit geeigneten Mitteln, sofern man über diese verfügt, den Traffic abhören. Eine von aussen erreichbare TS-Farm sollte zum einen entsprechend abgesichert sein und der Weg von Punkt x in der Welt zu der Farm sollte ebenfalls abgesichert werden. Dann steht auch der Nutzung von UMTS / HSDPA und Konsorten nix mehr im Wege. Zitieren Link zu diesem Kommentar
skippa 10 Geschrieben 9. November 2008 Melden Teilen Geschrieben 9. November 2008 Und genau an dieser Stelle trifft deine Vermutung auch zu. Ich kann die Begründung deiner Netzwerker beim besten Willen nicht nachvollziehen. Egal von wo und wie, ob per Kabel, per WLAN ( am besten noch an nem öffentlichen, unverschlüsselten Hot Spot), oder per UMTS, überall kann man mit geeigneten Mitteln, sofern man über diese verfügt, den Traffic abhören. Eine von aussen erreichbare TS-Farm sollte zum einen entsprechend abgesichert sein und der Weg von Punkt x in der Welt zu der Farm sollte ebenfalls abgesichert werden. Dann steht auch der Nutzung von UMTS / HSDPA und Konsorten nix mehr im Wege. :thumb1: :thumb1: :thumb1: :thumb1: :thumb1: :thumb1: :jau: mfg Zitieren Link zu diesem Kommentar
eras 10 Geschrieben 9. November 2008 Autor Melden Teilen Geschrieben 9. November 2008 Und genau an dieser Stelle trifft deine Vermutung auch zu. Ich kann die Begründung deiner Netzwerker beim besten Willen nicht nachvollziehen. Ich hab's schon immer gewusst: Sie sind Idio***. :D Ich versteh's nämlich auch nicht,... Ich finde das immer ein wenig frustrierend, vorallem weil dann solche typen das 2-3 fache von mir verdienen, naja egal. :wink2: Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 10. November 2008 Melden Teilen Geschrieben 10. November 2008 Ich finde das immer ein wenig frustrierend, vorallem weil dann solche typen das 2-3 fache von mir verdienen, naja egal. Dann lass den Frust bei denen aufkommen und lass dir Beweise und Quellen zeigen. Ohne Referenzen kann jeder etwas behaupten. Und wenn sie ihr Geld wirklich verdienen würden, dann hätten sie dir einen andere Antwort gegeben. So bekommen sie es halt nur und wissen nicht.... Off-Topic:Kabelbongos halt ;) :D :D :D Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.