Jump to content

Zugang ins LAN für ausgeschiedene Admins komplett und sicher sperren


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Guten Morgen,

 

ich brauche heute mal Eure Hilfe in einer sehr delikaten Sache. Angenommen, ein Admin steigt (unfreiwillig) aus einem Unternehmen aus, wie kann man vorbeugen, dass dieser aus Rachegelüsten oder sonstiger Motivation Zugriff von aussen auf das Netz hat um Schaden anzurichten? Dazu muss ich auf jeden Fall erläutern, dass es sich um eine Person handelt, die weit verstreute Aufgabengebiete hat und niemals irgendwelche Dokumentationen gemacht hat. Der Zugriff von aussen auf das Netzwerk ist per RAS- Einwahl möglich. Klar, man kann den Benutzer sperren und ihm somit die Einwahlrechte wegnehmen, aber was ist, wenn eine Hintertür eingebaut wurde? Bei uns in der Firma haben ca. 20 Personen Einwahlrechte, also ist es doch notwendig, alle 20 Passwörter ändern zu lassen, falls die entsprechende Person eines der Passwörter kennt. Ist man dann im System drin, kann man mit Hilfe des Admin- Passwortes alles machen. Daher auch meine andere Frage: was muss ich tun, wenn das Admin- Passwort geändert wird? Viele Dienste etc. greifen bei uns auf diesen account und dieses Passwort zu, wenn ich das nun ändere, starten diese Dienste nicht mehr und wichtige Systeme stehen nicht mehr zur Verfügung. Wie kann ich im voraus feststellen, welche Dienste dies betrifft etc. Dabei geht es hier leider nicht um 1- 2 Server sondern um insgesamt 11, wo Oracle, SQL und sonstiger Kram drauf läuft. Gibt es da tools, die einem helfen?

 

Ich hoffe auf Eure Hilfe.

 

Vielen Dank

 

defcon3

Link to comment

Da hilft nur das Ändern aller admin Kennwörter.

Alternativ könntest du den Benutzer Admin umbenennen in z.B. Besucher und en neues Konto einrichten, welches keine Rechnte hat, aber das gleich eKennwort wie der alte Admin.

Jaetz kann sich der ausgeschiedene Admin mit Administrator und seinem alten Kennwort anmelden, wird aber nicht viel machen können.

Um eine Änderung der Konten (Kennwort oder Konto) wirst du nicht herumkommen.

 

Das ganze Thema ist aber zu komplex um es hier in einem Forum abzuhandeln.

 

Wenn ihr das korrekt gemacht habt, ist der RAS Einwahl eh eine Firewall vorgeschaltet, dann genügt es den Zugriff des ausgeschiedenen Admins auf der Firewall zu unterbinden.

Link to comment

Hi Herr DR!

 

was meinst du hiermit??

 

Wenn ihr das korrekt gemacht habt, ist der RAS Einwahl eh eine Firewall vorgeschaltet

[/Quote]

 

Wieso muß einer RAS einwahl eine Firewall vorgeschaltet werden??

Außerdem: wie kann man in einer Firewall den Zugriff auf benutzerebene sperren? Der Server müsste doch in der DMZ definiert sein, wo der RAS-Port ankommt?! Wo ist da etwas mit Benutzerebene?

Link to comment

Der RAS Server muss nicht zwingend in der DMZ stehen. Ich würde ihn da nicht reinstellen, da ja nur eine begrenzte Anzahl von Usern darauf zugreifen muss. Die DMZ ist für Server gedacht, die Transparent für jeden von aussen und innen zugänglich sien sollen. Klassisches Beispiel sind Webserver.

 

Ein RAS Server steht bei uns in der trusted Zone hinter der Firewall. Die Leute die drauf zugreifen sollen, müssen sich zu erst an der Firewall authentifizieren, damit die sie durchlässt. Dann kommt erst die Authentifizierung am RAS Server. Wenn ich jetzt auf der Firewall den Zugang abschalte, kann der User gar nicht mehr bis an den Server ran, da die Firewall das verhindert. Dann helfen ihm alle Passwörter für das lokale Netz nichts. Das Kennwort auf der Firewall ist auch ein anderes als auf den Servern. So kannst du mit einem wenig anfangen, da du damit nicht weit kommst.

Link to comment

ich möchte dr.melzer da beipflichten - habe nicht viel erfahrung, aber genau so haben wir es für ein projekt gelöst gehabt - erst eine authentifizierung über telnet an der firewall - dann muss in den nächsten 10 minuten die einwahl erfolgen, ansonsten war der user wieder gesperrt. das war nur anfänglich ein stein des anstosses - aber nach 2 wochen fanden die meisten user (waren immerhin fast hundert!) das sogar positiv!

 

edit1: und den telnetaufruf hatte ich vereinfacht, in dem ich auf den userrechner einfach einen desktop link habe kopieren lassen in dem als verknüpfung drin stand "telnet auth.micky.maus.com 4711" - somit war dann auch gleich der richtige port gewählt.

Link to comment

ok! Danke Dr. Melzer!

 

Ich hatte irgendwie noch nie was von einer "trusted zone" gehört/gelesen!

habe aber auch erst einmal eine echte Firewall konfiguriert (Borderware Firewall Server) und da saß ich auch nur nen halben Tag dran! (hatte da nur nen bissel dran rumgespielt, die FW war auch für nen Kunden! da war nicht so vielo Zeit dazu!)

 

was gibt es denn für methoden für die authentifizierung an der firewall?? Nur telnet?? haste irgendeinen Link für mich, wo ich genaueres nachlesen kann!

Link to comment

da geht's mir wie dir - bin kein spezi für das thema, das einzige, das ich weiss, ist, dass bei uns damals die frage stand, eine kostenpflichtige lösung über SecurID-Cards oder WebLogic (http://edocs.bea.com/wlibc/docs70/admin/cvpadner.html#1032832) zu versuchen oder eine eigene über telnet erreichbare und "getimte" fw einzurichten (die einwahl selbst erfplgte übrigens dann über einen vpn-tunnel und kein direkte telefon-einwahl, aber das nur nebenbei).

wir haben dann sowohl securID-Cards als auch eigen fw genommen.

frag mal - falls er nicht von selbst auftaucht --> networker31.

Link to comment

ich brauche heute mal Eure Hilfe in einer sehr delikaten Sache. Angenommen, ein Admin steigt (unfreiwillig) aus einem Unternehmen aus, wie kann man vorbeugen, dass dieser aus Rachegelüsten oder sonstiger Motivation Zugriff von aussen auf das Netz hat um Schaden anzurichten?

 

Also da ist schon das Grundkonzept falsch gewesen (aber dazu später mehr...)

Alle Passwörter müssen geändert werden, alle Benutzerkonten überprüft werden. Was nicht zugeordnet werden kann muss deaktiviert werden.

 

 

 

Dazu muss ich auf jeden Fall erläutern, dass es sich um eine Person handelt, die weit verstreute Aufgabengebiete hat und niemals irgendwelche Dokumentationen gemacht hat.

 

Tja, da sieht man wieder wie wichtig eine gute Doku ist...

 

 

Der Zugriff von aussen auf das Netzwerk ist per RAS- Einwahl möglich. Klar, man kann den Benutzer sperren und ihm somit die Einwahlrechte wegnehmen, aber was ist, wenn eine Hintertür eingebaut wurde? Bei uns in der Firma haben ca. 20 Personen Einwahlrechte, also ist es doch notwendig, alle 20 Passwörter ändern zu lassen, falls die entsprechende Person eines der Passwörter kennt.

 

RAS per Telefon? Dann solltet ihr einfach die Telefonnummer ändern. Bei VPN sollten ALLE Zertifikate nue ausgestellt werden.

Wenn alle Benutzer noch neue Passwörter erhalten sollte das alles zusammen reichen (wichtig: sichere Passwörter!!)

 

Ist man dann im System drin, kann man mit Hilfe des Admin- Passwortes alles machen.

 

So sollte es ja auch sein :-(

 

 

Daher auch meine andere Frage: was muss ich tun, wenn das Admin- Passwort geändert wird?

 

Administratorpasswort vergibt der Geschäftsführer geheim und legt dieses versiegelt in einen Safe....

Dann bekommen Administratoren neue Accounts, die in die Gruppe der Admins kommen. Wenn dann einer geht, wird einfach nur das Konto deaktiviert.

 

Viele Dienste etc. greifen bei uns auf diesen account und dieses Passwort zu, wenn ich das nun ändere, starten diese Dienste nicht mehr und wichtige Systeme stehen nicht mehr zur Verfügung.

 

Das ist ein echtes Fehlkonzept. Der Administratoraccount darf niemals für Dienste verwendet werden. Wird zwar gerne gemacht, das macht das Ganze aber nicht besser.

 

Wie kann ich im voraus feststellen, welche Dienste dies betrifft etc. Dabei geht es hier leider nicht um 1- 2 Server sondern um insgesamt 11, wo Oracle, SQL und sonstiger Kram drauf läuft. Gibt es da tools, die einem helfen?

 

Zum Feststellen hilft nur eins:

 

Alle Dienste ansehen und dokumentieren. Dann neue Accounts für diese Dienste erstellen, in die notwendigen Gruppen und dann ändern. Da der alte Account noch existiert kann man ohne grosse Probleme einen Rollback vornehmen.

Es ist aber nicht die Anzahl der Server sondern die Anzahl der Dienste entscheidend...

 

 

NN

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...