WLAN absichern

[PAT 10]

Hallo Kollegen,

 

nun ist's soweit. Bisher konnte ich mich noch erfolgreich dagegen wehren, dass die Notebook-User ausser Haus WLAN nutzen können. Zumindest war bis gestern noch die Richtlinie der Muttergesellschaft, dass sowas nicht erlaubt ist. Das bekräftige gestern noch der höchtste IT-Leiter unserer "Mutter" telefonisch gegenüber meinem Chef. Heute schickt derselbe IT-Leiter meinem Chef eine E-Mail, dass es mitterweile nun doch geht. Nun wird's wohl nicht lange dauern, bis die mir die Bude einrennen.

 

Wie gesagt, es geht nicht um ein WLAN in der Firma, sonder darum, wenn die Leute in der ganzen Welt unterwegs sind.

 

Wie handhabt ihr das bei Euch? Erlaubt ihr WLAN und wenn ja, wie sichert ihr das ab?

[LukasB 10]

Vielleicht mal böse gefragt - wo genau siehst du eine zusätzliche Gefahr wenn die Laptop-User ausser Haus WLAN einsetzen?

 

Ich sehe da nichts das sich vom klassischen Bedrohungsszenario "Laptop ist an einem nicht-vertrauenswürdigen Netzwerk angeschlossen". Ob das jetzt WLAN, LAN, UMTS oder sonstwas ist, ist doch egal?

[Sunny61 773]

Wie handhabt ihr das bei Euch? Erlaubt ihr WLAN und wenn ja, wie sichert ihr das ab?

 

Gem. GPO läuft auf den Clients außerhalb der Domain die Windows-FW. Zum anderen solltest Du die User aufklären, was alles passieren kann, wenn sie sich an einem ungesicherten Access-Point anmelden und surfen. Zur Not zeig ihnen was man alles mitsniffen kann, den Rest müssen die Leute dann selbst wissen.

[PAT 10]

Ich sehe da nichts das sich vom klassischen Bedrohungsszenario "Laptop ist an einem nicht-vertrauenswürdigen Netzwerk angeschlossen". Ob das jetzt WLAN, LAN, UMTS oder sonstwas ist, ist doch egal?

Genau das ist ja das Problem. Ich habe die Befürchtung, dass die sich sonst was einholen.

 

Gem. GPO läuft auf den Clients außerhalb der Domain die Windows-FW.

Das schlimme ist, dass die Windows-FW default (Vorgabe unserer Mutter) deaktiviert ist, weil's Probleme mit dem Remote-Zugriff gab. Wobei ich von der Windows-FW sowieso nicht viel halte. Klar, besser als nichts, aber auch nicht viel mehr.

 

Zum anderen solltest Du die User aufklären, was alles passieren kann, wenn sie sich an einem ungesicherten Access-Point anmelden und surfen. Zur Not zeig ihnen was man alles mitsniffen kann, den Rest müssen die Leute dann selbst wissen.

Das Problem ist, dass das unsere User nicht die Bohne interessiert. Und ich bin wieder der Depp, der das ausbügeln darf.

 

Ich überlege, ob VPN die nötige Sicherheit liefern kann. Wenn die erstmal eine VPN-Verbindung aufgebaut haben, kann man diese verschlüsseln. Aber über die eigentliche Internetverbindung habe ich ja keinerlei Kontrolle.

[Sunny61 773]

Genau das ist ja das Problem. Ich habe die Befürchtung, dass die sich sonst was einholen.

 

Kann, muß aber nicht sein. Achte drauf, daß der AV-Scanner sich auch außerhalb Deines LANs die aktuellen Signaturen holt.

 

Das schlimme ist, dass die Windows-FW default (Vorgabe unserer Mutter) deaktiviert ist, weil's Probleme mit dem Remote-Zugriff gab. Wobei ich von der Windows-FW sowieso nicht viel halte. Klar, besser als nichts, aber auch nicht viel mehr.

 

Kann sie doch auch, innerhalb des Heimatnetzes. Außerhalb ist dann aktiviert.

 

 

Das Problem ist, dass das unsere User nicht die Bohne interessiert. Und ich bin wieder der Depp, der das ausbügeln darf.

 

Dann schreib was passendes dazu auf, und lass es von Deinem Chef absegnen. Dann müssen die User unterschreiben. Zumindest bist Du dann schon mal außen vor.

 

 

Ich überlege, ob VPN die nötige Sicherheit liefern kann. Wenn die erstmal eine VPN-Verbindung aufgebaut haben, kann man diese verschlüsseln. Aber über die eigentliche Internetverbindung habe ich ja keinerlei Kontrolle.

 

Wenn meine User mit dem CISCO-Client eine VPN-Verbindung aufgebaut haben, können sie sich entweder im LAN bewegen oder über unseren Proxy sufen. Ein weiterer Client im gleichen LAN kommt dann allerdings nicht mehr auf den Rechner. Evtl. hast Du ja auch diese Möglichkeit.

[PAT 10]

Kann, muß aber nicht sein. Achte drauf, daß der AV-Scanner sich auch außerhalb Deines LANs die aktuellen Signaturen holt.

Wir haben hier Trendmicro von unserer Mutter. Müsste mal abklären, ob der dazu in der Lage ist.

 

Kann sie doch auch, innerhalb des Heimatnetzes. Außerhalb ist dann aktiviert.

Mal ne ****e Frage (ist vielleicht auch schon zu spät heute Abend): Wie realisiert Du das? Könnte das auch mit einer Desktop-Firewall funktionieren? Klar, die sind auch nicht das gelbe von Ei, aber besser als die Windows-FW. Hier in der Firma setzen wir was vernüftiges ein, da müsste sich die "Desktop-FW" wieder automatisch deaktivieren.

 

Dann schreib was passendes dazu auf, und lass es von Deinem Chef absegnen. Dann müssen die User unterschreiben. Zumindest bist Du dann schon mal außen vor.

Wenn das so einfach wäre. :rolleyes: Ich habe das schon mehrfach angesprochen, aber unser Chef scheut sich (warum auch immer) davor.

 

Wenn meine User mit dem CISCO-Client eine VPN-Verbindung aufgebaut haben, können sie sich entweder im LAN bewegen oder über unseren Proxy sufen. Ein weiterer Client im gleichen LAN kommt dann allerdings nicht mehr auf den Rechner. Evtl. hast Du ja auch diese Möglichkeit.

Unsere Mutter setzt seit Kurzem tatsächlich den Cisco-VPN-Client ein. Allerdings habe ich damit noch keine Erfahrung. Wenn, dann müsste sich das so einrichten lassen, dass die ohne den VPN-Client gar kein WLAN nutzen könnten. Geht das prinzipiell? Und ist es damit egal, ob der WLAN-AP sicher ist oder nicht?

[LukasB 10]

Genau das ist ja das Problem. Ich habe die Befürchtung, dass die sich sonst was einholen.

 

Okay, es geht also nicht spezifisch um WLAN. Ich dachte schon ich hätte was verpasst :)

 

Das schlimme ist, dass die Windows-FW default (Vorgabe unserer Mutter) deaktiviert ist, weil's Probleme mit dem Remote-Zugriff gab. Wobei ich von der Windows-FW sowieso nicht viel halte. Klar, besser als nichts, aber auch nicht viel mehr.

 

Unter XP war diese auch nicht wahnsinnig viel Wert, vorallem weil man ihr extrem leicht vorgaukeln konnte das sie im Domain-Netz ist. Unter Vista ist das aber wesentlich besser geworden.

 

Das Problem ist, dass das unsere User nicht die Bohne interessiert. Und ich bin wieder der Depp, der das ausbügeln darf.

 

Das ist wohl der politische Teil des Problems. Da muss auf jeden Fall, egal mit welchen technischen Massnahmen du vorgehst, auch angesetzt werden.

 

Ich überlege, ob VPN die nötige Sicherheit liefern kann. Wenn die erstmal eine VPN-Verbindung aufgebaut haben, kann man diese verschlüsseln. Aber über die eigentliche Internetverbindung habe ich ja keinerlei Kontrolle.

 

Diverse 3rd Party Clients der grossen Hersteller kommen ja mit einer Firewall-Lösung die deine Bedürfnisse evtl. abdecken können - also z.B. das überhaupt kein Netz möglich ist, solange die VPN-Verbindung nicht aktiv ist. So kannst du sicherstellen das ausserhalb des Firmennetzes keine Verbindungen möglich sind.

 

Beachte dabei aber zwei Dinge:

 

a) Solange die User lokale Adminrechte haben ist das eine sehr akademische Übung

b) Wenn die User wirklich so böse sind wie du sagst - auf einem Laptop ohne Full Disk Encryption lokale Adminrechte zu kriegen ist nicht wirklich schwer

 

Als wirklich 100% nötig sehe ich solche Ansätze jedoch nicht - ein korrekt konfigurierter Client wird auch direkt am Internet nicht innert 10 Minuten verseucht sein. Ist immer eine Frage der vorhandenen Ressourcen, etc. pp.

–

Mal ne ****e Frage (ist vielleicht auch schon zu spät heute Abend): Wie realisiert Du das? Könnte das auch mit einer Desktop-Firewall funktionieren? Klar, die sind auch nicht das gelbe von Ei, aber besser als die Windows-FW. Hier in der Firma setzen wir was vernüftiges ein, da müsste sich die "Desktop-FW" wieder automatisch deaktivieren.

 

Die Windows-Firewall unter XP hat zwei Profile: Domain und Sonstiges. Zwischen diesen schaltet sie automatisch um. Sicher ist das allerdings nicht, erst besser unter Vista. Du kannst die Firewall so einstellen das sie innerhalb der Domain aus ist.

 

Eine Firewall auf allen Rechnern halte ich aber nicht für eine schlechte Idee - so stellst du sicher das nur autorisierte Dienste von aussen zugänglich sind. Das schützt primär dich von Fehlkonfigurationen, wenn irgendwo ein ungepatchter Dienst läuft von dem garniemand weiss das es ihn gibt.

 

Unsere Mutter setzt seit Kurzem tatsächlich den Cisco-VPN-Client ein. Allerdings habe ich damit noch keine Erfahrung. Wenn, dann müsste sich das so einrichten lassen, dass die ohne den VPN-Client gar kein WLAN nutzen könnten. Geht das prinzipiell? Und ist es damit egal, ob der WLAN-AP sicher ist oder nicht?

 

Ich verstehe deinen Fokus auf WLAN einfach nicht - es ist doch völlig egal mit welcher Netztechnologie die Leute ausserhalb eures Firmennetzes genau arbeiten. Am Bedrohungsszenario ändert das nichts.

 

Aber ja: Grundsätzlich kannst du mit dem Cisco-VPN Client mit Firewall sicherstellen das ausserhalb des Firmennetzes nur VPN-Verbindungen erstellt weden können.

[PAT 10]

Okay, es geht also nicht spezifisch um WLAN. Ich dachte schon ich hätte was verpasst :)

Naja, es geht schon um WLAN. Ich möchte halt irgendwie eine sichere Verbindung realisieren. Wobei ich bei UMTS den Vorteil sehe, dass ich selber die Verbindung aufbaue und nicht irgendeinen WLAN-AP nehmen muss, wo ich nicht sicher weiß, was für einen Mist der Betreiber damit macht.

 

Unter XP war diese auch nicht wahnsinnig viel Wert, vorallem weil man ihr extrem leicht vorgaukeln konnte das sie im Domain-Netz ist. Unter Vista ist das aber wesentlich besser geworden.

Tja, das ist ja das Problem. Die Notebooks haben alle XP drauf. Vista haben wir hier nicht, und das wird wohl noch sehr lange so bleiben. Wir haben von unserer Mutter eine Softwareverteilung, welche wir nutzen müssen, und da unsere Mutter selber noch kein Vista einsetzen möchte, können wir das auch nicht.

 

Das ist wohl der politische Teil des Problems. Da muss auf jeden Fall, egal mit welchen technischen Massnahmen du vorgehst, auch angesetzt werden.

Wenn das so einfach wäre. Leider ist der GL einer derer, die am lautesten nach WLAN schreien. Nur wenn nachhher was ist, darf ich das ausbügeln. Es wäre schön, wenn ich vorher etwas schriftliches erwirken könnte, aber diese Hoffnungen habe ich schon begraben.

 

Diverse 3rd Party Clients der grossen Hersteller kommen ja mit einer Firewall-Lösung die deine Bedürfnisse evtl. abdecken können - also z.B. das überhaupt kein Netz möglich ist, solange die VPN-Verbindung nicht aktiv ist. So kannst du sicherstellen das ausserhalb des Firmennetzes keine Verbindungen möglich sind.

Hast Du mir da ein paar Beispiele. Wäre sehr hilfreich.

 

a) Solange die User lokale Adminrechte haben ist das eine sehr akademische Übung

Das haben sich nicht. Ich bin doch nicht lebensmüde. ;)

 

b) Wenn die User wirklich so böse sind wie du sagst - auf einem Laptop ohne Full Disk Encryption lokale Adminrechte zu kriegen ist nicht wirklich schwer

 

Als wirklich 100% nötig sehe ich solche Ansätze jedoch nicht - ein korrekt konfigurierter Client wird auch direkt am Internet nicht innert 10 Minuten verseucht sein. Ist immer eine Frage der vorhandenen Ressourcen, etc. pp.

Könntest Du das bitte genauer erklären?

[Sunny61 773]

Mal ne ****e Frage (ist vielleicht auch schon zu spät heute Abend): Wie realisiert Du das? Könnte das auch mit einer Desktop-Firewall funktionieren?

 

Igitt, Schlangenöl kommt mir nicht auf die Rechner. Und ja, die Windows-FW hat 2 Profile: Computerkonfig > Admin-Vorlagen > Netzwerk > Netzwerkverbindungen > Windows Firewall. Der Rest ist IMHO selbsterklärend.

 

Klar, die sind auch nicht das gelbe von Ei, aber besser als die Windows-FW. Hier in der Firma setzen wir was vernüftiges ein, da müsste sich die "Desktop-FW" wieder automatisch deaktivieren.

 

Wenns denn unbedingt sein muß, könntest Du das auch mit einer GPO regeln: Eingeschränkte Gruppen

Erzeuge die GPO auf einem Client, auf dem die Dienste auch vorhanden sind.

 

 

Wenn das so einfach wäre. :rolleyes: Ich habe das schon mehrfach angesprochen, aber unser Chef scheut sich (warum auch immer) davor.

 

Dann schreib ihm zumindest Deine Bedenken, auch wenns nur für Deinen Kopf ist. ;)

 

 

Unsere Mutter setzt seit Kurzem tatsächlich den Cisco-VPN-Client ein. Allerdings habe ich damit noch keine Erfahrung. Wenn, dann müsste sich das so einrichten lassen, dass die ohne den VPN-Client gar kein WLAN nutzen könnten. Geht das prinzipiell? Und ist es damit egal, ob der WLAN-AP sicher ist oder nicht?

 

Hmm, keine Ahnung, hab ich ehrlich gesagt noch nicht probiert. Aber LukasB ja schon was dazu geschrieben.

[LukasB 10]

Naja, es geht schon um WLAN. Ich möchte halt irgendwie eine sichere Verbindung realisieren. Wobei ich bei UMTS den Vorteil sehe, dass ich selber die Verbindung aufbaue und nicht irgendeinen WLAN-AP nehmen muss, wo ich nicht sicher weiß, was für einen Mist der Betreiber damit macht.

 

Die GL arbeitet also schon von Zuhause aus an ihrem normalen Heim-LAN? Und das siehst du als weniger bedrohlich?

 

Wenn das so einfach wäre. Leider ist der GL einer derer, die am lautesten nach WLAN schreien. Nur wenn nachhher was ist, darf ich das ausbügeln. Es wäre schön, wenn ich vorher etwas schriftliches erwirken könnte, aber diese Hoffnungen habe ich schon begraben.

 

Naja, als Dienstleister hat man es da wirklich einfacher, vorallem wenn der Verkauf mitspielt. Schau einfach das du bei sowas auf der sicheren Seite bist.

 

Hast Du mir da ein paar Beispiele. Wäre sehr hilfreich.

 

Habe sowas vor ca. 2 Jahren mal mit Checkpoint realisiert. Cisco kann es auch, habe ich aber noch nie gemacht.

 

Das ist dann meist ein sehr umfangreicher VPN Clients der Policies von einem Server bezieht, und seine eigene Firewall mitbringt. Die Konfiguration von sowas ist eher invasiv und mit viel Aufwand verbunden. Genaues testen unbedingt anzuraten.

 

Könntest Du das bitte genauer erklären?

 

Nein, das verbieten die Boardregeln. Nur soviel: Alles man braucht ist eine passende Boot-CD. Diese gibts sogar hochoffiziell von Microsoft (allerdings nur für MVLS/SA Kunden).

[PAT 10]

Igitt, Schlangenöl kommt mir nicht auf die Rechner.

FULL ACK. Aber was ist das kleinere Übel, eine Desktop-FW oder gar keine? Und die Windows-FW (XP) schätze ich eher schlechter als eine kommerzielle Desktop-FW ein.

 

Wenns denn unbedingt sein muß, könntest Du das auch mit einer GPO regeln: Eingeschränkte Gruppen

Erzeuge die GPO auf einem Client, auf dem die Dienste auch vorhanden sind.

Muss ich mir mal anschauen, wenn ich etas fitter bin. Momentan bin ich kurz vor dem harten Aufschlagen auf die Tischplatte mit dem Kopf.

 

Dann schreib ihm zumindest Deine Bedenken, auch wenns nur für Deinen Kopf ist. ;)

Leider behebe ich das Problem dadurch auch nicht.

 

 

Die GL arbeitet also schon von Zuhause aus an ihrem normalen Heim-LAN? Und das siehst du als weniger bedrohlich?

Ja, schon. Zur Erklärung: Er nutzt das gleiche wie unsere Aussendienstler. Die haben einen eigenen Firmenanschluss. Daran ist ein normales DSL-Modem )kein WLAN) geknüpft, auf den Notebooks wird bislang eine Verbindung eingerichtet, dort wählen sie Leute sich über die Zugangsdaten den Providers an, den unsere Mutter angeschleppt hat.

 

Habe sowas vor ca. 2 Jahren mal mit Checkpoint realisiert. Cisco kann es auch, habe ich aber noch nie gemacht.

Muss ich mal den zuständigen Admin der Mutter fragen. Das Problem ist nur, das der irgendwo in Asien unterwegs ist und daher etwas schwieriger zu greifen ist. Auf jeden Fall nicht bevor die besagten User mir dir Tür einrennen.

 

Das ist dann meist ein sehr umfangreicher VPN Clients der Policies von einem Server bezieht, und seine eigene Firewall mitbringt. Die Konfiguration von sowas ist eher invasiv und mit viel Aufwand verbunden. Genaues testen unbedingt anzuraten.

Das wäre ja nicht schlecht. Ich müsste nur noch schauen, wie ich das testen kann.

 

Nein, das verbieten die Boardregeln. Nur soviel: Alles man braucht ist eine passende Boot-CD. Diese gibts sogar hochoffiziell von Microsoft (allerdings nur für MVLS/SA Kunden).

Um ehrlich zu sein, verstehe ich das jetzt nicht so ganz. Kannst Du da etwas konkreter werden, ohne die Boardregeln zu verletzten? Wobei ich nicht bestehe, warum das die Regeln verletzt.

 

@Boardadmins

Bitte wegen der Frage nicht gleich den ganzen Threat sperren. Wenn das wirklich gegen die Regeln verstösst. bitte nur einen kurzen Hinweis, dann weiß ich Bescheid.

[Sunny61 773]

FULL ACK. Aber was ist das kleinere Übel, eine Desktop-FW oder gar keine? Und die Windows-FW (XP) schätze ich eher schlechter als eine kommerzielle Desktop-FW ein.

 

Die kommerziellen graben sich IMHO zu tief ins System ein und lassen sich meistens auch nicht richtig konfigurieren. Oder willst Du immer wieder Fragen Deiner User beantworten? Soll ich die IExplorer.exe ins Internet lassen? ;)

 

Muss ich mir mal anschauen, wenn ich etas fitter bin. Momentan bin ich kurz vor dem harten Aufschlagen auf die Tischplatte mit dem Kopf.

 

Dann aber ab ins Bett. :)

 

Leider behebe ich das Problem dadurch auch nicht.

 

Richtig, aber Du hast dich dazu fachlich und sachlich geäußert.

[PAT 10]

Dann aber ab ins Bett. :)

Jawohl, zu Befehl! ;) Freu mich schon auf die Weiterführung des Threats.

Gute Nacht.

[PAT 10]

So, ich habe heute mit einem von unserer Muttergesellschaft telefoniert, aber eine Hilfe war der auch nicht wirklich.

 

Gibt es vielleicht eine 3rd-Party Software, mit der ich meine Verbindung verwalten könnte.

 

Folgendes Szenario könnte ich mir vorstellen: Der User kann zwischen WLAN und UMTS wählen. Aber egal welches er nutzen will, er muss zwingend eine VPN-Verbindung mit dem Cisco-Client aufbauen. Und das sollte er natürlich nicht umgehen können.

 

Jemand eine Idee, wie das zu bewerkstelligen ist?

[xcode-tobi 10]

Hmm... ? das problem ist ja, dass man zunächst eine Verbindung benötigt, um dann einen VPN-Tunnel aufzubauen.

Eine Idee wäre da evtl. das setzen einer "neuen" Standardroute, nur wie genau, wüsste ich jetzt auch nicht.

Noch eine Idee: Mit diversen WLAN-Config-Tools (z.B. ThinkVantage AccessConnections von Lenovo) kann man ja diverse Profile anlegen. In jedem Profil kann man dann auch dem Rechner "mitgeben", dass er Programm XY (z.B. VPN-Client) starten soll oder den Standarddrucker YZ setzen soll sobald das Profil aktiv ist.