Flare 12 Geschrieben 3. März 2009 Melden Teilen Geschrieben 3. März 2009 Hallo, ich bin eigentlich noch für eine Tochterfirma zuständig derren Netzwerk ich vor 1 Jahr aufgebaut habe.. Aufgrund der räumlichen Trennun 400 KM wurde jetzt ein local ansässiger IT Supporter eingeschaltet der auch schon eingewiesen wurde durch mich. Dieser wollte dann direkt eine Site to Site verbindung zu unserer tochterfirma herstellen für eine schnelle Reaktionszeit.. Wurde von mir erstmal generell abgelehnt, bei problemen kann man sich ja auch einwählen.. leider wurde die GF bequatscht und nun haben wir eine Site to Site verbindung mit einer Firma die ich nicht kenne und zudem was mich erschreckt sogar komplett offen ist.. also in beide richtungen eine komplett unnötige any regel :shock: Für mich ist sowas absolut unprofesionell und bedarf eigentlich keines weiteren kommentares aber ich hab meine verantwortung schon abgegeben aufgrund dessen. Was sagt Ihr dazu ??? Würd mich mal interessieren.. Welche Gefahren seht ihr und was haltet ihr von der Vorgehensweise. Gruss Rene Zitieren Link zu diesem Kommentar
fischer-denkt 10 Geschrieben 3. März 2009 Melden Teilen Geschrieben 3. März 2009 Hi, prinzipiell spricht absolut garnichts gegen einen S2S-Tunnel, da dieser (mit dem richtigen Produkt) Vorteile mit sich bringen kann. Securitytechnisch sollte man jedoch einige Punkte beachten. Eine any-any Regel halte ich für überzogen. Warum wird nicht einfach das Ruleset so angepasst, dass das gleich zugelassen wird wie bei der C2S-Verbindung? Wenigstens auf Deiner Seite? Was die andere Seite alle zulässt ist für dich ja eher nebensächlich. **** ists schon, da gerade 2 Firewalls die Möglichkeit bieten könnten an 2 Seiten zu filtern. Macht der eine Admin einen Fehler, kann dies immernoch an der zweiten Box abgefangen werden. Die Frage ist vielmehr, wofür wird dieser Tunnel genutzt? Nutzen User der Tocherfirma Eure Infrastruktur? Hat die Tocherfirma einen eigenen Mailserver? Wenn ja, macht es doch Sinn die Server miteinander reden zu lassen. So würden keine (vertraulichen) Mails mehr durchs Internet müssen. Absolute Minuspunkte kann aber so ein Tunnel in folgenden Punkten sammeln: - Wie sieht es mit Gästen in der Tocherfirma aus? Kann sich Hinz und Kunz einfach ins Netz connecten und bezieht eine IP, womit er ungehindert in Euer Netz kommt? - Wie sieht es mit WLAN in der Tochterfirma aus? Dieses Netz würde ich zb umgehend aus dem SRC-Network verbannen - bzw blocken (wenigstens auf Deiner FW). Primär geht es aber eigentlich darum die Server und daraufliegenden Firmenrelevanten Daten zu schützen. Dies sollte man vielleicht auch nicht nur in Hinsicht auf eine Tochterfirma sondern auch in der eigenen Firma. Server gehören in ein abgeschottetes eigenes Netz. Wenn man dies hat, kann man seine Server auch vor Daten aus dem S2S-Tunnel schützen. Ich würde an Deiner Stelle die GF oder den CSO über Deine Bedenken aufklären (am besten schriftlich) und wenigstens auf Deiner Seite das Ruleset anpassen. LG Falk PS: bin auf die Diskussion bzgl Deines Threats gespannt. Zitieren Link zu diesem Kommentar
Flare 12 Geschrieben 3. März 2009 Autor Melden Teilen Geschrieben 3. März 2009 hallo danke für die antwort ich glaube du hast da was falsch verstanden. Die Fremde Firma hat einen Tunnel zu unsrerer Tochterfirma aufgebaut. Natürlich benötigen diese keine Ressourcen wie unseren Mailserver .. wär ja noch schöner :) Bis dann Gruss Rene Zitieren Link zu diesem Kommentar
BrainStorm 10 Geschrieben 3. März 2009 Melden Teilen Geschrieben 3. März 2009 Natürlich benötigen diese keine Ressourcen wie unseren Mailserver .. Und was ist dann Sinn und Zweck des Tunnels? Auf Grund welcher Anforderung wurde das realisiert? Zitieren Link zu diesem Kommentar
Flare 12 Geschrieben 3. März 2009 Autor Melden Teilen Geschrieben 3. März 2009 ja aussage mir gegenüber war.. um schnell handeln zu koennen.. gut die können sich natuerlich jetzt über rdp oder vnc etc auf die rechner aufschalten aber das koennten die ja auch mit einem client der sich einwählt.. wie gesagt das ist nur eine it service firma die bei bedarf hinzugezogen wird da ich wie gesagt 400 km weg sitze. Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 3. März 2009 Melden Teilen Geschrieben 3. März 2009 Hi, any - any Regeln sind selten eine gute Idee, wenn da kein drop dahinter steht. Ich würde an deiner Stelle auf jeden Fall die Regel auf log stellen um zumindest zu sehen, was über das Netz rein kommt. Wenn die GF das entschieden hat, ist es jedoch vermutlich schwer etwas dagegen zu machen. Gefahren: - Virus / Wurmbefall in einem Netz hat direkte Auswirkungen auf das andere Netz - Vermischung von Sicherheitszonen - Spionage - Auswirkung von erfolgreichen Hacks sind ungleich höher ... Zitieren Link zu diesem Kommentar
Flare 12 Geschrieben 3. März 2009 Autor Melden Teilen Geschrieben 3. März 2009 danke nerd das sind genau die sachen die ich mir auch gedacht hab und auch der GF mitgeteilt habe.. denke mal es gibt da noch viel mehr was gegen einen solchen tunnel spricht und gegen eine any any regel sowieso.. ich werd hier im threat noch ein paar infos und schlagwörter sammeln und mich dann noch mal da vorstellen. :) also haut rein :) Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 3. März 2009 Melden Teilen Geschrieben 3. März 2009 Hi, da eure Tochter vermutlich mit Kunden zu tun hat ist Vertraulichkeit (von Daten) / Datenschutz vermutlich noch ein Thema. Ich vermute mal nicht, dass jeder, der bei dem externen Arbeitet, eine Vertraulichkeitserklärung / Datenschutzvereinbarung bei euch unterzeichnet hat... Zitieren Link zu diesem Kommentar
Flare 12 Geschrieben 3. März 2009 Autor Melden Teilen Geschrieben 3. März 2009 und schon wieder ein punkt.. danke an den hatte ich noch nicht gedacht :) Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 3. März 2009 Melden Teilen Geschrieben 3. März 2009 Ich kenne das Problem von Dienstleisterseite her. Das Problem ist man auf seinem Laptop kein Sammelsurium von VPN-Clients installieren kann (weil die Hersteller zu **** sind ihre Software irgendwie zu standardisieren), und neu hinzugekommene Kunden meist ihre eigene VPN-Lösung haben. Virtualisierung ist eine Lösung, aber teuer und sehr Pflegeintensiv. Site to Site kann eine Lösung sein, aber nur mit extrem restriktiven Firewall-Regeln (und zwar auf beiden Seiten!). Netviewer kann auch eine Lösung sein, Teamviewer gibts glaub ich auch in einer Headless-Version die übers Internet funktioniert. Eine relativ neue Variante wäre der TS Gateway. Und vergiss nicht: You get what you pay for. Klar, was der Dienstleister da realisiert hat ist absolut ********. Aber wenn das irgendein Winzbetrieb ist der 50 EUR die Stunde nimmt dann darf man auch nichts anderes erwarten. Zitieren Link zu diesem Kommentar
Flare 12 Geschrieben 3. März 2009 Autor Melden Teilen Geschrieben 3. März 2009 @lukasB stimmt die sollten eigentlich den watchguard client nehmen, wollten sie aber nicht das sie schon einen anderen ncp client installiert hatten und diesen nicht für watchguard konfiguriert bekommen haben.. ja so 50 euro werden es auch sein.. :D Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 3. März 2009 Melden Teilen Geschrieben 3. März 2009 ... bei ner 50 € Firma würd ich auch ne any any regel schalten - allerdings mit deny dahinter ;-) Zitieren Link zu diesem Kommentar
zahni 524 Geschrieben 3. März 2009 Melden Teilen Geschrieben 3. März 2009 Ganz klar: Die GF schriftlich über des Risiko für das Unternehmen informieren (am Besten auch an die IT-Revision, falls Ihr sowas habt) und bei Dir dokumentieren. Am Besten als GF-Vorlage, dann müssen die das Unterschreiben und Dir zurücksenden. Wenn dann was passiert, bist Du aus dem Schneider, weil die GF dann das Risiko trägt und Du Deiner Informationspflicht nachgekommen bist. -Zahni Zitieren Link zu diesem Kommentar
Flare 12 Geschrieben 3. März 2009 Autor Melden Teilen Geschrieben 3. März 2009 wär nett wenn ihr mir noch ein paar risiken nennen könntet :) ich fass mal zusammen. virenausbruch kann auf beide netze niederschlagen. jeder aus dem anderen netz ( gäste etc ) können auf unser netz zugreifen. datenschutz bestimmung wurde keine unterschrieben ich weiss absolut nichts über das wlan des fremdnetzes wird das eine netz gehackt was auch immer schlägt es auch bei uns auf. Gruss Rene Zitieren Link zu diesem Kommentar
NorbertFe 1.829 Geschrieben 3. März 2009 Melden Teilen Geschrieben 3. März 2009 wär nett wenn ihr mir noch ein paar risiken nennen könntet :) ich fass mal zusammen. virenausbruch kann auf beide netze niederschlagen. jeder aus dem anderen netz ( gäste etc ) können auf unser netz zugreifen. datenschutz bestimmung wurde keine unterschrieben ich weiss absolut nichts über das wlan des fremdnetzes wird das eine netz gehackt was auch immer schlägt es auch bei uns auf. Gruss Rene Ich vermute mal, die schnelle Reaktionszeit des Dienstleisters ist auch irgendwo definiert? Was genau beinhaltet diese Aussage denn, und wie hilft dabei der Tunnel? Wenn man diese Aussagen erstmal hat, kann man sicherlich auch technisch besser Aussagen treffen. Ich persönlich würde es keinem Kunden aufs Auge drücken eine Site2Site Connection zu uns aufzubauen. Ist ja auch für den Dienstleister ein Risiko. Nämlich wenn der Kunde auf einmal ankommt mit Aussagen zum Thema Datenschutz usw. ;) Normalerweise gibt es im Vertrag zwar eine Verschwiegenheitsklausel, aber ... Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.