SecurityMaker

Hi,

 

Naja der Titel CIO = Chief Information Officer ist ja aus den USA rübergeschwappt. Der Titel ist nicht geschützt da er eigentlich nur eine sache aussagt. IT Abteilungsleiter mit betriebswirtschaftlichen Kenntnissen.

Danke für die fotte Antwort.

 

Ich kann nicht in Regress genommen werden, ich bin Auszubildender in einem ganz anderen Fachbereich.

 

Mein Chef möchte aber kein Geld mehr ausgeben. Basta. (nicht böse gemeint!). Wir zanken uns hier ständig wegen dem 2. Server UND: immer wenn ich damit anfange, nervt es ihn und das Verhältnis zwischen ihm und mir hat sich seither ziemlich verschlechtert.

 

Virenschutz ist auf dem Server und auf den Clients, ALLE Virenscanner sind per RA verwaltet und unterliegen recht restriktiven Policys.

 

Mir geht es schon lange nicht mehr um die Clients. So lange der Chef da nur XP Home drauf haben will, komme ich nicht weiter. Mir geht es darum, den Server abzusichern. Und das kann ich erst, wenn ich einen 2. Server habe, als DC.

 

Die Appliance bekomme ich hier nie im Leben! Was hast Du gesagt? 1000 Euro? Zusätzlich? Niemals! Was spricht gegen die VPN-Verbindung, verwaltet durch den VPN-Server von MS?

 

Als erstes würde ich mal sagen das dein Chef null ahnung hat was eigentlich die IT für ne bedeutung mitlaweile im Geschäftsaltag hat. Dazu kommt noch wenn man richtig ein Budget einsetz das man sogar Gewinne einfahren kann mit hilfe der IT. Denk mal dein Chef sollte sich mal mit ROI und TCO in der IT auseinandersetzen.

 

Da das nicht dein Hauptfach ist, teile ich erstmal mein Respekt zu deiner Person mit das du dich damit noch "nebenher" beschäftigst :)

 

Die Appliance die ich genannt habe bewegen sich alle zwischen 950€ - 2500€. Kommt auf die User zahl an und die Features.

 

Ein 2 Server der als BDC da ist so wie ein RAID System und eine Backup lösung sollte so oder so schleunigst angeschaft werden.

 

Wie genau meinst du das mit der VPN Verbindung über den VPN-Server von MS dachte du benutzt den Netgear router dafür. Oder macht der nur ein Passthrough?

Hallo! Danke für die ausführliche Antwort!

 

Erste Frage vorweg: was soll an diesem Virenschutzkonzept, das wir hier haben, nicht "vernünftig" sein?

 

 

Wenn ich es richtig verstanden hab gibt es nur ein Virenscanner (NOD32) auf den Server. Ein Anti-Viren Konzept beinhaltet nicht nur den Virenscanner als Programm an sich sondern auch ein Benutzerregel. d.H Auf ein Blatt papier wird aufgesetzt was runtergeladen werden darf was nicht, wie die Nutzer sich zu verhalten haben bei der Täglichen Internet Nutzung und was zu tun ist wenn ein Virus das System befällt. Dazu kommt hinzu wenn ich es nciht falsch verstanden hab das jeder irgendwie auf die Server zugreifen kann und das dort (vielleicht) auf den Rechner ein Virenscanner läuft. Wie schon die vorposter angemekrt haben kannst du nicht einsehn ob deren Virenscanner aktuell sind oder nciht schon bereits befallen rechner einsetzen. Sowas kannst du eben halt nur mit einer AD durchsetzen oder den Remote Administrator von Nod benutzen und dort Policies aufsetzen.

 

Zweite Frage: welche Firewall (Produkt) empfiehlst Du? Geht`s Dir nur um die VPN-Anbindung?

 

Als erstes müssten man ein Komplette IT-Strukturanalyse machen um den IST zustande bei euch zu ermitteln. Was muss geschützt werden, Wer darf was und warum. DMZ muss auf jedenfall supportet werden. Am besten noch ein Viren-Scanner an der Appliance.

 

Produkte die ich empfehlen kann: GateProtect , Astaro, Watchguard und für die gutbetuchten die auch Zeit haben, ein Diplom in der Anwednung und Konfiguration der Firewall zu erlangen - Checkpoint :)

 

Dritte Frage: wie soll ich XP Home Notebooks in eine Domäne bekommen :-)

 

Aber sowas von schnell XP Home runterzuschmeissen. Entweder Firma oder Circus. Wenn Firma dann halt XP Pro oder eben Vista Business / Enterprise. Was die Kosten angeht. Schonmal dran gedacht ein Open Value Vertrag mit Microsoft einzugehn?

 

Außerdem haben wir ca. 7 dauerhafte Nutzer, die anderen arbeiten nur hin und wieder am System.

 

Und genau da ist das Problem. Bei euch erkenne ich keine richtige Linie. Da herscht irgendwie Chaos. Keiner weiss was der andere da macht oder darf. Ich sage nicht das du daran schuld bist sondern eher die Geschäftsführung - da du aber als IT-Admin in der Firma auch in regress genommen werden kannst würde ich dir Empfehlen mal dem Chef die Augen auf zu machen.

 

Was kritisierst Du denn hauptsächlich an der Sicherheit? Die VPN-User oder die "Firewallfunktion" des FVG318 gegen "normale" Angriffe von außen? Kennst Du das Gerät überhaupt?

 

An der Sicherheit hab ich zu kritisieren das da keine grade Linie zu erkennen ist. Es gibt kein Gesamtkonzept. IT-Sicherheit ist kein ich hau da mal ne Firewall hin , nen Virenscanner und mach ein paar benutzer restirktionen. IT-Sicherheit ist ein Prozess und sogar ein sehr schwieriger. Die Firewall und der Virenscanner können nur ein Teil eines ganzem sein. (IT-Sicherheitskonzept,FirewallKonzept,AntivirenKonzept,BackupKonzept,BenutzerKonzept u.s.w) nimm dir mal das IT Grundschutzhandbuch des BSI als Beispiel. IT-Grundschutz - Startseite.

 

Was den Netgear FVG318 angeht. Für mich ist die Kiste ein Router mit Firewall funktion und keine richtige Firewall mit Router funktionen. Schau dir mal die Webseiten an der Hersteller die ich oben genannt hab da siehst du dann selbst was ich meine.

Hi,

 

Sorry wenn ich das so sagen muss, aber wenn ich lese wie euer Netz aufgebaut ist könnte ich ****en.

 

Jeder in der GL will auf Sparflamme sein. In der heutigen Zeit verständlich , jedoch muss man auch nachschaun wo man kürzt.

 

Hat sich mal dein Chef gefragt was eigentlich mal passiert wenn die komplette IT ausfällt? Ich gib dir mal ein Rechenbeispiel :

 

Bei 15 Nutzern, 2 Tage kompletter IT Ausfall. Nehmen wir mal grobgeschätzt jeder von euern Mitarbeitern bekommt 2000€ Netto, das macht am Tag ca 65€ das multiplitzieren war mal mit 15 und dann mit 2 ergibt 65x15x2 = 1950€ die er an Lohnkosten rausschmeisst , da die Mitarbeiter nicht arbeiten können. Ich will jetzt garnicht dazurechen was an Wiederherstellunskosten der IT so wie Umsatzausfall dazu kommt.

 

Ein bissel Betriebswirtschaftliches Denken und schon kennt man die Antwort. VORSORGEN

 

Ich nehme mal an das eure Firma mit Kundendaten arbeitet. Von Datenschutz der Daten ist bei dieser Konfiguration nicht die reden. Schlichtweg er existiert nicht.

 

Mal angenommen einer Hackt euer System und klaut Kundendaten. Stellt damit irgendein humbuk an und der Kunden bekommt davon wind. Wenn der rausbekommt wo der Hacker die daten her hat dann sieht das aber sowas von schlecht für eure Firma aus und insbesondere für dein Chef.

 

Ich gib dir mal ein paar Gesetzpassagen die du dein Chef unter die Nase halten kannst :

 

§ 91 Abs.2 AktG und KontraG Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungs-system einzurichten, damit den Forbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.

 

§ 93 Abs.2 AktG und KontraG Vorstandsmitglieder, die ihre Pflichten verletzen, sind der Gesellschaft zum Ersatz des daraus entstehenden Schadens als Gesamtschuldner verpflichtet. Ist streitig, ob sie die Sorgfalt eines

Ordentlichen und gewissenhaften Geschäftsleiters angewandt haben, so trifft sie die Beweislast.

 

§ 43 Abs.1 GmbHG Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentli-chen Geschäftsmannes anzuwenden.

 

§ 9 BDSG "Technische und organisatorische Maßnahmen" Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

 

Gerne kann ich dir mal ein Leitfaden zukommen lassen der Gezielt an die GL geht. (Einfach PN an mich)

 

So und jetzt mal back to topic:

 

Eine richtige Firewall muss ran, vernünftiges Anti-Viren Konzept, Sicherheitskonzept aufsetzen, Rechner in die Domäne und von dort verwalten lassen.

 

Am besten holst du dir ein externen Sicherheitsberater (IT-Berater) ins haus der dem Chef mal die augen auf macht.

Hi,

 

wie alles im leben, kommt es auf vorhandenen Kleingeld drauf an was das beste wäre! :)

 

Usb-Stick und Fingerprint als AD authentifizierung ist zwar zu bewergstelligen und auch "kostengünstig" jedoch würde ich davon abraten da die technik noch nicht soweit ausgereift ist (Fingerprint).

 

Beste lösung wäre ein PKI System aufzusetzen und mit Smart Card anmeldung zu arbeiten.

 

Wäre aber auch hilfreich wenn mehr Infos da wäre. Z.B welche anderen Sicherheitsvorkehrungen sich im Netz befinden.

Hallo,

 

Gegebenheit: SBS 2003 R2 mit SP2

 

Ich habe von WSS 2.0 auf WSS 3.0 geupdatet und seitdem taucht dieser Fehler in der Ereignisanzeige auf. Weis jemand wie ich den abstellen kann? bzw was das überhaupt ist ?

 

Quelle: DCOM

Ereigniskennung:10016

Vorkommnisse insgesamt:20 *

 

Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der SID (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung (Lokal) für die COM-Serveranwendung mit CLSID {61738644-F196-11D0-9953-00C04FD919C1} gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.

AHA!!!

 

erstmal danke Jungs für die Info.

 

Da muss ich wohl mal wieder auf ne Schulung, weil NDR Attacken haben mir absolut nichts gesagt. Und ich dachte schon meine Sicherheitsvorkehrungen haben versagt!

Hallo,

 

hab hier nen komisches phänomen endeckt heute in meinem Postfach.

 

Gegebenheiten:

1 Server (Windows 2003 SBS SP2,alle Updates etc. läuft als DC,Exchange u.s.w)

5 Clientes (Windows XP SP2 alle auf den Neusten Stand)

 

Sicherheitsvorrichtungen

UTM Firewall Appliance

Kaspersky Anti-Virus Workstation auf den Clients

Kaspersky Windows File Server und Exchange auf dem Server

Neusten Updates.

 

So jetzt zum Problem:

 

Hab heute ne Unzustellbarkeits meldung vom Exchange Bekommen.

 

Unzustellbar: RE: Internet Drugstore

Systemadministrator

Ihre Nachricht hat einige oder alle Empfänger nicht erreicht.

 

Betreff: RE: Internet Drugstore

Gesendet am: 12.07.2007 06:25

 

Folgende Empfänger konnten nicht erreicht werden:

 

mail137709@vpop4.pop.net am 12.07.2007 07:01

Fehler bei der SMTP-Kommunikation mit dem E-Mail-Server des Empfängers. Wenden Sie sich an Ihren Systemadministrator.

< ps0.ash.ops.us.uu.net #5.5.0>

 

dann mal schnell in den optionen der E-mail geschaut die wie folgt aussieht :

 

Microsoft Mail Internet Headers Version 2.0

Received: from mail pickup service by domain.com with Microsoft SMTPSVC; Thu, 12 Jul 2007 07:00:55 +0200

thread-index: AcfEQaDibqoDvkKNSpuHOtk2dG5j8w==

Cc:

Return-Path:

Bcc:

X-Sieve: CMU Sieve 2.2

Message-ID: <CDF2B0C589CD4A1BA5DCF722F52CEDC7@domain.local>

Content-Transfer-Encoding: 7bit

Date: Thu, 12 Jul 2007 07:00:55 +0200

From: "Mail Delivery Subsystem" <MAILER-DAEMON@uu.net>

X-Mailer: Microsoft CDO for Exchange 2000

To: <info@domain.com>

MIME-Version: 1.0

Content-Type: multipart/report;

report-type=delivery-status;

boundary="l6C4PVfu013344.1184214331/ps0.ash.ops.us.uu.net"

Subject: Returned mail: see transcript for details

Content-Class: urn:content-classes:message

Importance: normal

Auto-Submitted: auto-generated (failure)

Priority: normal

X-MimeOLE: Produced By Microsoft MimeOLE V6.00.3790.4073

X-OriginalArrivalTime: 12 Jul 2007 05:00:55.0679 (UTC) FILETIME=[A105F8F0:01C7C441]

 

--l6C4PVfu013344.1184214331/ps0.ash.ops.us.uu.net

Content-Type: text/plain;

charset="iso-8859-1"

Content-Transfer-Encoding: 7bit

 

--l6C4PVfu013344.1184214331/ps0.ash.ops.us.uu.net

Content-Transfer-Encoding: 7bit

Content-Type: message/delivery-status

 

--l6C4PVfu013344.1184214331/ps0.ash.ops.us.uu.net

Content-Transfer-Encoding: 7bit

Content-Type: message/rfc822

 

Return-Path: <info@domain.com>

Received: from mr4.ash.ops.us.uu.net (mr4.ash.ops.us.uu.net [198.5.241.94])

by ps0.ash.ops.us.uu.net (uu-alterdial-$Revision: 1.4 $) with ESMTP id l6C4PQfu013268

for <mail137709@vpop4.pop.net>; Thu, 12 Jul 2007 04:25:31 GMT

Received: from dsl88-229-22267.ttnet.net.tr (dsl88-229-22267.ttnet.net.tr [88.229.86.251] (may be forged))

by mr4.ash.ops.us.uu.net (uu-alterdial-$Revision: 1.4 $) with SMTP id l6C4PG5o019315

for <info@ener-tech-assoc.com>; Thu, 12 Jul 2007 04:25:25 GMT

Date: Thu, 12 Jul 2007 04:25:16 GMT

X-Originating-IP: [20.750.8.85]

X-Originating-Email: [info@ener-tech-assoc.com]

X-Sender: info@ener-tech-assoc.com

Received: (qmail 15339 by uid 497); Wed, 11 Jul 2007 09:25:25 -0800

Message-Id: <20070711012525.15341.qmail@dsl88-229-22267.ttnet.net.tr>

To: <info@ener-tech-assoc.com>

Subject: RE: Internet Drugstore

From: "Meagan@viagra.com" <info@ener-tech-assoc.com>

MIME-Version: 1.0

Importance: High

Content-Type: text/html

 

 

--l6C4PVfu013344.1184214331/ps0.ash.ops.us.uu.net--

 

 

Ich hab alles überprüft. Kein Virus oder sonstwas verdächtiges auf den Server oder den Clientes. Hijack this rüberlaufen lassen bei allen auch negativ. Firewall Logs nachgeschaut auch da fehl anzeige.

 

Gibts mitlaweile SPAM Mails die sich selber weiterleiten wollen?

kann mir das phänomen nicht erklären

Hi,

 

ich empfehle dir mal die UTM Lösung von GateProtect anzuschaun.

 

gateProtect UTM Firewall Server and appliances

Hi,

 

also wenn mich nicht alles täuscht, hat sich da nichts geändert zu den BCM für Outlook 2003. Einziege möglichkeit die du hast um eine richtige Client Server Anwendung daraus zu machen ist entweder Outlookt auf den Server zu installieren und dort die datenbank freigeben das ich nicht empfehlen würde oder eben Dynamics CRM 3.0 anzuschaffen der grosse bruder halt von BCM der für sowas augelegt ist

Hi,

 

frage ist ob du wirklich ein Router haben willst oder eine Firewall Appliance die Routing fähig ist. Was hast du denn genau vor mit dem teil?

 

schonmal im Lancom Lager nachgeschaut ? LANCOM Systems GmbH: LANCOM 1821+ Wireless ADSL

Hi marka,

 

also funktioniert die Benutzerauthenifizierung einwandfrei nur der Arbeitsplatz rechner der kollegin kann nicht ICMP und Pings auf die Firewall schicken ? Schau mal bitte unter den Routing einstellung ob da was faul ist. so wie du das da schreibst siehts so aus als ob die MAC bzw Ethnernet karte ned bei der Watchguard freigegeben ist für das Vertraunswürdige netz. Oder Netzwerkkarte defekt bzw das Kabel hat einem am rappel.

Hi marka,

 

gehört die Kollegin erst seit neustem zur Gruppe Internetberechtigte User ?

 

So ein Phänomen hatte ich bis jetzt nur ein einzieges mal bei einer Watchguard und da hatte es ein fehler bei der LDAP Abfrage geben. Ein Reboot der Firewall war damals die lösung. weiss nicht ob das bei dir auch helfen wird.

Hi,

 

hmm... tjoa das ist jetzt ne zwickmühle. Wie hier beschrieben Windows Messenger in Windows XP: Working With Firewalls and Network Address Translation Devices wenn du Audio/Video drüber lauffen willst kannst ja gleich die Firewall wegpacken! :)

 

Einziege möglichkeit die ich aber selber noch nciht getestet hab ist vielleicht ein Office Communication Server aufzusetzen und den in eine DMZ zu stellen.

Hi,

 

Das tunneln ist ähnlich wie eine VPN Verbindung. Gibt diverse programme die z.B den Port 9000 auf den Port 80 der Standartmässig für das Internet freigegeben sit tunneln. Aber so ganz hab ich noch nicht verstanden was du mit dem Messenger machen willst? Willst du den Messenger nur für Intern benutzen oder eben auch Hotmail Accounts einbinden von Firmenfremden usern?

Die gute alte Checkpoint.... Mosat lässt grüssen und ein Doktor titel auf die bedienungsanleitung! :)

 

2 Möglichkeiten hättest du noch.. entweder versuchen die Ports für die Videoübertragung von dem Messenger auf andere Ports umzuleiten bzw zu tunneln..oder den besagten rechner auf den der messenger laufen soll in eine DMZ tun.

Hi,

 

als erstes mal die frage. Was für ne Zentrale Firewall setzt ihr überhaupt ein?

 

Wie ist euer Regelwerk eingestellt? Abteilungstrennung? Usertrennung oder Allout?

 

Wenn das Regelwerk der Firewall Usertrennung zulässt reicht das ja immerhin das nur du als User/PC die ports aufgeschlossen kriegst solange du dir sicher bist das du ein "vernünftiger" user bist.

Wie lefg schon gesagt hat. 2 SBS ist ein no go da der SBS der 1DC sein muss... Du könntest beim Hauptstandort den SBS aufsetzen und dann wie lefg gesagt hat beim 2.Standort ein Win2k3 Standart und den als Member beim SBS angeben.

Hi,

 

ich würde als erstes schaun ob überhaupt irgendwelche IT-Konzepte,Richtlinien, Backup Konzept , IT Sicherheitsrichtlinien für die gesamte IT im unternehmen vorhanden sind und wie diese aufgebaut sind. Falls nicht ausreichend diese anpassen falls nicht vorhanden anfertigen! :) Das IT-Grundschutzhandbuch vom BSI ist dein freund! ;)

 

Ansonsten bei deiner Auflistung fällt mir nichts markantes auf was fehlen würde ausser vielleicht das die Rechner doch mal in eine Domäne kommen sollten wegen Wartung und vielleicht ein Update Konzept aufsetzen.. WSUS :)

Ich suche sowas wie NetOp On Demand oder pcvisit. Aber eben als free Version.

 

Auf einer internetseite einen link erstellen, der Anwender klickt drauf und ich kann mich verbinden ohne installation.

 

 

Und genau das hat dir auch Marka empfohlen. Ultra VNC Single Click ist das was du suchst.

 

Guckst du hier: UltraVNC SC (SingleClick) :D

Ich wollte wissen, wieso man sich als IT-Fachmann registrieren kann, wenn man das AP nicht bestellen kann.

 

Jetzt weiß ich es.

 

Danke für die Auskünfte.

 

mfg Jicko

 

Man kann das AP bestellen als IT-Fachmann. Jedoch wird als IT-Fachmann eine Gewerbetätigtkeit vorrausgesetzt. Sogenante Hobby IT-Fachleute gehören nicht dazu. Entweder du arbeitest in einem Unternehmen als IT-Fachmann. Bist Selbständig oder Freiberuflich. Dann bekommst du auch das AP.

 

Es gibt halt immer ein AP pro Partner und Standort.

Hallo,

 

hmm wie wärs so um 15:00Uhr da kann man dann ruhig eine pause einlegen und das Paulaner geht dann auch am besten runter! ;)

Halihalo allerseits,

 

ich werde am Samstag den 17.03 auf der Cebit sein wenn nichts dazwischen kommt! :)

 

Wieso machen wir nicht einfach nur Uhrzeit aus und treffen uns alle in der Bierstube, wenn ich mich recht ensinne müsste die nach halle 9 kommen wo der Turm ist! :)

Hallo,

 

da du ja ein Linksys WRTG54G Router hast könntest du eigentlich sogar auch ohne Server und des gleichen auskommen. Ich weiss zwar jetzt nicht mehr genau ob die Orginal Firmware vom Linksys WRTG54G VLAN unterstützt aber auch wenn nicht einfach OpenWRT oder andere Open Firmware für den Linksys router drauf spielen. Die unterstützen das auf jeden fall und so hast du eine IP Range Trennung einmal für das Interne netz und einmal für deine gäste.

Hallo,

 

so wie ich das verstanden hab möchtest/sollst du die Ausbildung der angehenden FiSis in deinem Betrieb leiten. Dafür musst du dich an die IHK wenden und dort ein Berufsausbilder seminar/ausbildung absolvieren. Mehr informationen kann dir die IHK deiner Umgebung geben. Soweit mir bekannt sind die Vorraussetzung nicht all zu hoch. Berufsausbildung + 3 - 5 Jahre berufspraxis und Fachkundig sein.