Jump to content

Recommended Posts

Hallo, 

ich habe gerade in meinem Büro folgendes: 

Internet --> Fritzbox A (Privat) --> LAN 4 Gast Zugang --> Fritzbox B (Büro) --> 5 Rechner

Keine Portweiterleitungen sind geöffnet, bei beiden Fritzboxen nicht. 

In der Fritzbox B ist für die Büro Rechner das Internet Zugangsprofil "Internet"  (Blacklist, BPjM Gesperrte Anwendungen: alles außer Surfen und Mailen) ausgewählt.

Es muss/soll kein VPN Zugang von außen möglich sein. (Alles so abgeschottet wie möglich nur Surfen, mails und Updates soll gehen)

Komischerweise geht TeamViewer trotzdem. Da kann jemand von Extern ja dann Dateien ziehen, das könnte ein Trojaner dann ja auch? Was muss ich machen um das zu verhindern, aber optional aktivieren zu können für Fernwartungshilfe?

 

Lohnt sich da eine zusätzliche Hardware Firewall? Wenn ja was für eine? Ist OPNSense ausreichend auf einem älteren PC mit 2 Lan Karten?

 

Mit freundlichen Grüßen

Share this post


Link to post
Share on other sites
vor 59 Minuten schrieb FragenderFrager:

nur Surfen,

 

vor 59 Minuten schrieb FragenderFrager:

Komischerweise geht TeamViewer trotzdem.

Erscheint mir logisch. Wieso wunderst du dich?

Share this post


Link to post
Share on other sites

unter nur surfen verstehe ich www surfen. und nicht das Daten von Extern kopiert werden können (wie bei TeamViewer möglich).

Wenn das geht kann ja jeder von außen Daten kopieren mit einem Trojaner welcher wie Teamviewer funktioniert?

wie unterbinde ich das?

Share this post


Link to post
Share on other sites
vor 21 Minuten schrieb FragenderFrager:

unter nur surfen verstehe ich www surfen. und nicht das Daten von Extern kopiert werden können (wie bei TeamViewer möglich).

Wenn das geht kann ja jeder von außen Daten kopieren mit einem Trojaner welcher wie Teamviewer funktioniert? 

wie unterbinde ich das? 

Das Problem ist Teamviewer arbeitet nicht so wie du es dir vorstellst.
Für Teamviewer wird kein Portforwarding benötigt da es eine Verbindung von innen nach außen (zu den TV Servern) aufbaut.
Ein Client greift dann über die Teamviewerserver auf diesen Kanal zu und verbindet sich dann auf dein Zielsystem.

 

Das ist eine allgemeines TCP/IP "Problem".
Du kannst mit einer Firewall die Teamviewer Server sperren, jedoch nicht ohne größeren Aufwand das Grundproblem lösen.

Edited by falkebo

Share this post


Link to post
Share on other sites

App Whitelisting, IDS/IPS.

 

Wenn du dir soviele Gedanken um Sicherheit machst, warum betreibst du dann Fritzboxen?

 

Share this post


Link to post
Share on other sites
vor einer Stunde schrieb tesso:

App Whitelisting, IDS/IPS.

 

Wenn du dir soviele Gedanken um Sicherheit machst, warum betreibst du dann Fritzboxen?

  

Sind Fritzboxen denn unsicher? Sicherheitsdesaster hab ich bisher eher von den T routern gehört.

 

vor einer Stunde schrieb tesso:

App Whitelisting

Das würde ja begrenzt auch mit Fritzbox gehen?

 

vor einer Stunde schrieb tesso:

IDS/IPS.

Dafür dann opnsense? oder sollte man besser eine professionelle Hardware Firewall kaufen, welche macht da sinn? die gibt es ja preislich von bis unbegrenzt..

vor einer Stunde schrieb XP-Fan:

wann startet denn der Teamviewer, wann ist der aktiv ?

Teamviewer nur wenn ich ihn öffne. Meine Sorge sind aber Programme die sich heimlich öffnen und dann wie Teamviewer zugriff verborgen ermöglichen. Das will ich unter allen umständen verhindern

Share this post


Link to post
Share on other sites

Anforderungen definieren! Gegen was möchte ich mich schützen, was hilft dagegen.

Unter allen Umständen heißt du brauchst ein unbegrenztes Budget.

Du brauchst eine Firewall / Proxy, die in den Traffic rein schauen können. Hier ist es mit HTTPS problematisch. Hier wäre evtl. ein Workshop / Beratungstermin mit einer Security Firma sinnvoll.

Share this post


Link to post
Share on other sites
vor 1 Stunde schrieb Dukel:

Du brauchst eine Firewall / Proxy, die in den Traffic rein schauen können. Hier ist es mit HTTPS problematisch.

also ist es im grunde am einfachsten ich trenne das Büro Netz komplett vom Internet ab.  und benutze laptops im Privat Netz zum Surfen.

Und stecke das Lan Kabel für Internet nur für Updates ein?

Das scheint mir die einzig realisierbare Sicherheit zu sein.

 

Die Firewall ohne regelmäßige Wartung ist ja dann auch wieder ein Sicherheitsrisiko?

 

Wie sicher ist per Fritz Box Internet kappen vs Kabel ziehen?

Edited by FragenderFrager

Share this post


Link to post
Share on other sites
vor 2 Minuten schrieb FragenderFrager:

Und stecke das Lan Kabel für Internet nur für Updates ein?

Das kannst du dir ja sparen, wenns keine Online Verbindung gibt, brauchst auch eher weniger patchen. Und selbst dafür gibts Lösungen. :p

https://docs.microsoft.com/de-de/security-updates/windowsupdateservices/18127442

 

Viel Erfolg noch bei deiner Paranoia.

 

Bye

Norbert

Share this post


Link to post
Share on other sites

tesso hat hat die Lösung für dein Problem schon gepostet.

Du brauchst dafür eine entsprechende Firewall, die Application Filtering betreiben kann. Dies wirft bei verschlüsselten Verbindungen (HTTPS) aber weitere Probleme auf.
Wird es allerdings korrekt konfiguriert, kannst du in der Firewall für einzelne Hosts / Netze entsprechende Anwendungen wie TeamViewer freischalten/blocken.

Budgettechnisch geht es hier aber bei guten 1.000€ inkl. Wartung für 3 Jahre los. Die erforderliche Wartung bringt auf Dauer aber auch Kosten mit sich. ;)

 

Mit deiner FritzBox wirst du da im Leben nicht rankommen.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...