magheinz

hehe Das wirklich gute daran bei einer Behörde zu arbeiten ist, das man die ganzen Katastrophen in Deutschland ziemlich genau verstehen kann.

genau. Ich sehe, du kennst das. Gleichzeitig bekommt man den Auftrag ein Informationssicherheitskonzept zu erstellen. Die Einschränkung ist: Grundschutz ist nicht erwünscht. Ein großes Beratungsunternehmen wurde damit beauftragt und ist komplett verzweifelt. Und das waren Leute die so etwas sonst für Frau von der Leyen machen...

Treffer... Jegliche Einschränkungen sind unerwünscht. Das gilt auch für die Geschäftsführung. Selbst ein MDM für die ganzen mobilen Geräte ist abgelehnt worden. Securitypolicys sind nur insoweit erwünscht wie klar ist, wie man sie umgehen kann.

Entweder ein Dokumentenformat nutzen welches solche Aktionen wie merge, split etc kennt, oder tatsächlich mit vielen Kopien arbeiten und das Mergen hinterher erledigen. Offline arbeiten und dann syncen ist einfach fast unmöglich.

Bei einigen Servern haben wir Prüfsummen der wichtigsten Dateien. Unter Linux gibt es dafür extra tools wie z.B. tripwire. Antivirussoftware welche auf einem System selber Alarm schlägt, ist eigentlich per Definition, nicht mehr vertrauenswürdig. Wir evaluieren derzeit deswegen VMware NSX um das Antivirus aus den Systemen selber heraus zu bekommen. Und ja, wir hatten schon verschlüsselte Rechner. Seit dem bekommen die Leute welche einen Verdacht haben direkt die Anweisung das Netzwerkkabel zu ziehen und im Normalfall werden die Rechner platt gemacht und neu deployt. Ab und an schauen wir uns einen Näher an. Bisher scheint das Einfallstor immer E-Mail gewesen zu sein. Eine Zeit lang haben wir noch Sensibiliesierungsmassnahmen gemacht und die Kollegen versucht zu schulen.

Unterschiedliche ADs sind unterschiedliche REALMs. Damit sollte man etwas machen können. Entweder lässt sich pam.ldap schon entsprechend konfigurieren oder könnte einen Radius dazwischenhängen.

Ich würde das Konstrukt umbauen und das GW in ins interne Netze holen. Vor allem wenn ja sogar schon der reversproxy da ist.

Setzt ihr schon eine monitoring Lösung ein? Ich würde ja etwas suchen was sich da einklinkt um nicht zwei systeme im Blick haben zu müssen.

Der Punkt ist: wie alte Daten benötigst du im Fall der Fälle und wie schnell würdest du bemerken dass die eeg, zerstört o.ä. sind? Das ergibt dann deine Vorhaltezeit der Backups. Ob dem FA Papier genügt musst du wissen, das sollte ja auch nur ein Beispiel sein.

Um mal Zahlen in den Raum zu werfen: "Unsere" ausgelagerten Mailfilter nutzen 3 Malwarescanner. Zwei kommerzielle und clamav. Alle drei haben eine ähnliche Erkennungsrate, aber jeder erkennt andere 70% der Gesamtmasse. Eine Erhöhung der Erkennungrate ergibt sich demnach erst durch die Anwendung mehrerer Filterprogramme. Die Erkennungsrate kann also kein Auswahlkriterium sein. Nimmt man den Preis, gewinnt logischerweise clamav. Das einzig technische, valide Kriterium wäre dann also das Featureset. Du musst also klären welche Funktionen du brauchst und willst.

Wir hatten einen Fall da lies sich die Verschlüsselung nachvollziehen.der atrojaner war seit etwas mehr als zwei Wochen aktiv bis er bemerkt wurde. Kommt dann noch Urlaub dazu sind schon 6Wochem rum. Musst du gesetzliche Auflagen erfüllen und z. B. Dateien 10Jahre fürs Finanzamt aufheben?

Tapes händisch auslagern geht halt ab einer gewissen Anzahl nicht mehr wirklich. Wie gesagt, wir haben uns in ein entsprechendes Archiv eingemietet und sobald wieder Zeit ist, testen wir da weiter. Die Größenordnung dürfte da ähnlich wie in Norbert Beispiel sein, eher größer. Bei denen ist alles doppelt, vorhanden womit jedes Bit zwei mal in jeweils einem Raum auf einem Band liegt. Diese sind aber seht wohl über ein hierarchisches FileSystem direkt per NFS ansprechbar. Die Backups auf den Storagesystemen sind ja keine klassischen NTFS-Laufwerke. Man kann sie aber durchaus als CIFS/NFS per UNC einbinden und ansprechen. Die sind readonly, da kann keine Maleware was drann machen. Tapes auslagern hies bei uns früher sie aus der library nehmen und in den 2Meter entfernten Holzschrank legen. Sorry, da hat die Autokorrektur am Handy zugeschlagen. Erstaunlich dass die "RFC" kennt.

Die diskbackups sind readonly Snapshots. Quasi "incremental forever". Der Witz mit den Tapes ist ja, die liegen im Bandroboter, sind also auch nur auf dem Papier offline. Da bei uns eine Vollsicherung mehrere Tage gedauert hatte und dieses dann nan auf mehreren Bändern verteilt war, ging das gar nicht anders. Trotzdem musste einmal die Woche jemand die Bänder tauschen. Bei uns sind die Risikoträger die Steuerzahler. Zum Glück machen die uns recht wenig Auflagen. Laut den wiki Artikel gehen die RFC bis 1TB. Da braucht man ja täglich eine 2Stellige Anzahl an Bändern. Das ist nicht wirklich händelbar.

Ok, mein Eindruck war halt bisher, dass sich tapes eher stark zurückentwickeln. Mag sein das mein Blick da durch die Werbung der Diskstorageanbieter in eine Richtung fokussiert wurde.

nunja, das haben wir vor Jahren abgeschafft. Die Daten liegen auf einem redundaten Filer und die Backups auf einem identischen Gerät im anderen Gebäude. Beide sichern über echte Kopien und Snapshots. Ohne Snapshots sind RPOs von einer Stunde nicht mehr umzusetzen. Unsere Restoreanforderungen in Sachen RTO in Kombination mit der heutigen Datenmenge lassen Bänder nicht wirklich zu. Im Desasterfall sind mit Bändern die Zeitanforderungen nicht einzuhalten. Ein Bandroboter mit der notwendigen Kapazität ist unbezahlbar. Bei bezahlbaren ist zu viel Handarbeit angesagt. Keiner hat die Zeit manuell Bänder zu wechseln. Sollte irgendwann ein dritter Backuport notwendig sein wird das ein dritter Filer oder ein object-Storage was eigentlich auch nur ein Filer ist. Witzigerweise hat unser IT-Sicherheitsbeauftragter, für eine spezielle Anwendung, die Nutzung von USB-Platten als zusätzliches Backupmedium angeordnet, was er aber auch selber durchführen muss. Zusätzlich haben wir uns in ein Langzeitarchiv eingemietet welches Bandroboter betreibt. Deren Anschaffung würde den Gesamt-IT-Etat bei uns übersteigen.

Das habe ich mir so gedacht. Wie gesagt, bei uns gibt's für so etwa keine Versicherung, da habe ich also keine Erfahrung.

alles in allem will ich aber doch mal Werbung fur ELK, oder Elastic machen. Das zentrale Sammeln von Logfiles ist ja immer eine gute Sache. Auch der Grundschutz sieht das als Massnahme vor. Mit dem Elasticstak hat man eine opensourcelösung welche von so gut wie allen großen Herstellern direkt unterstützt wird und genau solche "Untersuchungen" wie hier per Weboberfläche ermöglicht.

Wo bitte steht das "Backup to disk" rein rechtlich kein Backup ist? Tape ist doch sowas von 80er. Damit bekommt man doch gar keine vernünftigen Restorezeiten hin. Wenn ich hier den filer komplett restore muss soll ich 300TB vom Band holen? Das dauert viel zu lange. Oder ist hier das Problem die Versicherung? Damit kenne ich mich nicht aus, sowas hat mein Arbeitgeber nicht.

HP kennt Elk, oder jetzt den Elasticstak. Auch andere Anbieter haben da templates für wie z. B. Cisco, netapp etc. https://www.hpe.com/us/en/insights/articles/back-to-basics-what-sysadmins-must-know-about-logging-and-monitoring-1805.html

Ist den überhaupt ein managebarer, SNMP-fähiger Switch vorhanden? Falls ja würde ich die Daten in einem Elk-Stack sammeln und visualisieren. Eigentlich will er ja nicht den Traffic pro IP sehen, sondern statistische Ausreißer finden.

Auf der Leitung zwischen Router und switch sollte das gleiche Anliegen wie zwischen Router und Rechenzentrum. Ausser der router macht NAT, verschlüsselt o.ä. Schau dir den Traffic doch einfach einmal an. Z.b. Mit Wireshark. Im übrigen: Personalrat? Das ganze ist geeignet Mitarbeiter zu überwachen. Ohne Zustimmung würde ich da die Finger von lassen. Sicherlich lassen sich die User den IPs der Rechner zuordnen.

Dann monitore den switchPort an dem der Router hängt.

Wo ist denn die Leitung ins RZ angebunden? Eventuell liefert das Gerät ja schon die notwendigen Daten wenn man es nur fragt. Viele switch z. B. können diese Daten per SNMP ausgeben.

Welche Änderungen bist du bereit in Kauf zu nehmen und welche RTO und RPO willst du anstreben?

webstart ist doch abgekündigt...